01
c.过滤端口ip.addr==xxx.xxx.xxx.xxx and http and tcp.port==80
d.指定源地址 目的地址ip.src==xxx.xxx.xxx.xxx and ip.dst==xxx.xxx.xxx.xxx
e.SEQ字段(序列号)过滤(定位丢包问题)
TCP数据包都是有序列号的,在定位问题的时候,我们可以根据这个字段来给TCP报文排序,发现哪个数据包丢失。
SEQ分为相对序列号和绝对序列号,默认是相对序列号显示就是0 1不便于查看,修改成绝对序列号方法请参考第三式。
02
有些同学抓出来的数据包,时间显示的方式不对,不便于查看出现问题的时间点,可以通过View---time display format来进行修改。
修改前:
修改后:
03
有一些特殊情况,客户的业务源目的IP、源目的端口、源目的mac都是一样的,有部分业务出现业务不通,我们在交换机上做流统计就不行了,如下图网络架构。箭头是数据流的走向,交换机上作了相关策略PC是不能直接访问SER的。
那在排查这个问题的时候,就要了解客户的业务模型和所使用的协议,很巧合这个业务是WEB。我们从而知道TCP报文字段里是有序列号的,可以把它当做唯一标示来进行分析,也可以通过序列号进行排序。
一般抓出来的都是相对序列号0 1不容易分析,这里我们通过如下方式进行修改为绝对序列号。
Edit-----preference------protocols----tcp---relative sequence numbers
修改参数如下:
拿TCP协议举例。
把TCP的这个选项去除掉。
最后的效果:
04
抓取数据包的时候数据量很大,但有用的只有几个,按条件过滤之后,可以把过滤后的数据包单独保存出来,便于以后查看。
05
网络里有泛洪攻击的时候,我们可以通过抓包进行数据包个数的统计,从而发现哪些数据包较多来进行分析。
Statistics------conversations
06
IPS发送攻击日志和防病毒日志信息端口号都是30514,SecCenter上只显示攻击日志,不显示防病毒日志。查看IPS本地有病毒日志,我们可以通过在SecCenter抓包分析确定数据包是否发送过来。
发过来的数据量比较大,而且无法直接看出是IPS日志还是AV日志,我们先把数据包解码。
(由于没有IPS的日志抓包信息,暂用其他代替)。
解码前:
解码操作:
解码后:
07
查看TCP的交互过程,把数据包整个交互过程提取出来,便于快速整理分析。
08
查看无线干扰源的时候,我们可以看出干扰源的mac地址,可以通过Wireshark来查找是哪个厂商的设备,便于快速寻找干扰源。
例如:mac地址是A4-4E-31-30-0B-E0
通过Wireshark安装目录下的manuf文件来查找。
文章来源:网络技术平台
北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。
威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。
作为中国工控安全国家队,威努特积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关键信息基础设施网络空间安全为己任,致力成为建设网络强国的中坚力量!
原文始发于微信公众号(威努特工控安全):8个常用的Wireshark使用技巧,一看就会
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论