4.1 Wireshark菜單“Statistics”

Wireshark可提供網絡統計信息功能，可以通過Statistics菜單進行訪問。

這些統計信息的范圍從有關已加載的捕獲文件的一般信息（如捕獲的數據包的數量）到有關特定協議的統計信息（例如，有關捕獲的HTTP請求和響應的數量的統計信息）。

一般統計

• 捕獲文件有關捕獲文件的屬性。
• 捕獲的數據包的協議層次結構。
• 對話，例如特定IP地址之間的流量。
• 端點，例如往返IP地址的流量。
• I / O圖形可實時顯示數據包（或類似數據包）的數量。

協議特定統計

• 服務響應在某些協議的請求和響應之間的時間。

• 各種其他協議特定的統計信息。

• 注意
  協議特定的統計信息需要有關特定協議的詳細知識。除非您熟悉該協議，否則可能很難理解有關該協議的統計信息。

Wireshark還有許多其他統計信息窗口，它們顯示有關特定協議的詳細信息，并且可能在本文檔的更高版本中進行描述。

4.1.1“捕獲文件屬性”對話框

有關當前捕獲文件的常規信息。

圖4.1。“捕獲文件屬性”對話框

此對話框顯示以下信息：

Details：有關捕獲文件的重要信息。
File：有關捕獲文件的常規信息，包括其完整路徑，大小，加密哈希，文件格式和封裝。
Time：文件中第一個和最后一個數據包的時間戳及其差異。
Capture：有關捕獲環境的信息。僅對于實時捕獲或在已保存的捕獲文件中存在此信息時才會顯示。pcapng格式支持此功能，而pcap不支持。
Interfaces：有關捕獲接口的信息。
Statistics：捕獲文件的統計摘要。如果設置了顯示過濾器，則將在“已捕獲”列中看到值，并且如果標記了任何數據包，則將在“已標記”列中看到值。“已捕獲”列中的值將保持與以前相同，而“已顯示”列中的值將反映與顯示屏中顯示的數據包相對應的值。“ 標記的”列中的值將反映與標記的包裝相對應的值。
Capture file comments：一些捕獲文件格式（特別是pcapng）允許對整個文件進行文本注釋。您可以在此處查看和編輯此評論。
Refresh：更新對話框中的信息。
Save Comments：保存“捕獲文件注釋”文本條目的內容。
Close：關閉對話框。
Copy To Clipboard：將“詳細信息”信息復制到剪貼板。
Help：打開用戶指南的此部分。

4.1.2 解析地址

尚未寫。

4.1.3 “協議層次結構”窗口

捕獲的數據包的協議層次結構。

圖4.2。“協議層次結構”窗口

這是捕獲中所有協議的樹。每行包含一個協議的統計值。其中兩列（“ 數據包百分比”和“ 字節百分比”）用作條形圖。如果設置了顯示過濾器，它將顯示在底部。

使用Copy按鈕，您可以將窗口內容復制為CSV或YAML。

協議層次結構列

Protocol：該協議的名稱。
Percent Packets：協議數據包相對于捕獲中所有數據包的百分比。
Packets：此協議的數據包總數。
Percent Bytes：協議字節相對于捕獲中的總字節的百分比。
Bytes：該協議的字節總數。
Bits/s：該協議的帶寬與捕獲時間的關系。
End Packets：此協議的數據包的絕對數量，在堆棧中是最高的協議（最后剖析）。
End Bytes：該協議的絕對字節數，它是堆棧中最高的協議（最后剖析）。
End Bits/s：該協議的帶寬與捕獲時間的關系，捕獲時間是堆棧中最高的協議（最后剖析）。

數據包通常包含多個協議。結果，每個數據包將計入多個協議。示例：在屏幕截圖中，IP99.9％和TCP 98.5％（它們相加遠遠超過100％）。

協議層可以包含不包含任何更高層協議的數據包，因此所有更高層數據包的總和可能不等于協議數據包計數。示例：在屏幕截圖中，TCP占98.5％，但是子協議（TLS，HTTP等）的總和要少得多。這可能是由于連續幀，TCP協議開銷以及其他未分割的數據引起的。

