本文详细介绍了Wireshark工具中数据包详情区域的各个层面,包括物理层的捕获信息、数据链路层的以太网II数据帧、网络层的IPv4包头、UDP协议、SSDP服务发现、TCP传输控制及HTTP超文本传输协议。内容涵盖数据包的结构、着色规则、时间戳、协议解析和关键字段解释,为网络分析和故障排查提供详尽指南。
4、UDP User Datagram Protocol【用户数据报协议】
5、SSDP【Simple Service Discovery Protocol】【简单服务发现协议】
6、TCP Transmission Control Protocol 【传输控制协议】
7.HTTP Hyper Text Transfer Protocol 【超文本传输协议】
结构
显示过滤器的语法包含5个核心元素: IP、端口、协议、比较运算符和逻辑运算符。
IP地址:ip.addr、ip.src、ip.dst
端口:tcp.port、tcp.srcport、tcp.dstport
协议:tcp、udp、http
比较运算符:> < == >= <= !=
逻辑运算符:and、or、not、xor(有且仅有一个条件被满足)
5个核心元素可以自由组合,比如:
ip.addr == 192.168.32.121:显示IP地址为 192.168.32.121 的数据包
tcp.port == 80 :显示端口为 80 的数据包
数据包列表栏含义:
No. :包的编号 默认wireshark是按照数据包编号从低到高排序,该编号不会发生改变,即使使用了过滤也同样如此
Time:包的时间戳。时间格式可以自己设置
Source 和Destination :包的源地址和目的地址
Protocol:包的协议类型
Length:包的长度
Info:包的附加信息
| 序号 |
规则 |
含义 |
| 1 |
Bad TCP |
TCP解析出错,即重传,乱序,丢包,重复响应都在此条规则的范围内。 |
| 2 |
HSRP State Change |
热备份路由协议(Hot Standby Router Protocol),这条规则表示状态非active和standby。 |
| 3 |
Spanning Tree Topology Change |
生成树协议的状态标记为0x80,生成树拓扑发生变化。 |
| 4 |
OSPF State Change |
OSPF(Open Shortest Path First,开放式最短路径优先协议)的msg类型不是hello。 |
| 5 |
ICMP errors |
ICMP协议错误,协议的type字段值错误。 |
| 6 |
ARP |
ARP协议 |
| 7 |
ICMP |
icmp协议 |
| 8 |
TCP RST |
TCP流被RESET |
| 9 |
SCTP ABORT |
串流控制协议的chunk_type为ABORT(6)。 |
| 10 |
TTL low or unexpected |
TTL异常。 |
| 11 |
Checksum Errors |
条件中的各类协议的checksum异常,在PC上抓包时网卡的一些设置经常会使Wireshark显示此错误 |
| 12 |
SMB |
Server Message Block类协议。 |
| 13 |
HTTP |
HTTP协议,这是很简陋的识别方法。 |
| 14 |
DCERPC |
分散式运算环境/远端过程调用(Distributed Computing Environment / Remote Procedure Calls)协议 |
| 15 |
Routing |
路由类协议 |
| 16 |
TCP SYN/FIN |
TCP连接的起始和关闭。 |
最低0.47元/天 解锁文章
扫一扫
4013
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
