[[411425]]

【數(shù)據(jù)包長度】在Wireshark的統(tǒng)計功能中往往是最容易被忽略的一項(xiàng)，也不被工程師所“待見”。其實(shí)這項(xiàng)統(tǒng)計分析很實(shí)用，很是喜歡，一直是本人用作網(wǎng)絡(luò)故障分析的“首選項(xiàng)”，抓取數(shù)據(jù)包或拿到問題數(shù)據(jù)包文件后，不做任何過濾，第一看“概要信息”，第二就是進(jìn)行數(shù)據(jù)包長度分析，其原因有二：

大包和小包的占比。通過圖表首先查看是否有小于40字節(jié)和大于2560字節(jié)的報文存在，如果有則判定為“異常”數(shù)據(jù)包，大量的小包將會使網(wǎng)絡(luò)開銷增大，線路傳輸抖動振蕩，造成網(wǎng)絡(luò)不穩(wěn)定，效率變低。反之大量的大包將會增加負(fù)荷，消耗帶寬，造成數(shù)據(jù)傳送丟包，延時，擁塞，嚴(yán)重時將造成網(wǎng)絡(luò)阻斷等故障。如：arp掃描，tcp重傳等。

分析包分布情況。打開【數(shù)據(jù)包長度】窗口，首先查看每一檔的報文數(shù)量，然后可以通過顯示過濾器篩選出“懷疑”的協(xié)議類型，分析在所有報文總數(shù)中的占比情況，逐一分析比對，從數(shù)據(jù)包長度的每一檔報文的分布情況，可以初步分析出是否有“異常”流量存在。如：arp病毒攻擊，廣播風(fēng)暴，路由環(huán)路等。

如果這兩點(diǎn)看不出什么問題，那么問題就很“奇怪”了，且需要深入分析。

【數(shù)據(jù)包長度】把所有數(shù)據(jù)包分為十檔(如圖)，每一檔都有具體的統(tǒng)計數(shù)值，占比等信息。從這一刻開始，重視【數(shù)據(jù)包長度】吧!