wireshark里有时为了方便查看相关的包，可以选中一个特征的内容进行颜色标记，需要取消时，按下面的操作。

在抓包栏右键标颜色后colorize with  filter后用菜单的view里reset colorize 1~10来取消。

如下面过滤sip消息，用一次通话中不变的callid进行标记。

 

 





 

 

             

取消操作



 

Ctrl+space取消颜色标记，但这个热键和拼音输入法的冲突了，所以必须在页面上使用。注意取消时，光标不能在所标记的行。

“Wireshark色彩规则。”
在Wireshark主界面，报文会显示各种各样的颜色，它们表示不同的含义。这些颜色，是由色彩规则控制的。
对这些颜色进行适当的了解，对分析报文有很大帮助。
01
—
设置
色彩规则有两个入口，一个在报文上方的工具栏内，如图：
那个鲜艳的图标就是色彩规则的入口。
另一个是view-->coloring rules菜单。
点击进去即可看见所有的色彩规则的设置：
可以粗略地看到，黑色背景代表报文的各类错误，红色背景代表各类异常情景，其它颜色代表正常。
02
—
规则
本节对色彩规则的各默认项进行说明：
Bad TCP：tcp.analysis.flags && !tcp.analysis.window_update
即TCP解析出错，通常重传，乱序，丢包，重复响应都在此条规则的范围内。
HSRP State Change：hsrp.state != 8 && hsrp.state != 16
HSRP即热备份路由协议(Hot Standby Router Protocol)，这条规则表示状态非active和standby。
Spanning Tree Topology  Change：stp.type == 0x80
生成树协议的状态标记为0x80，生成树拓扑发生变化。
OSPF State Change：ospf.msg != 1
OSPF(Open Shortest Path First，开放式最短路径优先协议)的msg类型不是hello。
ICMP errors：icmp.type eq 3 || icmp.type eq 4 || icmp.type eq 5 || icmp.type eq 11 || icmpv6.type eq 1 || icmpv6.type eq 2 || icmpv6.type eq 3 || icmpv6.type eq 4
ICMP协议错误，协议的type字段值错误。
ARP：arp
即ARP协议
ICMP：icmp || icmpv6
即icmp协议
TCP RST：tcp.flags.reset eq 1
TCP流被RESET。
SCTP ABORT：sctp.chunk_type eq ABORT
串流控制协议的chunk_type为ABORT(6)。
TTL low or unexpected：( ! ip.dst == 224.0.0.0/4 && ip.ttl < 5 && !pim) || (ip.dst == 224.0.0.0/24 && ip.dst != 224.0.0.251 && ip.ttl != 1 && !(vrrp || carp))
TTL异常。
Checksum Errors：eth.fcs_bad==1 || ip.checksum_bad==1 || tcp.checksum_bad==1 || udp.checksum_bad==1 || sctp.checksum_bad==1 || mstp.checksum_bad==1 || cdp.checksum_bad==1 || edp.checksum_bad==1 || wlan.fcs_bad==1
条件中的各类协议的checksum异常，在PC上抓包时网卡的一些设置经常会使Wireshark显示此错误。
SMB：smb || nbss || nbns || nbipx || ipxsap || netbiosServer Message Block类协议。
HTTP：http || tcp.port == 80 || http2
HTTP协议，这是很简陋的识别方法。
IPX：ipx || spx
互联网络数据包交换(Internet work Packet Exchange)类协议。
DCERPC：dcerpc即DCE/RPC，分散式运算环境/远端过程调用(Distributed Computing Environment / Remote Procedure Calls)协议。
Routing：hsrp || eigrp || ospf || bgp || cdp || vrrp || carp || gvrp || igmp || ismp
路由类协议。
TCP SYN/FIN：tcp.flags & 0x02 || tcp.flags.fin == 1
TCP连接的起始和关闭。
TCP：tcp
TCP协议。
UDP：udp
UDP协议。
Broadcast：eth[0] & 1
广播数据。
这里面有部分协议现在的互联网流量中关注得比较少，但在基础网络中很常使用，因此，虽然被保留在着色规则中，但却显陌生，当然，对协议还原来说，按标准文档进行分析即可识别，提取有价值内容。
如需交流，可联系我。
长按进行关注。

    

                    

                    

                    
                    
                    
“ Wireshark色彩规则。”

