[[411425]]

【數據包長度】在Wireshark的統計功能中往往是最容易被忽略的一項，也不被工程師所“待見”。其實這項統計分析很實用，很是喜歡，一直是本人用作網絡故障分析的“首選項”，抓取數據包或拿到問題數據包文件后，不做任何過濾，第一看“概要信息”，第二就是進行數據包長度分析，其原因有二：

大包和小包的占比。通過圖表首先查看是否有小于40字節和大于2560字節的報文存在，如果有則判定為“異常”數據包，大量的小包將會使網絡開銷增大，線路傳輸抖動振蕩，造成網絡不穩定，效率變低。反之大量的大包將會增加負荷，消耗帶寬，造成數據傳送丟包，延時，擁塞，嚴重時將造成網絡阻斷等故障。如：arp掃描，tcp重傳等。

分析包分布情況。打開【數據包長度】窗口，首先查看每一檔的報文數量，然后可以通過顯示過濾器篩選出“懷疑”的協議類型，分析在所有報文總數中的占比情況，逐一分析比對，從數據包長度的每一檔報文的分布情況，可以初步分析出是否有“異常”流量存在。如：arp病毒攻擊，廣播風暴，路由環路等。

如果這兩點看不出什么問題，那么問題就很“奇怪”了，且需要深入分析。

【數據包長度】把所有數據包分為十檔(如圖)，每一檔都有具體的統計數值，占比等信息。從這一刻開始，重視【數據包長度】吧!