和会话分析类似,会话分析告诉我们,网络中谁与谁之间的表现最活跃,占用的流量最大。终端分析,能够告诉我们,每个终端的不同表现和数据。终端可以是一个MAC地址,也可以是一个IP地址,还可以是一个IP地址+端口(TCP或UDP应用)。本节将介绍如何使用终端分析,以及使用终端分析常见的技巧。
如何使用终端分析
终端即网络会话中的一侧。要打开终端分析,点击菜单统计——终端。即可打开终端分析窗口。
每台主机都可以借助网络接口卡(NIC)中的物理地址(常常称为MAC地址)进行通信,设备会使用这个地址在一个本地网络中实现通信。
比如说,在我们观察到一个网络中的流量异常繁忙时,就会发现这个流量与网络中日常传输的流量模式不同。接下来,我们就希望能够找出到底是哪台设备创建流量的模式与过去不一样。对于网络管理员来说,这时就应该使用终端分析,在打开终端分析窗口之前,可以从数据包列表面板中随便点击一个TCP数据包。此时,用户会在顶部看到很多标签,每个标签分别显示一种不同的协议。其中有些协议是激活的,有些则是非激活的。当流量中包含了与某种协议有关的数据包时,这个标签中显示的协议就是激活的;否则,这个协议就是非激活的。
首次打开终端分析界面,默认显示二层网络的终端分析信息。在窗口中,用户可以看到很多关于各个端点的详细信息,比如传输的数据包总数、传输的总字节数,以及一个端点接收和传输的字节总数与数据包总数。
如果想要分析网络三次信息,只需点IPv4标签。就可以轻而易举的查看到网络中IP地址信息,通过排序,就能找到数据量最大的终端地址。
终端分析技巧
在终端分析窗口,显示了大量的标签和密密麻麻的数据排列,可能有让人摸不着头脑。下面介绍部分终端分析的技巧,用来识别和分析常见的网络故障。
Ethernet端点(MAC地址)少,IP端点(IP地址)多:对于这种现象,可能的原因是有一台路由器来负责转发所有进、出本地LAN(IP子网)的IP流量。也就是说,对于源或目的IP地址不隶属于本地IP子网的所有数据包,其源或目的MAC地址都会是那台路由器内网LAN口的MAC地址,这属于正常情况。
IP端点(IP地址)少,TCP端点(TCP端口号)多:就是每个IP端点都试图建立或已经建立了多条TCP连接。对于
这种现象,可能正常也可能不正常。若建立或试图建立多条TCP连接的IP端点为服务器,这就属于正常情況;否则,极有可能是有人在发动网络攻击(比如, TCP SYN攻击),或开启了基于P2P的程序而导致的。
终端分析通常与会话分析结合使用,可以快速发现网络中占用流量最大的节点或会话,也可以配合显示过滤器使用。通过终端分析,也能够发现部分常见网络或应用故障,协助管理员快速解决问题。
Wireshark无法通过形象的图形显示这类对比分析数据,使用者如何要7*24小时长期抓包和快速分析的话,也可以考虑商业化的专业分析系统。
下图是网深科技NetInside全流量分析系统对单个IP在某地时间的活动信息分析视图,通过该视图,能够详细了解分析对象的所有举得。