Wireshark高级特征

最新推荐文章于 2025-03-21 17:08:53 发布
最新推荐文章于 2025-03-21 17:08:53 发布
阅读量2.3k 收藏 12
点赞数 1
分类专栏: 读书笔记 网络 安全 文章标签: wireshark 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/JAVAYmm/article/details/128228239
版权

1,端点和网络会话

  • 想要让网络通信正常进行,你必须至少拥有两台设备进行数据流的交互。端点endpoint)就是指网络上能够发送或接收数据的一台设备。两个端点之间的通信被称之为会话conversation)。Wireshark根据交互的特征来标识端点会话。
  • 端点在OSI的不同层级上使用多种不同类型的地址。
    • 如在数据链路层,通常使用物理网卡的MAC地址。每个设备的MAC地址独一无二(虽然也有办法修改)。
    • 在网络层,端点使用IP地址。IP地址可以在任何时间修改。

1.1,查看端点统计

  • Wireshark的Endpoints窗口(统计—>Endpoints),给出了各个端点的许多有用的统计数据,包括每个端点的地址,传输发送数据包的数量和字节数。
    在这里插入图片描述

    在这里插入图片描述

  • 上面图片(Endpoints窗口)顶部的选项卡(TCPEthernetIPv4IPv6UDP)根据协议将当前捕获文件中所有支持和被识别的端口进行分类。单击其中一个选项卡,就可以只显示针对一个具体协议的端口。单击窗口右下角的Endpoints类型多选框,就可以添加额外的协议过滤标签。勾选解析名称多选框,可以开启名称解析功能来查看端点地址。如果在处理大流量且需要过滤出所显示的端点数据,那么可以事先在Wireshark主窗口里应用显示过滤器,然后在端点窗口勾选显示过滤器的限制多选框。此选项会让端点窗口只显示与显示过滤器相匹配的端点。

1.2,查看网络会话

  • 访问Wireshark的会话窗口(统计—>Conversations)来显示所有在捕获文件中的会话。
    在这里插入图片描述

    在这里插入图片描述

    • 会话窗口(上图)展示的是一行两个地址组成的会话,以及每个设备发送或收到的数据包和字节数。地址A列代表着源端点,地址B列代表着目的端口。

1.3,使用端点和会话定位最高用量者

  • 使用捕获文件2022.11.281.pcapng举例。下图展示了在这个捕获文件中以字节数目排序的端点列表。

    在这里插入图片描述

    • 注意:以字节排序后的第一个地址是192.168.0.105(本机地址),此外,拥有这个地址的设备是数据集中最活跃的信息源(进行了最多通信的主机)

    • 第二个地址61.147.236.26是一个公网地址。

    • 有了上述信息,你可以假设:61.147.236.26和192.168.0.105正在各自与很多其他设备进行大量通信,或者这两个IP之间在彼此通信。实际上,最大用量者之间的端点通信是比较常见的。要确定这一点,请打开会话窗口并选中IPv4选项卡,你就可以通过使用字节数对列表进行排序来验证这一点。

    在这里插入图片描述

    • 你可以使用如下显示过滤表达式来检查会话。

      • ip.addr == 61.147.236.26 && ip.addr == 192.168.0.105

2,基于协议分层结构的统计

  • 当在与未知的捕获文件打交道时,有时需要知道文件中协议的分布情况,也就是捕获中TCP,IP,DHCP等所占的百分比是多少。Wireshark提供的协议分层统计Protocol Hierarchy Statistics)可以帮助你完成此任务。

  • 以上面的捕获文件2022.11.281.pcapng为例,选择统计Statistics)—>协议分级Protocol Hierarchy)打开协议分层统计窗口。如下。
    在这里插入图片描述

    在这里插入图片描述

  • 协议分层统计窗口就像一张快照,会让你直观地看到网络活动中地各种类型。

3,名称解析

  • 名称解析就是一个协议用来将一个独特的地址转换到另一个的过程,目的是让地址方便记忆。

3.1,开启名称解析

  • Wireshark在显示数据包时,使用名称解析来简化分析。要启用此功能,请选择编辑Edit)->首选项Preferences)->Name Resolution

