wireshark 报文分析心得 – Identification 使用说明
前言
wireshark 是一个很常见的网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。
在实际工作中,经常需要使用它进行报文的分析工作,wireshark即可以在windows环境下进行抓包,更多的是将在Linux环境下通过tcpdump等抓包工具抓取到的数据报文进行分析,毕竟在windows环境下运行的wireshark在报文的可读性上还是有非常大的优势的。
具体在Linux环境下使用tcpdump命令的用法大家可以看我之前写的tcpdump命令说明,这里就不再赘述,这里主要介绍一下wireshark报文分析的心得。
报文标记–ip.id
在网络链路中,一个数据包的发送经常会经过多个节点,那么在不同节点抓到报文后,如何确定目前查看的这个报文是否是从源端发过来,问题复现的那段报文;
或者数据流量比较大,同时刻的报文数量很多,已经无法根据时间来确认具体的报文是哪一条时,又需要确定具体的报文情况时,就需要用到这个字段:Identification。
在wireshark中,该字段被书定义为ip.id。
该字段可以理解成报文的唯一标识符,用来标记报文的唯一性,尤其是在该报文经过了各种NAT转发后&#x