Wireshark 提示和技巧 | frame.time_delta 和 frame.time_delta_displayed

已于 2024-07-20 10:58:21 修改
阅读量5k 收藏 18
点赞数 5
分类专栏: NetShark 文章标签: wireshark tcp/ip 网络 网络协议 tcpdump
于 2021-10-05 20:52:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47627078/article/details/120618024
版权

简介

Wireshark 显示过滤器中有很多 time 相关的过滤表达式,譬如一般常看到的 frame.time 字段代表帧被捕获的绝对时间,以及一些用于分析关联数据包之间时间的字段,像是本文计划讲到的 frame.time_deltaframe.time_delta_displayed ,包括还有 RTT 相关、 tcp.timehttp.timedns.time 等等功能强大的字段。如果能好好掌握并运用上述时间字段的功能,对于网络数据包协议分析将会有极大的帮助。

本文简单讲解下最常用到的 frame.time_deltaframe.time_delta_displayed 字段。

frame.time
Absolute time when this frame was captured,帧被捕获的绝对时间。

frame.time_delta
Time delta from previous captured frame,相较于上一个捕获帧的时间增量。

frame.time_delta_displayed
Time delta from previous displayed frame,相较于上一个显示帧的时间增量。

以上时间单位均为 s 秒。


原理

一图胜千言
FF-01

Time Delta 列为自选添加,字段即为 frame.time_delta_displayed

frame.time

可以简单认为就是 Time 列中的时间(注:只是时间显示格式的不同),实际字段显示见下
FF-02
FF-03

frame.time_delta

拿帧 2 为例,和帧 1 (相对于帧2,为上一个捕获帧)的时间增量值为 0.000963327 s。
FF-04

frame.time_delta_displayed

如果仍拿上图的帧 2为例,和帧 1 (相对于帧2,为上一个显示帧)的时间增量值同样也为 0.000963327 s。

那么该值在什么情况下会不一样呢?就体现在 displayed 上,如果应用显示过滤器,譬如过滤源 ip 为 192.168.0.1 的情况下,显示过滤后的帧仅有帧 1 和 帧 3 ,如下图。
FF-05
那么在帧 3 的数据包细节中,frame.time_delta_displayed 即和帧 1 (相对于帧3,为上一个显示帧)的值为 0.003788956 s。而 frame.time_delta 即和帧 2 (此处因过滤显示的原因隐藏,但实际存在,所以相对于帧 3,仍为上一个捕获帧)的值为 0.002825629 s。


扩展

以上为 frame.time_deltaframe.time_delta_displayed 字段最基本的解释,可以结合包括 is present、==、!=、>、<、>=、<=、in 等关系表达式进行各种显示过滤。

而对于排查网络缓慢问题时,对于高增量时间的判断一般会用到 >、<、>=、<=。在其中特别想提到的就是 frame.time_delta > 0.01 可成功过滤,而 frame.time_delta_displayed > 0.01 是无法正常过滤的,这是什么问题???

这也是本文的由来,重点想表达的地方。

​​

frame.time_delta

FF-06
​​

frame.time_delta_displayed

为什么帧 3 的 frame.time_delta_displayed 值为 0.0028256296 s ,但却无法成功过滤出来。
FF-07
FF-08

解答
仔细查看帧 1, frame.time_delta_displayed 显示为 0,不匹配,因此被过滤掉未显示。现在是帧 2,由于帧 1 未显示,因此 frame.time_delta_displayed 也显示为 0,不匹配,因此被过滤掉未显示。然后是帧 3 … 无限套娃 。

明白了嘛?仔细体会下 disaplayed 的含义。

那么,有人问非要用 frame.time_delta_displayed > xxx 过滤行不行,嗯,也行,必须通过显示帧 1 来开始工作,例如使用显示过滤器 frame.number == 1 || frame.time_delta_displayed > xxx
FF-09