    在这里插入图片描述

    在这里插入图片描述

  • 上面这里有一些Wireshark名称解析的主要选项。

    1. 解析MAC地址Resolve MAC addresses):
      1. 此类型的名称解析使用ARP协议,试图将第二层数据链路层的MAC地址转换为网络层地址。
      2. 如果这种转换尝试失败,那么Wireshark会使用程序目录中的ethers文件尝试进行转换。Wireshark最后的尝试便是将MAC地址的前三个字节转换为设备IEEE指定的制造商名称。
    2. 解析传输名称Resolve Transport name):
      1. 此类型的名称解析尝试将一个端口号,转换成一个与其相关的名字。比如,将端口80显示为http。
    3. 解析网络名称Resolve Network/IP name):
      1. 此类型的名称解析试图转换第三层网络层的地址。如将IP地址转换为一个易读的域名。

  • 此外Wireshark还提供了其他几个有用的选项

    1. Use captured DNS packet data for address resolution
      1. 从已捕获的DNS数据包中解析出了IP地址和DNS域名之间的映射。
    2. Use an external network name resolver
      1. 允许Wireshark为你当前的分析机器使用的外网DNS服务器生成查询,从而获得IP地址和DNS域名之间的映射。
      2. 当捕获的文件里没有DNS解析数据而你还需要DNS域名解析时,此功能就比较实用。
    3. Maximum concurrent requests
      1. 该参数会限制当前的一次最多DNS请求数量。当你的捕获文件将产生大量的DNS查询而你并不想让DNS查询占用过多带宽的时候,请使用此功能。
    4. Only use the profile “hosts” file
      1. 把DNS解析限制在与活动Wireshark文档关联的host文件中。

3.2,名称解析的潜在弊端

  1. 网络名称解析可能会失败,尤其是当没有可用的DNS服务器时。
  2. 名称解析的信息是不会保存在捕获文件里的,所以在你每次打开一个捕获文件的时候都要重新进行一次名称解析。
  3. 如果你在一个网络环境下捕获了流量,那么在另一个网络环境中打开该捕获文件时,你的系统可能访问不到之前的DNS服务器。
  4. 名称解析会带来额外的处理开销,当你的内存不剩多少的时候,可能需要关闭名称解析,以节约系统资源。
  5. DNS名称解析的依赖会产生额外的数据包,也就是说你的捕获文件可能会被解析那些基于DNS地址的流量所占据。如果在你分析的捕获文件中含有恶意IP地址,那么试图去解析它们会生成对攻击者控制的基础架构的查询,这样攻击者就有可能知道你的动作,甚至把你自己变成靶子。要避免跟攻击者打交道,请在名称解析选项对话框中关掉Use an external network name resolver

4,协议解析

  • Wireshark最大的优势就是对上千种协议解析的支持。
  • Wireshark中的协议解析器允许你将数据包拆分成多个协议区段以便分析。

4.1,更换解析器

  1. 在协议列右键单击其中一个数据包,选择Decode As。这时会弹出一个对话框,从中选择你想要使用的解析器。
    在这里插入图片描述

    在这里插入图片描述

  2. 选好之后点击ok,就可以立刻将修改应用到捕获文件中去。

  • 你可以在同一个捕获文件中多次使用强制解码功能。Wireshark将在**Decode As…**对话框中跟踪你的强制解码操作。
  • 在默认情况下,当你关掉捕获文件时强制解码的设置不会保存。补救方法就是在Decode As…对话框中单击Save按钮。这会将协议解码规则保存到你的Wireshark用户配置文件中,因此你使用该配置文件打开任意捕获文件时,它们将会生效。要移除之前保存的解码规则,你可以在对话框中单击减号按钮。

