LabEx
ВходРегистрация

Анализ потери пакетов в Tshark

WiresharkBeginner
Практиковаться сейчас

Введение

В этом практическом занятии (лабораторной работе) вы научитесь анализировать потерю пакетов TCP с помощью командной строки Tshark, которая входит в состав Wireshark. Вы научитесь захватывать сетевой трафик, определять повторные передачи и интерпретировать статистику потерь с помощью практических команд терминала.

В рамках упражнений вы научитесь выявлять шаблоны потери пакетов и понимать метрики сетевого качества. Вы получите практический опыт как при нормальной передаче, так и при моделировании сценариев потери пакетов для устранения проблем с реальными TCP-соединениями.

Захват TCP с использованием -f "tcp"

На этом этапе вы научитесь захватывать TCP-трафик, используя опцию фильтра захвата -f "tcp" в Wireshark. TCP (Transmission Control Protocol, Протокол управления передачей) является одним из основных протоколов Интернета, ответственным за надежный обмен данными. Этот фильтр позволяет захватывать только TCP-пакеты, что особенно полезно, когда вы хотите сосредоточиться на специфических для TCP поведениях, таких как установка соединения (трёхпроходный рукопожатие), повторные передачи и управление потоком, не отвлекаясь на другой сетевой трафик.

  1. Сначала откройте терминал в виртуальной машине LabEx, нажав на иконку терминала на рабочем столе Xfce или используя сочетание клавиш Ctrl+Alt+T. В терминале вы будете выполнять все команды для сетевого анализа.

  2. Перейдите в каталог по умолчанию, где мы будем хранить файлы с захваченным трафиком:

    cd ~/project

    Этот каталог специально создан для вашей лабораторной работы, чтобы ваши файлы были организованы и отделены от системных файлов.

  3. Начните захват TCP-пакетов, выполнив следующую команду:

    sudo tshark -f "tcp" -w tcp_capture.pcap

    Разберём, что делает каждая часть команды:

    • sudo предоставляет вам права администратора, необходимые для захвата пакетов.
    • tshark - это командная версия Wireshark.
    • -f "tcp" сообщает tshark захватывать только TCP-пакеты.
    • -w tcp_capture.pcap сохраняет захваченные пакеты в файл с именем tcp_capture.pcap.

  4. Во время работы tshark откройте новую вкладку или окно терминала (Ctrl+Shift+T) и сгенерируйте некоторый TCP-трафик. Мы будем использовать curl для выполнения простого веб-запроса:

    curl -I https://www.labex.io

    Флаг -I сообщает curl извлекать только HTTP-заголовки, что генерирует достаточно трафика для нашего анализа без загрузки ненужных данных.

  5. После ожидания около 5 - 10 секунд, чтобы захватить достаточное количество пакетов, остановите захват, нажав Ctrl+C в терминале, где запущен tshark. Вы должны увидеть вывод, похожий на следующий:

    Capturing on 'eth1'
10 packets captured

    Это подтверждает, сколько TCP-пакетов было захвачено в течение сессии.

  6. Убедитесь, что файл с захваченным трафиком был успешно создан, выполнив команду вывода списка файлов в каталоге:

    ls -lh tcp_capture.pcap

    Опции -lh показывают размер файла в человекочитаемом формате (например, в КБ или МБ) вместе с другими деталями. Это помогает убедиться, что ваш захват был сохранен правильно, прежде чем перейти к следующему шагу.

Проверка повторных передач с помощью -Y "tcp.analysis.retransmission"

На этом этапе мы рассмотрим повторные передачи TCP, которые происходят, когда отправитель не получает подтверждения (ACK) о получении отправленных пакетов и вынужден их повторно отправить. Это важный метод устранения неполадок в сети, так как частые повторные передачи часто указывают на сеть congestion (затруднения), потерю пакетов или другие проблемы с подключением.

Прежде чем приступить, разберем, что мы будем искать:

  • Повторная передача происходит, когда TCP не получает ACK (подтверждение) в ожидаемое время.
  • Wireshark/tshark могут определить такие случаи с использованием специального фильтра "tcp.analysis.retransmission".
  • Сначала мы проверим существующий захват, а затем создадим новый с имитированными сетевыми проблемами.

  1. Сначала убедитесь, что вы находитесь в каталоге проекта, где хранятся наши файлы с захваченным трафиком:

    cd ~/project

  2. Проанализируем файл с захваченным трафиком, который мы создали ранее, на наличие повторных передач. Команда разбивается на следующие части:

    • -r позволяет прочитать сохраненный файл с захваченным трафиком.
    • -Y применяет фильтр отображения, чтобы показать только повторные передачи.
    tshark -r tcp_capture.pcap -Y "tcp.analysis.retransmission"

  3. Если ваше сетевое соединение было стабильным во время первого захвата, вы, скорее всего, увидите:

    0 packets captured

    Это нормально и означает, что ни один пакет не требовал повторной передачи в течение этого периода захвата.

