利用包分析技术解决网络故障

合集下载

利用抓包工具分析与解决因ARP广播风暴导致的网络故障

状况，其流量也很正常。流量没什么异常，为何网络不通，而且是大部分单位的业务都不正常呢？看来这次故障和以往那些病毒主机大量发包占用网络带宽的情况不同。由于所有单位的网关都做在核心交换机￥０６上面，于是笔者８１开始怀疑是不是￥１６出了什么问题。当即登录上去，查８０看其系统Ｅ志、告警信息以及配置信息等，均未发现什么１
ＲＰ％… ＡＲ
姐
躺
☆ｅｅ
０
图２ＡＰ请求及响应情况Ｚ
从图１软件的统计结果中我们可以看出，在４１秒
的时间里，共捕获数据包６８４１６８个，其中广播包就有２９７４５０个。而根据图２的ＩＰ协议分析结果，我们不难
［ＱＵｉｄｗａＹ—ａｌｉｃ —ｌｎｋ－４０】ｕｌ１００ＦｅｄｅｌｎＹｎｇｒｓｅｓ
０蝴蛳２８瓣赫鲫鞫瓣鳓肼鼢瓣栅瓣辫辩 —０００ｇｒｓｎｙ０：辨㈣鼬：ｌ２ｌ：７：Ｃ３４：Ｅ００００—００Ｏｅｅｓａ００
【ｕｄｙｐｃｅ－ｉｅｉｋｇｏｐ４０ｕｅ０Ｑｉｗａ］ａｋｔｆｔｒｌ — ｒｕ００ｒｌｌｎ［ｕｄｙｐｃｅ— ￣ｅｉｋｇｏｐ４０ｕｅ１Ｑｉｗａ］ａｋｔｆｔｒｌ — ｒｕ００ｒｌｎ
异常。既然通过流量监控等手段无法查明故障原因，看来
只有改变策略，配置端口镜像抓包，通过对数据包进行详细分析进而找出问题所在。而￥０６处于网络接入的核８１心层，其接入端口众多，流量也很大，如果对所有端口同

