Wireshark

From Frotmail Projects
Revision as of 09:47, 5 April 2022 by Eric (talk | contribs) (Created page with "=Hoe herken je waar een capture is gemaakt= ==Lokaal of via een span poort?== Of een sessie lokaal is vastgelegd of via een spanpoort binnen is gekomen kan relevant zijn bij het interpreteren van een dump file. Checksum errors (wegens offloading) bijvoorbeeld zijn heel normaal bij een lokale dump maar niet te verwachten uit een spanpoort. Kleinste ethernet pakket = 64 bytes Als het pakket kleiner is wordt dit door de NIC aangevult (padding) FSC wordt door wireshark...")
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigation Jump to search

Hoe herken je waar een capture is gemaakt

Lokaal of via een span poort?

Of een sessie lokaal is vastgelegd of via een spanpoort binnen is gekomen kan relevant zijn bij het interpreteren van een dump file. Checksum errors (wegens offloading) bijvoorbeeld zijn heel normaal bij een lokale dump maar niet te verwachten uit een spanpoort.

Kleinste ethernet pakket = 64 bytes

Als het pakket kleiner is wordt dit door de NIC aangevult (padding)

FSC wordt door wireshark niet altijd weergegeven: 4 bytes
Kleinste pakket in wireshark is dus: 60 bytes

Zie je een pakket dat kleiner is? Dan is het een lokaal packet en is deze nooit op de wire geweest. Dus een dump vanuit wireshark op het systeem.

Bij de Client of Server?

Het kan belangrijk zijn om vast te stellen waar een capture is gemaakt. Bij timing/performance issues bijvoorbeeld.

Aan de three-way-handshake van een TCP sessie kunnen we 2 dingen aflezen:

  • Waar de capture is gemaakt
  • Wat de RTT (Round Trip Time) is

Neem de volgende handshake:

  • 1) De client stuurt een SYN
  • 2) Server stuurt een SYN ACK
  • 3) Client stuurt een ACK

In de capture zal waarschijnlijk tussen 1 en 2 OF tussen 2 en 3 een minimale delay zitten ( < 0.0001 ). De server stuurt zijn SYN ACK vrijwel direct nadat hij de SYN krijgt, en de client stuurt zijn ACK ook vrijwel direct nadat de SYN ACK binnen komt.

  • Zit er dus geen delay tussen 1 en 2 is de dump gemaakt aan de server kant. De RTT is dan het verschil tussen 2 en 3.
  • Zit er geen delay tussen 2 en 3 dan is de dump gemaakt aan de client kant. De RTT is dan het verschil tussen 1 en 2.

Zoeken

tcp.flag.syn -> het veld bestaat in het pakket (zegt niets over de inhoud van dit veld)
tcp.flag.syn == 1 -> check ook de waarde
ip.addr != 192.168.1.1 -> er is EEN veld dat niet deze waarde heeft
!ip.addr == 192.168.1.1 -> er mag GEEN veld zijn met deze waarde