在Wireshark主界面，报文会显示各种各样的颜色，它们表示不同的含义。这些颜色，是由色彩规则控制的。

对这些颜色进行适当的了解，对分析报文有很大帮助。


01
—

设置

色彩规则有两个入口，一个在报文上方的工具栏内，如图：

那个鲜艳的图标就是色彩规则的入口。

另一个是view-->coloring rules菜单。

点击进去即可看见所有的色彩规则的设置：


可以粗略地看到，黑色背景代表报文的各类错误，红色背景代表各类异常情景，其它颜色代表正常。

02
—
规则
本节对色彩规则的各默认项进行说明：

Bad TCP：tcp.analysis.flags && !tcp.analysis.window_update
即TCP解析出错，通常重传，乱序，丢包，重复响应都在此条规则的范围内。

HSRP State Change：hsrp.state != 8 && hsrp.state != 16
HSRP即热备份路由协议（Hot Standby Router Protocol），这条规则表示状态非active和standby。

Spanning Tree Topology  Change：stp.type == 0x80
生成树协议的状态标记为0x80，生成树拓扑发生变化。

OSPF State Change：ospf.msg != 1
OSPF（Open Shortest Path First，开放式最短路径优先协议）的msg类型不是hello。

ICMP errors：icmp.type eq 3 || icmp.type eq 4 || icmp.type eq 5 || icmp.type eq 11 || icmpv6.type eq 1 || icmpv6.type eq 2 || icmpv6.type eq 3 || icmpv6.type eq 4
ICMP协议错误，协议的type字段值错误。

ARP：arp
即ARP协议

ICMP：icmp || icmpv6
即icmp协议

TCP RST：tcp.flags.reset eq 1
TCP流被RESET。

SCTP ABORT：sctp.chunk_type eq ABORT
串流控制协议的chunk_type为ABORT（6）。

TTL low or unexpected：( ! ip.dst == 224.0.0.0/4 && ip.ttl < 5 && !pim) || (ip.dst == 224.0.0.0/24 && ip.dst != 224.0.0.251 && ip.ttl != 1 && !(vrrp || carp))
TTL异常。

Checksum Errors：eth.fcs_bad==1 || ip.checksum_bad==1 || tcp.checksum_bad==1 || udp.checksum_bad==1 || sctp.checksum_bad==1 || mstp.checksum_bad==1 || cdp.checksum_bad==1 || edp.checksum_bad==1 || wlan.fcs_bad==1
条件中的各类协议的checksum异常，在PC上抓包时网卡的一些设置经常会使Wireshark显示此错误。

SMB：smb || nbss || nbns || nbipx || ipxsap || netbios
Server Message Block类协议。

HTTP：http || tcp.port == 80 || http2
HTTP协议，这是很简陋的识别方法。

IPX：ipx || spx
互联网络数据包交换（Internet work Packet Exchange）类协议。

DCERPC：dcerpc
即DCE/RPC，分散式运算环境/远端过程调用（Distributed Computing Environment / Remote Procedure Calls）协议。

Routing：hsrp || eigrp || ospf || bgp || cdp || vrrp || carp || gvrp || igmp || ismp
路由类协议。

TCP SYN/FIN：tcp.flags & 0x02 || tcp.flags.fin == 1
TCP连接的起始和关闭。

TCP：tcp
TCP协议。

UDP：udp
UDP协议。

Broadcast：eth[0] & 1
广播数据。

这里面有部分协议现在的互联网流量中关注得比较少，但在基础网络中很常使用，因此，虽然被保留在着色规则中，但却显陌生，当然，对协议还原来说，按标准文档进行分析即可识别，提取有价值内容。

如需交流，可联系我。
长按进行关注。






                
  

wireshark应用
github地址：

github wireshark使用
wireshark视图以及各个字段说明
分析包的详细信息
后期会通过到处文本的方式进行注释，前期先使用图片，这样容易用颜色区分
在包的详细信息界面一般如下：