如何进行网络数据包分析和抓包

如何进行网络数据包分析和抓包网络数据包分析和抓包是网络安全和网络调试中非常重要的技能。

通过对网络数据包的深入分析和抓取，我们可以了解网络通信的细节，识别出潜在的安全威胁，解决网络故障，提高网络性能。

本文将介绍如何进行网络数据包分析和抓包的基本知识、常用工具和实际操作过程。

一、网络数据包分析的基本知识1. 什么是网络数据包网络数据包是在计算机网络中传输的基本单位。

它包含了源地址、目标地址、协议类型、数据内容等信息。

通过分析数据包的头部和负载部分，我们可以了解网络通信的详细过程。

2. 数据包分析的目的数据包分析的目的是为了了解网络通信中存在的问题，如安全漏洞、传输错误、性能瓶颈等。

通过分析数据包，我们可以检测恶意攻击、监测网络流量、优化网络性能，并提供证据用于网络调查等。

二、常用的网络数据包分析工具1. WiresharkWireshark是一款功能强大的开源网络分析工具，支持多种操作系统平台。

它可以捕获和分析网络数据包，并提供详细的统计信息、过滤器和可视化功能，帮助我们深入了解数据包的结构和内容。

2. tcpdumptcpdump是一款命令行网络抓包工具，适用于Unix/Linux操作系统。

它可以捕获网络接口上的数据包，并以文本形式输出。

tcpdump可以通过设置过滤规则过滤数据包，提供更灵活的抓包方式。

三、进行网络数据包分析和抓包的步骤以下是进行网络数据包分析和抓包的一般步骤，具体操作可根据实际情况调整。

1. 准备必要的工具和环境首先，确保已安装合适的网络数据包分析工具，如Wireshark或tcpdump。

同时，保证工作环境的网络连接正常，并具备足够的权限进行抓包和分析操作。

2. 选择抓包的目标根据需要，确定抓包的目标。

可以是整个网络流量，也可以是特定的IP地址、端口或协议。

这有助于提高分析效果，节约存储空间。

3. 开始抓包使用选择的工具开始抓包。

可以设置过滤器，只抓取感兴趣的数据包。

抓包期间，可以进行其他相关操作，如执行特定应用程序、浏览网页等，以增加抓取的数据多样性。

网络运维中的监控和故障排除技术

网络运维中的监控和故障排除技术随着互联网的快速发展，网络运维变得越来越重要。

在企业和组织中，网络故障可能会导致生产力下降、服务中断和潜在的安全风险。

为了确保网络的稳定运行，监控和故障排除技术成为网络运维工程师的必备技能。

本文将详细介绍网络运维中的监控和故障排除技术的步骤和方法。

一、网络监控技术1. 定义监控指标：网络运维人员应根据实际需求和企业目标，定义适合的监控指标，如带宽利用率、网络延迟、丢包率等。

将指标具体化，并制定相应的阈值。

2. 选择监控工具: 有很多网络监控工具可供选择，如Zabbix、Nagios等。

根据需求选择合适的工具并进行安装和配置。

3. 配置监控设备: 将监控设备与网络连接，并对设备进行配置和管理，确保监控系统能够获取到准确的数据。

4. 设定警报机制: 当监控指标超过预设的阈值时，监控系统应能够及时发出警报，以便运维人员可以在故障发生前得到相应的通知。

5. 监控数据分析: 运维人员应定期分析监控数据，以获得对网络性能和运行状况的深入了解。

例如，对于频繁发生故障的设备，需要进一步排查原因并采取相应的措施。

6. 网络容量规划: 运维人员应根据监控数据分析结果，进行网络容量规划。

根据当前及未来的需求，适时扩展网络设备以保证网络的正常运行。

二、故障排除技术1. 收集故障信息: 当网络故障发生时，及时收集相关信息是故障排除的第一步。

运维人员应尽快了解故障的具体表现、发生时间和受影响的用户或服务。

2. 查看监控数据: 运维人员应查看监控系统中的相关数据，以了解故障的范围和可能的原因。

例如，查看带宽利用率是否超过阈值、是否有网络丢包等异常情况。

3. 逐层排查: 从物理层开始逐层排查可能的问题。

首先检查网络设备的连接状态和配置，确保设备工作正常。

然后检查路由器和交换机的配置和路由表，确认网络路径是否正确。

4. 使用网络分析工具: 使用网络分析工具如Wireshark或tcpdump等，捕获网络数据包以追踪故障。

网络工程师如何利用网络分析工具进行故障排查

网络工程师如何利用网络分析工具进行故障排查在当今数字化时代，网络工程师扮演着至关重要的角色，他们负责建立、维护和优化企业的网络基础设施。

然而，由于网络规模和复杂性的增加，网络故障排查成为网络工程师日常工作中不可或缺的一部分。