單個數據包可以包含同一協議多次。在這種情況下，協議被計數不止一次。例如，ICMP答復和許多隧道協議將攜帶多個IP標頭。

4.1.4 對話內容

網絡對話是兩個特定端點之間的流量。例如，IP對話是兩個IP地址之間的所有流量。有關已知端點類型的說明，請參見 “4.1.5 Endpoints。

4.1.4.1 “對話”窗口

對話窗口類似于端點窗口。有關其共同功能的描述，請參見 “4.1.5.1 Endpoints 窗口”。對話窗口連同地址，數據包計數器和字節計數器一起添加了四列：對話的開始時間（“ Rel Start”或“ Abs Start”），對話的持續時間（以秒為單位）和平均位（每個字節每秒）。還跨“Rel Start” / “Abs Start” 和“Duration”列繪制了時間線圖。

圖4.3。“對話”窗口

列表中的每一行都顯示了一次會話的統計值。

如果在窗口中選擇了名稱解析，并且該名稱解析在特定協議層（所選以太網端點頁面的MAC層）中處于活動狀態，則將完成名稱解析。限制為顯示過濾器將僅顯示與當前顯示過濾器匹配的會話。絕對開始時間在相對時間（“ Rel Start”）和絕對時間（“ Abs Start”）之間切換開始時間欄。相對開始時間與數據包列表中的“自捕獲開始以來的秒數”時間顯示格式匹配，并且絕對開始時間與“一天中的時間”顯示格式匹配。

Copy按鈕會將列表值以CSV（逗號分隔值）或YAML格式復制到剪貼板。在Follow Stream…按鈕，將顯示為中所描述的內容流圖 6.1。“跟隨 TCP 流” 對話框對話框。Graph… 按鈕，將顯示在描述圖表“4.1.7 ‘I / O圖形’窗口”。

通過Conversation Types，您可以選擇顯示哪些流量類型選項卡。有關端點類型的列表，請參見4.1.5 Endpoints。啟用的類型將保存在您的配置文件設置中。

• tip
  該窗口將經常更新，因此即使您在進行實時捕獲之前（或同時）打開它，它也會很有用。

4.1.5 Endpoints

網絡端點是特定協議層的單獨協議流量的邏輯端點。Wireshark的端點統計信息將考慮以下端點：

端點和對話類型

Bluetooth：一個類似于以太網的MAC-48地址。
Ethernet：與以太網設備的MAC-48標識符相同。
Fibre Channel：一個類似于以太網的MAC-48地址。
IEEE 802.11：一個類似于以太網的MAC-48地址。
FDDI：與FDDI MAC-48地址相同。
IPv4：與32位IPv4地址相同。
IPv6：與128位IPv6地址相同。
IPX：默認情況下，以太網接口的MAC-48地址由32位網絡號和48位節點地址組成。
JXTA：160位SHA-1 URN。
NCP：類似于IPX。
RSVP：Varos RSVP會話屬性和IPv4地址的組合。
SCTP：主機IP地址（多個）和所使用的SCTP端口的組合。因此，同一IP地址上的不同SCTP端口是不同的SCTP端點，但是同一主機的不同IP地址上的同一SCTP端口仍然是同一端點。
TCP協議：IP地址和所使用的TCP端口的組合。同一IP地址上的不同TCP端口是不同的TCP端點。
Token Ring：與令牌環MAC-48地址相同。
UDP協議：IP地址和所使用的UDP端口的組合，因此同一IP地址上的不同UDP端口是不同的UDP端點。
USB：與7位USB地址相同。

4.1.5.1 “Endpoints”窗口

此窗口顯示有關捕獲的端點的統計信息。

圖4.4。“端點”窗口

對于每種受支持的協議，此窗口中都會顯示一個選項卡。每個選項卡標簽都顯示捕獲的端點數（例如，選項卡標簽“ Ethernet·4”告訴您已捕獲了四個以太網端點）。如果未捕獲到特定協議的端點，則選項卡標簽將顯示為灰色（盡管仍可以選擇相關頁面）。

列表中的每一行都顯示了一個端點的統計值。

如果在窗口中選擇了名稱解析，并且該名稱解析在特定協議層（所選以太網端點頁面的MAC層）中處于活動狀態，則將完成名稱解析。限制為顯示過濾器將僅顯示與當前顯示過濾器匹配的會話。請注意，在此示例中，我們配置了MaxMind DB，這為我們提供了額外的地理列。有關更多信息，請參見8.1.9 MaxMind 數據庫路徑。

