# 第?8?章?統計 **目錄** + [8.1\. 說明](#calibre_link-182) + [8.2\. 摘要窗口](#calibre_link-73) + [8.3\. "Protocol Hierarchy"窗口](#calibre_link-74) + [8.4\. "Endpoints"](#calibre_link-183) + [8.4.1\. 什么是Endpoint?](#calibre_link-184) + [8.4.2\. "Endpoints"窗口](#calibre_link-75) + [8.4.3\. 特定協議的"Endpoint List"窗口](#calibre_link-78) + [8.5\. 會話/conversations](#calibre_link-185) + [8.5.1\. 什么是會話/conversation?](#calibre_link-186) + [8.5.2\. "Conversations/會話" window](#calibre_link-187) + [8.5.3\. 協議指定“Conversation List/會話列表”窗口](#calibre_link-77) + [8.6\. "IO Graphs"窗口](#calibre_link-76) + [8.7\. 服務相應時間](#calibre_link-79) + [8.7.1\. "Service Response Time DCE-RPC"窗口](#calibre_link-188) + [8.8\. 協議指定統計窗口](#calibre_link-80) ## 8.1.?說明 Wireshark提供了多種多樣的網絡統計功能 包括，載入文件的基本信息(比如包的數量)，對指定協議的統計(例如，統計包文件內HTPP請求和應答數)，等等。 * 一般統計 * **Summary：**捕捉文件摘要 * **Protocal Hierarchy:** 捕捉包的層次結構 * **Endpoints** 例如：通訊發起，終止方的ip地址 * **Conversations** 例如：兩個指定IP之間的通信 * **IO Graphs** 包數目隨時間變化的曲線圖。 * 指定協議統計 * **Service Response Time** 從發起請求到相應請求的服務間隔時間。 * **Various other** 協議特有的統計 >  > 注意 > 協議特定的統計，需要有特定協議的細節了解。除非你對那個協議非常熟悉，統計結果不是那么那么容易理解的。 ## 8.2.?摘要窗口 當前捕捉文件的一般信息 **圖?8.1.?"Summary" 窗口**  File 捕捉文件的一般的信息 Time 第一個包和最后一個包的時間戳 Capture 包捕捉完成時的一些信息(僅當包數據已經從網絡捕捉，還沒有從文件載入) Display 與顯示有關的信息 Traffic 網絡傳輸的相關統計，如果設置了顯示過濾，你會看到兩列。**Captured**列顯示過濾前的信息，**Displayed**列顯示過濾后對應的信息。 ## 8.3.?"Protocol Hierarchy"窗口 顯示捕捉包的分層信息 **圖?8.2.?"Protocol Hierarchy" 窗口**  這個窗口現實的是捕捉文件包含的所有協議的樹狀分支。你可以展開或折疊分支，通過點擊+/-圖標。默認情況下，所有分支都是展開的。 每行包含一個協議層次的統計值 每列代表的意思 Protocol 協議名稱 %Packets 含有該協議的包數目在捕捉文件所有包所占的比例 Packet 含有該協議的包的數目 Bytes 含有該協議的字符數 MBit/s 該協議的帶寬，相對捕捉時間 End Packets End Bytes End MBit/s >  > 注意 > 包通常會包含許多協議，有很多協議會在每個包中被統計。例如：截屏中包括99.17%的IP，85.83%的TCP協議(它們的和超過了100%) >  > 注意 > 包的協議組成部分可以不包含高層協議，高層協議包統計百分比和可能并不等于100%，例如:截屏中TCP占85.83%，但是上層協議(HTTP...)卻比85%更少。這可能是因為TCP協議，例如：TCP ACK 包不會被統計到高層協議。 >  > 注意 > 一個單獨的包可以包含相同的協議不止一次，這種情況下，協議會被計數超過一次。例如某些通道配置的協議，IP層會出現兩次。(通道封裝的內容包括ip層，傳輸時將封裝過在用IP封裝一次) ## 8.4.?"Endpoints" 端點不著的統計 >  > 提示 > 如果在其他網絡工具工具中看到被稱為**Hostlist/主機列表**的東西，在這里就是Endpoint了。 ### 8.4.1.?什么是Endpoint? 一個網絡端點是在特定的協議層的通信的邏輯端點。Wireshark端點統計會將列出下列端點: Ethernet 以太網端點顯示的是以太網MAC地址 Fibre Channel 筆者未描述 FDDI FDDI端點是FDDI MAC地址 IPV4 IP端點是IP地址 IPX 筆者未介紹 TCP TCP端點由IP地址和TCP端口組成，同樣的IP地址加上不同的端口號，表示的是不同的TCP端點 Token Ring Token Ring(令牌環)端點是Token Ring MAC地址 UDP UDP端點是由IP地址和UDP端口組成，不同的UDP地址用同一個IP地址表示不同的UDP端點 >  > Broadcast / multicast endpoints（廣播/多播端點） > 廣播/多播通信會用額外的端點單獨顯示。當然，這些端點都是虛擬端點，真實的通信會被所有(多播的一部分)列出的單播端點接收。 ### 8.4.2.?"Endpoints"窗口 該窗口顯示端點捕捉的統計信息 **圖?8.3.?"Endpoints"窗口**  在該窗口中，每個支持的協議，都顯示為一個選項卡。選項標簽顯示被捕捉端點數目(例如："Ethernet :5"表示有5個ethenet 端點被捕捉到)。如果某個協議沒有端點被捕捉到，選項標簽顯示為灰色(盡管可以查看選項卡對應的頁面). 列表中每行顯示單個端點的統計信息。 **Name resolution** 如果選中該選項，將會對指定的協議層進行名字解析(當前選中的Ethernet endpoint 頁面是MAC層)。