wireshark問題分析示例.pptx

wireshark問題分析示例,2014.4.14,Wireshark工具介紹 Wireshark篩選簡(jiǎn)介 wireshark與mtklog分析原理 綜合分析示例,一、Wireshark工具介紹,Wireshark是windows平臺(tái)用于查看網(wǎng)口數(shù)據(jù)包的工具。winpcap工具或者tcpdump工具捕獲的日志都可以使用wireshark來查看。wireshark是一個(gè)日志分析工具。 Wireshark是開源產(chǎn)品，您可以在網(wǎng)上下載自己想要的版本安裝。這里對(duì)下載和安裝不做介紹。 如果需要在window抓包，則需要安裝winpcap；若不需要，則不必安裝。,Android環(huán)境使用tcpdump,在android手機(jī)中，需要先讓手機(jī)配置好tcpdump工具。 adb push tcpdump /data/local/tcpdump adb shell chmod 6755 /data/local/tcpdump 開始抓包命令： adb shell tcpdump -i ppp0 -p -nnn -vvv -s 0 -w /data/tt.pcap adb pull /data/tt.pcap d:tcpdump,打開一個(gè).cap或.pcap文件,編輯標(biāo)簽主要功能,查找文本一般是查找ascii編碼的字符。有篩選字符選項(xiàng)，可以選擇僅ascii編碼或是可以搜索unicode。一般http協(xié)議字段比較容易查找?？旖萱I：ctrl +f 。,標(biāo)記：略。 忽略包：略。 設(shè)置標(biāo)記時(shí)間：可以設(shè)置多個(gè)標(biāo)記時(shí)間。設(shè)置之后，可以讓之后的時(shí)候起點(diǎn)從當(dāng)前標(biāo)記算起。例如，標(biāo)記時(shí)間可以用于請(qǐng)求超時(shí)無響應(yīng)等分析。,編輯標(biāo)簽還有兩個(gè)配置選項(xiàng)。一個(gè)可以配置字體、顏色等，另個(gè)是配置的保存。這里不多介紹。,View菜單主要是設(shè)置一些跟顯示相關(guān)的內(nèi)容?？梢愿鶕?jù)需要勾選對(duì)應(yīng)的工具欄。具體細(xì)節(jié)不做多介紹。各位可以自己嘗試不同的顯示效果。,右鍵點(diǎn)擊filter框下面顯示的列，出來菜單column preference?？梢耘渲弥鹘缑骘@示的列。如果單擊某一列，則是按照該列信息排序。Displayed column選項(xiàng)可以設(shè)置某列隱藏或者顯示。,這里我自定義了3列，用以定位動(dòng)態(tài)分配的socket。,Go 菜單與capture菜單,Go：略。 Capture：用于捕獲包。需要在windows安裝winpcap。這里對(duì)于windows抓包不做多說。,分析菜單,分析菜單有篩選功能，后面介紹。 Wireshark還可以修改解析的協(xié)議，甚至自定義協(xié)議解碼規(guī)則。這里不做多介紹。 最下面有個(gè)專家信息，比較有用。他可以在日志中指出不同異常等級(jí)的打印。,專家信息綜合分析統(tǒng)計(jì),統(tǒng)計(jì)菜單,統(tǒng)計(jì)菜單有一些輔助功能。具體想看什么統(tǒng)計(jì)，或者想了解哪些能夠統(tǒng)計(jì)，可以自己嘗試一下，這里不再描述。 統(tǒng)計(jì)之前，例如這里點(diǎn)了Summary查看摘要，會(huì)有一個(gè)輸入框，這里可以做一下篩選。不篩選默認(rèn)空就行。,二、Wireshark篩選簡(jiǎn)介,Wireshark使用的核心，就是如何快速篩選自己需要的信息，然后快速定位問題。 Wireshark篩選基于兩個(gè)點(diǎn)。一個(gè)是篩選語法，一個(gè)是osi七層模型的熟練程度。其中篩選語法比較簡(jiǎn)單，而七層模型由于協(xié)議眾多，需要循序漸進(jìn)學(xué)習(xí)。