使用 wireshark 的 5 个错误,出自于 Chris Greer 大神 Youtube 教学视频《FIVE COMMON MISTAKES when using Wireshark》,看的时候笔记只记录了 5 个标题,记性又不太好,到现在内容有点模糊了。
特殊期间无法上网,翻看笔记的时候,觉得可以分享一下,本篇内容照着自己的记忆再加点自己的理解说道说道。
-
一个关于捕获上的使用错误,我理解更多是大文件的影响。因为 Wireshark 加载大文件进行分析的性能实在不咋滴,因此很有必要控制不要产生大文件。
一是像标题所说,可能是由于长时间捕获导致的大文件,也可能本身就是一个高速率下的捕获场景,捕获时长再短也一样会生成大文件,因此可以考虑以下几个方式进行控制:a. 捕获过滤;b. 捕获选项-多文件+环形缓冲区;c. 文件切割 。
-
第二个关于捕获上的使用错误,说的是需要避免无效流量。作为服务器端自然不用说,流量更多是来自于实际业务,而客户端就比较有讲究了,我理解原视频中更多针对的是办公电脑客户端场景,这种情况下由于自身多应用程序的运行,会产生很多的无效流量,干扰后期的分析。
虽然说分析时可以通过显示过滤表达式过滤,但与其这样,在捕获时保持一个纯粹的故障测试环境,岂不是更好,该关的程序能关则关。
-
一个分析上的使用错误,来自于 Wireshark 专家信息,说的是需要聚焦重点。无疑,专家信息很强大,根据数据包分析分类出各类信息提示,包括 Error、Warning、Chat、Note、Comment 等,包数量越多,可能所产生的告警信息越多。
具体导致问题的原因自然也很多,如何在繁杂的信息当中找到真正需要的,我觉得这需要经验,只有多看多分析,在实战中提高,才能更有效的分辨无用告警信息。
-
第三个关于捕获上的使用错误,说的是捕获点的选择问题。捕获点简单来说就是客户端、中间端和服务器端,客户端和服务器端好理解,就是在本地所抓取,而中间端则需要根据实际环境合理的判断流量所经过的节点,如果因为多路径的问题,在没有流量经过的地方部署了镜像抓包,自然啥也不会抓到,费时又费力。
同时根据排障场景的需要,有时在中间端的捕获点,不仅仅是选取一个,也有可能是多点进行同时抓取,譬如疑似问题节点的设备前后(防火墙或负载均衡等)。
-
最后一个还是关于捕获上的使用错误,说的是故障发生时的捕获问题。除了刚好部署有流量回溯设备之外的情况,故障如果是不定时的偶发,对于抓包来说就是一个很大挑战,有点像守株待兔的感觉。一要么部署回溯设备,二要么本地长时间循环捕获。又或者说故障不再复现了,空等白忙活,有时真就是一个浪费感情的活。
最好的情况自然是故障可复现,当然这是理想情况,事事自然没有那么如意。对于无法重复发生的问题/错过的事件,我的理解是如果实在没法,过去的就过去吧。
后台回复「TT」获取 Wireshark 提示和技巧系列 合集
后台回复「TS」获取 Wireshark Troubleshooting系列 合集
如需交流,可后台直接留言,我会在第一时间回复,谢谢!
原文始发于微信公众号(Echo Reply):使用 wireshark 的 5 个错误
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1206132.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论