通过Tshark分析数据包延时,丢包,乱序,重复问题

最新推荐文章于 2024-01-12 15:49:58 发布
最新推荐文章于 2024-01-12 15:49:58 发布
阅读量2.7k 收藏 7
点赞数 2
CC 4.0 BY-SA版权
分类专栏: linux 测试经验杂谈 网络知识 文章标签: tshark 数据包分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/leehomkey/article/details/80415892
本文介绍如何使用Tshark工具分析网络数据包间的延时、丢包、乱序及重复情况,并提供了一种脚本实现方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一.通过Tshark分析数据包之间延时,Tshark工具使用就不说了,自行学习。

步骤:

       1.从抓取数据包中过滤出需要分析的一条流

         tshark -r $server_packet_path -Y 'ip.src==${sip}&&ip.dst==${dip}&&${porto}.srcport==${sport}&&${porto}.dstport==${dport}' -w server_packet.pcap

       2. 使用Tshark解析得到这条流数据包之间的延时  

         tshark -r /home/vyos/server_packet.pcap -t d "|awk '{print$2}'  

二.通过Tshark分析丢包,乱序,重复

原理:

        根据过滤数据流的ip.id进行判断,数据包在传输过程中ip.id是不会变化的(被代理的除外),可以抓取发送端和接收端的报文进行ip.id对比来判断数据包在传输过程中是否有丢包,乱序,或者重复

具体的实现用如下脚本操作:

#!/bin/bash

sip=""
dip=""
porto=""
sport=""
dport=""
delay=""
client_packet_path=""
server_packet_path=""
time=`date +%H%M%S`
function Usage(){
echo "说明:通过packet-analysis分析一条数据流延时,丢包,乱序,重复的工具,提供三种模式进行选择"
echo "用法1 : packet-analysis -m 1 -s /sos/tmp/test.pcap -d 0.1 -w 11.1.1.1 -x 22.1.1.1 -y 50617 -z 5201 -p udp"
echo "用法2 : packet-analysis -m 2 -s /sos/tmp/test.pcap -d 0.1 -w 11.1.1.1 -x 22.1.1.1 -y 50617 -z 5201 -p udp"
echo "用法3 : packet-analysis -m 3 -c /sos/tmp/test001.pcap -s /sos/tmp/test.pcap -d 0.1 -w 11.1.1.1 -x 22.1.1.1 -y 50617 -z 5201 -p udp"
echo "选项:"
echo "    -m mode                mode=1:根据匹配条件解析出该条流的ip.id,并进行服务端的丢包,乱序,重复报文检测"
echo "                           mode=2:判断服务端数据包间延时是否满足要求"
echo "                           mode=3:判断是否存在丢包,乱序,重复报文,服务端报文延时是否满足要求"
echo "    -c client_packet_path  客户端报文路径"
echo "    -s server_packet_path  服务端报文路径"
echo "    -d delay               允许的数据包间延时"
echo "    -w sip                 过滤数据包的源IP"
echo "    -x dip                 过滤数据包的目的IP"
echo "    -y sport               过滤数据包的源端口"
echo "    -z dport               过滤数据包的目的端口"
echo "    -p porto               过滤数据包的协议,仅支持UDP/TCP"
echo "    -h help                帮助"
exit 1
}

function main()
{  
#如果没有输入参数,提示帮助说明
   if [ $# -lt 1 ];then
      Usage
   fi
   while getopts :m:c:s:d:w:x:y:z:p:h: opt
   do
      case $opt in
      m)
      mode=$OPTARG
      ;;
      c)
      client_packet_path=$OPTARG
      ;;
      s)
      server_packet_path=$OPTARG
      ;;
      d)
      delay=$OPTARG
      ;;
      w)
      sip=$OPTARG
      echo $sip |grep "^[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}$" > /dev/null || echo "源IP格式输入错误"
      ;;
      x)
      dip=$OPTARG
      echo $dip |grep "^[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}$" > /dev/null || echo "目的IP格式输入错误"
      ;;
      y)
      sport=$OPTARG
      ;;
      z)
      dport=$OPTARG
      ;;
      p)
      porto=$OPTARG
      ;;
      h)
      Usage
      ;;
      ?)
      Usage
      ;;
      esac
    done
    filter_packet
    if [ $mode -eq 1 ];then
    analysis_ip_id
    fi
    if [ $mode -eq 2 ];then
    compare_delay
    fi
    if [ $mode -eq 3 ];then
    compare_delay
    compare_ip_id
    fi
}


