2012-04-18

Tips kring felsökning av nätverk med Wireshark

Wireshark har vi talat om tidigare här på bloggen. :)
Spela in nätverkstrafik på en Virtuell Maskin? Eller: "hur får man info om hur applikationen funkar?" (del 2)
Spela in nätverkstrafik på en Virtuell Maskin? Eller: "hur får man info om hur applikationen funkar?" (del 3)

Jag har fått en del tips (Tack till Jens Lindblom!!) på ytterligare användning av Wireshark för analys av trafik.

Det första man behöver är en port som får lyssna på all trafik på det nät där man vill analysera (en "promiskuös port" kallas det rätt ofta).
Sedan så startar man Wirshare och startar en inspelning. Hur länge men vill spela in trafiken beror på hur mycket trafik det är, hur mycket disk man har osv.
En bra idé är att hålla koll på hur Wireshark-processen växer i minnet, och hur inspelningsfilen växer.

Jag har kommit fram till att om jag stoppar inspelningen när logg-filen är ca 750MB eller när processen tar ca 1,7GB RAM så fungerar allting. Om jag går över det så kraschar wireshark (det verkar var nån gräns som gör att när processen går över 1,8GB så vill den inte vara med längre). :)
Det behövs ju lite minne för att göra själva analysen sedan.


Det jag letar efter i nätet är fel.... (duh!!) och jag tycker att detta är enklast i en grafisk kurva. Så jag klickar på "Statistics" och väljer "IO Graphs".
Nere till höger väljer jag vilken skala jag vill ha (antal "pixlar per tick") och hur stor upplösning jag vill ha ("Tick interval") oftast är Tickinterval=1sek och Pixels per tick=1 en rätt bra skala... Tänk på att använda samma skala på alla mätningar om du vill kunan jämföra dem som bilder i efterhand!! :)

Nåja. jag har ett par standard filter jag lägger på också.
(tcp.analysis.retransmission) or (tcp.analysis.fast_retransmission)

(tcp.analysis.lost_segment)or (tcp.analysis.ack_lost_segment)

(tcp.analysis.keep_alive) or (tcp.analysis.keep_alive_ack)

I mitt fall blir det då så här:
Det svarta strecket visar mängden packet som skickats per 0,1 sekund (jag har en "tick interval" på 0,1 i exemplet ovan).
Den gröna linjen visar ett potentiellt problem, här anser Wireshark att ett gäng av paketen helt enkelt har fel sequencenummer mot vad den förväntar sig att paketen borde ha.

En bra förklaring på olika filter finns här:
http://wiki.wireshark.org/TCP_Analyze_Sequence_Numbers

Annars är det bara att ladda ned programmet och börja testa, det tar inte speciellt lång tid att komma igång faktiskt...
Och Wireshark är gratis så det är bara att leka på.. :)

Inga kommentarer:

Skicka en kommentar

Related Posts Plugin for WordPress, Blogger...