上一期我們討論的是如何使用Wireshark工具進(jìn)行結(jié)構(gòu)化搜索的技術(shù)，這一期我們將為大家進(jìn)行介紹，我們?cè)撊绾问褂?Allegro 網(wǎng)絡(luò)萬(wàn)用表來(lái)加快 pcap 分析器的工作。

前期回顧：構(gòu)建大型捕獲文件（Ⅰ）——Wireshark過(guò)濾器和其他Allegro網(wǎng)絡(luò)萬(wàn)用表工具

用Allegro網(wǎng)絡(luò)萬(wàn)用表對(duì)流量進(jìn)行預(yù)選

既然已經(jīng)介紹了一些關(guān)于如何創(chuàng)建大型 pcap 文件以更好地掌握它們的重要技術(shù)，這第二部分將介紹 Allegro 網(wǎng)絡(luò)萬(wàn)用表如何處理這一任務(wù)。

Allegro 網(wǎng)絡(luò)萬(wàn)用表并不能完全取代 Wireshark。然而，它被設(shè)計(jì)為預(yù)先過(guò)濾 pcap 文件，以便用 Wireshark 進(jìn)行更深入的數(shù)據(jù)包分析。

Allegro網(wǎng)絡(luò)萬(wàn)用表測(cè)量流量并實(shí)時(shí)顯示所有元數(shù)據(jù)；這適用于實(shí)時(shí)數(shù)據(jù)和歷史網(wǎng)絡(luò)流量。該工具的特殊之處在于其處理數(shù)據(jù)的速度。這對(duì)需要進(jìn)行pcap分析的用戶有利。

基本上，Allegro 網(wǎng)絡(luò)萬(wàn)用表提供兩種不同的功能。一方面，它可以在創(chuàng)建 pcap 時(shí)對(duì)流量進(jìn)行單獨(dú)和清晰的過(guò)濾；另一方面，現(xiàn)有的 pcap 文件可以上傳到設(shè)備上，以便預(yù)先選擇用 Wireshark 進(jìn)行分析。

從 Allegro 網(wǎng)絡(luò)萬(wàn)用表的數(shù)據(jù)中選擇性地捕獲 pcap

首先，這里討論的是作為預(yù)過(guò)濾器的功能。通過(guò) Allegro 網(wǎng)絡(luò)萬(wàn)用表，由于廣泛的過(guò)濾功能和數(shù)據(jù)關(guān)聯(lián)，人們可以輕松快速地導(dǎo)航到流量的位置。在那里，可以直接從懷疑有錯(cuò)誤的選定網(wǎng)絡(luò)流量中保存一個(gè) pcap。然后，這個(gè)大大縮小的 pcap 文件可用于 Wireshark 的快速分析。

從 Allegro 網(wǎng)絡(luò)萬(wàn)用表儀表板導(dǎo)航到可疑故障

這種捕獲功能被集成到Allegro網(wǎng)絡(luò)萬(wàn)用表的所有分析模塊中。從儀表板開始，你可以得到當(dāng)前網(wǎng)絡(luò)流量最重要的參數(shù)的第一份概覽，你可以通過(guò)時(shí)間線和圖表瀏覽不同的層次，更接近問(wèn)題。在用戶界面的大多數(shù)部分，都有一個(gè)pcap下載按鈕，通過(guò)這個(gè)按鈕，你可以很容易地捕獲顯示的、選定的網(wǎng)絡(luò)流量作為瀏覽器下載，無(wú)論你想從MAC統(tǒng)計(jì)中下載一個(gè)pcap，還是從HTTP協(xié)議中下載一個(gè)pcap，例如：

如果你想解決一個(gè)問(wèn)題，例如，為什么上周三的VoIP電話如此不穩(wěn)定，只要導(dǎo)航到SIP模塊，設(shè)置所需的時(shí)間范圍，并按抖動(dòng)對(duì)這個(gè)時(shí)間范圍內(nèi)的電話進(jìn)行排序，或直接按電話號(hào)碼過(guò)濾。有問(wèn)題的電話現(xiàn)在可以通過(guò)pcap下載，以便用Wireshark進(jìn)行進(jìn)一步的數(shù)據(jù)包分析。

不僅可以隨意預(yù)選流量，而且由于Allegro網(wǎng)絡(luò)萬(wàn)用表的存在，故障排除的時(shí)間可以大大縮短，創(chuàng)建一個(gè)pcap的時(shí)間也縮短到了一小部分。

此外，除了基本的管理員知識(shí)外，操作該設(shè)備不需要進(jìn)一步的專業(yè)知識(shí)。大多數(shù)過(guò)濾器都是預(yù)定義的，只需要進(jìn)行選擇。此外，操作者可以在命令行中相互組合。

將現(xiàn)有的 pcap 文件上傳到 Allegro 工具進(jìn)行過(guò)濾

Allegro網(wǎng)絡(luò)萬(wàn)用表為加快使用Wireshark提供的第二個(gè)功能是上傳pcaps。

如果在捕獲前沒有可能預(yù)先選擇網(wǎng)絡(luò)流量，例如從第三方收到要分析的pcap，那么文件可以通過(guò)USB或在瀏覽器中拖放的方式追溯上傳到Allegro網(wǎng)絡(luò)萬(wàn)用表，并可以使用該設(shè)備查看數(shù)據(jù)。

Allegro網(wǎng)絡(luò)萬(wàn)用表具有非常高的導(dǎo)入速度，所以文件可以很快被打開。這里的特別之處在于，你可以訪問(wèn)已經(jīng)導(dǎo)入的數(shù)據(jù)。這使分析的速度提高了許多倍。最重要的是，通常需要橋接的等待時(shí)間被消除了。因此，你可以留在主題上，不會(huì)有在等待時(shí)間內(nèi)分心的風(fēng)險(xiǎn)。

在 Allegro Network Multimeter 中，縮小的 pcap 可以如上所述重新導(dǎo)出，并在 Wireshark 中進(jìn)一步分析。

結(jié)論

等到打開一個(gè)pcap文件，然后確定重要的Wireshark數(shù)據(jù)已經(jīng)成為過(guò)去。

第一部分文章解釋了Wireshark為減少顯示的數(shù)據(jù)而加入的幾個(gè)過(guò)濾器功能。一些更深入的過(guò)濾器可能需要更深入的知識(shí)。

第二部分涉及Allegro Packets公司開發(fā)的Allegro網(wǎng)絡(luò)萬(wàn)用表，它提供了廣泛的過(guò)濾功能，只需點(diǎn)擊幾下就可以控制它們。

過(guò)濾器可以很容易地應(yīng)用，無(wú)需額外的語(yǔ)法知識(shí)，使其易于使用。此外，Allegro 網(wǎng)絡(luò)萬(wàn)用表加速了故障排除，因?yàn)榭梢钥焖俅_定錯(cuò)誤。從問(wèn)題區(qū)域記錄的 pcap 可以減少進(jìn)一步的數(shù)據(jù)包分析時(shí)間，因?yàn)?Allegro 網(wǎng)絡(luò)萬(wàn)用表可以非常快速地處理和讀取 pcap 文件。在讀取過(guò)程中可以對(duì)數(shù)據(jù)進(jìn)行分析。通常情況下，不需要使用 Wireshark 進(jìn)行詳細(xì)的數(shù)據(jù)包分析，因?yàn)閱?wèn)題可能已經(jīng)被 Allegro網(wǎng)絡(luò)萬(wàn)用表檢測(cè)到，并確定了解決方案。