Wireshark一個強大的功能在于它的統(tǒng)計工具。使用Wireshark的時候，我們有各種類型的工具可供選擇，從簡單的如顯示終端節(jié)點和會話到復雜的如Flow和IO圖表。本文將介紹基本網(wǎng)絡統(tǒng)計工具。包括：捕捉文件摘要（Summary）,捕捉包的層次結構（Protocol Hirarchy）,?會話（Conversations）,?終端節(jié)點（Endpoints）, HTTP。

更多信息

Summary:

從statistics菜單，選擇Summary：

如下圖的截屏所示，你會看到：

File：

捕捉文件的一般信息，如文件名和路徑，長度，等等

Time：

第一個包和最后一個包的時間戳，以及抓包過程持續(xù)時間

Capture：

顯示文件捕捉于哪一個接口，以及評論窗口

在窗口的較低部分是Display窗口，展示抓包文件統(tǒng)計信息的摘要，包括：

捕捉報文的總數(shù)與百分比

顯示報文的數(shù)量（加上過濾條件之后）

標記報文的數(shù)量

何時使用：

這一菜單簡單收集所有抓包數(shù)據(jù)，在定義了過濾條件的時候，將呈現(xiàn)過濾后的數(shù)據(jù)。當想要知道每秒的平均報文數(shù)或是字節(jié)數(shù)時，可以使用此工具。

Protocol Hierarchy:

這一部分闡述如何確知網(wǎng)絡運行數(shù)據(jù)。從statistics菜單，選擇Protocol Hierarchy。

這個窗口現(xiàn)實的是捕捉文件包含的所有協(xié)議的樹狀分支。如下圖所示：

Protocol Hierarchy窗口有如下字段：

Protocol：

協(xié)議名稱

% Packets：

含有該協(xié)議的包數(shù)目在捕捉文件所有包所占的比例

Packets：

含有該協(xié)議的包的數(shù)目

Bytes：

含有該協(xié)議的字節(jié)數(shù)

Mbit/s：

抓包時間內的協(xié)議帶寬

End Packets：

該協(xié)議中的包的數(shù)目（作為文件中的最高協(xié)議層）

End Bytes：

該協(xié)議中的字節(jié)數(shù)（作為文件中的最高協(xié)議層）

End Mbit/s：

抓包時間內的協(xié)議帶寬（作為文件中的最高協(xié)議層）

小貼士：

包通常會包含許多協(xié)議，有很多協(xié)議會在每個包中被統(tǒng)計。End Packets，End Bytes，End Mbit/s列是該層在抓包中作為最后一層協(xié)議的統(tǒng)計數(shù)據(jù)（也就是說，協(xié)議處于報文的頂層，并且沒有更高層信息了）。例如，沒有載荷的TCP報文（例如，SYN報文），這一類沒有負載任何上層信息的報文。這就是為什么在Ethernet層，IPv4層和UDP層報文計數(shù)為0，因為沒有接收到以這些協(xié)議作為最后一層的幀。

何時使用：

值得注意的兩點是：

百分比永遠指的是相同協(xié)議層級。例如，

使用要點：

1. Percentage永遠參照的是相同協(xié)議層。例如，上例中81.03%是IPv4報文，8.85%是IPv6報文，10.12%是ARP報文。第二層之上的各協(xié)議所占百分比總和是100%。

2.?另一方面，TCP占總數(shù)據(jù)的75.70%，在TCP協(xié)議之內，只有12.74%的報文是HTTP，除此之外沒有其他統(tǒng)計。這是由于Wireshark只統(tǒng)計有HTTP頭的報文。它不統(tǒng)計如確認報文或數(shù)據(jù)報文這樣沒有HTTP頭的報文。

3.?為了使Wireshark同時統(tǒng)計數(shù)據(jù)報文，例如，TCP報文內部的HTTP報文，關閉Allow sub-dissector選項，對TCP數(shù)據(jù)流重新統(tǒng)計?？稍?strong>Preferences菜單或Packet Details面板中右鍵TCP來實現(xiàn)。