Copy按鈕會將列表值以CSV（逗號分隔值）或YAML格式復制到剪貼板。Map按鈕將顯示在Web瀏覽器中映射的端點。
Endpoint Types使您可以選擇顯示哪些流量類型選項卡。有關端點類型的列表，請參見上面的 4.1.5 Endpoints。啟用的類型將保存在您的配置文件設置中。

4.1.6 封包長度

顯示數據包長度的分布和相關信息。

圖4.5。“數據包長度”窗口

信息按數據包長度范圍細分，如上所示。

Packet Lengths：包長范圍。

可以在“首選項”對話框的“統計信息→統計信息樹”部分中配置范圍。

Count：屬于此范圍的數據包數。
Average：數據包的算術平均長度在此范圍內。
Min Val, Max Val：此范圍內的最小和最大長度。
Rate (ms)：此范圍內的數據包的平均每毫秒數據包數。
Percent：按計數，此范圍內的數據包百分比。
Burst Rate：通過計算給定時間間隔內的數據包數量，并將該計數值與一個時間窗口內的間隔進行比較，可以檢測到數據包突發。顯示具有最大數據包數量的時間間隔的統計信息。默認情況下，在5毫秒間隔內檢測到突發，并在100毫秒窗口內比較間隔。
這些計算可以在“ 首選項”對話框的“Statistics” 部分中進行調整。
Burst Start：從捕獲開始到開始的時間（以秒為單位），表示具有最大數據包數量的時間間隔。

通過將顯示過濾器輸入到“ 顯示過濾器”條目中，然后按Apply，可以顯示捕獲的一部分的統計信息。

Copy復制將統計信息復制到剪貼板。 Save as…另存為…讓您的數據另存為文本，CSV，YAML或XML。

4.1.7 “ I / O圖”窗口

讓您以多種方式繪制數據包和協議數據。

圖4.6。“ I / O圖表”窗口

如上所示，此窗口包含一個圖表繪制區域以及一個可自定義的圖形列表。圖形將保存在您的當前配置文件中。它們分為時間間隔，可以如下所述進行設置。將鼠標懸停在圖表上會顯示每個間隔中的最后一個數據包，除非另有說明。單擊圖形可將您帶到數據包列表中的關聯數據包。可以使用以下選項配置各個圖形：

Enabled：繪制或不繪制此圖。
Graph Name：該圖的名稱。
Display Filter：將圖表限制為與此過濾器匹配的數據包。
Color：用于繪制圖形的線，條或點的顏色。
Style：如何直觀地表示圖形的數據，例如通過畫一條線，條，圓，加號等。
Y軸：用于圖形的Y軸的值。可以是以下之一：

• 數據包，字節或位
  每個間隔內與圖形顯示過濾器匹配的數據包，數據包字節或數據包位數的總數。 在某些情況下，零值將被省略。

• SUM（Y字段）
  每個間隔在“ Y字段”中指定的字段值的總和。

• 計數框（Y字段）
  每個間隔包含在“ Y場”中指定的場的幀數。與普通的“數據包”圖不同，此圖始終顯示零值。

• COUNT個字段（Y個字段）
  每個間隔在“ Y字段”中指定的字段的實例數。某些字段（例如dns.resp.name）可以在數據包中多次顯示。

• MAX（Y場），MIN（Y場），AVG（Y場）

每個間隔指定的“ Y字段”的最大值，最小值和算術平均值。對于MAX和MIN值，將顯示懸停并單擊該圖，并帶您進入間隔為MAX或MIN值的數據包，而不是最新的數據包。

