网络流量分析——wireshark入门笔记

大家好，欢迎来到IT知识分享网。

1.什么是网络流量分析

网络流量分析（Network Traffic Analysis，NTA）提供了一种便捷的网络监控和分析的方法。

网络流量分析是一种网络安全和网络管理技术，它涉及对网络流量数据的监测、分析和解释，以获得有关网络通信的信息和情报。

网络流量分析被定义为一种跟踪网络活动以发现安全和操作问题以及其他违规行为的方法。

网络流量分析其主要目的是通过深入分析网络流量数据，探测网络中的异常行为，识别潜在的威胁，并及时采取相应的安全措施。

2.网络流量分析的工具——Wireshark介绍使用

界面介绍，主要分为四个区域

1. 显示过滤器，  用于设置过滤条件进行数据包列表过滤。菜单路径：Analyze –> Display Filters。

 2. 数据包列表， 显示捕获到的数据包，每个数据包包含编号，时间戳，源地址，目标地址，协议，长度，以及数据包信息。 不同协议的数据包使用了不同的颜色区分显示。

3. 数据包详细信息, 在数据包列表中选择指定数据包，在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的，用来查看协议中的每一个字段。各行信息分别为

（1）Frame:   物理层的数据帧概况  ，介绍数据包整体概述

（2）Ethernet II: 数据链路层以太网帧头部信息  ，主要的是双方的mac地址

（3）Internet Protocol Version 4: 网络层IP包头部信息 ，主要的是双方的端口号

（4）Transmission Control Protocol:  传输层的数据段头部信息  ，展开可以看到TCP包的具体内容

（5）Transport Layer Security:  应用层的信息，此处是SSL/TLS协议

4.数据字节区

抓包过滤器语法

抓包过滤器类型Type（host、net、port）、方向Dir（src、dst）、协议Proto（ether、ip、tcp、udp、http、icmp、ftp等）、逻辑运算符（&& 与、|| 或、！非）

抓包过滤器的语法格式可以概括为：

<Protocol name> <Direction> <Host(s)> <Value> <Logical operations> <Expressions>

• Protocol name：协议名称，如ether、ip、tcp、udp等。
• Direction：方向限定词，如src（源地址）、dst（目标地址）、src and dst、src or dst。
• Host(s)：主机或端口限定词，如host、net、port、portrange。默认为host。
• Value：具体的值，如IP地址、端口号等。
• Logical operations：逻辑运算符，如not、and、or。
• Expressions：多个表达式可以通过逻辑运算符组合起来。

举例：

• 捕获特定IP地址的数据包：
  • ip.src == 192.168.1.1：只捕获源IP地址为192.168.1.1的数据包。
  • ip.dst == 192.168.1.2：只捕获目标IP地址为192.168.1.2的数据包。
• 捕获特定端口的数据包：
  • tcp.port == 80：只捕获TCP协议且端口为80（HTTP）的数据包。
  • udp.port == 53：只捕获UDP协议且端口为53（DNS）的数据包。
• 捕获特定协议的数据包：
  • http：只捕获HTTP协议的数据包（这实际上是tcp.port == 80的简写，但更直观）。
  • dns：只捕获DNS协议的数据包（这实际上是udp.port == 53或tcp.port == 53的简写，取决于DNS查询使用的协议）。
• 组合条件：
  • ip.src == 192.168.1.1 and tcp.port == 80：只捕获源IP地址为192.168.1.1且TCP端口为80的数据包。
  • ip.dst == 192.168.1.2 or udp.port == 53：只捕获目标IP地址为192.168.1.2或UDP端口为53的数据包。
• 排除特定条件：
  • not ip.src == 192.168.1.1：排除源IP地址为192.168.1.1的数据包。
  • not tcp.port == 80：排除TCP端口为80的数据包。
• 捕获特定MAC地址的数据包：
  • ether.src == 00:11:22:33:44:55：只捕获源MAC地址为00:11:22:33:44:55的数据包。
  • ether.dst == 00:11:22:33:44:66：只捕获目标MAC地址为00:11:22:33:44:66的数据包。
• 捕获特定长度的数据包：
  • frame.len <= 64：只捕获长度小于或等于64字节的数据包。
  • frame.len > 1500：只捕获长度大于1500字节的数据包（注意，这通常是不合规的以太网帧，因为标准以太网帧的最大长度是1518字节，包括CRC）。
• 基于VLAN的过滤：
  • vlan.id == 10：只捕获VLAN ID为10的数据包。

网络流量分析的应用场景

网络安全：可以监测异常流量，及时发现入侵、攻击或恶意软件传播，阻止这些攻击威胁。

网络管理：可用于网络性能优化，分析网络流量模式，可以帮助优化网络架构和资源分配，提高网络的稳定性和性能。

网络优化：通过对网络流量的实时监测和分析，可以快速发现和定位网络故障，并及时采取修复措施。

网络流量分析的重要性

网络流量分析对于保障网络安全、优化网络性能、提高用户体验以及确保合规性等方面都具有重要意义

通过网络流量分析，自动检测网络异常、提高网络可用性、提高网络性能、确保最大程度的网络可观察性和可见性

快速定位网络异常

提高网络带宽规划效率

增强安全态势

降低人员维护成本