#过滤出所需数据包
function filter_packet()
{
    #数据包路径在/home/vyos/
    if [ !  $server_packet_path ];then
    echo "不存在服务端数据包"
    else
    su - vyos -c "/usr/bin/tshark -r $server_packet_path -Y 'ip.src==${sip}&&ip.dst==${dip}&&${porto}.srcport==${sport}&&${porto}.dstport==${dport}' -w server_packet.pcap"
    echo "成功过滤服务端端数据包"
    fi
    if [ !  $client_packet_path ];then
    echo "不存在客户端数据包"
    else
    su - vyos -c "/usr/bin/tshark -r $client_packet_path -Y 'ip.src==${sip}&&ip.dst==${dip}&&${porto}.srcport==${sport}&&${porto}.dstport==${dport}' -w client_packet.pcap"
    echo "成功过滤客户端端数据包"
    fi
}
#判断包间延时是否满足需求
function compare_delay()
{
interval_array=(`su - vyos -c "/usr/bin/tshark -r /home/vyos/server_packet.pcap -t d "|awk '{print$2}'`)
packet_all=`expr ${#interval_array[@]} - 1`
for ((i=0;i<$packet_all;i++))
  do
  a=`expr ${interval_array[i]} \< $delay`
  if [ $a -ne 1 ];then
  echo "第${i}个数据包延时超过${delay}"
  fi
 done
 }
 #判断数据包是否存在乱序,丢包,和重复
 function compare_ip_id()
 {
client_ip_id_array=(`su - vyos -c "/usr/bin/tshark -r /home/vyos/client_packet.pcap -T fields -e ip.id"`)
server_ip_id_array=(`su - vyos -c "/usr/bin/tshark -r /home/vyos/server_packet.pcap -T fields -e ip.id"`)
client_packet_all=`expr ${#client_ip_id_array[@]} - 1`
server_packet_all=`expr ${#server_ip_id_array[@]} - 1`
if [ $client_packet_all -eq $server_packet_all ];then
   for ((i=0;i<$client_packet_all;i++ ))
       do
       ip_id_differences=`expr ${client_ip_id_array[i]} - ${server_ip_id_array[i]}` 
       if [ $ip_id_differences -ne 0 ];then
           echo "数据包ID${server_ip_id_array[i]}存在乱序"
       fi
    done
elif [ $client_packet_all -gt $server_packet_all ];then
    for ((i=0;i<$server_packet_all;i++ ))
       do
       ip_id_differences=`expr ${client_ip_id_array[i]} - ${server_ip_id_array[i]}` 
       if [ $ip_id_differences -lt 0 ];then
           echo "数据包ID${server_ip_id_array[i]}存在丢包或者乱序"
       fi
    done
elif [ $client_packet_all -lt $server_packet_all ];then
    for ((i=0;i<$client_packet_all;i++ ))
       do
       ip_id_differences=`expr ${client_ip_id_array[i]} - ${server_ip_id_array[i]}` 
       if [ $ip_id_differences -gt 0 ];then
           echo "数据包ID${server_ip_id_array[i]}存在重复或者乱序"
       fi
    done
fi
}
function analysis_ip_id()
{
server_ip_id_array=(`su - vyos -c "/usr/bin/tshark -r /home/vyos/server_packet.pcap -T fields -e ip.id"`)
#echo "${server_ip_id_array[*]}"
packet_all=`expr ${#server_ip_id_array[@]} - 1`
for ((i=0;i<$packet_all;i++))
  do
  ip_id_interval=`expr ${server_ip_id_array[i+1]} - ${server_ip_id_array[i]}`
  if [ $ip_id_interval -gt 1 ];then
     echo "数据包ID${server_ip_id_array[i]}存在丢包"
  elif [ $ip_id_interval -eq 0 ];then
     echo "数据包ID${server_ip_id_array[i]}存在重复"
  elif [ $ip_id_interval -lt 0 ];then
     echo "数据包ID${server_ip_id_array[i]}存在乱序"
  fi
 done
}
main "$@"