为了更高效地解决网络故障，网络工程师可以利用网络分析工具进行故障排查。

本文将介绍网络工程师如何利用网络分析工具来识别和解决网络故障。

1. 网络分析工具的基本原理网络分析工具是一种用于监测、分析和诊断网络流量的软件应用程序。

它们可以捕获和分析网络数据包，提供关于网络性能、流量模式和故障原因的详细信息。

网络分析工具通常基于抓包技术，可以监听网络上的数据流，记录数据包的源、目的地、协议和其他相关信息。

2. 故障排查的基本步骤在利用网络分析工具进行故障排查之前，网络工程师需要了解一些基本的排查步骤。

以下是一般的故障排查步骤：2.1 收集信息：在排查网络故障之前，网络工程师需要收集相关的信息，包括故障现象、故障发生时间、受影响的用户和设备等。

这些信息有助于缩小排查范围并确定可能的原因。

2.2 确认故障范围：网络工程师需要确定故障是否局限于特定用户、设备或网络区域。

这有助于缩小排查范围并提高排查效率。

2.3 分析网络流量：利用网络分析工具，网络工程师可以捕获和分析网络流量。

通过观察流量模式、检查错误报文和分析协议行为，他们可以识别潜在的故障原因。

2.4 确认故障原因：通过分析网络流量和其他相关信息，网络工程师可以确定故障的根本原因。

这可能涉及到硬件故障、配置问题、网络拥塞等。

2.5 解决故障：一旦确定了故障原因，网络工程师可以采取相应的措施来解决故障。

这可能包括更改配置、修复硬件或优化网络设置等。

3. 常用的网络分析工具网络分析工具有很多种类，每种工具都有其特定的功能和用途。

以下是一些常用的网络分析工具：3.1 Wireshark：Wireshark是一款开源的网络分析工具，可以捕获和分析网络数据包。

电信行业中的网络故障排查方法通用版

电信行业中的网络故障排查方法通用版一、背景介绍随着互联网的快速发展，电信行业已成为现代社会中不可或缺的组成部分。

然而，网络故障是电信运营商和用户面临的常见问题之一。

为了保证网络运行的稳定性和服务质量，电信行业需要掌握一套通用的网络故障排查方法。

本文将介绍一些常见的故障排查方法，以帮助电信行业解决网络故障问题。

二、网络故障排查方法1. 规划网络架构在搭建网络前，需要合理规划网络架构。

通过合理规划，可以降低网络故障的发生概率。

建议以下几点需注意：- 合理划分子网，并设置合适的子网掩码；- 路由器、交换机等网络设备的选择要符合实际需求；- 合理划分网络层次结构，避免网络拓扑结构过于复杂；2. 常规故障排查当发生网络故障时，首先应进行常规故障排查。

以下是一些常见的故障排查方法：- 检查网络设备是否通电、工作状态是否正常；- 检查设备接口是否松动、线缆是否损坏；- 检查网络连通性，使用ping命令检测网络连通性；- 检查设备配置，确保设备配置正确，配置文件未出现错误；3. 使用网络监控工具网络监控工具可帮助电信运营商实时监测网络状态，及时发现故障。

以下是一些常见的网络监控工具：- ICMP监控：通过发送ICMP报文，监测网络设备是否可达；- SNMP监控：通过SNMP协议可以监控网络设备的工作状态和性能指标；- Syslog监控：通过收集设备日志信息，帮助分析网络故障原因；4. 网络抓包分析网络抓包是一种网络故障排查和分析的重要手段。

通过抓包工具，可以捕获网络数据包，并对数据包进行分析。

以下是一些常用的网络抓包分析工具：- Wireshark：开源抓包分析工具，可以捕获、分析网络数据包；- Tcpdump：命令行抓包工具，常用于Linux系统；- Fiddler：Windows平台的抓包工具，可分析HTTP和HTTPS协议的数据包；5. 利用日志分析故障原因通过分析网络设备及应用程序的日志，可以定位故障原因。

网络测试工具使用中常见问题五十四：利用工具进行网络故障模拟与测试(二)

网络测试工具使用中常见问题五十四：利用工具进行网络故障模拟与测试在网络系统中，经常会出现各种网络故障，比如网络延迟、丢包以及带宽限制等问题。

为了更好地解决这些问题，网络测试工具成为维护网络性能的必备利器。

本文将探讨通过网络测试工具进行网络故障模拟与测试时可能遇到的一些常见问题及解决方法。

一、使用ping命令检测网络连通性网络测试工具中最常用的命令之一是ping命令。

通过发送ICMP 数据包到目标主机，并等待其响应，我们可以判断网络的连通性以及延迟情况。

然而，在实际使用中，我们可能遇到以下问题：1. 无法ping通目标主机如果无法ping通目标主机，在确定目标主机没有关闭ping功能的情况下，首先应检查防火墙设置。