Frame
物理层的数据帧概况，如果图片太小可以去github上下载对应的图片查看

Ethernet II
数据链路层以太网帧头部信息

Internet Protocol Version 4
互联网层IP头部信息

Transmission Control Protocol
传输层的数据段头部信息，此处为TCP协议

File Transfer Protocol
应用层头部信息，此处为FTP协议
应用层协议，每个都不一样，需要参考对应的协议RFC文档。
数据包事件延迟
时间延迟通常有三种类型，线路延迟、客户端延迟和服务器延迟。
线路延迟
线路延迟通常被称为往返时间RTT延迟。当服务器收到一个SYN数据包时，由于不涉及任何传输层以上的处理，发送一个相应延迟至需要非常小的处理量，即使服务器承受巨大的负载，通常也会迅速的向SYN数据包响应一个SYN/ACK，这样就可以排除服务器导致的高延迟的可能性。同时也可以排除客户端的高延迟的可能性，因为它基本上除了接收SYN/ACK以外什么也没有做，这样就可以确认是线路延迟。
wireshark中可以通过看TCP的三次握手来确认是线路延迟。
客户端延迟
客户端延迟通常是由于用户、应用程序缺乏足够的资源造成的。
服务端的延迟
服务器延迟发送在，服务器缓慢相应发送过来的请求时，这可能是因为服务器无法处理一个错误应用程序或受其他干扰

图中，002表示的是线路延迟，数字004是客户端延迟，数字006是服务器延迟
延时分析实战：
使用wireshark开始抓包，并访问国外的网站，如github等，抓包之后我们进行分析，将时间选择为自上一个捕获分组经过的秒数

配置完成之后双击time列，将间隔时间按照倒叙进行排序，然后找到SYN/ACK时间延时比较长的列，对其进行追溯，可以看到图中SYN/ACK至接收SYN花费了较久的时间，因为网络环境限制，没有主导比较完美的SYN -> SYN,ACK->ACK的过程，但是从SYN/ACK的延时上已经可以确认网络路径上的延时是比较大的。

捕获特定的ICMP数据
互联网控制消息协议ICMP是一种协议，当一个网络中出现性能或者安全问题时，将会看到该协议。
ICMP常用的捕获过滤器的结构

icmp：捕获所有的ICMP数据包
icmp[0]=8：捕获所有的ICMP字段类型为8(Echo Request)的数据包。
icmp[0]=17：捕获所有ICMP字段类型为17(Adress Mask Request)的数据包
icmp[0]=8 or icmp[0]=0：捕获所有ICMP字段类型为8或者ICMP字段为0(Echo Replay)的数据包
icmp[0]=3 and not icmp[1]=4：捕获所有ICMP字段类型为3(Destination Unreachable)的包，除了ICMP字段类型为3代码为4（Fragmentation Needed and Don't Fragment was set）的数据包

使用wireshark最令人苦恼的就属那令人头疼的设置过滤条件了，老是记不住怎么办，其实设计wireshark的大佬已经留了后门，或者说是留了获取对应过滤设置的方法获取的方式
你想要过滤哪些内容，只需要将箭头点击相同协议的展开行，在左下角就会显示出对应字段的过滤器写法，只需要按照对应写法设置就可以过滤你想要的对应数据了

过滤单一的对话
想单独跟踪一个单一的TCP或者其他的会话，可以使用对话过滤器

图表化显示宽带使用情况
初识IO Graph
统计–> IO 图表
统计出来默认的是全部的数据，要是想看那个具体的协议的数据情况，可以关掉图表之后再

在过滤器中输入要过滤的内容，回车之后再打开IO图表

再次打开IO图表之后，就会自动添加相应的过滤内容，好了现在可以查看你想要的内容和所有数据或者其他数据的IO图形对比情况了

文件重组–文件还原
wireshark能将抓包中的数据进行还原，比如在HTTP上下载一个图片，可以采用以下步骤将其从数据中还原出来
首先在编辑->协议->TCP确认开启了Allow subdisserctor to reassemble TCP streams