,Wireshark篩選語法,邏輯與運(yùn)算 ：& , and 邏輯或運(yùn)算： | ,or 邏輯非運(yùn)算：！,not 算數(shù)運(yùn)算： , =, = 其他運(yùn)算符：括號(hào)() , contains matches。 示例： not (tcp.port = 80) and not (tcp.port = 25) and ip.addr = and http.host contains “yes“,開始篩選,在filter框輸入合法的表達(dá)式，按回車或者點(diǎn)擊后面的apply即可進(jìn)行篩選。如果是不合法的表達(dá)式，則filter框顯示成紅色。反之則為綠色。取消篩選點(diǎn)擊clear即可。,使用常用篩選,點(diǎn)擊filter輸入框左邊的filter按鈕，有個(gè)常用篩選列表。你可以選擇默認(rèn)的篩選，也可以自定義篩選保存，方便以后使用。,生成表達(dá)式,有時(shí)候您可以生成一些復(fù)雜的表達(dá)式，雖然您還不知道剛才那個(gè)tcp.跟http.后面到底可以有哪些字段。 如果并不知道協(xié)議字段在wireshark里面的字段描述或者其縮寫是什么，沒有關(guān)系。在filter框輸入的時(shí)候，wireshark有聯(lián)想功能。（聯(lián)想，只要你想）。 如果協(xié)議層級(jí)太深，可以通過expression按鈕，來查找和生成對(duì)應(yīng)字段。,示例：生成一個(gè)表達(dá)式，用以篩選http request的uri中，包含關(guān)鍵字“l(fā)enovo”。對(duì)于那種需要“一針見血”的篩選尤為突出。,三丶wireshark與mtklog分析原理,思路一：修改一下時(shí)間顯示方式，便于與mtklog同步，通過http get的時(shí)間，來查找main log中 的動(dòng)作。,Mainlog查找http,思路二：如果已知mainlog中動(dòng)作，則通過local port id，在filter中篩選。這個(gè)local port id，是臨時(shí)分配給socket的。,一個(gè)斷點(diǎn)續(xù)傳問題分析,分析思路： 通過專家分析或TCP特殊包，找到斷點(diǎn)； 通過斷點(diǎn)的port id,找到http相關(guān)信息； 有了http相關(guān)信息，則通過匹配http動(dòng)作相同的字段，來確認(rèn)多個(gè)http的 post或者get。（由于tcp連接中斷后，臨時(shí)分配的port id不再用，重連的時(shí)候無法通過上次的port id確認(rèn)下次連接信息，所以必須通過http信息來匹配）,STEP ONE,找到斷點(diǎn)。斷點(diǎn)，可以是普通中斷，也可以是異常中斷。先看一下專家分析。發(fā)現(xiàn)沒有中斷。,一般結(jié)束一個(gè)tcp連接，可以通過fin/ack的方式來結(jié)束。但是在某些緊急情況，沒那么多時(shí)間可以握手，則直接單方強(qiáng)行結(jié)束連接。如下圖，可以通過一個(gè)reset標(biāo)記位，找到當(dāng)時(shí)中斷了哪個(gè)連接的socket.,通過main log和http 包頭，確認(rèn)這個(gè)斷點(diǎn)想做什么。由于http協(xié)議是無狀態(tài)，無記憶，無連接的，則下次續(xù)傳必須有部分相同的請(qǐng)求頭。,STEP TWO,tcp.port = 43731 & (http.request.method = GET| http.request.method = POST) 通過wireshark找到頭信息,STEP THREE,Host, user-agent等信息都可以作為匹配依據(jù)。這里通過查找關(guān)鍵字user-agent:AppStore5并篩選http get來定位。,分析結(jié)果,查看有多個(gè)http get