【数据包长度】在Wireshark的统计功能中往往是最容易被忽略的一项,也不被工程师所“待见”。其实这项统计分析很实用,很是喜欢,一直是本人用作网络故障分析的“首选项”,抓取数据包或拿到问题数据包文件后,不做任何过滤,第一看“概要信息”,第二就是进行数据包长度分析,其原因有二:
大包和小包的占比。通过图表首先查看是否有小于40字节和大于2560字节的报文存在,如果有则判定为“异常”数据包,大量的小包将会使网络开销增大,线路传输抖动振荡,造成网络不稳定,效率变低。反之大量的大包将会增加负荷,消耗带宽,造成数据传送丢包,延时,拥塞,严重时将造成网络阻断等故障。如:arp扫描,tcp重传等。
分析包分布情况。打开【数据包长度】窗口,首先查看每一档的报文数量,然后可以通过显示过滤器筛选出“怀疑”的协议类型,分析在所有报文总数中的占比情况,逐一分析比对,从数据包长度的每一档报文的分布情况,可以初步分析出是否有“异常”流量存在。如:arp病毒攻击,广播风暴,路由环路等。
如果这两点看不出什么问题,那么问题就很“奇怪”了,且需要深入分析。
【数据包长度】把所有数据包分为十档(如图),每一档都有具体的统计数值,占比等信息。从这一刻开始,重视【数据包长度】吧!