你可能注意到，第一行將前三個字節解析為"Netgear",第二行地址被解析為IP地址(通過arp協議解析)，第三行解析為廣播地址(未解析時mac地址為:ff:ff:ff:ff:ff:ff)，最后兩行的MAC地址未被解析。 >  > 提示 > 該窗口可能會頻繁那更新內容，在你進行實時捕捉之前打開了它(或者在這期間打開了它)，也依然有用。 ### 8.4.3.?特定協議的"Endpoint List"窗口 Before the combined window described above was available, each of its pages were shown as separate windows. Even though the combined window is much more convenient to use, these separate windows are still available. The main reason is, they might process faster for very large capture files. However, as the functionality is exactly the same as in the combined window, they won't be discussed in detail here. ## 8.5.?會話/conversations 已經捕捉的會話統計 ### 8.5.1.?什么是會話/conversation? 一個網絡會話，指的是兩個特定端點之間發生的通信。例如，一個IP會話是兩個IP地址間的所有通信。 ### 8.5.2.?"Conversations/會話" window 除了列表內容之外，會話窗口和端點窗口基本一樣，見[第?8.4.2?節 “"Endpoints"窗口”](#calibre_link-75 "8.4.2.?"Endpoints"窗口") **圖?8.4.?"Conversations"對話框**  ### 8.5.3.?協議指定“Conversation List/會話列表”窗口 Before the combined window described above was available, each of its pages were shown as separate windows. Even though the combined window is much more convenient to use, these separate windows are still available. The main reason is, they might process faster for very large capture files. However, as the functionality is exactly the same as in the combined window, they won't be discussed in detail here. ## 8.6.?"IO Graphs"窗口 用戶可配置的捕捉網絡數據圖形。 你可以設置五種不同顏色的圖形 **圖?8.5.?"IO Graphs" 窗口**  用戶可以對一下內容進行設置。 Graphs * **Graph 1-5:** 開啟1-5圖表(默認僅開啟graph 1) * **Color:** 圖表的顏色(不可修改) * **Filter:**指定顯示過濾器(only the packets that pass this filter will be taken into account for that graph) * **Style:**圖表樣式(Line/Impulse/FBar) X Axis * **Tick interval** 設置X軸的每格代表的時間(10/1/0.1/0.01/0.001 seconds)) * **Pixels per tick** 設置X軸每格占用像素 10/5/2/1 px Y Axis * **Unit y**軸的單位(Packets/Tick, Bytes/Tick, Bits/Tick, Advanced...) * **Ssale Y**軸單位的刻度(10,20,50,100,200,500,...) XXX - describe the Advanced feature. ## 8.7.?服務相應時間 服務響應時間是發送請求到產生應答之間的時間間隔。響應時間在很多協議中可用。 服務相應時間統計，在以下協議中可用 * DCE-RPC * Fibre Channel * H.225 RAS * LDAP * MGCP * ONC-RPC * SMB 后面將會以DCE-RPC為例介紹響應時間。 >  > 注意 > 其他服務相應時間在Windows平臺下都是相同的處理方法(或者僅僅輕微不同) ### 8.7.1.?"Service Response Time DCE-RPC"窗口 DCE-RPC的服務相應時間是在請求發起到相應請求的時間間隔 **圖?8.6.?"Compute DCE-RPC statistics"窗口**  你可以設置顯示過濾，減少用于統計的包的數量 **圖?8.7.?The "DCE-RPC Statistic for ..." 窗口**  Each row corresponds to a method of the interface selected (so the EPM interface in version 3 has 7 methods). For each method the number of calls, and the statistics of the SRT time is calculated. ## 8.8.?協議指定統計窗口 The protocol specific statistics windows display detailed information of specific protocols and might be described in a later version of this document. Some of these statistics are described at the [http://wiki.wireshark.org/Statistics](http://wiki.wireshark.org/Statistics) pages.