5,流跟踪

  • Wireshark分析功能中令人满意的一点就是它能够将来自不同包的数据重组成统一易读的格式,一般称作packet transcript

  • 流跟踪功能可以把从客户端发网服务器的数据都排好序使其变得更易查看。

  • 现有四种类型的流可以被跟踪。

    1. TCP流:重组使用TCP协议的数据,比如HTTP和FTP。
    2. UDP流:重组使用UDP协议的数据,比如DNS。
    3. SSL流:重组加密的协议,比如HTTPS。你必须提供密钥来解密流量。
    4. HTTP流:从HTTP协议中重组和解压数据。当使用TCP流跟踪但又没有完全解码出HTTP数据时,这个功能就派上用场了。

  • 如一个简单的HTTP交互举例来说,选中一个HTTP或TCP数据包,右键单击这个文件并选择追踪流。此时会打开一个新窗口。
    在这里插入图片描述

    在这里插入图片描述

    • 注意这个窗口中的文字以两个颜色显示,其中红色用来标记从源地址前往目标地址的流量,而蓝色用来区分出相反方向,也就是从目标地址到源地址的流量。这里的颜色标记以哪方先开始通信为准。

6,数据包长度

  • 一个或一组数据包的大小可以了解很多情况。在正常情况下,一个以太网上的帧最大长度为1518字节,除去以太网,IP以及TCP头,还剩下1460字节以供应用层协议的头或者数据使用。如果你知道报文传输的最小需求,那么我们可以通过一个捕获文件中数据包长度的分布情况,做一些对流量的合理猜测。Wireshark提供了数据包长度窗口,帮助你查看数据包基于其长度的分布情况。

  • 依次点击统计Statistics)-> 分组长度packet Lengths
    在这里插入图片描述

    在这里插入图片描述

  • 特别需要注意那些大小为1280~2559字节的数据包统计的行。这些较大的数据包通常表示数据传输,而较小的数据包则表示协议控制序列。

  • 剩下的大多数数据包都是在40~79字节范围内,而处于这个范围的数据包通常是不含数据的TCP控制数据包。

7,图形展示

7.1,查看IO图

  • WiresharkIO图窗口允许你对网络上的吞吐量进行绘图。可以利用这些图,找到数据吞吐的峰值,找出不同协议中的性能时滞,以及比较实时数据流。

  • 选择统计(Statistics)—>IO Graphs
    在这里插入图片描述

    在这里插入图片描述

7.2,双向时间图

  • Wireshark中的另一个绘图功能就是对给定捕获文件的双向时间绘图。双向时间(Round-Trip Time,RTT)就是接收数据包确认所需的时间。对双向时间的分析通常被用来寻找通信中的慢点或者瓶颈,以确定是否存在延迟。

  • 选择统计Statistics)—>TCP流图形TCP Stram Graph)—>往返时间Round Trip Time Graph
    在这里插入图片描述

    在这里插入图片描述

  • 图中每一点都代表了一个数据包的双向时间。在默认情况下,这些值以其序列号排序。可以单击这个图中的任何一个点,并在Packet List面板中看到相应的数据包。

7.3,数据流图

  • 数据流绘图功能对于可视化连接以及显示一定时间的数据流非常有用,这些信息使你可以更轻松地了解设备的通信方式。数据流图基本上以列的方式,将主机之间的连接显示出来,并将流量组织到一起,以便于你更直观地解读。

