-
2020-12-30 10:25:44
“Wireshark色彩规则。”
在Wireshark主界面,报文会显示各种各样的颜色,它们表示不同的含义。这些颜色,是由色彩规则控制的。
对这些颜色进行适当的了解,对分析报文有很大帮助。
01
—
设置
色彩规则有两个入口,一个在报文上方的工具栏内,如图:
那个鲜艳的图标就是色彩规则的入口。
另一个是view-->coloring rules菜单。
点击进去即可看见所有的色彩规则的设置:
可以粗略地看到,黑色背景代表报文的各类错误,红色背景代表各类异常情景,其它颜色代表正常。
02
—
规则
本节对色彩规则的各默认项进行说明:
Bad TCP:tcp.analysis.flags && !tcp.analysis.window_update
即TCP解析出错,通常重传,乱序,丢包,重复响应都在此条规则的范围内。
HSRP State Change:hsrp.state != 8 && hsrp.state != 16
HSRP即热备份路由协议(Hot Standby Router Protocol),这条规则表示状态非active和standby。
更多相关内容 -
Wireshark不同颜色代表的不同含义
2014-03-27 16:28:12Wireshark捕获得到的数据包,不同颜色代表的不同含义 -
Wireshark 用户使用手册 ———— 自定义 Wireshark
2021-09-28 14:43:14Wireshark 的默认行为通常会很好地满足您的需求。 然而,当你更熟悉 Wireshark,它可以通过多种方式进行定制,以更好地满足你的需求。 数据包着色 Wireshark 中一个非常有用的机制是数据包着色。可以设置 ...
Wireshark 的默认行为通常会很好地满足您的需求。 然而,当你更熟悉 Wireshark,它可以通过多种方式进行定制,以更好地满足你的需求。数据包着色
Wireshark 中一个非常有用的机制是数据包着色。可以设置 Wireshark,使其根据显示过滤器对数据包进行着色。这允许强调可能感兴趣的数据包。Wireshark 中有两种类型的着色规则:仅在退出程序之前有效的临时规则,以及保存在首选项文件中以便下次运行 Wireshark 时可用的永久规则。可以通过选择数据包并同时按下 Ctrl 键和数字键之一来添加临时规则。这将根据当前选择的对话创建着色规则。它将首先尝试创建基于 TCP、UDP、IP 和以太网的会话过滤器。也可以通过在数据包详细信息窗格中右键单击时选择 Colorize with Filter › Color X 菜单项来创建临时过滤器。要永久着色数据包,请选择 View › Coloring Rules…. 。 Wireshark 将显示“着色规则”对话框,如下所示:
如果这是第一次使用“着色规则”对话框,并且使用的是默认配置文件,则看到默认规则,如上所示。更具体的规则通常应该列在更通用的规则之前。 例如,如果在 DNS 之前有一个 UDP 着色规则,则可能不会应用 DNS 规则(DNS 通常通过 UDP 传输,UDP 规则将首先匹配)。可以通过单击 [+] 按钮来创建新规则。可以通过单击 [ - ] 按钮删除一个或多个规则。 “复制”按钮将复制规则。可以通过双击其名称或过滤器来编辑规则。 在“着色规则”对话框中,正在编辑规则“校验和错误”的名称。 单击 [ Foreground ] 和 [ Background ] 按钮将分别打开前景(文本)和背景颜色的颜色选择器(颜色选择器)。颜色选择器如下所示。
颜色选择器的外观取决于操作系统。 显示了 macOS 颜色选择器。 为所选数据包选择所需的颜色,然后单击 [确定]。 在 Wireshark 中使用滤色器显示了在 Wireshark 中使用的几种滤色器的示例。
协议剖析
用户可以控制如何解析协议。每个协议都有自己的解析器,因此解析一个完整的数据包通常会涉及多个解析器。 当 Wireshark 尝试为每个数据包找到正确的解析器时,它可能会在特定情况下选择错误的解析器。 例如,Wireshark 不会知道是否在不常见的 TCP 端口上使用了常见的协议,例如在 TCP 端口 800 上使用 HTTP 而不是标准端口 80。有两种方法可以控制协议解析器之间的关系:完全禁用协议解析器或暂时转移 Wireshark 调用解析器的方式。
启用的协议对话框(Enabled Protocols dialog box)
启用协议对话框允许您启用或禁用特定协议。 大多数协议默认启用。 当协议被禁用时,Wireshark 会在遇到该协议时停止处理数据包。禁用协议将阻止显示有关更高层协议的信息。 例如,假设您禁用了 IP 协议并选择了一个包含以太网、IP、TCP 和 HTTP 信息的数据包。 将显示以太网信息,但不会显示 IP、TCP 和 HTTP 信息 - 禁用 IP 将阻止显示它和更高层的协议。要启用或禁用协议,请选择 Analyze › Enabled Protocols…. 。 Wireshark 会弹出“Enabled Protocols”对话框,如下所示。
1. Enable All: 启用列表中的所有协议。
2. Disable All: 禁用列表中的所有协议。
3. Invert: 切换列表中所有协议的状态。
4. OK: 保存并应用更改并关闭对话框。
5. Cancel: 取消更改并关闭对话框。
用户指定方式
