十大黑客工具之Wireshark( 四 ) _黑客

从这张图可以看到：相比于整体HTTP流量，有很多数量的重传以及重复ACK 。从这张图中，可以看到这些事件发生的时间点，以及在整体流量中所占的比例。
函数:
IO Graphs有六个可用函数：SUM, MIN, AVG, MAX, COUNT, LOAD 。
MIN( ), AVG( ), MAX( )
首先看一下帧之间的最小，平均和最大时间，这对于查看帧/报文之间的延时非常有用。我们可以将这些函数结合“frame.time_delta”过滤条件看清楚帧延时，并使得往返延时更为明显。如果抓包文件中包含不同主机之间的多个会话，而只想知道其中一个pair ，可将“frame.time_delta”结合源和目标主机条件如“ip.addr==x.x.x.x &&ip.addr==y.y.y.y” 。如下图所示：

文章插图

我们做了以下步骤：

将Y轴设置为“Advanced” ，让Caculation域可见。不做这一步就看不到计算选项。
X轴时间间隔1秒，所以每个柱状图代表1秒间隔的计算结果。
过滤出两个特定IP地址的HTTP会话，使用条件：“(ip.addr==192.168.1.4&& ip.addr==128.173.87.169) && http” 。
使用3个不同的graph ，分别计算Min(), Avg(), Max() 。
对每一个计算结果应用条件“frame.time_delta” ，将style设置成“FBar” ，显示效果最佳。

从上图可见，在第106秒时数据流的MAX frame.delta_time达到0.7秒，这是一个严重延时并且导致了报文丢失。如果想要深入研究，只需要点击图中这一点，就会跳转至相应帧。对应于本例抓包文件中第1003个报文。如果你看见帧之间平均延时相对较低但突然某一点延时很长，可点击这一帧，看看这一时间点究竟发生了什么。
Count( )
此函数计算时间间隔内事件发生的次数，在查看TCP分析标识符时很有用，例如重传。例图如下：

文章插图

Sum( )
该函数统计事件的累加值。有两种常见的用例是看在捕获TCP数据量，以及检查TCP序列号。让我们看看第一个TCP长度的例子。创建两个图，一个使用客户端IP 192.168.1.4为源，另一个使用客户端IP作为一个目的地址。每个图我们将sum()功能结合tcp.len过滤条件。拆分成两个不同的图我们就可以看到在一个单一的方向移动的数据量。

文章插图

从图表中我们可以看到，发送到客户端的数据量（IP.DST = = 192.168.1.4过滤条件）比来自客户端的数据量要高。在图中红色表示。黑条显示从客户端到服务器的数据，相对数据量很小。这是有道理的，因为客户只是请求文件和收到之后发送确认数据，而服务器发送大文件。很重要的一点是，如果你交换了图的顺序，把客户端的IP作为图1的目标地址，并且客户端IP作为图2的源地址，采用了FBAR的时候可能看不到正确的数据显示。因为图编号越低表示在前台显示，可能会覆盖较高图号。
现在让我们看一下同一个数据包丢失和延迟的TCP序列号。