轉自https://www.cnblogs.com/strick/p/6344486.html

一、基本資訊統計工具 1）捕獲檔案屬性（Summary）

1. File：瞭解抓包檔案的各種屬性，例如抓包檔案的名稱、路徑、檔案所含資料包的規模等資訊

2. Time：獲悉抓包的開始、結束和持續時間

3. Capture：抓包檔案由哪塊網絡卡生成、OS版本、Wireshark版本等資訊

4. Display：剩下的是彙總統計資訊，資料包的總數、數量以及佔比情況、網速等

2）協議分級（Protocol Hierarchy）

1. Protocol：資料包所歸屬的協議名稱

2. % Packets：抓包檔案中所含資料包個數在每一種協議型別中的佔比情況

3. Packets：每一種協議型別資料包的個數

4. % Bytes：抓包檔案中所含資料包位元組數在每一種協議型別中的佔比情況

5. Bytes：每一種協議型別資料包的位元組數

6. MBit/s：某種協議型別的資料包在抓包時段內的傳輸速率

7. End Packets：隸屬於該協議型別的資料包的純粹數量，例如TCP，純粹指的是TCP頭部之後沒有高層協議頭部（HTTP頭等）

8. End Bytes：隸屬於該協議型別的資料包的純粹位元組數

9. End Bits/s：隸屬於該協議型別的資料包在抓包時段內的純粹傳輸速率

3）對話（Conversation）

一次對話是指發生於一對特定端點（主機、伺服器或網路裝置）之間的所有流量。

TCP或UDP對話包括了4個特徵（源、目IP地址和源、目埠號）全都匹配的資料包。

1. Ethernet標籤：不同MAC地址的主機之間的交流

2. IPv4標籤：不同IPv4地址的主機之間的溝通

3. TCP或UDP：不同IPv4地址的主機之間建立的各種TCP或UDP，可以發現某臺主機是否開啟過多連線，是否與稀奇古怪的埠號建立了連線。

4）端點（Endpoints）

此工具用來觀察第二、三、四層端點（Ethernet端點、IP端點、TCP/UDP端點）有關的統計資訊。

粗看與對話視窗類似，但對話視窗中會有Address A與Address B兩個，而端點中只有一個。

5）HTTP統計資訊

1. 分組計數器（Packet Counter）：展示HTTP資料包的總數，請求資料包和響應資料包的數量。

2. 請求（Requests）：主機請求訪問Web站點的分佈情況，以及所訪問的Web站點的具體資源。

3. 負載分配（Load Distribution）：HTTP資料包（請求和響應）訪問過哪些站點。

6）IP屬性統計資訊

1. All Addresses：所有的地址

2. Destinations and Ports：目的地址和埠號

3. IP Protocol Types：IP協議型別

4. Source and Destination Addresses：源和目的地址

二、高階資訊統計工具——IO圖表（IO Graphs） 1）IO圖表（IO Graphs）

1. 樣式：Line（線）、Impulse（脈衝）、Fbar（粗線）、Dot（點）

2. X軸配置：

間隔（Tick Interval）取值範圍0.001秒~10分鐘

一天時鐘（View as time of day）勾選後會按一天當中的具體時刻來顯示

3. Y軸配置：

速率單位（Unit）：Pickets、Bytes、Bits、Advanced（包括SUM、MAX等）

平滑速率（Smooth）：每個計時單位內的平均傳輸速率

2）IO圖表高階配置（Y軸Unit引數Advanced選項）

單位時間：通過選擇X軸引數配置區域內的Tick Interval下拉選單項來指定

1. SUM(*)：每個單位時間內實際傳輸的IP資料包總位元組數

2. COUNT FRAMES(*)：每個單位時間內發生匹配該條件的數量，例如重傳數（tcp.analysis.retransmission）

3. COUNT FIELDS(*)：每個單位時間內所傳資料包中該欄位出現的次數

4. MAX(*)：每個單位時間內所傳資料包相關引數的最高值，例如距離上一個捕獲的包的時間間隔（frame.time_delta）

5. MIN(*)：每個單位時間內所傳資料包相關引數的最低值

6. AVG(*)：每個單位時間內所傳資料包相關引數的平均值

7. LOAD(*)：生成與響應時間有關的圖形

三、高階資訊統計工具——TCP流圖形（TCP StreamGraph） 1）時間序列（Stevens）

在單位時間內，受監控的TCP流在某個方向所傳資料的位元組流。

一條連綿不斷的斜線就表示正常的檔案傳輸，而斜線時斷時續，表示檔案傳輸存在問題；

斜線的角度越大，表示檔案的傳輸速率很高，反之，檔案傳輸緩慢。

2）時間序列（tcptrace）

監控TCP連線的諸多詳細資訊。

分析與此TCP有關的種種問題，包括TCP確認、TCP重傳、以及TCP視窗大小等資訊。

上面一條表示TCP接收視窗，當兩條曲線之間空間較大的時候，表示接收主機尚有快取；當近乎重疊的時候，TCP視窗已滿（window-full）不能繼續傳輸資料

下面一條表示在單位時間內，受監控的TCP流在某個方向所傳資料的位元組流（也就是Stevens）

圖中每個小豎條（放大後就能看到）表示TCP資料包起始和終止序列號都與縱座標上的數字相對應。

3）吞吐量（Throughput）

不但能瞭解TCP連線的吞吐量，而且還能判斷TCP連線是否穩定。

統計單位時間內在某一指定方向上傳輸的資料包的位元組數（左邊的Y軸）；

以此統計出來的吞吐量只是某個方向上傳輸的應用程式資料（不含IP頭與TCP頭）的吞吐量，單位為位元組/秒（右邊的Y軸）。

左邊的Y軸就是包中的Len值，對應的是深藍色的點；右邊的Y軸對應的是咖啡色的斜線。

4）往返時間（Round Trip Time）

瞭解某條TCP連線中特定方向上的所有TCP報文段的往返時間（RTT）

X軸為序列號欄位值，Y軸為時間值。

5）視窗尺寸（Window Scaling）

通過統計傳送方的接收視窗大小，以此瞭解特定TCP連線的效能。

當視窗變小時，相關應用程式的吞吐量會相應降低，視窗的大小完全受控於建立連線的兩個端點（伺服器和客戶端），大小的變化與網路效能無關。

四、專家資訊（Expert Info）工具 視窗由Errors、Warnings、Notes、Chats等構成。

1）Errors

資料包中有嚴重錯誤。

校驗和錯誤：Ethernet及IP校驗和錯誤。

偽造的資料包：一般涉及具體的應用層協議。

2）Warnings

資料包中有一般性問題。

與TCP視窗有關的事件TCP window full或TCP zero window，一般是連線裝置忙不過來所致。

與TCP報文段丟失或失序有關的事件，丟失是因為未抓全某個TCP資料流的所有TCP報文段；失序是因其感知到了TCP報文段未按發出的順序到達接收主機。

3）Notes

資料包中有可能會引發故障的異常現象，例如TCP重傳、重複確認、快速重傳等現象。

4）Chats

資料包都符合常規流量的特徵，包括SYN、FIN、RST以及各種狀態碼的HTTP事件。