“Decode As”功能可让你暂时转移特定的协议剖析。 例如,如果在网络上进行一些不常见的实验,这可能很有用。 通过选择 Analyze › Decode As…. 访问解码为。 Wireshark 会弹出“Decode As”对话框,如下所示。在此对话框中,可以通过左侧的编辑按钮编辑条目。 也可以从数据包列表或数据包详细信息的上下文菜单中弹出此对话框。 然后它将包含基于当前选择的数据包的新行。
Item of Decode as dialog box Item Description + 为选定的数据包添加新条目 - 删除所选条目 Copy 复制所选条目 Clear 清除用户指定的解码列表 OK 应用用户指定的解码并关闭对话框 Save 保存并应用用户指定的解码并关闭对话框 Cancel 取消更改并关闭对话框 首选项设置
可以设置许多首选项。只需选择 Edit › Preferences… Wireshark 将弹出 Preferences 对话框,如首选项对话框所示,默认为“用户界面”页面。 可以在左侧选择要显示的页面。
1. OK: 按钮将应用首选项设置并关闭对话框。
2. Cancel: 按钮会将所有首选项设置恢复到上次保存的状态。
Wireshark 支持相当多的协议,这反映在协议窗格中的长条目列表中。 可以通过展开协议窗格并快速键入协议名称的前几个字母来跳转到特定协议的首选项。 “Adanced”窗格将让你查看和编辑 Wireshark 的所有首选项,类似于 Firefox 和 Chrome 网络浏览器中的 about:config 和 chrome:flags。 -
wireshark使用及过滤器介绍
2021-12-29 09:36:47wireshark入门及过滤器的使用wireshark使用
wireshark工作原理
wireshark是一个网络封包分析软件,处于混杂模式(Promiscuous)的Wireshark可以抓取改冲突域的所有网络封包。它的基本原理是通过程序将网卡的工作模式设置为“混杂模式”,这时网卡将接受所有流经它的数据帧,这实际上就是Sniffer工作的基本原理:让网卡接收一切他所能接收的数据。Sniffer就是一种能将本地网卡状态设成混杂状态的软件,当网卡处于这种”混杂”方式时,该网卡具备”广播地址”,它对所有遇到的每一个数据帧都 产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。
Wireshark界面说明
Wireshark界面主要分为三部分
第一部分
第一部分展示的是wireshark抓取的所有数据包的列表。
注意:最后一列Info是wireshark组织的说明并不一定是数据包中的原始内容
我们可以看到有很多的色彩显示这是wireshark为了区分不同的报文做的颜色提示,可以通过点击上方视图->试图规则,查看并修改。
其中重要的规则有以下几条
黑色代表报文错误
红色代表各类异常
其他颜色都为正常
第二部分
第二部分是针对第一部分窗口中选中的数据包的分协议展示
注意:如果出现红色是因为wireshark开启校验和验证而该层协议验证和校验不正确导致
- Frame:物理层的数据帧概况
- Ethernet Ⅱ:数据链路层以太网帧头部信息
- Internet Protocol Version 4: 互联网层IP包头部信息
- Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP
- Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议
第三部分
第三部分是对第一部分选中的数据包的元数据,其中左侧是十六进制表示右侧是ASCll码表示,当第二部分中选中某层或某字段,第三部分中的对应位置也会被高亮提示。
wireshark过滤器使用
因为信息量大,有很多的冗余报文。为了方便的从中获取需要的报文,我们必须熟练使用wireshark提供的过滤器,捕获过滤器和显示过滤器。
捕获过滤器
捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。
显示过滤器
显示过滤器是一种更为强大(复杂)的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。
两种过滤器使用时都需要遵守一定的语法,不过在使用的过程中,wireshark提供一些简单常用的过滤命令基本可以满足需求。
过滤规则
符号 含义 eq, == 等于 ne,!= 不等于 gt,> 大于 lt,< 小于 ge,>= 大于等于 le,<= 小于等于 and,&& 且 or,|| 或 not,! 取反 举例
过滤源IP、目的IP
ip.dst==192.168.101.8 ip.src==1.1.1.1
端口过滤
tcp.dstport==80 tcp.srcport==80
http模式过滤
http.request.method=="GET" http.request.method=="POST"
wireshark使用
当你筛选过后数据包的数量会少很多,我们可以通过右键-》追踪流-》选择相应协议进行追踪,因为我使用的是tcp协议所以我这边只有tcp流可以点击。
点击后弹出窗口即可看到
主要分为两种颜色红色与蓝色
红色:源地址到目的地址
蓝色:目的地址到源地址
FLAGS字段含义
在TCP层,有个FLAGS字段,这个字段有以下几个标识:SYN, FIN, ACK, PSH, RST, URG.
