[packetlength]往往是Wireshark的统计功能中最容易被忽视的一项,工程师们“等不及”。其实这个统计分析很实用,我也很喜欢。对于网络故障分析,它一直是我的“偏好”。捕获数据包或获取问题数据包文件后,不进行任何过滤。”,其次是分析数据包的长度。有两个原因:大包和小包的比例。通过图表,首先查看是否有小于40字节和大于2560字节的数据包。如果有数据包,则判断为“异常”数据包。大量的小数据包会增加网络开销,线路传输会抖动、震荡,导致网络不稳定,效率低下。反之,大大包的数量会增加负载,消耗带宽,造成数据传输丢包、延迟、拥塞,严重时会造成网络阻塞等故障。如:arp扫描、tcp重传等分析包分布.打开【DataPacketLength】窗口,首先查看每个文件中的数据包数量,然后通过显示过滤器过滤掉“可疑”的协议类型,分析所有数据包占总数的比例,并一一分析比较。从每个文件的包长分布可以初步分析是否存在“异常”流量。如:arp病毒攻击、广播风暴、路由环路等。如果这两点都没有问题,那么问题就很“奇怪”了,需要深入分析。【数据包长度】将所有数据包分成十个文件(如图),每个文件都有具体的统计值、比例等信息。从这一刻开始,注意【数据包长度】!