負荷（Y場）：如果“ Y字段”是相對時間值，則這是“ Y字段”值的總和除以間隔時間。這對于跟蹤響應時間很有用。

• Y場
  顯示過濾器字段，可從中提取上面列出的Y軸計算的值。

• SMA時期
  顯示指定時間間隔內的平均值。

可以使用圖表列表下的控件來配置整個圖表：

+
添加一個新圖。

--
添加一個新圖。

Copy
復制所選圖形。

Clear
刪除所有圖形。

Mouse drags / zooms
在圖形區域內使用鼠標時，請拖動圖形內容或選擇縮放區域。

Interval
設置圖表的間隔時間。

Time of day
在顯示絕對時間或從X軸開始捕獲開始的相對時間之間切換。

Log scale
在對數或線性Y軸之間切換。

底部的主對話框按鈕使您可以執行以下操作：

在Help按鈕將帶您到用戶指南的這一部分。

Copy按鈕將以CSV（逗號分隔值）格式將選定圖形中的值復制到剪貼板。

Copy from將使您可以從另一個配置文件復制圖形。

單擊Close將關閉此對話框。

Save As…將當前顯示的圖形保存為圖像或CSV數據。

• tip
  右鍵單擊圖形，可以看到有用的鍵盤快捷鍵列表。

缺失值是零

Wireshark的I / O圖表窗口無法區分缺失值和零值。對于散點圖，假定零值表示缺少數據，并且省略了這些值。零值顯示在折線圖和條形圖中。

4.1.8 服務響應時間

服務響應時間是請求和相應響應之間的時間。此信息可用于許多協議，包括以下內容：

• AFP
• CAMEL
• DCE-RPC
• Diameter
• Fibre Channel
• GTP
• H.225 RAS
• LDAP
• MEGACO
• MGCP
• NCP
• ONC-RPC
• RADIUS
• SCSI
• SMB
• SMB2
• SNMP

作為示例，下面更詳細地描述SMB2服務響應時間。其他“服務響應時間”窗口將顯示特定于其各自協議的統計信息，但將提供相同的菜單選項。

4.1.8.1“ SMB2服務響應時間統計信息”窗口

此窗口顯示捕獲文件中存在的每個SMB2操作碼的事務數量以及各種響應時間統計信息。右鍵單擊一行可讓您為特定的操作碼應用或準備過濾器，對其進行搜索或為其著色。您還可以復制所有響應時間信息或將其保存為各種格式。

圖4.7。“ SMB2服務響應時間統計”窗口

您可以選擇應用顯示過濾器，以將統計信息限制在一組特定的數據包中。

底部的主對話框按鈕使您可以執行以下操作：

Copy按鈕將復制的響應時間信息為文本。

Save As…將保存在各種格式的響應時間信息。

單擊Close將關閉此對話框。

4.1.9 DHCP（BOOTP）統計信息

尚未寫。

4.1.10 ONC-RPC程序

尚未寫。

4.1.11 29West

尚未寫。

4.1.12 ANCP

尚未寫。

4.1.13 BACnet

尚未寫。

4.1.14 已收集

尚未寫。

4.1.15 域名解析

尚未寫。

4.1.16 流程圖

尚未寫。

4.1.17 HART IP

尚未寫。

4.1.18 HPFEEDS

尚未寫。

4.1.19 HTTP統計

4.1.19.1 HTTP數據包計數器

HTTP請求類型和響應代碼的統計信息。

4.1.19.2 HTTP請求

基于主機和URI的HTTP統計信息。

4.1.19.3 HTTP負載分配

基于服務器地址和主機的HTTP請求和響應統計信息。

4.1.19.4 HTTP請求序列

HTTP請求序列使用HTTP的Referer和Location標頭將捕獲的HTTP請求排序為樹。這使分析人員可以查看一個HTTP請求如何導致下一個HTTP請求。

圖4.8。“ HTTP請求序列”窗口

4.1.20 HTTP2

尚未寫。

4.1.21 Sametime

尚未寫。

4.1.22 TCP流圖

在捕獲中顯示TCP流的不同可視表示形式。

時間順序（Stevens）
這是隨時間變化的TCP序列號的簡單圖形，類似于Richard Stevens的“ TCP / IP Illustrated”系列書籍中使用的圖形。

時間順序（tcptrace）
顯示類似于tcptrace實用程序的TCP度量 ，包括正向段，確認，選擇性確認，反向窗口大小和零窗口。

通量
平均吞吐量和吞吐量。

往返時間
往返時間與時間或序列號的關系。RTT基于與特定段相對應的確認時間戳。

窗口縮放
窗口大小和未完成的字節。

4.1.23 UDP組播圖

尚未寫。

4.1.24 F5

尚未寫。

4.1.25 IPv4統計

尚未寫。

4.1.26 IPv6統計

尚未寫。