防火墙可能会阻止ICMP数据包的传输，因此需要相应地调整防火墙规则。

2. 延迟较高如果ping命令返回的延迟较高，可能是由于网络拥堵或目标主机负载过大造成的。

这时，可以通过使用traceroute命令来查找网络中的瓶颈，以便更好地优化网络设置和拓扑结构。

二、使用iperf工具测试带宽在网络传输中，带宽是一个关键指标。

iperf是一款常用的网络测试工具，可以提供可靠的带宽测量结果。

然而，使用iperf进行测试时，我们可能面临以下问题：1. 测试结果不准确如果iperf测试结果与实际带宽不符，首先需要确认是否在测试时存在其他网络流量。

同时，还应检查网络设备的配置是否正确，以及链路是否存在异常情况，比如带宽限制、网络拥堵等。

2. TCP长连接测试速度较慢在进行TCP长连接测试时，有时速度会较慢，这可能是由于网络拥堵或链路质量不佳造成的。

可以尝试使用UDP模式进行测试，或者调整iperf的参数，如窗口大小和缓冲区大小等，以提升测试速度。

三、使用WireShark分析网络数据包WireShark是一款功能强大的网络数据包分析工具，可以帮助我们深入了解网络通信过程中的细节。

然而，在使用WireShark进行网络故障模拟与测试时，也可能遇到以下问题：1. 过多的数据包在网络流量较大的情况下，WireShark可能会捕捉到大量的数据包，导致分析过程变得困难。

PING大包丢包网络故障分析案例解决方案

PING大包丢包网络故障分析案例解决方案网络故障是在使用网络过程中经常会出现的问题，其中大包丢包是一种常见的网络故障。

大包丢包指的是在网络传输过程中，发生了传输较大包的数据丢失的情况。

接下来我将进行一个关于大包丢包的网络故障分析案例，并提供相应的解决方案。

案例分析：公司A部门反馈在办公网络中使用视频会议时，经常出现画面卡顿和断流的问题。

在进行网络故障排查的过程中，发现了存在大包丢包的情况。

问题分析：大包丢包会导致网络传输不稳定，影响视频会议等带宽需求较高的应用。

造成大包丢包的原因主要有以下几点：1.网络拥塞：当网络带宽使用过高时，可能会造成网络拥塞，从而引发大包丢包问题。

2.路由器配置错误：路由器可能会存在配置错误，导致无法正确转发大包数据，从而引发大包丢包问题。

3.网络设备故障：路由器、交换机等网络设备可能存在故障，导致无法有效处理网络数据，从而引发大包丢包问题。

解决方案：针对以上问题，可以采取以下解决方案：1.网络监控与优化：通过网络监控工具对网络流量进行实时监控，及时发现网络拥塞问题。

在网络拥塞时，可以考虑对网络带宽进行扩容，以保证网络的稳定性。

2.检查路由器配置：对路由器进行检查，确保其配置正确。

可以参考厂商提供的配置文档，根据网络需求合理设置路由器参数。

同时，也可以考虑升级路由器固件，以确保设备的正常工作。

3.检查网络设备故障：定期对网络设备进行巡检，发现故障及时进行修复或更换。

例如，使用专业的网络测试工具对路由器、交换机等设备进行故障检测，确保其正常运行。

4.优化网络拓扑：对网络拓扑结构进行优化，确保网络中的数据传输路径短且流畅。

通过优化网络拓扑，可以减少数据传输的时延，从而降低大包丢包的发生概率。

5.加强网络安全：网络安全问题也可能导致大包丢包问题。

加强网络安全措施，防范网络攻击与入侵。

例如，使用防火墙、入侵检测系统等安全设备，对网络数据进行过滤和监测。

总结：大包丢包是一种常见的网络故障，可能会对网络传输稳定性产生严重影响。

教你怎样利用包分析软件排查网络故障

教你怎样利用包分析软件排查网络故障作为IP网络的系统管理员，经常会遇到一些网络连接方面的故障，在排查这些接故障时，除了凭借经验外，使用包分析软件往往会起到事半功倍的效果。

常用的包分析软件非常多，常见的如tcpdump，sniffer，windump，ettercap等。

我们今天就介绍通过包分析软件tcpdump排查网络故障的几个例子，关于tcpdump软件的介绍，安装，基本用法的资料非常多，读者可以查阅，这里不介绍了。

例1：arp故障故障现象：局域网中的一台采用solaris操作系统的服务器A-SERVER网络连接不正常，从任意主机上都无法ping通该服务器。

排查：首先检查系统，系统本身工作正常，无特殊进程运行，cpu，内存利用率正常，无挂接任何形式的防火墙，网线正常。

此时我们借助tcpdump来进行故障定位，首先我们将从B-CLIENT主机上执行ping命令，发送icmp数据包给A-SERVER，如下：[root@redhat log]# ping A-SERVERPING A-SERVER from B-CLIENT : 56(84) bytes of data.此时在A-SERVER启动tcpdump，对来自主机B-CLIENT的数据包进行捕获。