wireshark网络分析笔记
05-30 1万+
本文是阅读《wireshark网络分析就这么简单》和《wireshark网络分析的艺术》做的一些笔记。技巧篇1、如只要分析ip头或tcp头,可减少每个抓数据的大小,通过设置limit each packet to的值即可(capture->options->双击抓网卡)2、设置的颜色 view —> Coloring Rules3、edit—>preferences 在此窗口单击 protoc
tshark小结
chen8238065的专栏
12-17 2万+
tshark命令详解网络抓分析工具。wireshark 的 Linux命令行工具。tshark option-i 设置抓的网络接口,不设置则默认为第一个非自环接口。 -D 列出当前存在的网络接口。在不了解OS所控制的网络设备时,一般先用“tshark -D”查看网络接口的编号以供-i参数使用。 -f 设定抓过滤表达式(capture filter expression)。抓过滤表达式的写法
tshark 用法笔记
bithz的专栏
10-25 693
tshark -f "tcp port 3868" -i eth0 tshark "tcp or
【测试】Linux网络性能评估工具iperf|qperf|netperf
我的笔记本
05-13 8144
介绍 测试: 带宽、延迟、抖动、数据包丢失率、最大传输单元等统计信息。 不同: qperf和iperf/netperf一样可以评测两个节点之间的带宽和延时,相比netperf和iperf,支持RDMA是qperf工具的独有特性。 说明 qperf qperf安装 可以直接通过yum源安装。#yun install qperf 同时会安装两个依赖(libibverbs, librdmacm),是直接和rdma功能相关的,不然无法启动rdma功能。也可以通过,https://pkgs.o.
wireshark之redis协议分析
编程随手记
03-11 2916
文章目录redis协议简介redis响应格式:使用wireshark 抓取redis数据包写一个redistemplate 的测试类, 向redis发送数据分析sentinel数据包分析redis server数据包 redis协议简介 redis使用的通信协议是RESP(REdis Serialization Protocol), 是一种简便, 可读性很好的通信协议 以下内容摘自RESP2的文档内容, 参考地址: https://redis.io/topics/protocol RESP3的文档地址: h
全网第三详细tshark使用帮助
12-11 9466
一 前言tshark作为wireshark的命令行版本,功能非常强大,可以抓数据包分析、提取文件、提取分析后的数据还支持各种格式,可以说一把流量分析的瑞士军刀,如果在低流量的场景,装下tshark命令,就可以做个功能比较丰富的分析系统了,结合检测规则,一个简单点的IDS系统就出来了。二 核心功能2.1 抓如同tcpdump一样,tshark也可以通过命令行方式进行流量捕获,功能一点也不弱。...
多路径传输乱序问题:原因、影响与解决方案的全面解析
针对乱序问题,本文进一步提出了相应的解决策略,并通过案例研究,提供了实际问题分析与解决的深度见解,以及经验总结和最佳实践建议。 # 关键字 多路径传输;乱序问题;网络拥堵;滑动窗口机制;应用层协议;诊断...
如何利用Wireshark工具分析TCP重传的具体原因?
最新发布
04-27
通过对比重传数据包与原始数据包之间的时间差,判断是否存在明显的延迟或丢包现象。可以在Wireshark中启用相对时间列(Relative Time),方便直观比较各个数据包的时间间隔[^3]。 ##### (3)**分析窗口大小...
数据包结构深度剖析】:二进制到网络层的揭秘之旅(价值型)
![【数据包结构深度剖析】:二进制到网络层的揭秘之旅(价值型)]...此外,本文还讨论了数据包捕获与分析工具的使用技巧和高级应用,提供了网络监控与
网络协议分析工具:如何使用Wireshark和其他工具进行故障排除
![网络协议分析工具:如何使用Wireshark和其他工具进行故障排除]...本文首先介绍了网络协议分析工具的基础知识,重点讲解了Wireshark这款广泛应用的工具的使用方法和界面功能。文章深入探讨了如何使用Wir
【Wireshark】Wireshark流量分析
