19、网络故障排除与Wireshark v2新特性

网络故障排除与Wireshark v2新特性

网络故障排除基础

故障排除是一门需要经验积累的艺术，想要熟练掌握，就需要亲自实践。TCP协议提供了多种错误恢复功能，能帮助我们应对生产环境中常见的数据包丢失问题。例如，TCP重传和重复确认（duplicate ACKs）等技术，让网络管理员的工作轻松了一些。

日常工作中，网络速度慢是常见问题。在解决这类延迟问题前，要先将情况归类，分为线路、客户端或服务器延迟。解决瓶颈问题也很重要，比如数据包在发送方缓冲区排队导致的问题。解决瓶颈问题的最佳方法是借助IO图，直观地了解情况并加以控制。

应用程序常使用HTTP和DNS等协议，我们要熟悉这些协议可能出现的错误代码，即便不使用Wireshark，也要能识别问题。创建基线是处理网络问题的便捷方式，收集包含优化流量模式的跟踪文件，通过对比正常模式和异常模式，能更高效地解决问题。建议从网络的不同位置至少收集2 - 3次网络跟踪数据来创建基线。

以下是一些相关的实践问题：
1. 从网络的不同位置为通信中常用的各种协议创建基线。
2. 解释TCP错误恢复功能的各种特性。
3. 除了DNS和HTTP，还有哪些协议可能会带来麻烦，你会采用什么方法进行故障排除？
4. 解释“瓶颈问题”的含义，能否忽略这些问题，为什么？
5. 为自己的主机创建一个跟踪文件，至少捕获10,000个数据包。分析HTTP协议出现了多少种错误，以及能重现多少种错误。
6. 使用之前创建的基线，尝试匹配异常流量模式，观察对比过程中能发现哪些异常。
7. 针对DNS协议，重现除3之外的错误代码并捕获相关流量。
8. 为我们讨论的延迟类型准备一份清单，列出每个类别中尽可能多的场景。准备好后，在故障排除场景中使用这份清单，看看是否能加快整个过程。
9. 尝试为你想要的各种应用协议的错误响应创建着色规则，分析这对故障排除有什么影响。

Wireshark v2新特性介绍

Wireshark已经陪伴我们约20年了，此前没有重大更新，不过有一些小更新让它更便捷、更强大。现在，我们迎来了全新的Wireshark v2版本。在了解新特性之前，我们先简单了解一下QT和GTK框架。Wireshark v2基于QT框架开发，QT和GTK是用于开发跨平台GUI工具（如Wireshark）的框架。从用户角度看，主要区别在于图形界面；从性能上看，GTK比QT更经济。这些框架本质上是开发者用于为用户创建更好GUI的库，复用已有设计能让新程序与系统中其他程序的界面更相似。

要安装Wireshark v2，只需访问 http://wireshark.org ，进入下载页面，选择适合你操作系统的版本。安装时，Windows用户会被询问是否同时安装旧版本，而Mac和Linux用户只能安装最新版本。此外，安装过程中还会安装USBpcap，它能帮助用户捕获通过USB端口传输的数据，此前只有Linux用户可以使用，现在Windows用户也能用上了。

界面变化

Wireshark v2的主屏幕焕然一新，布局更合理、更简洁，即使是没有协议分析经验的新手也能轻松上手。工具栏经过优化，过滤掉了不常用的工具，提供了快速访问基本工具的途径，如开始和停止捕获按钮、界面自定义按钮、保存/打开/关闭当前捕获文件的按钮、导航工具以及自动滚动和着色激活/停用按钮。

显示过滤器工具集也进行了重新设计。在显示过滤器文本框的最左侧，有一个蓝色的书签图标，点击可查看默认和手动创建的过滤表达式，只需点击一下就能激活过滤器，比旧版本更方便快捷。在显示过滤器工具栏的另一端，一些旧工具进行了全新设计，功能也有所改进。现在，应用显示过滤器只需点击箭头，旁边的下拉菜单会显示常用的过滤表达式历史记录。还有一个表达式按钮，点击可访问按协议分类的所有可能过滤表达式的对话框。在显示过滤器文本框的最右侧，点击“+”号可以创建过滤按钮。例如，要创建一个只显示ARP数据包的按钮，只需在显示过滤器区域输入“arp”，然后点击“+”号，再指定按钮名称即可。

在显示过滤器工具栏下方，可以看到最近使用的文件，双击即可打开。再往下是捕获过滤器工具栏，其用途和使用方法大家应该都比较熟悉。主屏幕的一个重大变化是，接口名称后面跟着交互式图形，这些图形是实时的，能显示流量的波动情况。这些微型图形被称为火花线（sparklines），旧版本中显示的是实时统计数据的数值形式。如果要从某个接口捕获流量，只需双击图形区域，Wireshark就会自动完成操作。

