Wireshark教程8.doc

第?8?章?统计 8.1.?说明 Wireshark提供了多种多样的网络统计功能 包括，载入文件的基本信息(比如包的数量)，对指定协议的统计(例如，统计包文件内HTPP请求和应答数)，等等。 一般统计 Summary：捕捉文件摘要 Protocal Hierarchy: 捕捉包的层次结构 Endpoints 例如：通讯发起，终止方的ip地址 Conversations 例如：两个指定IP之间的通信 IO Graphs 包数目随时间变化的曲线图。 指定协议统计 Service Response Time 从发起请求到相应请求的服务间隔时间。 Various other 协议特有的统计 注意 协议特定的统计，需要有特定协议的细节了解。除非你对那个协议非常熟悉，统计结果不是那么那么容易理解的。 File 捕捉文件的一般的信息 Time 第一个包和最后一个包的时间戳 Capture 包捕捉完成时的一些信息(仅当包数据已经从网络捕捉，还没有从文件载入) Display 与显示有关的信息 Traffic 网络传输的相关统计，如果设置了显示过滤，你会看到两列。Captured列显示过滤前的信息，Displayed列显示过滤后对应的信息。 8.3.?Protocol Hierarchy窗口 显示捕捉包的分层信息 图?8.2.?Protocol Hierarchy 窗口 这个窗口现实的是捕捉文件包含的所有协议的树状分支。你可以展开或折叠分支，通过点击+/-图标。默认情况下，所有分支都是展开的。 每行包含一个协议层次的统计值 每列代表的意思 Protocol 协议名称 %Packets 含有该协议的包数目在捕捉文件所有包所占的比例 Packet 含有该协议的包的数目 Bytes 含有该协议的字符数 MBit/s 该协议的带宽，相对捕捉时间 End Packets End Bytes End MBit/s 注意 包通常会包含许多协议，有很多协议会在每个包中被统计。例如：截屏中包括99.17%的IP，85.83%的TCP协议(它们的和超过了100%) 注意 包的协议组成部分可以不包含高层协议，高层协议包统计百分比和可能并不等于100%，例如:截屏中TCP占85.83%，但是上层协议(HTTP...)却比85%更少。这可能是因为TCP协议，例如：TCP ACK 包不会被统计到高层协议。 注意 一个单独的包可以包含相同的协议不止一次，这种情况下，协议会被计数超过一次。例如某些通道配置的协议，IP层会出现两次。(通道封装的内容包括ip层，传输时将封装过在用IP封装一次) 提示 如果在其他网络工具工具中看到被称为Hostlist/主机列表的东西，在这里就是Endpoint了。 Broadcast / multicast endpoints（广播/多播端点） 广播/多播通信会用额外的端点单独显示。当然，这些端点都是虚拟端点，真实的通信会被所有(多播的一部分)列出的单播端点接收。 在该窗口中，每个支持的协议，都显示为一个选项卡。选项标签显示被捕捉端点数目(例如：Ethernet :5表示有5个ethenet 端点被捕捉到)。如果某个协议没有端点被捕捉到，选项标签显示为灰色(尽管可以查看选项卡对应的页面). 列表中每行显示单个端点的统计信息。 Name resolution 如果选中该选项，将会对指定的协议层进行名字解析(当前选中的Ethernet endpoint 页面是MAC层)。你可能注意到，第一行将前三个字节解析为Netgear,第二行地址被解析为IP地址(通过arp协议解析)，第三行解析为广播地址(未解析时mac地址为:ff:ff:ff:ff:ff:ff)，最后两行的MAC地址未被解析。 提示 该窗口可能会频繁那更新内容，在你进行实时捕捉之前打开了它(或者在这期间打开了它)，也依然有用。 第?8.4.2?节 “Endpoints窗口” 图?8.4.?Conversations对话框 8.5.3.?协议指定“Conversation List/会话列表”窗口 Before the combined window described above was available, each of its pages were shown as separate windows. Even though the combined window is much more convenient to use, these separate windows are still available. The main reason is, they might process fast