Материал просмотрен 3,048 раз(а)

Всем привет! После отличных выходных продолжаем ковырять утилитку Wireshark.  Надеюсь, вам она нравится не меньше, чем мне.

Вайршарк можно найти на нашей файлопомойке, на всякий случай вот ссылка. Множество других полезных утилит вы можете найти в разделе: утилиты для компьютера.

Сегодня мы рассмотрим несколько интересных вариантов, которые помогут сделать отсчет времени в дампе очень удобным. Не стоит и говорить о том, что всякий анализ (а Wireshark это средство прежде всего для анализа трафика) требует точных знаний о времени наступления того или иного события. Как можно сделать более точный отсчет времени по дампу я расскажу ниже.

Итак, первым делом загружаем дамп (вы можете нахватать свои пакеты) gen1.pcap.

Загружаем дамп

Загружаем дамп

Обратите внимание на второй столбец – время захвата пакета. По умолчанию, это время от старта процедуры захвата в секунда (+ дробная часть). Мы можем менять этот временной формат по нашему усмотрению, а так же менять точку отсчёта.

Кликнем правой кнопкой мыши на произвольном пакете и выберем пункт “Set Time Reference

Меняем точку отсчета

Меняем точку отсчета

Теперь во всех следующих пакетах время отсчитывается от уже не от начала захвата, а от этой контрольной точки:

Новый отсчет времени

Новый отсчет времени

Немаловажно и то, что можно поменять как формат представления времени (1), так и точность (2), выбрав в меню “View -> Time Display Format“.

Формат и точность представления времени

Формат и точность представления времени

Не будем сильно углубляться в эксперименты, лишь будем знать, что представление времени можно менять очень гибко для разных нужд анализа трафика. Ещё одна интересная функция – указывать в качестве новой точки отсчета предыдущий пакет. То есть обратите внимание на опции:

  1. Second Since Begining of Capture – включена по умолчанию, отсчет времени сквозной, с начала захвата.
  2. Second Since Previous Captured Packet – отсчет времени с момента получения предыдущего пакета.
  3. Second Since Previous Displayed Packet – отсчет времени с момента получения предыдущего отображенного пакета (например, если фильтруем только определенный вид трафика).

Сейчас попробую продемонстрировать эту возможность.

Включаю захват, пошлю ping-запрос на mail.ru. Отфильтрую по icmp.type==8:

Пинги на майл.ру

Пинги на майл.ру

Обратите внимание на время (выделил это прямоугольником), оно показывает, на какой секунде от начала захвата был получен тот или иной пакет. А теперь поменяю отображение времени на Second Since Previous Displayed Packet, потому что у нас включен фильтр и нужно узнать примерную разницу во времени ping-запросов:

Разница между ping-ами

Разница между ping-ами

Нетрудно заметить, что между ping-запросами разница примерно в 1 секунду, что соответствует истине. Ну чтож, теперь, я думаю, вы без особого труда сможете проанализировать качество различных запросов, создаваемых автоматически машиной (малое время) или человеком (большое время), а так же сможете легко найти интервалы поступления определенных пакетов в эфир, что может многое сказать для тех, кто пользуется сниффером ;).