智能滚动条

智能滚动条是Wireshark v2的新特性之一。在滚动条区域，你可能会注意到一些彩色的部分或线条。以一个包含HTTP、HTTPS数据包以及一些重传和重复帧的捕获文件为例，乍一看可能没什么区别，但当你开始滚动时，滚动条区域会显示基于应用程序着色规则的彩色模式。默认情况下，重复和重传数据包通常显示为黑色背景和红色前景，HTTP数据包显示为绿色背景和黑色前景。通过观察滚动条的着色模式，我们可以提前了解数据包的类型，更方便、快捷地定位到所需的数据包部分。

我们还可以自定义着色规则。例如，将HTTP数据包的背景颜色从绿色改为黄色，操作步骤如下：点击菜单栏中的“View”，选择最下方的“Coloring Rules”，在弹出的对话框中找到HTTP着色规则并将其背景颜色改为黄色，关闭对话框后重新打开捕获文件，就能看到滚动条和列表窗格中HTTP数据包的颜色都发生了变化。此外，工具栏进行了清理，着色规则工具集被移除，现在可以从“View”菜单中访问，着色规则窗口底部的“+”和“-”符号可用于配置规则。

翻译功能

Wireshark从1.99版本开始就提供了翻译功能，允许用户将应用程序的语言更改为自己选择的语言，如西班牙语、日语、中文（普通话）、波兰语、法语等。将应用程序的默认语言更改为用户的母语，能提升用户的使用体验，让用户更舒适、更高效地工作。以将系统默认语言更改为日语为例，操作步骤如下：
1. 导航到Wireshark | Preferences（Windows用户需要导航到View | Edit | Preferences）。
2. 在底部的下拉列表中选择日语，然后点击“OK”。
3. 此时，应用程序界面应该会显示为日语。
4. 如果要恢复为系统默认语言，重复上述步骤即可。

更棒的是，如果你想帮助Wireshark团队添加自己的母语，可以与他们取得联系。此外，从帮助菜单中可以列出所有键盘快捷键，使用这些快捷键能让操作更快捷，甚至创建图形也有快捷键可用。

图形改进

Wireshark v2在图形方面有了显著改进，让分析任务变得更轻松。以创建IO图为例，步骤如下：
1. 捕获网络的正常流量，或者打开之前捕获的跟踪文件。
2. 点击“Statistics”下的“IO Graph”，即可直接看到图形，无需额外操作。
3. 如果需要修改和配置图形，可以使用对话框底部的各种可配置选项。
4. 例如，要添加过滤器，点击底部的“+”号，会出现新的一行。
5. 若要查看ARP数据包的流量模式以及其他流量相关信息，可以在显示过滤器列中输入“arp”作为过滤表达式，在名称列中输入“ARP packets”。如果需要，还可以自定义图形的外观。
6. 可以看到，新创建的过滤器生效了，我们能在图形中观察到ARP数据包出现的频率。

使用图形变得更加方便，无需再向图形传递统计信息，选择所需的图形即可直接看到默认版本。如果需要根据自己的需求更改图形，使用图形末尾的工具集进行自定义配置即可。创建完IO图后，你会发现它非常简洁，有很多新特性。使用默认图形，大多数情况下能轻松发现跟踪文件中的流量变化。图形底部有单独的区域显示图例，还有其他可配置选项，如更改颜色、隐藏或启用过滤器等。在图形区域右键单击，还可以探索更多附加功能。现在，图形可以通过点击和拖动沿x轴和y轴移动，添加新参数也变得非常简单。

此外，Wireshark v2还支持同时打开两个图形，方便对比两个跟踪文件的流量模式。例如，对比正常的VoIP流量模式和恶意流量模式，通过图形对比能更直观地发现差异。还可以创建流图，这对分析TCP流以及了解SYN和ACK的协调机制很有帮助。在图形窗口的左下角有下拉列表，可以方便地在不同图形之间切换。如果需要为客户创建报告或作为自己的参考，还可以将图形导出为PDF格式，操作步骤如下：
1. 点击图形对话框窗口右下角的“Save as”图标。
2. 选择保存PDF的位置，然后点击“Save”。
3. 之后，在需要将图形导入报告时，像插入图片一样插入导出的PDF图形即可。

综上所述，Wireshark v2带来了众多令人惊喜的新特性，无论是界面的优化、智能滚动条的应用，还是翻译功能和图形改进，都让网络分析工作变得更加高效、便捷。希望大家能充分利用这些新特性，提升自己的工作效率和分析能力。

网络故障排除与Wireshark v2新特性

网络故障排除基础回顾与拓展

在前面我们了解到网络故障排除是一门依赖经验的艺术，TCP协议的错误恢复功能如重传和重复确认能应对数据包丢失问题。对于常见的网络延迟问题，要先进行分类，分为线路、客户端或服务器延迟。解决瓶颈问题可借助IO图。同时，熟悉应用协议（如HTTP和DNS）的错误代码以及创建基线对故障排除十分重要。