Conversations：

1.?在Statistics菜單中，選擇Coversations。

3.?可以選擇第2層以太網(wǎng)統(tǒng)計數(shù)據(jù)，第3層IP統(tǒng)計數(shù)據(jù)，或第4層TCP或UDP統(tǒng)計數(shù)據(jù)。

4.?可以選擇以下統(tǒng)計工具：

• On layer 2(Ethernet)：查找并過濾廣播風暴或
• On layer 3 or 4(TCP/IP)**：**通過互聯(lián)網(wǎng)路由器端口并行連接，查看誰在向ISP傳輸數(shù)據(jù)

小貼士：

如果你看到互聯(lián)網(wǎng)上某一IP地址通過端口80（HTTP）向外傳輸大量數(shù)據(jù)流，你就需要將該地址復制入瀏覽器并且查看你的用戶與哪一個網(wǎng)站通訊最多。

如果沒有得到結果，只需到標準DNS查詢站點（Google一下DNS lookup）查看哪一種流量占用了你的網(wǎng)線。

5.?也可以通過選擇位于窗口左下方的Limit to display filter復選框，將會話統(tǒng)計信息進行顯示過濾。這樣，僅呈現(xiàn)所有通過顯示過濾條件的統(tǒng)計數(shù)據(jù)。

6.要查看IP地址對應名稱，可以選擇Name resolution復選框。要查看IP名稱解析，進入View | Name Resolution | Enable for Network layer進行激活。

7.?對于TCP或UDP，可以在Packet list中對指定報文進行標記，之后從菜單中選擇Follow TCP Stream或Follow UDP Stream。從而定義一個顯示過濾條件，僅顯示指定數(shù)據(jù)流。

使用要點：

網(wǎng)絡會話是兩個指定終端之間的數(shù)據(jù)流。例如，IP會話是兩個IP地址之間的所有數(shù)據(jù)流，TCP會話包含了所有TCP連接。

通過Conversations列表，能看出很多網(wǎng)絡問題。

以太網(wǎng)會話統(tǒng)計

在Ethernet conversations statistics中，查找以下問題：

• 大量的廣播風暴：可以看見較輕微的廣播風暴；而對于每秒數(shù)千甚至數(shù)萬個報文的嚴重廣播風暴，Wireshark會停止顯示數(shù)據(jù)并且屏幕凍結。只有斷開Wireshark連接時才能看見。
• 如果你看到來自某一MAC地址的大量數(shù)據(jù)，查看會話第一部分的vendor ID，會給你一些導致問題的線索。即使MAC地址的第一部分標識了vendor，但它并不一定就標識了PC本身。這是由于MAC地址屬于PC上安裝的以太網(wǎng)芯片廠商，而并不一定屬于PC制造商。如果無法識別數(shù)據(jù)流來源地址，可以ping嫌疑地址并通過ARP獲取它的MAC地址，在交換機中查找該地址，如果有操作系統(tǒng)的話直接用find命令來定位。

IP會話統(tǒng)計

在IP conversations statistics中，查找以下問題：

• 查看收發(fā)大量數(shù)據(jù)流的IP地址。如果是你知道的服務器（你記得服務器的地址或地址范圍），那問題就解決了；但也有可能只是某臺設備正在掃描網(wǎng)絡，或僅是一臺產(chǎn)生過多數(shù)據(jù)的PC。
• 查看掃描模式（scan pattern）。這可能是一次正常的掃描，如SNMP軟件發(fā)送ping報文以查找網(wǎng)絡，但通常掃描都不是好事情。
• 一次典型的掃描模式如下圖所示：

HTTP:

1.?從statistics菜單，選擇HTTP，將會出現(xiàn)以下窗口：

在HTTP子菜單中，可以看到以下信息：

Packet Counter：

每一個網(wǎng)站的報文數(shù)量。幫助識別有多少響應和請求。

Requests：

各網(wǎng)站的請求分布。

Load Distribution：

各網(wǎng)站的負載分布。

按照以下操作步驟查看Packet Counter統(tǒng)計信息：

1.?進入Statistics | HTTP | Packet Counter。

2.?顯示以下過濾窗口：

按照以下操作步驟查看Load Distribution統(tǒng)計信息：

1.?進入Statistics | HTTP | Load Distribution。

2.出現(xiàn)以下窗口：