  4. Чтобы лучше понять повторные передачи, мы создадим новый захват, намеренно вызвав сеть congestion (затруднения). Откройте два окна терминала:

    В первом терминале начните захватывать TCP-трафик:

    sudo tshark -f "tcp" -w retransmission_capture.pcap

    Во втором терминале запустите медленную загрузку, которая может вызвать повторные передачи:

    curl --limit-rate 10k https://www.labex.io

    Через несколько секунд остановите оба процесса, нажав Ctrl+C.

  5. Теперь проверим новый файл с захваченным трафиком на наличие повторных передач:

    tshark -r retransmission_capture.pcap -Y "tcp.analysis.retransmission"

    На этот раз вы должны увидеть список повторно переданных пакетов, показывающих номера последовательности и детали времени, которые помогают диагностировать проблемы с сетевым качеством.

Сводка статистики потерь с использованием -z tcp,tree

На этом этапе вы научитесь использовать мощную функцию статистики Wireshark с опцией -z tcp,tree. Эта команда позволяет проанализировать TCP-разговоры и выявить шаблоны потери пакетов, предоставляя структурированное обзоры всех TCP-потоков в захваченных данных.

Перед началом разберем, что показывают статистики TCP-разговоров:

  • Дерево отображения представляет собой общение между парами хостов.
  • Он подсчитывает кадры (пакеты) и переданные байты в каждом направлении.
  • Помогает выявить несбалансированный трафик, который может указывать на проблемы.

  1. Сначала убедитесь, что вы находитесь в каталоге проекта, где хранятся ваши файлы с захваченным трафиком:

    cd ~/project

  2. Теперь проанализируем базовую статистику TCP из нашего начального захвата. Эта команда считывает файл с захваченным трафиком и генерирует дерево разговоров:

    tshark -r tcp_capture.pcap -z tcp,tree

  3. Вывод будет представлять собой структурированную таблицу всех TCP-разговоров. Обратите внимание на следующие столбцы:

    • <- показывает трафик, поступающий на вашу машину.
    • -> показывает трафик, исходящий с вашей машины.
    • Total представляет собой сводку по обоим направлениям.
    ======================================================
TCP Conversations
Filter:<No Filter>
|       <-      | |       ->      | |     Total     |
| Frames  Bytes | | Frames  Bytes | | Frames  Bytes |
======================================================

  4. Теперь рассмотрим конкретно захват с повторными передачами. Повторные передачи происходят, когда пакеты теряются и должны быть отправлены повторно:

    tshark -r retransmission_capture.pcap -z tcp,tree

    Ищите разговоры, в которых количество кадров значительно превышает количество в других - это часто указывает на проблемы с повторными передачами.

  5. Для наиболее точного анализа мы можем объединить это с нашим предыдущим фильтром повторных передач. Это покажет только повторно переданные пакеты в дереве разговоров:

    tshark -r retransmission_capture.pcap -Y "tcp.analysis.retransmission" -z tcp,tree

    Это помогает точно определить, в каких разговорах происходит потеря пакетов.

Тихий вывод с помощью -q

На этом этапе мы узнаем, как использовать опцию -q в Wireshark для упрощения анализа пакетов. При работе с большими сетевыми захватами вам часто не нужно видеть каждый отдельный пакет — вы хотите получить только важную статистику. Опция -q (quiet, тихий режим) скрывает подробный перечень пакетов и показывает только сводные данные.

  1. Сначала перейдем в рабочий каталог, где хранятся файлы с захваченными пакетами:

    cd ~/project

  2. Теперь проанализируем наш файл с захваченными TCP-пакетами в тихом режиме. Эта команда считывает файл, но показывает только статистику по TCP-разговорам:

    tshark -r tcp_capture.pcap -q -z tcp,tree

  3. Чтобы понять, что делает опция -q, запустим ту же команду без нее. Обратите внимание, как в этом случае перед статистикой выводятся все отдельные пакеты:

    tshark -r tcp_capture.pcap -z tcp,tree

  4. Мы можем сочетать тихий режим с предыдущим фильтром для повторных передач. Это даст нам чистый вид только статистики по повторным передачам:

    tshark -r retransmission_capture.pcap -Y "tcp.analysis.retransmission" -q -z tcp,tree

  5. Формат вывода будет выглядеть так, показывая только статистику по разговорам без деталей пакетов:

    ======================================================
TCP Conversations
Filter:tcp.analysis.retransmission
|       <-      | |       ->      | |     Total     |
| Frames  Bytes | | Frames  Bytes | | Frames  Bytes |
======================================================

Резюме

В этом практическом занятии вы научились анализировать потерю TCP-пакетов с использованием Tshark, применяя практические методы устранения неполадок в сети. Вы захватили TCP-трафик с использованием конкретных фильтров, обнаружили повторные передачи и сгенерировали статистику соединений для оценки производительности сети.

В упражнениях показано, как использовать расширенные функции Tshark, такие как -z tcp,tree для комплексного анализа TCP-потоков и -q для эффективного представления статистических данных. Эти навыки позволяют вам быстро диагностировать и устранять проблемы с потерей пакетов в реальных сетевых средах.

Связанные Wireshark Курсы
Wireshark для начинающих

Wireshark для начинающих

cybersecuritywireshark
Анализ кибербезопасности с использованием Wireshark и Tshark

Анализ кибербезопасности с использованием Wireshark и Tshark

cybersecuritywireshark