Экспертная информация — это своего рода журнал аномалий, найденных Wireshark в файле захвата.
Общая идея следующей «Экспертной информации» заключается в том, чтобы лучше отображать «необычное» или просто заметное поведение сети. Таким образом, как начинающие, так и опытные пользователи, мы надеемся, найдут вероятные сетевые проблемы намного быстрее, по сравнению с сканированием списка пакетов «вручную».
[Предупреждение]
Экспертная информация — только подсказка
Используйте экспертную информацию как подсказку, на что стоит смотреть, но не больше. Например, отсутствие информации эксперта не обязательно означает, что в вашей сети все в порядке.
Объем информации эксперта во многом зависит от используемого протокола. Хотя в некоторых распространенных протоколах, таких как TCP / IP, будет отображаться подробная информация, большинство других протоколов в настоящий момент не будут отображать никакой информации.
Далее будут описаны компоненты одной экспертной информации, затем пользовательский интерфейс.
Записи экспертов
Каждая информация эксперта будет содержать следующие вещи, которые будут подробно описаны ниже.
Некоторые примеры экспертной информации
| Packet Пакет |
Severity Строгость |
Group группа |
Protocol протокол | Summary Резюме |
|---|---|---|---|---|
| 1 | Заметка/Note | Послед-сть | TCP | Duplicate ACK (#1) (Дублировать ACK (# 1)) |
| 2 | чат / Chat | Послед-сть | TCP | Connection reset (RST) (Сброс соединения (RST)) |
| 8 | Заметка / Note | Послед-сть | TCP | Keep-Alive |
| 9 | предостерегать / warn | Послед-сть | TCP | Fast retransmission (suspected) (Быстрая повторная передача (предположительно)) |
Строгость
Каждая экспертная информация имеет определенный уровень серьезности. Следующие уровни серьезности используются, в круглых скобках указаны цвета, в которых элементы будут отмечены в графическом интерфейсе:
- Чат (серый) : информация о обычном рабочем потоке, например TCP-пакет с установленным флагом SYN
- Примечание (голубой) : заметные вещи, например, приложение вернуло «обычный» код ошибки, такой как HTTP 404
- Предупреждать (желтый) : предупреждение, например, приложение вернуло «необычный» код ошибки, например проблему подключения
- Ошибка (красный) : серьезная проблема, например [Malformed Packet]
Группа
Есть несколько общих групп экспертной информации. В настоящее время реализовано следующее:
- Контрольная сумма Checksum : контрольная сумма недействительна.
- Последовательность Sequence : последовательность протоколов подозрительная, например, последовательность не была непрерывной или была обнаружена повторная передача или …
- Код ответа Response Code : проблема с кодом ответа приложения, например, HTTP 404 страница не найдена
- Код запроса Request Code : запрос приложения (например, File Handle == x), обычно уровень чата
- Недекодированный Undecoded : неполный фрагмент или данные не могут быть декодированы по другим причинам
- Сборка Reassemble : проблемы при сборке, например, не все фрагменты были доступны или исключение произошло при повторной сборке
- Протокол Protocol : нарушение спецификаций протокола (например, недопустимые значения полей или незаконные длины), вскрытие этого пакета, вероятно, продолжается
- Недостаток Malformed : неверный пакет или диссектор имеет ошибку, вскрытие этого пакета прервано
- Отладка Debug : отладка (не должна возникать в версиях выпуска)
Вполне возможно, что в будущем будет добавлено больше групп.
Протокол
Протокол, в котором была вызвана экспертная информация.
Резюме
У каждой экспертной информации также будет короткий дополнительный текст с некоторым дополнительным объяснением.
Диалоговое окно «Экспертная информация»
Вы можете открыть диалоговое окно экспертной информации, выбрав « Анализ» → « Экспертная информация» .
Диалоговое окно «Экспертная информация»
Ошибки / Предупреждения / Заметки / Чаты
Легкий и быстрый способ найти наиболее интересную информацию (а не использовать вкладку «Сведения») — это посмотреть отдельные вкладки для каждого уровня серьезности. Поскольку метка вкладки также содержит количество существующих записей, легко найти вкладку с наиболее важными элементами.(Это для старых интерфейсов, в новых вся информация в одной вкладке, поделена цветами и с возможностью раскрыть и свернуть информацию
Как правило, существует много идентичных сведений об экспертах, отличающихся только номером пакета. Эти идентичные данные будут объединены в одну строку — со столбцом [ Count ] подсчета, показывающим, как часто они появлялись в файле захвата. Нажатие на знак плюса показывает отдельные номера пакетов в древовидном представлении.
Вкладка
Вкладка «Сведения» [ Старый интерфейс ] предоставляет информацию эксперта в виде «журнал», каждая запись в отдельной строке (как и список пакетов). Поскольку количество информации эксперта для файла захвата может легко стать очень большим, получить представление об интересной информации с этим представлением может занять довольно много времени. Преимущество этой вкладки состоит в том, чтобы иметь все записи в последовательности по мере их появления, иногда это помогает выявлять проблемы.
«Раскрашенное» дерево сведений о протоколе
Дерево протоколов «Цветной»
Поле протокола, вызывающее экспертную информацию, раскрашивается, например, использует голубой фон для уровня серьезности заметки. Этот цвет распространяется на элемент протокола верхнего уровня в дереве, поэтому легко найти поле, которое вызвало экспертную информацию.
Для примера, приведенного выше, значение IP «Время жить» очень низкое (всего 1), поэтому соответствующее поле протокола отмечено голубым фоном. Чтобы легче найти этот элемент в дереве пакетов, элемент верхнего уровня IP-протокола также будет помечен как голубой.
Другими словами, в экспертной информации смотрим номер пакета, который по мнению эксперта вызывает проблему и переходим к этому пакету в главном окне WireShark’а и в списке захваченных пакетов ищем этот номер, а дальше по «хлебным крошкам» (по подсвеченным полям) идем в глубь сведений о пакете.
Столбец списка «Эксперт» (необязательно)
Столбец списка «Эксперт»
Доступен дополнительный столбец списка столбцов «Экспертная информация», который отображает самую значительную серьезность пакета или остается пустым, если все кажется ОК. Этот столбец не отображается по умолчанию, но его можно легко добавить, используя страницу «Настройки столбцов»
