wireshark中级使用抓包学习

文章下面来自：Wireshark数据包分析实战

1. 过滤多余的广播nbns以及广播包

当局域网抓包时候回产生大量NBNS的包 和其他的一些广播包等影响我们分析，通常可以通过设置网卡不为混杂模式，可是还是会有NBNS的包。而显示过滤的时候是好用的，但是应用到抓包过滤就不好用了，通常我们可以通过，过滤广播包的方法来过滤

not broadcast and not multicast

2. 定位高延时问题的方法

设置相对时间显示，就是可以以一个数据的时间为基准，接下来的数据相对这个数据包的时间作为显示基准，这种方式常用于，对网络延时的响应判断是判断服务器还是客户端还是线路的延迟来，解决网络速度问题。

设置的关键点在于：三次握手的SYC包作为起点。

3  统计网络中的协议分布律

statistics --protocol hierarchy statistics

4
. 通过分析包长，决定nagle算法 是否需要关闭的指标

数据包长过滤，可以通过数据包的长度进行选择数据包

statistics -- packet lengths 

这里可以得到两个信息：

以太网frame的长度和比例分配，可以通过过滤frame.len详细看出

位于64-1514之间，而mtu指的是ip最大的size。

5. 端对端的连接情况

最后一个是数据包 端对端的连接查看，也就是查看本机IP共和哪些IP进行连接了，而且连接的包的数量、长度、等等，这个特别实用能让你在眼花缭乱的数据包中，找到你想要的IP通信，或者一些列的IP通信。可以进行选择特定的IP进行过滤，进行流分析

statistics -- conversations