5.2 基于协议分层结构的统计 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
需积分: 0 125 浏览量
2022-08-03
22:39:47
上传
评论
收藏 490KB PDF 举报
4/29/2021
5.2
基
于
协
议
分
层
结
构
的
统
计
- Wireshark
数
据
包
分
析
实
战
(
第
3
版
)
-
知
乎
书
店
https://www.zhihu.com/pub/reader/119630841/chapter/1150781693823680512 1/2
5.2
基
于
协
议
分
层
结
构
的
统
计
当
在
与
未
知
的
捕
获
⽂
件
打
交
道
时
,
有
时
需
要
知
道
⽂
件
中
协
议
的
分
布
情
况
,
也
就
是
捕
获
中
TCP
、
IP
、
DHCP
等
所
占
的百
分
⽐
是
多
少
。
除
了
计
算
并
汇
总
数
据
包
之
外
,
使
⽤
Wireshark
的
ProtocolHierarchyStatistics
(
协
议
分
层
统
计
)
窗
⼝
也
是
⼀个
对
你
的
⽹
络
进
⾏
基
准
分
析
的
好
⽅
法
。
举
例
来
说
,
保
持
lotsofweb.pcapng
⽂
件
打
开
并
且
清
除
之
前
的
过
滤
器
,
选
择
Statistics->ProtocolHierarchy
打
开
协
议
分
层
统
计
窗
⼝
(
⻅
图
5-7
)
。
图
5-7
协
议
分
层
统
计
窗
⼝
给
出
了
各
种
协
议
的
分
布
统
计
情
况
协
议
分
层
统
计
窗
⼝
就
像
⼀
张
快
照
,
会
让
你
直
观
地
看
到
⽹
络
活
动
中
的
各
种
类
型
。
在图
5-7
中
,
以
太
⽹
流
量
占
100%
,
IPv4
流
量
占
99.7%
,
TCP
流
量
占
98%
,
来
⾃
⽹
⻚
浏
览
的
HTTP
流
量
占
13.5%
。
这
些
信
息
给
我
们
提
供
了
⼀
个
很
好
的
测
试
⽹
络
的
⽅
式
,
特
别
是
当
你
在
脑
海
中
对
⽹
络
流
量
通
常
是
什
么
样
⼦
有
了
⼤
致
的
印
象
后
。
举个
例
⼦
,
假
设
在
正
常
情
况
下
你
的
⽹
络
流
量
有
10%
是
ARP
流
量
,
但
在
最
近
的
⼀
次
捕
获
中
发
现
有
50%
的
ARP
流
量
,
你
就
可
以
推
断
也
许
哪
⾥
出
问
题
了
。
在
⼀
些
情
况
下
,
⼀
种
很
少
⻅
的
协
议
出
现
在
流
量
中
也
⽐
较
有
趣
。
如
果
你
没
去
设
置
使
⽤⽣
成
树
协
议
(
STP
)
的
设
备
但
⼜
在
协
议
分
层
统
计
中
看
到
STP
流
量
,
这
说
明
有
设
备
设
置
错
误
。
假
以
时⽇
,
你
就
可
以
通
过
查
看
正
在
使
⽤
协
议
的
分
布
情
况
,
来
得
到
⽹
络
中
⽤
⼾
和
设
备
的
情
况
。
⽐
如
说
,
当
你
看
到
⾼
HTTP
流
量
时
,
说
明
有
很
多
⽹
⻚
浏
览
在
进
⾏
。
你会
发
现
只
需
要
简
单
地
查
看
⽹
段
中
的
流
量
,
就
可
以
⽴
即
分
辨
这
个
⽹
段
属
于
哪
个
部
⻔
。
IT
部
⻔
⽹
段
的
流
量
中
通
常
包
含
管
理
协
议
,
例
如
ICMP
或
资源评论
