wireshark不同颜色报文含义(报文颜色)

已于 2022-08-23 17:58:42 修改
阅读量9.3k 收藏 43
点赞数 8
文章标签: wireshark 网络 tcp/ip
于 2022-08-23 16:32:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dontla/article/details/126487596
版权

文章目录

查看颜色映射

在这里插入图片描述

view–> color rules(视图 --> 着色规则)

在这里插入图片描述

在这里插入图片描述

含义

Bad TCP

tcp.analysis.flags && !tcp.analysis.window_update

即TCP解析出错,通常重传,乱序,丢包,重复响应都在此条规则的范围内。

HSRP State Change

hsrp.state != 8 && hsrp.state != 16

HSRP即热备份路由协议(Hot Standby Router Protocol),这条规则表示状态非active和standby。

Spanning Tree Topology Change

stp.type == 0x80

生成树协议的状态标记为0x80,生成树拓扑发生变化。

OSPF State Change

ospf.msg != 1

OSPF(Open Shortest Path First,开放式最短路径优先协议)的msg类型不是hello。

ICMP errors

icmp.type eq 3 || icmp.type eq 4 || icmp.type eq 5 || icmp.type eq 11
|| icmpv6.type eq 1 || icmpv6.type eq 2 || icmpv6.type eq 3 ||
icmpv6.type eq 4

ICMP协议错误,协议的type字段值错误。

ARP

arp

即ARP协议

ICMP

icmp || icmpv6

即icmp协议

TCP RST

tcp.flags.reset eq 1

TCP流被RESET。

SCTP ABORT

sctp.chunk_type eq ABORT

串流控制协议的chunk_type为ABORT(6)。

TTL low or unexpected

( ! ip.dst == 224.0.0.0/4 && ip.ttl < 5 && !pim) || (ip.dst ==
224.0.0.0/24 && ip.dst != 224.0.0.251 && ip.ttl != 1 && !(vrrp || carp))

TTL异常。

Checksum Errors

eth.fcs_bad1 || ip.checksum_bad1 || tcp.checksum_bad1 ||
udp.checksum_bad1 || sctp.checksum_bad1 || mstp.checksum_bad1 ||
cdp.checksum_bad1 || edp.checksum_bad1 || wlan.fcs_bad==1

条件中的各类协议的checksum异常,在PC上抓包时网卡的一些设置经常会使Wireshark显示此错误。

SMB

smb || nbss || nbns || nbipx || ipxsap || netbios

Server Message Block类协议。

HTTP

http || tcp.port == 80 || http2

HTTP协议,这是很简陋的识别方法。

IPX

ipx || spx

互联网络数据包交换(Internet work Packet Exchange)类协议。

DCERPC

dcerpc

即DCE/RPC,分散式运算环境/远端过程调用(Distributed Computing Environment / Remote Procedure Calls)协议。

