网络抓包工具wireshark入门教程详解

以tcp协议为例，就是你push一个数据到一台主机，主机回应一个ack给你的主机，你的主机并成功接收ack回应。这两个过程花费的时间总和就是双向时间。双向时间通常用来寻找网络传输过程中的慢点和瓶颈，用以判断网络传输是否有延迟。

通过“Statistics”菜单中的“Tcp  StreamGraph”中的“Round Trip Time Graph”选项可以打开这个双向时间图对话框。如下图：

这个图表中的每个点代表一个数据包的双向时间。你可以单机图表中的任何一点，然后在数据包列表区就会自动定位到相应的数据包。从数据表来看，我们下载压缩包还是比较稳定的。

数据包的rtt时间大多数在0.05s以下，其他大多数在0.1s左右，少数超过了1.5s。

wireshark跟踪tcp流

Wireshark分析功能中最不错的一个功能是它能够将TCP流重组。

重组后的数据格式更容易阅读。跟踪TCP流这个功能可以将接收到的数据排好顺序使之容易查看，而不需要一小块一小块地看。

这在查看HTTP、FTP等纯文本应用层协议时非常有用。

我们以一个简单的HTTP请求举例来说明一下。打开wireshark_bo56_pcap.pcapng，并在显示过滤器中输入“http contains wireshark”，点击“apply”按钮后，在数据包列表框中就会只剩下一条记录。如下图。

右键单击这条记录并选择Follow TCP Stream。这时TCP流就会在一个单独的窗口中显示出来。如下图：

我们看到这个窗口中的文字会有两种颜色。

其中红色用于表示从源地址到目标地址的流量。

在我们的例子里面就是从我们本机到web服务器的流量。

你可以看到最开始的红色部分是一个GET请求。蓝色部分是和红色部分相反的方向，也就是从目标地址到源地址的流量。

在我们的例子中，蓝色部分的第一行是“HTTP/1.1 200 OK”，是来自服务器的一个http成功响应。

在这个窗口中除了能够看到这些原始数据，你还可以在文本间进行搜索，将其保存成一个文件、打印，或者以ASCII码、EBCDIC、十六进制或者C数组的格式去查看。这些选项都可以在跟踪TCP流窗口的下面找到。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!