感谢阅读,更多技术文章可关注个人公众号:Echo Reply ,谢谢。
7ACE
关注
  • 5
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
wireshark中的时间格式
Hu_wen的专栏
01-19 4万+
wireshark中的时间格式通过菜单“View–>Time Display Fromat”可以设置wireshark显示 时间戳的格式,Time Display Fromat菜单有以下选项:Date and Time of Day: 1970-01-01 01:02:03.123456  //显示日期和每天的时间-时间格式(年月日,时分秒)Time of Day: 01:02:03.123456
wireshark-1.10.14-25.el7.x86_64.rpm
12-23
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
wireshark抓包红色_Wireshark网络抓包(二)——过滤器
weixin_39637723的博客
12-20 835
一、捕获过滤器选中捕获选项后,就会弹出下面这个框,在红色输入框中就可以编写过滤规则。1)捕获单个IP地址2)捕获IP地址范围3)捕获广播或多播地址4)捕获MAC地址5)捕获所有端口号6)捕获特定ICMP数据当网络中出现性能或安全问题时,将会看到ICMP(互联网控制消息协议)。在这种情况下,用户必须使用一个偏移量表示一个ICMP中字段的位置。偏移量0表示ICMP字段类型,偏移量1表示ICMP位置代码...
深入解析Wireshark1:从捕获到分析,一网打尽数据包之旅
最新发布
Thanks_ks的IT探秘之旅
05-15 1873
Wireshark是一款功能强大的网络分析工具,它能帮助我们深入探索网络通信的奥秘。从选择网卡到捕获数据包,再到详细解析数据包在不同网络层次的结构,Wireshark为我们提供了丰富的功能。通过本博客,你将学习Wireshark的基本操作,了解数据包捕获、过滤和解析的技巧。我们还将通过案例分析,展示如何利用Wireshark分析网络通信中的问题。无论你是专业人士还是网络爱好者,都能从中获得有价值的知识和经验。
wireshark抓包分析(一)之物理层Frame
weixin_38858749的博客
11-10 9166
(1)Frame(物理层): 物理层的数据帧概况 (2)Ethernet II(链路层): 数据链路层以太网帧头部信息 (3)Internet Protocol Version 4(网络层): 互联网层IP包头部信息 (4)Transmission Control Protocol(传输层): 传输层T的数据段头部信息,此处是TCP (5)Hypertext Transfer Protocol(应用层): 应用层的信息,此处是HTTP协议 物理层是OSI的第一层,它虽然处于最底层,却是整个开放系统.
Python中时间的处理之——timedelta
weixin_34112900的博客
08-14 304
为什么80%的码农都做不了架构师?>>> ...
wireshark 报文分析---根据时间(Arrival Time)过滤报文
海渊_haiyuan的博客
10-19 1万+
wireshark 报文分析—根据时间(Arrival Time)过滤报文 前言 在进行报文分析时,会需要使用时间过滤报文,比如30min 到 35min之间的报文,或50s之后的报文,这时就需要使用根据时间进行过滤报文; 过滤方法 以mac 版wireshark为例,选取报文Frame层中的Arrival Time(到达时间),使用该字段作为过滤器条件进行过滤,由于在wireshark 软件中显...
基于wiresharkFrame报文详解
w849593893的博客
04-24 3810
基于wiresharkFrame报文详解 Frame 2: 67 bytes on wire (536 bits), 617 bytes captured (536 bits) 2号帧,线路617字节,实际捕获617字节 Encapsulation type: Ethernet (1) Arrival Time: Feb 22, 2020 10:32:37.375731000 捕获日期...
Wireshark--source-code.rar_wireshark_wireshark linux_wireshark s
09-19
Wireshark是一款强大的网络封包分析软件,广泛应用于网络故障排查、网络安全分析和协议开发等领域。它是开源的,因此允许用户深入理解网络通信的工作原理,并可根据需求进行定制和扩展。这款软件可在多种操作系统上...