A1_3_9_7的博客
01-12 4665
Wireshark流量分析
纵横网络靶场-简单流量分析-ICMP协议分析
m0_68113265的博客
10-16 723
不久前,运维人员在日常安全检查的时候发现现场某设备会不时向某不知名ip发出非正常的ICMP PING。这引起了运维人员的注意,他在过滤出ICMP分析并马上开始做应急处理很可能已被攻击的设备。某厂区遭到黑客恶意扫描,此为安全设备截取的一部分流量,请尝试分析该流量文件,帮助安全人员找到黑客的行为轨迹,并找到隐藏的FLAG,flag形式为 flag{}data内容为base编码,尝试解码之后为乱码。先tshark提取请求的ip地址的data内容(同个请求和应答都是相同内容)再输入字段形式。
tshark可以实现命令行脚本分析流量
weixin_34037515的博客
11-15 460
(1)tshark可以实现命令行的过滤。 转载于:https://blog.51cto.com/antivirusjo/1981891
tshark一些常用命令参数解析
nuisthou的博客
09-10 7160
https://www.wireshark.org/docs/man-pages/tshark.html官方阅读文档; 捕获接口:   -i: -i <interface> 指定捕获接口,默认是第一个非本地循环接口;   -f: -f <capture filter> 设置抓过滤表达式,遵循libpcap过滤语法,这个实在抓的过程中过滤,如果是分析本地文件则用不到。 ...
tshark在流量分析中的绝佳应用(超详细)
LainWith的博客
03-28 2万+
目录简介参数tshark与wireshark对比基本命令获取数据包摘要信息显示时间格式捕获过滤器捕获并保存数据包显示过滤器区分显示过滤器和读取过滤器一些好用的显示过滤器-e参数的应用HTTP中的应用案例mysql中的应用案例-z参数的应用专家信息:**-z expert**追踪流:**-z follow**-z http统计数据包信息统计会话统计出所有IP显示每个协议树的具体信息导出对象追踪流追踪tcp流/http流追踪流数量读取TCP流-纯16进制读取TCP流-16进制读取TCP流-ascii获取TCP流
tshark 使用说明
weixin_30951389的博客
12-07 410
yum install -y wireshark 最近才发现,原来wireshark也提供有Linux命令行工具-tsharktshark不仅有抓的功能,还带了解析各种协议的能力。下面我们以两个实例来介绍tshark工具。 tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e m...
如何使用tshark分析http请求
weixin_34348805的博客
04-21 911
wireshark 在linux下也可以安装 yum install -y wireshark抓分析http请求:tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri" ...
使用 wireshark 分析 redis 协议
dengyiyu5280的博客
01-27 1306
阅读目录 备注 Tips 分析过程 小结 如果想要和 redis 打交道, 譬如实现某种语言的 redis 的客户端, 实现 redis 的 proxy,都得懂 redis 的数据序列化协议 REdis Serialization Protocol(RESP)(MySQL 同理). Redis使用 TCP 作为其数据传输协议,而分析 TCP 就不得不...
使用WireShark进行网络数据包丢包分析
热门推荐
qq_28948353的博客
08-24 5万+
一、测试环境 前端设备入网平台地址:172.21.6.14 媒体转发平台地址:172.21.6.15 浏览客户端地址:172.21.10.54 二、使用wireshark对抓取数据包分析 (1)使用wireshark工具打开数据包,在Filter后面的输入框中输入目的地址为172.21.6.14,点击Apply进行rtp过滤,选中Telephony——RTP——Stream Anal...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值