如果想讓網(wǎng)絡(luò)進行正常通信,你必須至少擁有兩臺設(shè)備進行數(shù)據(jù)流交互。端點(endpoint)就是指網(wǎng)絡(luò)上能夠發(fā)送和接受數(shù)據(jù)的一臺設(shè)備。舉例來說,在TCP/IP的通信中就有兩個斷電:接收和發(fā)送數(shù)據(jù)系統(tǒng)的IP地址,比如192.168.1.25和192.168.1.30。
例如在數(shù)據(jù)鏈路層,通信時基于兩臺物理網(wǎng)卡和它們的MAC地址進行的。如果接收和發(fā)送數(shù)據(jù)的地址是 00:ff:ac:ce:0b:de 和 00:ff:ac:e0:dc:0f ,那么這些地址就是通信中的端點,如下圖所示。
網(wǎng)絡(luò)上的端點
網(wǎng)絡(luò)上的一個會話(conversation),就如同兩個人之間的會話一樣,描述的是兩臺主機(端點)之間進行的通信。舉例來說,小明和丁丁的繪畫可能是這樣子的:“你好嗎?”,“我很好,你呢?”,“我也很好!”。192.168.1.5和192.168.0.8之間的一個會話可能是這樣的:“SYN”,“SYN/ACK”,“ACK”。
1. 查看端點
Wireshark的Endpoints窗口(Statistics->Endpoints、統(tǒng)計->端點)給出了每一端點的許多有用的統(tǒng)計信息,包括每個端點的地址、傳輸發(fā)送數(shù)據(jù)包的數(shù)量和字節(jié)數(shù)。
端點窗口可以讓你查看一個捕獲文件里的每個端點
這個窗口頂部的選項卡給出了當(dāng)前捕獲文件中所有支持和被識別的端點。單擊其中一個選項卡,就可以將斷電的列表縮小到某一個協(xié)議上。勾選Name Resolution(解析名稱)多選框,可以在端點窗口中開啟名字解析功能。(在Ethernet頁簽下可以開啟,在IPv4選項下開啟不了)。
你可以使用端點窗口將特定的數(shù)據(jù)包過濾出來,顯示在Packet List面板中。右鍵單擊一個特定的端點,可以看到許多選項,包括創(chuàng)建過濾器以顯示只與這個斷電相關(guān)的流量,或者與選定端點無關(guān)的所有流量。你也可以直接將端點導(dǎo)出到一個著色規(guī)則中。
2.查看網(wǎng)絡(luò)會話
Wireshark的會話窗口(Statistics->Conversations、統(tǒng)計