我們?cè)谑褂脀ireshark進(jìn)行抓包的時(shí)候，有時(shí)會(huì)要對(duì)各個(gè)端點(diǎn)IP地址的流量進(jìn)行統(tǒng)計(jì)，這時(shí)我們就要用到wireshark中的查看端點(diǎn)的功能。當(dāng)我們抓包結(jié)束后，選擇Statistics中的Endpoints就可以看到各端點(diǎn)（IP地址）的流量統(tǒng)計(jì)，如下圖：

創(chuàng)新互聯(lián)公司2013年至今，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項(xiàng)目成都做網(wǎng)站、網(wǎng)站建設(shè)網(wǎng)站策劃，項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命，1280元涼山州做網(wǎng)站,已為上家服務(wù),為涼山州各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話:18982081108

通過(guò)wireshark的這個(gè)功能，我們可以直觀的看到捕獲的流量的統(tǒng)計(jì)信息，這對(duì)于我們分析當(dāng)前網(wǎng)絡(luò)的行為有不小的幫助。

而如果我們想要知道地址A與地址B之間的會(huì)話流量統(tǒng)計(jì)信息，則可以選擇Statistics中的Conversation，出現(xiàn)如下窗口：

通過(guò)這個(gè)窗口，我們可以很好的看到各地址間的會(huì)話流量，同時(shí)我們也可以通過(guò)這些會(huì)話流量來(lái)粗略分析地址間的會(huì)話行為。、

我們有時(shí)也需要對(duì)捕獲的流量中協(xié)議的分布情況進(jìn)行分析，如TCP、ICMP等所有的百分比例，在wireshark中，我們可以選擇Statistics中的Protocol Hierarchy，在彈出窗口中，我們可以非常清晰的看到各協(xié)議流量所占的比例。如圖：

這個(gè)功能在運(yùn)用中會(huì)有不錯(cuò)的功效，對(duì)我們初步判斷網(wǎng)絡(luò)是否出現(xiàn)故障時(shí)有很大幫助，像網(wǎng)絡(luò)中ARP流量通常占百分之十，而如果我們捕獲的流量中ARP的比例過(guò)大或過(guò)小，那么我們就知道一定是哪里出問(wèn)題了，我們就可以進(jìn)一步分析問(wèn)題的所在。

在流量分析中，有時(shí)可能會(huì)出現(xiàn)協(xié)議解析失敗或錯(cuò)誤的情況，因?yàn)閣ireshark中的解析器解析各協(xié)議都是默認(rèn)的協(xié)議端口號(hào)，如SSL流量默認(rèn)是443端口等。而當(dāng)會(huì)話主機(jī)改變了默認(rèn)端口，那么就有可能導(dǎo)致錯(cuò)誤的解析了。如把FTP流量通過(guò)443端口來(lái)傳輸，那么，在wireshark捕獲的流量中，這本來(lái)應(yīng)該是FTP流量的將會(huì)被顯示為SSL流量，這時(shí)我們?cè)撊绾畏治鲋肋@是FTP流量呢？

只要我們查看該流量，我們就可以發(fā)現(xiàn)，其中明文出現(xiàn)了賬戶名或者密碼，這時(shí)，我們就可以知道這應(yīng)該是FTP這類明文傳輸?shù)膮f(xié)議流量。

那么如何解決這個(gè)問(wèn)題呢？其實(shí)，我們可以強(qiáng)制wireshark對(duì)這個(gè)數(shù)據(jù)包使用FTP協(xié)議解析器進(jìn)行解析，這叫做強(qiáng)制解碼。

首先我們選中一個(gè)數(shù)據(jù)包，右鍵選擇Decode As，在彈出對(duì)話框中的下拉菜單選擇destination（443），并在Transport中選擇FTP，這樣wireshark就會(huì)對(duì)所有端口號(hào)為443的TCP流量使用FTP解析器進(jìn)行解碼。

在捕獲的流量中，我們也經(jīng)常會(huì)對(duì)TCP流量進(jìn)行跟蹤，而如果一個(gè)數(shù)據(jù)包一個(gè)數(shù)據(jù)包的去慢慢的查看分析的話就太麻煩了，在wireshark中提供了非常方便的TCP流跟蹤功能，只需要右鍵其中一個(gè)TCP或HTTP數(shù)據(jù)包，選擇Follow TCP Stream，就可以在彈出窗口中清晰的看到該TCP流量的走向信息，如圖：