检查延迟问题与检查时间差延迟问题Wireshark网络分析实例集锦大学霸

检查延迟问题与检查时间差延迟问题Wireshark网络分析实例集锦大学霸

 

Wireshark网络分析实例集锦大学霸

Wireshark网络分析实例集锦大学霸

 

2.3.2  检查延迟问题

默认时间列的设置类型为Seconds Since Beginning of Capture。其实,Wireshark标志的第一个数据包的捕获时间是0.000000000。对于第一个包后的每个包的时间列值,都显示的是捕获过程经过多长时间捕获到的。用户可以依次选择View|Time Display Format|Seconds Since Previous Displayed Packet命令,查看到差量时间最高的值(从一个数据包到下一个包)。设置完成后,该设置信息将被保存在正在使用的Profile中。检查延迟问题与检查时间差延迟问题Wireshark网络分析实例集锦大学霸

以上设置完成后,单击Time列两次,将从高到底对时间进行排序。如图2.46所示,该界面显示设置Time列后的个排序形式。图2.46  时间排序

从该界面可以看到http-error.pcapng文件的时间列,是从高到底排序的。

下面以http-error.pcapng捕获文件为例,通过过滤查看TCP协议的数据包,来判断时间延迟的问题。如下所示:

(1)打开http-error.pcapng捕获文件。

(2)查看TCP协议的数据包,如图2.47所示。图2.47  捕获文件的数据包

(3)从该界面可以看到TCP的三次握手过程。其中61、62、63为TCP的三次握手,这三个数据包中时间延迟最长的是62。62包为TCP的第二次握手,也是服务器发送的确认包。该捕获文件是在客户端上的,由此可以判断出这是一个路径延迟。检查延迟问题与检查时间差延迟问题Wireshark网络分析实例集锦大学霸

2.3.3  检查时间差延迟问题

在首选项中设置Protocols|TCP协议,启用Calculate conversation timestamps选项,并设置使用默认的Profile。设置完成后,现在来学习如何创建一个时间差列。添加TCP时间差列。具体操作步骤如下所示:

(1)展开TCP头部,右击Time since previous frame in the TCP stream部分,并选择Apply as Column命令,如图2.48所示。图2.48  添加列

(2)从该界面可以看到,在Packet List面板中新添加了一列。新添加的列名太长,将该名重命名。右击新添加的列名,并选择Edit Column Details命令,如图2.49所示。单击Edit Column Details命令后,将显示如图2.50所示的界面图2.49  编辑列 图2.50  重命名

(3)这里将原来的名修改为TCP Delta,如图2.50所示。然后单击OK按钮,将显示如图2.51所示的界面。图2.51  TCP Delta列

(4)从该界面可以看到列名已经被成功的修改。

现在来观察一下,Time列和TCP Delta列之间的差异。如图2.52所示,将http-error.pcapng文件中新建的TCP Delta列移动到已存在的Time列右边。将Time列从高到底排序,查看Time列和TCP Delta列之间的差异。图4.52  比较Time和TCP Delta列

从该界面可以看到,Time列进行了排序。接下来,需要对TCP Delta列进行排序。在对TCP Delta列排序之前,先找出每个TCP会话的延迟。然后,考虑下为什么有些延迟被认为是正常的。

不要专注于某些分组类型,它们延迟是正常的。如下所示:

q  .ico file requests:该包表示打开浏览器时,在浏览标签上的一个图标。

q  SYN packets:该包是用来建立TCP连接的。该包第一次捕获到后,将会让用户连接到一个Web服务器。TCP连接的第一个包前(SYN包),会有一个延迟。

q  FIN,FIN/ACK,RST,or RST/ACK packets:该包是用来终止TCP连接的。当用户单击另一个标签或最近没有访问一个网站,或浏览会话配置加载页面后自动关闭时,浏览器发送这些包。检查延迟问题与检查时间差延迟问题Wireshark网络分析实例集锦大学霸

q  GET requests:当用户点击请求下一个页面的连接时,生成该包。其他时候,一些GET requests可能由后台进程启动(如.ico文件GET请求)。

q  DNS queries:该包在一个Web浏览会话期间,在不同时间发送的,如许多个超链接在客户端上加载同一个页面时。

q  TLSv1 encrypted alerts:该包通常是在关闭连接过程前看到的(TCP重置)。即使加密,但警惕可能是一个TLS关闭请求。

此时将TCP Delta列从高到第排序,如图4.53所示。图4.53  TCP Delta排序

从该界面可以看到前六个包都是FIN/ACK包,这几个包出现延迟是正常的。而且,它们的延迟时间较长。检查延迟问题与检查时间差延迟问题Wireshark网络分析实例集锦大学霸

Comments are closed.