说明

Wireshark提供了多种多样的网络统计功能

包括，载入文件的基本信息(比如包的数量)，对指定协议的统计(例如，统计包文件内HTPP请求和应答数)，等等。

• 一般统计

• Summary：捕捉文件摘要
• Protocal Hierarchy: 捕捉包的层次结构
• Endpoints 例如：通讯发起，终止方的ip地址
• Conversations 例如：两个指定IP之间的通信
• IO Graphs 包数目随时间变化的曲线图。

• 指定协议统计

• Service Response Time 从发起请求到相应请求的服务间隔时间。

• Various other 协议特有的统计

当前捕捉文件的一般信息

File

捕捉文件的一般的信息

Time

第一个包和最后一个包的时间戳

Capture

包捕捉完成时的一些信息(仅当包数据已经从网络捕捉，还没有从文件载入)

Display

与显示有关的信息

Traffic

网络传输的相关统计，如果设置了显示过滤，你会看到两列。Captured列显示过滤前的信息，Displayed列显示过滤后对应的信息。

显示捕捉包的分层信息

这个窗口现实的是捕捉文件包含的所有协议的树状分支。你可以展开或折叠分支，通过点击+/-图标。默认情况下，所有分支都是展开的。

每行包含一个协议层次的统计值

每列代表的意思

Protocol

协议名称

%Packets

含有该协议的包数目在捕捉文件所有包所占的比例

Packet

含有该协议的包的数目

Bytes

含有该协议的字符数

MBit/s

该协议的带宽，相对捕捉时间

End Packets

End Bytes

End MBit/s

端点不着的统计

如果在其他网络工具工具中看到被称为Hostlist/主机列表的东西，在这里就是Endpoint了

什么是Endpoint?

一个网络端点是在特定的协议层的通信的逻辑端点。Wireshark端点统计会将列出下列端点:

Ethernet

以太网端点显示的是以太网MAC地址

Fibre Channel

笔者未描述

FDDI

FDDI端点是FDDI MAC地址

IPV4

IP端点是IP地址

IPX

笔者未介绍

TCP

TCP端点由IP地址和TCP端口组成，同样的IP地址加上不同的端口号，表示的是不同的TCP端点

Token Ring

Token Ring(令牌环)端点是Token Ring MAC地址

UDP

UDP端点是由IP地址和UDP端口组成，不同的UDP地址用同一个IP地址表示不同的UDP端点

该窗口显示端点捕捉的统计信息

在该窗口中，每个支持的协议，都显示为一个选项卡。选项标签显示被捕捉端点数目(例如："Ethernet :5"表示有5个ethenet 端点被捕捉到)。如果某个协议没有端点被捕捉到，选项标签显示为灰色(尽管可以查看选项卡对应的页面).

列表中每行显示单个端点的统计信息。

Name resolution如果选中该选项，将会对指定的协议层进行名字解析(当前选中的Ethernet endpoint 页面是MAC层)。你可能注意到，第一行将前三个字节解析为"Netgear",第二行地址被解析为IP地址(通过arp协议解析)，第三行解析为广播地址(未解析时mac地址为:ff:ff:ff:ff:ff:ff)，最后两行的MAC地址未被解析。

特定协议的"Endpoint List"窗口

Before the combined window described above was available,each of its pages were shown as separate windows. Even though the combinedwindow is much more convenient to use, these separate windows are stillavailable. The main reason is, they might process faster for very large capturefiles. However, as the functionality is exactly the same as in the combined window,they won't be discussed in detail here.

已经捕捉的会话统计

什么是会话/conversation?

一个网络会话，指的是两个特定端点之间发生的通信。例如，一个IP会话是两个IP地址间的所有通信。

"Conversations/会话" window

除了列表内容之外，会话窗口和端点窗口基本一样。

"Conversations"对话框

协议指定“Conversation List/会话列表”窗口

Before the combined window described above was available,each of its pages were shown as separate windows. Even though the combinedwindow is much more convenient to use, these separate windows are stillavailable. The main reason is, they might process faster for very large capturefiles. However, as the functionality is exactly the same as in the combinedwindow, they won't be discussed in detail here.

用户可配置的捕捉网络数据图形。

你可以设置五种不同颜色的图形

用户可以对一下内容进行设置。

Graphs

·       Graph1-5:开启1-5图表(默认仅开启graph 1)

·       Color:图表的颜色(不可修改)

·       Filter:指定显示过滤器(only the packets that pass thisfilter will be taken into account for that graph)

·       Style:图表样式(Line/Impulse/FBar)

X Axis

·       Tickinterval设置X轴的每格代表的时间(10/1/0.1/0.01/0.001seconds))

·       Pixelsper tick设置X轴每格占用像素10/5/2/1 px

Y Axis

·       Unit y轴的单位(Packets/Tick, Bytes/Tick,Bits/Tick, Advanced...)

·       SsaleY轴单位的刻度(10,20,50,100,200,500,...)

XXX - describe the Advanced feature.

服务响应时间是发送请求到产生应答之间的时间间隔。响应时间在很多协议中可用。

服务相应时间统计，在以下协议中可用

• DCE-RPC
• Fibre Channel
• H.225 RAS
• LDAP
• MGCP
• ONC-RPC
• SMB

后面将会以DCE-RPC为例介绍响应时间。

"Service Response Time DCE-RPC"窗口

DCE-RPC的服务相应时间是在请求发起到相应请求的时间间隔

你可以设置显示过滤，减少用于统计的包的数量

Each row corresponds to a method of the interfaceselected (so the EPM interface in version 3 has 7 methods). For each method thenumber of calls, and the statistics of the SRT time is calculated.