wireshark不同颜色报文含义(报文颜色)

已于 2022-08-23 17:58:42 修改
阅读量1w 收藏 48
点赞数 9
文章标签: wireshark 网络 tcp/ip
于 2022-08-23 16:32:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dontla/article/details/126487596
版权

文章目录

查看颜色映射

在这里插入图片描述

view–> color rules(视图 --> 着色规则)

在这里插入图片描述

在这里插入图片描述

含义

Bad TCP

tcp.analysis.flags && !tcp.analysis.window_update

即TCP解析出错,通常重传,乱序,丢包,重复响应都在此条规则的范围内。

HSRP State Change

hsrp.state != 8 && hsrp.state != 16

HSRP即热备份路由协议(Hot Standby Router Protocol),这条规则表示状态非active和standby。

Spanning Tree Topology Change

stp.type == 0x80

生成树协议的状态标记为0x80,生成树拓扑发生变化。

OSPF State Change

ospf.msg != 1

OSPF(Open Shortest Path First,开放式最短路径优先协议)的msg类型不是hello。

ICMP errors

icmp.type eq 3 || icmp.type eq 4 || icmp.type eq 5 || icmp.type eq 11
|| icmpv6.type eq 1 || icmpv6.type eq 2 || icmpv6.type eq 3 ||
icmpv6.type eq 4

ICMP协议错误,协议的type字段值错误。

ARP

arp

即ARP协议

ICMP

icmp || icmpv6

即icmp协议

TCP RST

tcp.flags.reset eq 1

TCP流被RESET。

SCTP ABORT

sctp.chunk_type eq ABORT

串流控制协议的chunk_type为ABORT(6)。

TTL low or unexpected

( ! ip.dst == 224.0.0.0/4 && ip.ttl < 5 && !pim) || (ip.dst ==
224.0.0.0/24 && ip.dst != 224.0.0.251 && ip.ttl != 1 && !(vrrp || carp))

TTL异常。

Checksum Errors

eth.fcs_bad1 || ip.checksum_bad1 || tcp.checksum_bad1 ||
udp.checksum_bad1 || sctp.checksum_bad1 || mstp.checksum_bad1 ||
cdp.checksum_bad1 || edp.checksum_bad1 || wlan.fcs_bad==1

条件中的各类协议的checksum异常,在PC上抓包时网卡的一些设置经常会使Wireshark显示此错误。

SMB

smb || nbss || nbns || nbipx || ipxsap || netbios

Server Message Block类协议。

HTTP

http || tcp.port == 80 || http2

HTTP协议,这是很简陋的识别方法。

IPX

ipx || spx

互联网络数据包交换(Internet work Packet Exchange)类协议。

DCERPC

dcerpc

即DCE/RPC,分散式运算环境/远端过程调用(Distributed Computing Environment / Remote Procedure Calls)协议。