A-SERVER# tcpdump host B-CLIENTtcpdump: listening on hme016:32:32.611251 arp who-has A-SERVER tell B-CLIENT16:32:33.611425 arp who-has A-SERVER tell B-CLIENT16:32:34.611623 arp who-has A-SERVER tell B-CLIENT我们看到，没有收到预料中的ICMP报文，反而捕获到了B-CLIENT发送的arp广播包，由于主机B-CLIENT无法利用arp得到服务器A-SERVER的地址，因此反复询问A-SERVER的MAC地址，由此看来，高层的出问题的可能性不大，很可能在链路层有些问题，先来查查主机A-SERVER的arp 表：A-SERVER# arp -aNet to Media TableDevice IP Address Mask Flags Phys Addr------ -------------------- --------------- ----- ---------------hme0 netgate 255.255.255.255 00:90:6d:f2:24:00hme0 A-SERVER 255.255.255.255 S 00:03:ba:08:b2:83hme0 240.0.0.0 SM 01:00:5e:00:00:00请注意A-SERVER的Flags位置，我们看到了只有S标志。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

前置知识：网络协议关键词：包嗅探器、协议、网络故障利用包分析技术解决网络故障文/ Chris Sanders 译/hackicer电脑网络在任何时间都可能出现问题，从简单的流氓软件到复杂的路由配置错误等不一而足，但我们总不能及时的解决每一个问题。

我们所能做的最好的办法就是认真掌握相关的知识，并利用一些工具来分析这些问题。

所有网络问题的根源在于数据包级上，那些看起来很好的应用程序可能会执行一些恶意代码，而那些看起来值得信任的协议也可能被证明是恶意的。

想更好的理解并解决这些网络问题，我们应该在数据包级上进行分析，因为它不会对我们隐藏任何东西，还不会误导我们。

这里没有任何秘密，分析得越深入，就越容易解决我们面临的网络问题。

这就是包级的世界。

而本文将会向大家展示如何快速有效地利用包分析技术解决网络问题。

包嗅探器是如何工作的简单的说，包嗅探器就是用来捕获和分析网络上传输的数据包的，这些数据包是建立网络通信的基础。

包嗅探过程包括三个基本步骤：收集，转换，分析。

首先是把电脑网卡的工作模式转换到混杂模式下，在这种模式下，NIC可以监听特殊网络段的所有网络通信数据包。

嗅探器利用这个功能捕捉通过网络硬件的原始二进制数据。

一旦数据捕捉完，嗅探器便开始把那些原始的二进制数据转换成可读的形式。

当这些做完后，我们就可以开始分析所捕获的数据包了。

嗅探器根据每个协议所特有的功能对它们进行区分，然后以容易分析的形式展示给使用者。

在网上有许多企业级的和免费的嗅探器可以下载，其中有的非常流行，像Omnipeek、TCPDump和Wireshark。

想用哪个就看自己的喜好了，我个人比较喜欢用Wireshark，主要是由于它的易用性，因此，本文中我会利用它来分析解决问题。

用Wireshark捕捉数据包Wireshark可以在下载，其安装非常简单，这里就不赘述了，但在安装之前，记得要先安装压缩包里提供的WinPcap驱动。

当一切准备好后，就可以开始捕获数据了。

单击“List available capture interfaces”按钮，会打开一个窗口，把所有可以利用的网关展现在你面前，然后单击“capture”就可以开始捕捉数据包了。