Routing

hsrp || eigrp || ospf || bgp || cdp || vrrp || carp || gvrp || igmp ||
ismp

路由类协议。

TCP SYN/FIN

tcp.flags & 0x02 || tcp.flags.fin == 1

TCP连接的起始和关闭。

TCP

tcp

TCP协议。

UDP

udp

UDP协议。

Broadcast

eth[0] & 1

广播数据。

参考文章:Wireshark使用教程:不同报文颜色的含义

Dontla
关注
wireshark 着色规则的含义
杨杨杨~~的博客
03-07 608
如果您觉得有用的话,记得给,写作不易啊^ _ ^。而且听说,实在白嫖的话,那欢迎常来啊!!!
Wireshark不同颜色代表的不同含义
03-27
Wireshark捕获得到的数据包,不同颜色代表的不同含义
wireshark如何对数据包着色显示?
最新发布
技术札记
08-18 486
view》coloring rules》+添加新规则》指定bpf filter。比如丢包 重传 dscp等于多少 rdma报文 数建链链路报文等。经常需要对一些报文做特殊显示,所以为了提高效率,可以用颜色来区分。view》colorize》packe tlist打开着色。原理是 根据bpffilter匹配 并根据指定颜色标注。在wiresharhark里面提供了这个功能。可以用|| 和 && 表达式关系字符。比如说像数据有丢包,可以用红色标注。
Wireshark使用教程:不同报文颜色含义
热门推荐
协议分析与还原
01-08 7万+
Wireshark色彩规则。”在Wireshark主界面,报文会显示各种各样的颜色,它们表示不同含义。这些颜色,是由色彩规则控制的。对这些颜色进行适当的了解,对分析...
关于Wireshark 分析出现的各种颜色意义
09-23 5万+
Wireshark不同报文颜色含义
qq_42430287的博客
08-16 2424
Wireshark不同报文颜色含义
wireshark抓包红色_wireshark抓包常见提示含义解析
weixin_39984982的博客
12-20 8420
原文转自:http://blog.sina.com.cn/s/blog_987e00020102wq60.htmlhttp://www.cnblogs.com/redsmith/p/5462547.html=========================================================================1.[Packet size limited d...
wireshark抓取OMCI报文使用的omci.lua
06-30
wireshark抓取OMCI报文使用的omci.lua 1.把文件copy至wireshark安装目录(还有一个BinDecHex.lua文件也要复制到该目录),如C:\Program Files (x86)\Wireshark 2.更改init.lua文件,打开文件后,文件最后添加dofile...
iec104以太网报文可用wireshark打开
09-21
iec104协议以太网报文,可以用wireshark软件打开,适用于学习iec104报文解析,学习各种工业以太网协议可参考本人其他下载文件
wireshark GPON OMCI报文解析lua
12-01
本篇将深入探讨Wireshark如何通过Lua脚本解析GPON OMCI报文。 1. GPON OMCI协议基础: GPON OMCI是一种基于G.988标准的管理协议,它允许OLT(光线路终端)与ONU之间进行配置、状态查询、故障检测和性能监控。OMCI...
IEEE 1588(PTP)报文,可用wireshark解析
09-23
ieee1588 ptp协议以太网报文,可以用wireshark软件打开,适用于学习ieee1588 ptp报文解析,学习各种工业以太网协议可参考本人其他下载文件
wireshark解析omci报文脚本
01-19
在本场景中,我们关注的是"wireshark解析OMCI报文脚本",这涉及到Wireshark如何处理特定的电信管理网络(Telecommunications Management Network, TMN)中的光线路终端(Optical Line Terminal, OLT)和光网络单元...
wireshark抓包:报文信息
qq_43148894的博客
09-01 9050
使用wires hark抓包 色彩规则: 黑色:报文错误(TCP解析错误、重传、乱序、丢包、重复响应) Bad TCPTCP解析错误,通常为重传、乱序、丢包、重复响应 HSRP State Change:HSRP(热备份协议),表示状态非active和standby Spanning Tree Topology Change:生成树协议状态为0x80,拓扑发生变化 OSPF State Change:OSPF的msg类型不是hello ICMP errors:ICMP协议错误,协议type字段值错误
抓包怎么看懂数据信息_一文看懂使用Nordic nRF52840 Dongle 作为ZigBee sniffer抓包
weixin_39580749的博客
11-24 539
nRF52840 Dongle最早由Nordic 公司在2018年推出,Nordic公司宣称nRF52840 Dongle是一种小型,低成本的USB Dongle。这款Dongle可以对ZigBee进行抓包。本文档介绍如何使用Nordic的nRF52840 Dongle当作ZigBee sniffer来使用。Nordic官方有如何将nRF52840 Dongle 用作ZigBee sniffer的...
wireshark抓包详细图文教程
WEI的博客
11-11 9796
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。 wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler,其他协议比如TCP,UDP 就用wireshark.
报文分析笔记---常见wireshark报文标记
海渊_haiyuan的博客
08-09 9555
文章目录报文分析笔记---常见wireshark报文标记Fragmented IP protocolPacket size limited during captureTCP Previous segment not capturedTCP ACKed unseen segmentTCP Out-of-OrderTCP Dup ACKTCP Fast RetransmissionTCP Spurious RetransmissionTCP RetransmissionTCP zerowindowTCP wi
【010】设置Whireshark主窗口字体和颜色
专注【PostgreSQL源码学习&研究】
09-06 2587
所有与Wireshark的外观相关功能(比如字体、颜色、主窗口中显示的列数、捕获报文模式、协议、统计相关的配置)都是“编辑–>首选项”的按钮中。如下图所示:当点击“首选项”按钮之后,便会弹出下面的设置窗口。如果要修改Wireshark主窗口中显示的列数,则点击“Appearance”下的“Columns”,右边将会给出当前Wireshark主窗口中所有显示的列数和相对应列的名字。如果要修改Wireshark主窗口的字体和颜色,则选择“Appearance”下的“”。
wireshark抓包红色_Wireshark网络抓包(一)——数据包、着色规则和提示
weixin_39815600的博客
12-20 1208
一、数据包详细信息Packet Details面板内容如下,主要用于分析封包的详细信息。帧:物理层、链路层包:网络层段:传输层、应用层1)Frame物理层数据帧概况 2)Ethernet II数据链路层以太网帧头部信息3)Internet Protocol Version 4互联网层IP包头部信息IP包头:4)Transmission Control Protocol传输层数据段头部信息,此处是T...
wireshark 解密TLS报文
09-06
Wireshark解密TLS报文的过程相对较为复杂,但操作起来并不困难。首先,需要配置Chrome浏览器的TLS握手日志环境变量,以便将TLS握手信息导出到文件中。接下来,可以使用Wireshark来解析这些TLS握手日志文件。 然而,需要注意的是,Wireshark解密TLS报文存在一定的局限性。有时候,Wireshark无法解密的原因可能是因为报文通信所使用的密钥是之前商议好的,而Wireshark无法获取到相应的密钥信息。如果使用RSA密钥交换算法,需要在报文中包含ClientKeyExchange的消息,以便Wireshark可以获取到客户端产生的随机数(预主密钥),从而将密钥与报文进行匹配。如果无法获取到之前的密钥值,恢复会话就会变得困难。 另外,除了使用Wireshark解密TLS报文,还可以通过搭建代理服务器或使用Fiddler来解密。在使用Chrome浏览器时,也可以直接进行解析。Fiddler实际上是一个模拟的代理服务器,有很多网上教程可供参考。 综上所述,Wireshark解密TLS报文的过程需要配置TLS握手日志环境变量,并确保报文中包含必要的消息以获取密钥信息。同时,还可以考虑使用代理服务器或Fiddler来解密TLS报文。请注意,这些方法都有其限制和局限性,具体的操作步骤可以根据实际情况进行调整和实施。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Wireshark 解密 TLS报文](https://blog.csdn.net/s2603898260/article/details/122571160)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [解密TLS协议全记录之利用wireshark解密](https://blog.csdn.net/walleva96/article/details/106844033)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Dontla

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值