Routing

hsrp || eigrp || ospf || bgp || cdp || vrrp || carp || gvrp || igmp ||
ismp

路由类协议。

TCP SYN/FIN

tcp.flags & 0x02 || tcp.flags.fin == 1

TCP连接的起始和关闭。

TCP

tcp

TCP协议。

UDP

udp

UDP协议。

Broadcast

eth[0] & 1

广播数据。

参考文章:Wireshark使用教程:不同报文颜色的含义

wireshark抓包红色_wireshark抓包常见提示含义解析
weixin_39984982的博客
12-20 9076
原文转自:http://blog.sina.com.cn/s/blog_987e00020102wq60.htmlhttp://www.cnblogs.com/redsmith/p/5462547.html=========================================================================1.[Packet size limited d...
Wireshark颜色规则/各种颜色代表含义
最新发布
2501_91003980的博客
03-07 1340
各类异常,如TCP RST(TCP流被RESET)、SCTP ABORT(串流控制协议的chunk_type为ABORT)、TTL低或意外、校验和错误等。:表示错误或异常的数据包,如重传、损坏的数据包等。通过这些颜色编码,用户可以快速过滤和识别不同类型的数据包,帮助他们更有效地分析网络流量和排查问题。‌软件测试‌:软件测试工程师使用Wireshark来抓包和分析自己测试的软件。小伙伴们,大家好呀!:表示TCP窗口更新、ICMP数据包等其他类型的数据包。‌应急响应‌:运维人员用于日常工作中的应急响应‌。
Wireshark不同颜色代表的不同含义
03-27
Wireshark捕获得到的数据包,不同颜色代表的不同含义
Wireshark使用教程:不同报文颜色含义
热门推荐
协议分析与还原
01-08 8万+
Wireshark色彩规则。”在Wireshark主界面,报文会显示各种各样的颜色,它们表示不同含义。这些颜色,是由色彩规则控制的。对这些颜色进行适当的了解,对分析...
关于Wireshark 分析出现的各种颜色意义
09-23 5万+
Wireshark不同报文颜色含义
qq_42430287的博客
08-16 3041
Wireshark不同报文颜色含义
wireshark抓包:报文信息
qq_43148894的博客
09-01 1万+
使用wires hark抓包 色彩规则: 黑色:报文错误(TCP解析错误、重传、乱序、丢包、重复响应) Bad TCP:TCP解析错误,通常为重传、乱序、丢包、重复响应 HSRP State Change:HSRP(热备份协议),表示状态非active和standby Spanning Tree Topology Change:生成树协议状态为0x80,拓扑发生变化 OSPF State Change:OSPF的msg类型不是hello ICMP errors:ICMP协议错误,协议type字段值错误
wireshark抓取OMCI报文使用的omci.lua
06-30
wireshark抓取OMCI报文使用的omci.lua 1.把文件copy至wireshark安装目录(还有一个BinDecHex.lua文件也要复制到该目录),如C:\Program Files (x86)\Wireshark 2.更改init.lua文件,打开文件后,文件最后添加dofile...
wireshark解析omci报文脚本
01-19
在本场景中,我们关注的是"wireshark解析OMCI报文脚本",这涉及到Wireshark如何处理特定的电信管理网络(Telecommunications Management Network, TMN)中的光线路终端(Optical Line Terminal, OLT)和光网络单元...
wireshark GPON OMCI报文解析lua
12-01
本篇将深入探讨Wireshark如何通过Lua脚本解析GPON OMCI报文。 1. GPON OMCI协议基础: GPON OMCI是一种基于G.988标准的管理协议,它允许OLT(光线路终端)与ONU之间进行配置、状态查询、故障检测和性能监控。OMCI...
IEEE 1588(PTP)报文,可用wireshark解析
09-23
ieee1588 ptp协议以太网报文,可以用wireshark软件打开,适用于学习ieee1588 ptp报文解析,学习各种工业以太网协议可参考本人其他下载文件
iec104以太网报文可用wireshark打开
09-21
iec104协议以太网报文,可以用wireshark软件打开,适用于学习iec104报文解析,学习各种工业以太网协议可参考本人其他下载文件
wireshark如何对数据包着色显示?
技术札记
08-18 991
view》coloring rules》+添加新规则》指定bpf filter。比如丢包 重传 dscp等于多少 rdma报文 数建链链路报文等。经常需要对一些报文做特殊显示,所以为了提高效率,可以用颜色来区分。view》colorize》packe tlist打开着色。原理是 根据bpffilter匹配 并根据指定颜色标注。在wiresharhark里面提供了这个功能。可以用|| 和 && 表达式关系字符。比如说像数据有丢包,可以用红色标注。
wireshark 着色规则的含义
杨杨杨~~的博客
03-07 705
如果您觉得有用的话,记得给,写作不易啊^ _ ^。而且听说,实在白嫖的话,那欢迎常来啊!!!
抓包怎么看懂数据信息_一文看懂使用Nordic nRF52840 Dongle 作为ZigBee sniffer抓包
weixin_39580749的博客
11-24 627
nRF52840 Dongle最早由Nordic 公司在2018年推出,Nordic公司宣称nRF52840 Dongle是一种小型,低成本的USB Dongle。这款Dongle可以对ZigBee进行抓包。本文档介绍如何使用Nordic的nRF52840 Dongle当作ZigBee sniffer来使用。Nordic官方有如何将nRF52840 Dongle 用作ZigBee sniffer的...
(转载)wireshark抓包的时候有黄条、蓝条各代表什么意思?
weixin_30825581的博客
04-27 1433
黄条代表SMB(Server Message Block)协议,如smb、nbss、netbios等。蓝条代表UDP协议。 方法:可以点WireShark的右边倒数第三个按钮(Editor coloring rules...)查看。 转载于:https://www.cnblogs.com/Robotke1/archive/2013/04/27/3046605.html...
wireshark抓包详细图文教程
WEI的博客
11-11 1万+
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。 wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler,其他协议比如TCP,UDP 就用wireshark.
报文分析笔记---常见wireshark报文标记
海渊_haiyuan的博客
08-09 1万+
文章目录报文分析笔记---常见wireshark报文标记Fragmented IP protocolPacket size limited during captureTCP Previous segment not capturedTCP ACKed unseen segmentTCP Out-of-OrderTCP Dup ACKTCP Fast RetransmissionTCP Spurious RetransmissionTCP RetransmissionTCP zerowindowTCP wi
Wireshark分析IP报文结构实验报告
实验报告主要涵盖了对IP报文结构的深入理解和分析,采用Wireshark工具进行实践操作。实验的主要目标是掌握Wireshark的使用,并理解IP报文的组成和工作原理。 在实验内容与要求部分,学生需要对捕获的网络分组进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Dontla

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值