  • 选择统计Statistics)—>流量图
    在这里插入图片描述

    在这里插入图片描述

解决 python 中的 huggingface_hub
code_welike的博客
08-13 4713
在使用 python 的 huggingface_hub,有候会遇到类似于“huggingface_hub.utils._validators.HFValidationError Repo id must be in the form repo_name or name”的错误提示。这个错误的原因是在传入库的 ID 格式不正确导致的,我们可以通过对 ID 进行修改来解决这个问题。方法则是用来下载文件的。经过这个简单的修改后,就可以正确地加载模型和 tokenizer 了。
huggingface_hub.utils._validators.HFValidationError Repo id must be in the form repo_name or nam解决方案
weixin_43178406的博客
04-27 10万+
本文主要介绍了huggingface_hub.utils._validators.HFValidationError: Repo id must be in the form ‘repo_name’ or 'namespace/repo_name’解决方案,希望能对同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
huggingface_hub.errors.HFValidationError: Repo id must be in the form ‘repo_name‘ or ‘namespace/repo
xuukai的博客
02-05 934
要再创建一个文件夹1_Pooling,然后把pooling_config.json放进去,改成config.json。变得和官网一模一样,才可以运行。但是下载之后,就变成了pooling_config.json。第一个文件夹打开之后,是config.json。1、要在官网里面,把全部内容下载。
[bug]all-MiniLM-L6-v2嵌入模型本地加载报错huggingface_hub.errors.HFValidationError: Repo id must use alphanumer
最新发布
weixin_44363167的博客
03-21 374
langchain中加载本地嵌入模型all-MiniLM-L6-v2报错
huggingface_hub.utils._validators.HFValidationError: Repo id must be in the form ‘repo_name‘ or ‘nam
风吹落叶的博客
04-22 4万+
复现chatGLM的候报了这个错。
加载Bert预训练模型报错huggingface_hub.utils._validators.HFValidationError
hhyer的博客
07-01 5500
很简单,我download下来的代码没有并没有模型参数的文件,所以去。里面放的是模型参数文件所在的文件夹而不是文件本身。下载然后放到文件夹里就好了。
huggingface_hub.utils._validators.HFValidationError
notDSQ的博客
05-23 726
实际模型保存在为当前 VS Code 工作目录的子文件夹。
模型启动报错 HFValidationError
衣有尘的博客
07-30 408
模型所在的/data/test/reranker文件夹,当前用户没有访问权限,修改reranker文件夹权限即可。(注意/data目录和/data/test目录当前用户也需要有访问权限)
BERTScore报错huggingface_hub.utils._validators.HFValidationError
zywhehe的博客
01-29 1013
huggingface_hub.utils._validators.HFValidationError
《Python基础教程》内容总览篇(持续更新中)
热门推荐
weixin_43178406的博客
08-26 29万+
大家好,我是爱编程的喵喵。双985硕士毕业,现担任全栈工程师一职,热衷于将数据思维应用到工作与生活中。从事机器学习以及相关的前后端开发工作。曾在阿里云、科大讯飞、CCF等比赛获得多次Top名次。现为优快云博客专家、人工智能领域优质创作者。喜欢通过博客创作的方式对所学的知识进行总结与归纳,不仅形成深入且独到的理解,而且能够帮助新手快速入门。个人精心开设的《Python基础课程》专栏订阅量接近900,帮助不少同学解决了Bug。
(env) (base) PS D:\MiniGPT-4> python demo.py --cfg-path eval_configs/minigpt4_eval.yaml Initializing Chat Loading VIT Loading VIT Done Loading Q-Former Traceback (most recent call last): File "D:\MiniGPT-4\env\lib\site-packages\transformers\utils\hub.py", line 409, in cached_file resolved_file = hf_hub_download( File "D:\MiniGPT-4\env\lib\site-packages\huggingface_hub\utils\_validators.py", line 120, in _inner_fn return fn(*args, **kwargs) File "D:\MiniGPT-4\env\lib\site-packages\huggingface_hub\file_download.py", line 1259, in hf_hub_download raise LocalEntryNotFoundError( huggingface_hub.utils._errors.LocalEntryNotFoundError: Connection error, and we cannot find the requested files in the disk cache. Please try again or make sure your Internet connection is on. During handling of the above exception, another exception occurred: Traceback (most recent call last): File "D:\MiniGPT-4\demo.py", line 57, in <module> model = model_cls.from_config(model_config).to('cuda:0') File "D:\MiniGPT-4\minigpt4\models\mini_gpt4.py", line 241, in from_config model = cls( File "D:\MiniGPT-4\minigpt4\models\mini_gpt4.py", line 64, in __init__ self.Qformer, self.query_tokens = self.init_Qformer( File "D:\MiniGPT-4\minigpt4\models\blip2.py", line 47, in init_Qformer encoder_config = BertConfig.from_pretrained("bert-base-uncased") File "D:\MiniGPT-4\env\lib\site-packages\transformers\configuration_utils.py", line 546, in from_pretrained config_dict, kwargs = cls.get_config_dict(pretrained_model_name_or_path, **kwargs) File "D:\MiniGPT-4\env\lib\site-packages\transformers\configuration_utils.py", line 573, in get_config_dict config_dict, kwargs = cls._get_config_dict(pretrained_model_name_or_path, **kwargs) File "D:\MiniGPT-4\env\lib\site-packages\transformers\configuration_utils.py", line 628, in _get_config_dict resolved_config_file = cached_file( File "D:\MiniGPT-4\env\lib\site-packages\transformers\utils\hub.py", line 443, in cached_file raise EnvironmentError( OSError: We couldn't connect to 'https://huggingface.co' to load this file, couldn't find it in the cached files and it looks like bert-base-uncased is not the path to a directory containing a file named config.json. Checkout your internet connection or see how to run the library in offline mode at 'https://huggingface.co/docs/transformers/installation#offline-mode'.
07-23
这个错误是由于网络连接问题导致无法下载所需的模型和文件。在初始化Chat,脚本尝试从Hugging Face模型库中下载`Q-Former`模型,但由于无法连接到`https://huggingface.co`,导致下载失败。 请确保你的网络连接...
huggingface库LocalTokenNotFoundError:需要提供token
horsetaill的博客
02-18 2100
如何提供token呢?首先我们要去huggingface官网注册一个账号(如果打不开网页需要使用VPN),然后来到设置这里,点击Access Tokens。注意,在设置token的候,如果你想执行上传model之类的操作,需要新建一个write类型的token,不然可以使用read类型。根据报错信息可以看到是没有提供token,token就是在huggingface官网上每个账号的标识,根据token可以追溯到账号。然后接着输入token就好了。
HFValidationError: Repo id must be in the form ‘repo_name‘ or ‘namespace/repo_name‘: ‘/root/vicuna-7
入门记
07-06 1万+
在测试vicuna-7b模型,推理报错HFValidationError: Repo id must be in the form 'repo_name' or 'namespace/repo_name': '/root/vicuna-7b-fastchat'. Use `repo_type` argument if needed。解决:修改模型路径,我的是模型名称输错了,请仔细核对模型路径。
transformers加载huggingface模型报错ValueError: Connection error, and we cannot find……
sfgsdfg2516的博客
10-10 688
使用加载模型的from_pretrained(google-bert/bert-base-uncased)方法报错
解决huggingface_hub.utils._validators.HFValidationError: Repo id must be in the form ‘repo_name‘ or ‘n
qq_57101333的博客
11-29 9165
1、在autodl上部署chatglm3后本地运行遇到问题huggingface_hub.utils._validators.HFValidationError: Repo id must be in the form 'repo_name' or 'namespace/repo_name': 'ChatGLM3/chatglm3-6b/'. Use `repo_type` argument if needed.就是代码里路径出现了问题。我也是试了好多种方法花了一下午间,最后终于给解决了,好爽。
python代码调试遇到报错huggingface_hub.errors.HFValidationError
qq_39454370的博客
10-01 2115
报错内容:"huggingface_hub.errors.HFValidationError: Repo id must use alphanumeric chars or '-', '_', '.', '--' and '..' are forbidden, '-' and '.' cannot start or end the name, max length is 96:xxxxxx"
transformers加载模型报错
qq_28935065的博客
10-14 1424
当使用AutoModelForSeq2SeqLM加载模型报错RuntimeError: a view of a leaf Variable that requires grad is being used in an in-place operation. 一开始以为是transformers版本的问题,换个各种版本之后还是不行(尝试transformers 3.0,3.4,4.0),然后将torch(之前的版本是1.9)的版本换为1.7错误就没有了 ...
连接服务器huggingface_hub.utils._validators.HFValidationError: Repo id must be in the错误
m0_46117911的博客
03-20 549
连接服务器huggingface_hub.utils._validators.HFValidationError: Repo id must be in the错误
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值