下面我们通过一个流程图来更清晰地展示网络故障排除的基本流程：

graph LR
    A[发现网络问题] --> B{问题分类}
    B -->|线路延迟| C[检查线路相关设备]
    B -->|客户端延迟| D[检查客户端配置和性能]
    B -->|服务器延迟| E[检查服务器负载和配置]
    C --> F{是否解决}
    D --> F
    E --> F
    F -->|是| G[问题解决]
    F -->|否| H[分析瓶颈问题]
    H --> I[使用IO图分析]
    I --> J{是否解决}
    J -->|是| G
    J -->|否| K[参考基线对比流量]
    K --> L{是否找到异常}
    L -->|是| M[针对异常处理]
    L -->|否| N[进一步分析协议错误代码]
    M --> G
    N --> G

实践问题是检验我们对故障排除知识掌握程度的有效方式。例如创建协议基线，我们可以按照以下步骤进行：
1. 确定要创建基线的协议，如HTTP、DNS、TCP等。
2. 从网络的不同位置（如不同的子网、不同的设备）收集至少2 - 3次网络跟踪数据。
3. 对收集到的数据进行整理和分析，找出正常情况下的流量模式和特征。
4. 将这些正常模式保存为基线文件，以便后续对比使用。

Wireshark v2新特性深入剖析

界面变化的优势分析

Wireshark v2的界面变化带来了诸多优势。工具栏的优化使得常用工具触手可及，提高了操作的便捷性。显示过滤器工具集的重新设计，让过滤器的使用更加高效。例如，通过书签图标快速访问过滤表达式，以及利用“+”号创建自定义过滤按钮，大大节省了时间。

以下是一个对比表格，展示旧版本和新版本显示过滤器使用的差异：
| 功能 | 旧版本 | 新版本 |
| ---- | ---- | ---- |
| 激活过滤器 | 需要从弹出窗口选择并应用 | 点击书签图标直接选择激活 |
| 创建自定义过滤器 | 手动输入表达式 | 输入表达式后点击“+”号创建按钮 |
| 访问常用过滤表达式 | 无便捷方式 | 点击箭头查看历史记录 |

主屏幕上的交互式图形（火花线）能实时展示流量波动，相比旧版本的数值统计，更加直观。用户可以通过双击图形区域快速开始捕获特定接口的流量，操作更加人性化。

智能滚动条的实际应用

智能滚动条基于着色规则显示不同颜色的线条和部分，能帮助我们快速定位特定类型的数据包。在实际应用中，我们可以根据不同的数据包类型设置不同的着色规则，例如：
| 数据包类型 | 背景颜色 | 前景颜色 |
| ---- | ---- | ---- |
| 重复和重传数据包 | 黑色 | 红色 |
| HTTP数据包 | 绿色（可自定义为黄色等） | 黑色 |

通过观察滚动条的颜色模式，我们可以提前了解数据包的分布情况。例如，如果滚动条上有一段绿色区域，说明该部分包含HTTP数据包；如果有黑色线条，可能存在重复和重传数据包。自定义着色规则时，我们可以按照前面介绍的步骤进行操作，这能让我们更清晰地识别不同类型的数据包。

翻译功能的价值体现

翻译功能让不同语言背景的用户都能更舒适地使用Wireshark。将界面语言更改为母语，能减少理解障碍，提高工作效率。例如，对于日语用户，将界面语言设置为日语后，操作界面更加亲切，能更快地找到所需的功能。而且，用户还可以参与到语言支持的工作中，帮助Wireshark团队添加自己的母语，这体现了Wireshark的开放性和社区参与性。

图形改进的综合效益

Wireshark v2在图形方面的改进带来了多方面的效益。创建IO图更加简单，无需复杂的操作就能直接看到图形。添加过滤器和自定义图形外观也变得轻松，让我们能更精准地分析特定类型的数据包流量。

同时，支持同时打开两个图形，方便对比不同的流量模式。例如，对比正常和异常的VoIP流量模式，能直观地发现流量的差异，有助于快速定位问题。创建流图能帮助我们深入了解TCP流的工作机制，特别是SYN和ACK的协调过程。图形导出为PDF格式的功能，方便我们为客户或自己生成报告，使分析结果更加直观和专业。

在实际工作中，我们可以充分利用这些图形改进的特性。例如，在分析网络故障时，创建IO图并添加相关过滤器，观察数据包流量的变化；对比正常和异常流量的图形，找出异常点；将分析结果以PDF图形的形式呈现，便于与团队成员或客户分享。

总之，网络故障排除和Wireshark v2的新特性为我们提供了强大的工具和方法。通过掌握故障排除的基本技巧和利用Wireshark v2的新特性，我们能更高效地解决网络问题，提升网络分析的能力和水平。希望大家在实际工作中不断实践和探索，充分发挥这些知识和工具的作用。