几分钟后，当你捕获到足够多的数据时，就可以单击“stop”停止捕获数据了，如图1所示。

图1之后返回到主界面，就会看到很多新数据，这样就成功地完成了一次捕获数据的工作。

之后就应该开始分析这些捕获到的数据了。

既然我们已经知道如何利用Wireless捕获数据包了，那么也应该试着学习捕获准确的通信量。

假设我们在以太网中，那么刚才所捕获的所有数据就是你自己的，而这就是一个交换网络的基本功能。

交换网络仅仅把数据发送到它所指定的端口上。

这就产生了一个问题，你如何嗅探那些通过没有安装包嗅探器的电脑上的数据。

在这种情况下，有几个办法可以解决问题。

两个常用的方法是端口映射和ARP缓存污染。

端口映射可能是捕捉数据最容易的一种方法了，可以在大多数交换网络上使用。

我们可以通过命令行或者图形界面的方式进行端口映射的配置。

比如为了捕捉交换机上从端口3发出的数据，可以把嗅探器捕捉数据的端口设在6，然后通过命令的方式把端口3映射到端口6上，如图2所示。

图2另一种方法则比较先进，就是ARP缓存污染。

这需要第三方工具，并且要深入理解ARP 协议，这有点超出本文的范畴了，我们不再继续下去，但大家可以从/?p=113看到相关例子和细节说明。

停止Wireshark既然我们己经知道如何配置嗅探器并捕捉数据了，那我们就直接跳过这些步骤，进而学习如何利用Wireshark分析数据包。

Wireshark主要由三个部分组成，一是包列举块，一个是包细节块，一个是数据块。

包列举块在窗口的最上方，可以把捕捉到的所有数据包都列举出来。

这部分被分解成了各个列，包括包号、捕获时间、源和目的包、数据包协议，以及关于这些协议的细节部分。

包细节块在包列举块的下方，以树形方式把捕捉到的所有数据包的详细信息展现在我们面前。

这部分可以被展开或收缩以利于查看。

最后一块是包数据块，在窗口的最底部。

如果我们选择了一个单一的数据包，这部分就会把数据包的原始信息展示给我们。

这和包细节块部分的数据相同，但是相比而言却更容易让人理解。

理解这些部分之间是如何联系的非常重要，如图3所示。

每一个数据包都以特定的颜色显示，比如所有的DNS通信数据都以蓝色显示，而HTTP 通信数据则以绿色显示。

这些颜色反映出了传输数据包时所使用的通信协议。

这些特定的颜色可以让我们快速区分出各个不同的数据包，这样就不用单独的去看与这些数据包所对应的通信协议区域了。

图3在我们可以确定是通信问题之前，必须知道什么是正常的通信数据。

下面我们快速的在包级上分析一些ARP数据包，以加深一下理解。

什么是ARP协议呢？一台电脑在广播域中广播自己的IP地址和MAC地址给在这个域中的所有客户机，如果有一台电脑的IP地址与它所广播的一样，这台电脑就会把自己的IP 地址和MAC地址发送给那台电脑，二者就可以建立连接，开始传输数据。

基本来说，就像这样，电脑A说大家好，我的IP地址是XX.XX.XX.XX，我的MAC地址是XX.XX.XX.XX.XX.XX，我需要给IP地址为XX.XX.XX.XX发送数据，但是我不知道它的MAC地址。

谁的IP地址是这个可以个给我回复吗？大多数收到这个广播的电脑都会忽略掉，但是，那个和所广播的IP 地址相同的电脑则会把自己的MAC地址发送给A。

通过这些信息，它们就可以开始交换数据。

包级上的ARP理解了ARP的基本概念后，我们就可以分析这些数据包，查看它们究竟是如何工作的。

这里我们会一步一步来分析APR过程，从开始到结束。

我们可以从/resource下载要分析的arp.pcap数据包，并假设A想和B连接，如图4所示。

图4第二个数据包是从192.168.0.1应答回来的，这个工具第一步接收ARP请求，然后生成一个应答给192.168.0.114，这个应答包含192.168.0.114所需进行通信的信息。

