Wireshark网络分析实战笔记（四）高级信息统计工具的用法

IO Graphs：借助该工具同时配搭预先定义的显示过滤器，便可生成各种易于阅读的信息统计图表

使用方法：Statistics菜单栏下IO Graphs选项

显示过滤器的配置：在Display filter项内输入需要配置的显示过滤器（不配置显示过滤器就是显示所有的数据包），然后勾选上前面的对勾就可显示图表

IO Graphs应用

1、测量设备之间的吞吐量：

显示过滤器：ip.addr eq 10.100.235.172 and ip addr eq 10.100.235.172
小技巧：右键一个源10.100.235.172目的10.100.235.172的IP包，Conversations Filter中IPv4,Filter中会自动生成表达式

2、测量应用程序吞吐量：

显示过滤器：tcp.stream eq 2
小技巧：右键一个隶属该应用程序所触发的UDP/TCP数据包，Follow TCPstream,Filter中会自动生成表达式

IO Graphs中的Y Axis高级选项：

SUM():在Y Field中输入条件，统计每个计时单位内，实际传输IP数据包的总字节数，，并生成图像
COUNT FRAMES():在Y Field中输入条件，统计每个计时单位内，匹配发生该条件次数，并生成图像
COUNT FIELD():在Y Field中输入条件，统计每个计时单位内，数据包中该字段出现次数，并生成图像

MAX():在Y Field中输入条件，统计每个计时单位内，数据包中相关参数最高值，并生成图像

MIN()：在Y Field中输入条件，统计每个计时单位内，数据包相关参数最低值，并生成图像
AVG():在Y Field中输入条件，统计每个计时单位内，相关参数的平均值，并生成图像

IO Graphs中的Y Axis高级选项应用：

1.获悉网络中TCP重传次数：

显示过滤器：tcp
Y Axis:COUNT FRAMES():
Y Field:tcp.analysis.retransmission

2.生成数据帧接收时间间隔：

显示过滤器：ip.src==10.100.235.172
Y Axis:MAX()/MIN()
Y Field:fram.time_delta
补充：两个以“帧间间隔时间”为条件的显示过滤器：
           frame.time_delta:当前帧与上一帧之间的时间间隔
           rame.time_delta_displayed：当前帧与显示出的上一帧的时间间隔

TCP StreamGraph：借助该工具可以深窥单条TCP流的内在

Time Sequence(Stevens):单位时间受监控的TCP流在某个方向所传输的字节数

Time Sequence(tcptrace):下方线代表TCP在某方向上所传数据字节数，上方线代表TCP接收窗口，若上下两条线近乎重叠，则表示TCP窗口已满（window-full）

Throughput:了解TCP连接的吞吐量，判断TCP连接是否稳定

Roud Trip Time:了解TCP连接某条方向上的所有TCP报文段的往返时间（RTT）

Window Scaling :了解通过TCP连接传送数据时，由接收方所通告的窗口大小