|
|
51CTO旗下网站
|
|
移动端

5.1.3 使用端点和会话窗口进行问题定位

《Wireshark数据包分析实战(第2版)》第5章Wireshark高级特性,本章我们将会从这些强大的功能特性中挑选一些进行介绍,其中包括端点和会话窗口、名字解析的细节、协议解析、数据流跟踪、IO图形化等。本节为大家介绍使用端点和会话窗口进行问题定位。

作者:诸葛建伟 等译来源:人民邮电出版社|2013-03-21 13:32

【51CTO技术沙龙】10月27日,让我们共同探索AI场景化应用实现之道

5.1.3  使用端点和会话窗口进行问题定位

端点和会话窗口在网络问题定位中十分重要,特别是当你试图找到网络中大规模流量的源头,或者找到哪台服务器最活跃。

举例来说,当你打开了lotsofweb.pcap文件之后,你可以看到多个客户端浏览互联网时产生的大量HTTP流量。如果你使用端点窗口进行查看,你可以立刻对你所查看的流量得出一些结论。

查看IPv4选项卡(如图5-4所示),你可以看到以字节数排序后的第一个地址是本地的172.16.16.128地址,也就是说你网络中的这个设备是数据集中最活跃的信息源(进行了最多通信的主机)。第二个地址74.125.103.163不是本地地址,也就意味着你可以假设你有一个客户端和这个地址进行了很多交互,或者多个客户端和它进行了一些交互。一个简便的WHOIS(http://whois.arin.net/ui/)告诉你这个地址属于Google,仔细地分析了数据包之后可以发现这是YouTube的流量。

注意 IP地址的分配是根据其地址信息由多个实体进行管理的。在我们的例子中,我们使用了负责美国(及周边地区)IP地址分配的美国互联网号码注册中心(American Registry for Internet Numbers, ARIN)的数据。一般来说,如果你想对某一个IP进行WHOIS查询,你在负责这个IP组织的网站上操作即可。如果你并不知道地理信息,并且在错误的注册中心网站上进行了查询,这个网站也会告诉你正确的查询位置。类似的地址注册中心有AfriNIC(非洲)、RIPE(欧洲)和APNIC(亚太地区)。

知道了这些信息,你最活跃的通信端点一定包含了流量最大的会话么?如果你这时打开了会话窗口,并选中IPv4选项卡,你就可以使用字节数对列表排序来验证这一点。在这个例子中,你可以看到这个流量应该是连续的视频下载流量,因为从地址A(74.125.103.163)发出的数据包比从地址B(172.16.16.128)发出的要大得多(如图5-5所示)。

在此书后面的实战场景中,你还会看到如何使用端点和会话窗口。

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

系统分析师技术指南

本书对前沿而又成熟的系统分析技术和方法进行了讨论,包括CMM与过程改进、J2EE与NET平台、中间件及相关技术、应用服务器、Web 服务、数据...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