在这个数据包里有发送者的MAC地址，我们可以通过作业码域很快地辨认出这是个ARP应答。

一旦192.168.0.14接收到这个ARP应答，它就会把192.168.0.1的MAC地址存放到自己的ARP 缓存表中以备将来使用。

通过这些新的信息，ARP可以成功的在第二层和第三层被翻译出来并转到物理层进行通信。

解决真正的网络问题现在是时候深入分析网络通信了，我们来看看真正的网络问题，然后分析如何在包级上解决问题。

在这部分中，我们假设某个公司利用一台FTP服务器来保持软件的运行。

最近，管理这台服务器的技术人员收到公司程序员发送来的几个报告，说他们在夜里下载或上传东西的时候，服务器变得非常慢。

这台FTP服务器运行了一个非常简单的FTP应用程序，所以我们不能从它的日志中得到任何有价值的信息。

这时就是我们利用包嗅探器大展身手的时候了。

我们可以通过端口映射技术来捕捉适当的数据包。

在本文中，我们可以从/resource下载要分析的ftp.pcap数据包。

当我们打开这个捕获的数据文件时，可以看到大量的内容。

请注意包列举窗口的时间列，这里展示了在不到一秒的时间里捕捉到的头两百个数据包。

单纯地看这些数据包，我们无法知道数据通过网线的传输速率，但我们可以通过另一种方式实现。

在窗口的下拉菜单中选择“Statistics->Summary”，就会显示出一个摘要窗口，向我们展示整个捕捉的全部过程。

注意看最后一段数据，会发现平均Mbit/sec是233。

这算不上很多数据，但这些数据却很重要。

回头看看数据包列窗口，那里有很多数据，大概20000个数据包左右。

当看到这么多的数据包时，我们就会产生一个想法，怎样缩小我们分析的数据包量。

一个好的方法是查看会话窗口。

网络上的会话，就像两个人之间的交谈，描述的是两台主机之间的通信。

我们可以访问这些会话，通过选择窗口上方的“Statistics->Conversations”就可以了，这样就会把所有捕捉到的会话的基本信息显示出来，如图5所示。

图5在这里，只有一个会话被显现出来。

这就说明了这大约20000个传送到FTP服务器上的数据包是来自同一台主机的。

如果不能通过会话窗口减小我们的搜寻范围时，我们还可以利用过滤功能来完成这个工作。

我们知道这是一台FTP服务器，通过观察包列举窗口可以看到TCP和FTP通信量。

一个好的策略就是把FTP通信数据隔离出来以便于观察。

我们可以通过一个display filter来完成，如图6所示。

图6一个display filter就是一个过滤器，告诉Wireshark仅仅显示那些匹配相应标准的数据包。

我们可以自己添加一个需要的标准，比如FTP，这样就会只显示FTP通信量了。

在包细节窗口，可以看到每一个FTP数据包都是做什么用的。

我们先选择一个数据包，然后展开包细节窗口的FTP部分，会看到有台服务器（10.121.70.151）试图登录客户机（10.234.125.254），但却没有登录成功，如图7所示。

图7我们继续进行下去，仔细分析每一个FTP数据包，会发现一个趋势。

这些捕获的数据都显示了有一台远程计算机试图登录FTP服务器，但都没有成功。

由于数据是没有加密的，我们同样可以看到那些尝试登录的FTP密码。

看看包11、17、21和47，会发现那个远程客户端试图以merlin、merury、mets、mgr这些密码登录。

不仅如此，再看看那个时间列，会发现这些登录事件是在不到十秒的时间内发生的。

我们再进一步确认，使用更先进的display filter展示所有的试图登录这台服务器的尝试密码。

利用display filter的“mand==PASS”，就会找到所有试图登录这台服务器的密码，如图8所示。

图8仔细观察这些密码，会发现它们都是按照字母顺序排列的，所以我们可以断定，这个攻击者试图利用暴力攻击穷举密码的方法登录进FTP服务器。

由此，我们就利用Wireshark 成功地找到了使FTP服务器速度在访问高峰时变慢的原因，而且还确定了一个潜在入侵者的身份。

结论仅凭肉眼观察网络故障，不如捕捉几个数据包进行分析来得快，但前提是你必须对这些通过网络传递的数据包有充分的理解。

本文所要告诉大家的是，如何利用包嗅探器来捕捉数据包，并高效的分析这些数据包以解决实际问题。

如果大家对这方面很感兴趣，可以登录、和网站，其上的一些资源，可以方便大家进行更深入的探讨研究。