，过滤HTTP

然后随该数据进行追踪HTTP流。



选择对应的图片，然后点击保存；

添加注释
如果你的文件是.pcap结尾的，那么注释添加之后一定要用.pcapng结尾保存，因为.pcap结尾的文件将会丢弃一起的注释信息。

包注释



分组注释


通过统计信息查看注释

通过专家信息查看注释

到处有注释的分组信息
首先使用pkt_comment对包进行过滤，过滤出来的都是有分组注释信息的包，然后再按照纯文本导出对应的注释文件信息
文件分割与合并
wireshark的包文件可以使用capinfos查看具体信息，查看之后包比较大的可以使用editcap命令进行分割
使用capinfos命令查看包信息
andrew@andrew-G3-3590:~/文档$ capinfos test.pcapng 
File name:           test.pcapng
File type:           Wireshark/... - pcapng
File encapsulation:  Ethernet
File timestamp precision:  nanoseconds (9)
Packet size limit:   file hdr: (not set)
Number of packets:   679
File size:           502 kB
Data size:           479 kB
Capture duration:    26.943556678 seconds
First packet time:   2020-10-02 18:51:08.113739462
Last packet time:    2020-10-02 18:51:35.057296140
Data byte rate:      17 kBps
Data bit rate:       142 kbps
Average packet size: 705.63 bytes
Average packet rate: 25 packets/s
SHA256:              e502d66dfda84fffb3bc103ba0e7f2a0d8eddbedbce60e0d203d0e0fe6770586
RIPEMD160:           87aa7b636d4b649ce0653eccc2da44750df23c09
SHA1:                4a1c206d0590b72e2fe24fd0fde4ce5ab19c4879
Strict time order:   True
Capture hardware:    Intel(R) Core(TM) i5-9300H CPU @ 2.40GHz (with SSE4.2)
Capture oper-sys:    Linux 5.4.0-48-generic
Capture application: Dumpcap (Wireshark) 3.2.3 (Git v3.2.3 packaged as 3.2.3-1)
Number of interfaces in file: 1
Interface #0 info:
                     Name = wlp4s0
                     Encapsulation = Ethernet (1 - ether)
                     Capture length = 262144
                     Time precision = nanoseconds (9)
                     Time ticks per second = 1000000000
                     Time resolution = 0x09
                     Operating system = Linux 5.4.0-48-generic
                     Number of stat entries = 1
                     Number of packets = 679

使用editcap进行包分割

-c 100的意思就是每个包的大小最大为100
按照时间间隔进行分割，每360s分割成一个包
editcap -i 360 test.pcapng timeset.pcapng
合并多个分割的数据包使用mergecap命令，合并过后的包，会打上合并包的标记
andrew@andrew-G3-3590:~/文档/test$ ls
alias_test_00000_20201002185108  alias_test_00003_20201002185124  alias_test_00006_20201002185131
alias_test_00001_20201002185121  alias_test_00004_20201002185126  test.pcapng
alias_test_00002_20201002185122  alias_test_00005_20201002185130
andrew@andrew-G3-3590:~/文档/test$ rm test.pcapng 
andrew@andrew-G3-3590:~/文档/test$ ls
alias_test_00000_20201002185108  alias_test_00003_20201002185124  alias_test_00006_20201002185131
alias_test_00001_20201002185121  alias_test_00004_20201002185126
alias_test_00002_20201002185122  alias_test_00005_20201002185130
andrew@andrew-G3-3590:~/文档/test$ mergecap -w test.pcapng alias_test_0000*
andrew@andrew-G3-3590:~/文档/test$ capinfos test.pcapng 
File name:           test.pcapng
File type:           Wireshark/... - pcapng
File encapsulation:  Ethernet
File timestamp precision:  nanoseconds (9)
Packet size limit:   file hdr: (not set)
Number of packets:   679
File size:           502 kB
Data size:           479 kB
Capture duration:    26.943556678 seconds
First packet time:   2020-10-02 18:51:08.113739462
Last packet time:    2020-10-02 18:51:35.057296140
Data byte rate:      17 kBps
Data bit rate:       142 kbps
Average packet size: 705.63 bytes
Average packet rate: 25 packets/s
SHA256:              724d9a493a687365975ba128a87683e3f57ca1d27d30698f3e3f18bfe81c98d9
RIPEMD160:           0337eef64949160c16a7804c26c64177014f6ff6
SHA1:                e373b626928c1b27413442b956fe3a5c4174cc4c
Strict time order:   True
Capture oper-sys:    Linux 5.4.0-48-generic
Capture application: Mergecap (Wireshark) 3.2.3 (Git v3.2.3 packaged as 3.2.3-1)
Number of interfaces in file: 1
Interface #0 info:
                     Name = wlp4s0
                     Encapsulation = Ethernet (1 - ether)
                     Capture length = 262144
                     Time precision = nanoseconds (9)
                     Time ticks per second = 1000000000
                     Time resolution = 0x09
                     Operating system = Linux 5.4.0-48-generic
                     Number of stat entries = 0
                     Number of packets = 679