Wireshark
Hoe herken je waar een capture is gemaakt
Lokaal of via een span poort?
Of een sessie lokaal is vastgelegd of via een spanpoort binnen is gekomen kan relevant zijn bij het interpreteren van een dump file. Checksum errors (wegens offloading) bijvoorbeeld zijn heel normaal bij een lokale dump maar niet te verwachten uit een spanpoort.
Kleinste ethernet pakket = 64 bytes
Als het pakket kleiner is wordt dit door de NIC aangevult (padding)
FSC wordt door wireshark niet altijd weergegeven: 4 bytes Kleinste pakket in wireshark is dus: 60 bytes
Zie je een pakket dat kleiner is? Dan is het een lokaal packet en is deze nooit op de wire geweest. Dus een dump vanuit wireshark op het systeem.
Bij de Client of Server?
Het kan belangrijk zijn om vast te stellen waar een capture is gemaakt. Bij timing/performance issues bijvoorbeeld.
Aan de three-way-handshake van een TCP sessie kunnen we 2 dingen aflezen:
- Waar de capture is gemaakt
- Wat de RTT (Round Trip Time) is
Neem de volgende handshake:
- 1) De client stuurt een SYN
- 2) Server stuurt een SYN ACK
- 3) Client stuurt een ACK
In de capture zal waarschijnlijk tussen 1 en 2 OF tussen 2 en 3 een minimale delay zitten ( < 0.0001 ). De server stuurt zijn SYN ACK vrijwel direct nadat hij de SYN krijgt, en de client stuurt zijn ACK ook vrijwel direct nadat de SYN ACK binnen komt.
- Zit er dus geen delay tussen 1 en 2 is de dump gemaakt aan de server kant. De RTT is dan het verschil tussen 2 en 3.
- Zit er geen delay tussen 2 en 3 dan is de dump gemaakt aan de client kant. De RTT is dan het verschil tussen 1 en 2.
Zoeken
tcp.flag.syn -> het veld bestaat in het pakket (zegt niets over de inhoud van dit veld) tcp.flag.syn == 1 -> check ook de waarde ip.addr != 192.168.1.1 -> er is EEN veld dat niet deze waarde heeft !ip.addr == 192.168.1.1 -> er mag GEEN veld zijn met deze waarde