Wireshark ist ein leistungsstarker Netzwerkprotokollanalysator, der sich bei der Analyse von TCP- und UDP -Verkehr auszeichnet. Hier erfahren Sie, wie Sie es für die TCP/UDP -Analyse verwenden:

1. Verkehr erfassen:

* Schnittstellenauswahl: Starten Sie Wireshark. Sie erhalten eine Liste von Netzwerkschnittstellen. Wählen Sie die Schnittstelle, an der der von Ihnen analysierende TCP/UDP -Verkehr fließt. Das ist entscheidend. Wenn Sie die falsche Schnittstelle auswählen, werden irrelevante Daten erfasst. Wenn Sie sich nicht sicher sind, schauen Sie sich die Schnittstellennamen und -beschreibungen an-ein Wi-Fi-Adapter wird eindeutig als solche gekennzeichnet.

* Start Capture: Klicken Sie auf die Schaltfläche "Starten", um Pakete zu erfassen. Wireshark beginnt mit der Erfassung des gesamten Datenverkehrs auf der ausgewählten Schnittstelle. Lassen Sie die Capture für eine ausreichende Zeit laufen, um sicherzustellen, dass Sie die relevanten Ereignisse erfassen.

* Filterung (optional, aber sehr empfohlen): Verwenden Sie Filter, um zu vermeiden, dass Sie sich mit irrelevanten Daten überwältigen. Sie können filtern durch:

* Protokoll: `tcp` oder` udp` zeigt nur TCP- bzw. UDP -Pakete an.

* IP -Adresse: `ip.addr ==192.168.1.100` wird nur Pakete zu oder von dieser IP -Adresse angezeigt.

* Port: `tcp.port ==80` zeigt nur TCP -Verkehr auf Port 80 (HTTP) an. `udp.port ==53` zeigt nur den UDP -Verkehr auf Port 53 (DNS) an.

* Kombination: Sie können Filter kombinieren. Beispielsweise werden `TCP und Port 80 und IP.ADDR ==192.168.1.100` nur TCP -Verkehr auf Port 80 bis oder von 192.168.1.100 angezeigt. Verwenden Sie `||` (oder), um verschiedene Filterkriterien zu kombinieren.

* Filter anzeigen: Diese Filter werden angewendet * Nach * Die Erfassung ist abgeschlossen und beeinflusst das, was angezeigt wird. Sie werden im Feld "Anzeigefilter" oben im Wireshark -Fenster angewendet.

* Erfassungsfilter: Diese Filter werden angewendet * Bevor * die Erfassung sogar beginnt und Wireshark mitteilt, dass sie nur Pakete erfassen sollen, die den Filterkriterien entsprechen. Sie sind im Dialog "Capture Filter" eingestellt.

2. Analyse erfasster Verkehr:

Sobald Sie den entsprechenden Verkehr erfasst haben, präsentiert Wireshark die Pakete in einer Liste. Jede Zeile repräsentiert ein einzelnes Paket. Zu den Schlüsselspalten gehören:

* no.: Paketnummer.

* Zeit: Zeitstempel der Paketankunft.

* Quelle: Quell -IP -Adresse und Port.

* Ziel: Ziel -IP -Adresse und Port.

* Protokoll: Protokoll verwendet (TCP, UDP usw.).

* Länge: Paketlänge.

spezifische TCP -Analyse:

* TCP -Stream: Klicken Sie mit der rechten Maustaste auf ein TCP -Paket und wählen Sie "folgen" -> "TCP Stream". Dies zeigt Ihnen die gesamte Konversation zwischen Quelle und Ziel und rekonstruiert häufig die Daten auf Anwendungsebene (z. B. HTTP-Anforderungen und Antworten).

* TCP -Segmentflags: Untersuchen Sie die TCP -Flags (Syn, ACK, Fin, RST, PSH usw.) in den Paketdetails. Diese Flaggen sind entscheidend, um den Zustand der TCP -Verbindung zu verstehen.

* Sequenz- und Bestätigungsnummern: Analysieren Sie die Sequenz- und Anerkennungsnummern, um den Datenfluss zu verstehen und potenzielle Übermittlungen zu identifizieren (aufgrund des Paketverlusts).

* Fenstergröße: Beobachten Sie die Fenstergröße, um potenzielle Überlastungskontrollprobleme zu diagnostizieren.

Spezifische UDP -Analyse:

* UDP -Stream folgen: Klicken Sie mit der rechten Maustaste auf ein UDP -Paket und wählen Sie "folgen" -> "UDP -Stream". Im Gegensatz zu TCP garantiert UDP keine Lieferung oder Bestellung. Der Stream zeigt einfach die Rohdaten an, die in jedem UDP -Paket gesendet werden.

* Nutzlastprüfung: Untersuchen Sie die Nutzlast des UDP-Pakets, um die Daten auf Anwendungsebene zu verstehen (z. B. DNS-Abfragen und Antworten). Sie müssen häufig das Anwendungsprotokoll (DNS, DHCP usw.) kennen, um die Nutzlast korrekt zu interpretieren. Wiresharks Protokollabzweile helfen dabei.

3. Verwenden von Wiresharks Funktionen:

* Protokollhierarchie: Der Bereich für Paketdetails zeigt eine hierarchische Aufschlüsselung der Struktur des Pakets, mit der Sie jede Ebene untersuchen können (Ethernet, IP, TCP/UDP, Anwendung).

* Farbcodierung: Wireshark verwendet Farbcodierung, um verschiedene Aspekte des Netzwerkverkehrs wie TCP-Wiederholungen hervorzuheben.

* Experteninformationen: Suchen Sie nach Warnungen und Fehlern, die im Abschnitt "Experteninformationen" gekennzeichnet sind. Dies kann potenzielle Probleme wie fallengelassene Pakete oder Verbindungsprobleme hervorheben.

* Statistik: Wireshark bietet verschiedene Statistiken, die Zusammenfassungen des erfassten Verkehrs ermöglichen.

Beispielszenarien:

* Fehlerbehebung bei einer Website -Verbindung: Erfassen Sie den Datenverkehr, während Sie versuchen, auf eine Website zuzugreifen, nach `TCP und Port 80` oder` TCP und Port 443` zu filtern und die HTTP -Anfragen und Antworten im TCP -Stream zu untersuchen, um Probleme zu identifizieren.

* DNS -Abfragen analysieren: Erfassen Sie den Datenverkehr, Filter durch "UDP und Port 53" und prüfen Sie die DNS -Abfragen und Antworten, um festzustellen, welche DNS -Server kontaktiert werden und welche Aufzeichnungen angefordert werden.

* Untersuchung von Netzwerkstaus: Erfassen Sie den Datenverkehr und analysieren Sie die TCP -Fenstergrößen und -Rendungen, um mögliche Überlastungspunkte zu identifizieren.

Wireshark nutzen Sie die Filterung, die Befolgung von Streams und die Untersuchung von Paketdetails und ermöglichen Sie, TCP- und UDP -Datenverkehr tief zu analysieren und Netzwerkprobleme zu diagnostizieren und das Netzwerkverhalten zu verstehen. Denken Sie daran, die umfangreiche Dokumentation von Wireshark für fortschrittlichere Techniken zu konsultieren.