wireshark_winpcap_filter_learning.zip_winpcap filter_wireshark
09-14
`wireshark.txt`则可能是一个文本文件,详细介绍了Wireshark中的过滤器语法和用法。Wireshark过滤器分为显示过滤器和捕获过滤器两种。显示过滤器用于在抓取的数据包列表中筛选出你需要查看的特定数据包,而捕获过滤...
wireshark-gnome-1.10.14-25.el7.x86_64.rpm
12-23
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
Wireshark_TCP3.rar_Wireshark Lab_lab windows Tcp_wireshark_wires
09-19
Wireshark是一款强大的网络封包分析软件,广泛用于网络故障排查、网络安全分析和协议学习。在TCP(传输控制协议)的实验室环境中,Wireshark能够帮助我们深入理解TCP的工作机制和交互过程。在这个名为"Wireshark Lab...
wireshark_development.rar_wireshark_wireshark开发
09-22
Wireshark是一款强大的网络封包分析软件,广泛用于网络故障排查、协议分析和安全审计等领域。作为Wireshark的开发者,深入理解其内部工作原理和开发流程至关重要。本压缩包包含的内容涵盖了Wireshark的开发指南、...
ocx.rar_ATL_BLOCKINGSOCKET.CPP_atl ocx_atl tcp_ocx
09-24
9. **调试和测试**:开发过程中,可能需要使用Visual Studio的调试工具,以及Wireshark网络协议分析工具,来检查和调试网络通信过程。 10. **安全性**:考虑到网络安全的重要性,ATL控件可能会包含对SSL/TLS等...
arp.c.tar.gz_libnet libpcap_libpcap_wireshark libpcap_扫描 局域网
09-14
在IT领域,网络编程是至关重要的一环,而`arp.c.tar.gz`这个压缩包文件包含了一些关键组件,如`libnet`、`libpcap`和`wireshark`,这些都与网络嗅探和数据包构造紧密相关。让我们深入探讨一下这些组件以及它们在...
abc.rar_C语言抓包_abc命令_c语言 wireshark_抓包
09-21
在IT领域,网络数据包抓取是网络分析和故障排查的重要技术。本资源"abc.rar"提供了一个基于C语言实现的命令行抓包工具,它类似于知名的Wireshark软件,但更加轻便且适用于命令行环境。下面我们将深入探讨这个工具...
关于wireshark抓包获取的Frame:物理层的数据帧概况笔记
热门推荐
qq_35615083的博客
05-11 1万+
  Frame:物理层的数据帧概况。  Ethernet II:数据链路层以太网帧头部信息。  Internet Protocol Version 4:互联网层IP包头部信息。  Transmission Control Protocol:传输层的数据段头部信息,此处是TCP协议。  Hypertext Transfer Protocol:应用层的信息,此处是HTTP协议。下面分别介绍下在图1.4...
wireshark显示时间
一起coding,一起嗨。
07-05 2934
视图->时间显示格式->选择合适的显示格式(快捷键Ctrl+Alt+1)
Time.deltaTime的理解
D_R的博客
04-19 3896
public float timer = 0f; public int frameNumber = 10;//每秒的帧数 public int frameCount = 0;//帧数的计时器 private Renderer rend; void Start () { rend = GetComponent<Renderer>(); } /
udp.time_delta
05-29
UDP 数据包头部中没有 time_delta 字段。UDP 协议本身不支持时间戳功能,因此 UDP 头部中没有与时间相关的字段。如果您需要在 UDP 数据包中包含时间戳信息,可以使用自定义的数据格式,在数据包的负载中加入时间戳字段。另外,如果您使用的是某些网络协议分析工具,例如 Wireshark,它们可能会在显示 UDP 数据包时自动计算并显示时间戳信息。但这并非是 UDP 协议本身的功能,而是这些工具的特有功能。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值