它们的含义是:
SYN表示建立连接,
FIN表示关闭连接,
ACK表示响应,
PSH表示有 DATA数据传输,
RST表示连接重置。TCP的SEQ和ACK总结:
在TCP通讯中,无论是建立连接,数据传输,友好断开,强制断开,都离不开Seq值和Ack值,它们是TCP传输的可靠保证。Seq是发送方告诉接收方,我当前从第Seq个字节开始发送len个字节数据(不包括以太网Eth头,IP头和Tcp头,也就是纯数据长度)给你,而Ack则是接收方给发送方回复:接收方回复的Ack=发送方Seq+发送数据长度len。
在建立连接双方握手时,发送方的Seq为0,表示发送的数据长度也为0,这时接收方收到数据帧后,会判断Seq+数据长度为0或者Seq+数据长度为1的话,那么在回应发送方的Ack的值就为1(也就表示确认号有效,为0的话就表示数据包中不包含确认信息(即不含有Ack字段),忽略确认号字段)。
在数据传输中,如果Seq+数据长度不为0或1并且数据长度不为0的话,则回应时的Ack就等于Seq+数据长度的值,这就表示我已经收到Seq+数据长度个字节的数据。发送方收到该Ack就会比较自己的Seq+刚发出去的纯数据长度,如果一致,则回应接收方的Ack,并且发送下一个包,否则将重发该包,若超时还没收到Ack也会重发该包。我是一个努力成长的小白,如果这篇文章对你有帮助记得点赞,如果有不足或者错误欢迎在评论区及时指出。
-
Wireshark详细中文版使用说明书
2018-03-23 13:53:31Wireshark详细中文版使用说明书,非常非常详细的讲解,值得学习 -
WireShark常用过滤器
2020-04-01 09:32:31WireShark常用过滤器 捕获过滤器: 1.只想要192.168.0.38和192.168.0.52之间的通信 (src host 192.168.0.38 && dst host 192.168.0.52) || (src host 192.168.0.52 && dst host 192.168.0.38) 2....WireShark简单使用
完整使用:
1 选择监控的网络
2 设置捕获过滤器
3 根据自己需要,设置时间等信息
4 可设置显示过滤器方便查看
5 保存通信文件
捕获过滤器:
1.只想要192.168.0.38和192.168.0.52之间的通信
(src host 192.168.0.38 && dst host 192.168.0.52) || (src host 192.168.0.52 && dst host 192.168.0.38)2.只想要80端口的传输数据
port 80显示过滤器:
1.只想看192.168.0.38和192.168.0.52相关的通信
ip.addr == 192.168.0.38 || ip.addr == 192.168.0.522.想看通信内容包括M0或者M3的通信内容
frame contains “M0” or frame contains “M3”3.想看80端口的通信内容
tcp.port == 80 -
关于Wireshark 分析出现的各种颜色意义
2014-09-23 10:42:31 -
wireshark里如何关闭颜色标记?
2020-05-20 15:17:18Wireshark中标记颜色后如何取消? 在抓包栏右键标颜色后colorize with filter后用菜单的view里reset colorize 1~10来取消。 Ctrl+space取消颜色标记,但这个热键和拼音输入法的冲突了,所以必须在页面上使用... -
wireshark计算机网络实验报告.doc
2021-05-14 23:45:45实验1:ARP包的抓取 实验2:Ping数据包的抓取 实验3:抓取http包的实验 实验4:抓取traceroute信息 -
wireshark压缩包
2018-11-26 13:06:56压缩包 -
Wireshark 的抓包和分析.doc
2022-05-13 12:26:44Wireshark 的抓包和分析.doc -
wireshark中文版
2016-12-22 15:15:20抓取网络数据包的工具 -
实验四、使用Wireshark网络分析器分析数据包.doc
2019-10-29 19:47:52Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具,Wireshark 是最好的开源网络分析软件... -
Wireshark基本用法.docx
2020-05-05 14:28:09Wireshark基本用法。使用wireshark工具的基础教程及网络原理中重要协议的抓包过程讲解。 -
Wireshark网络抓包(一)——数据包、着色规则和提示
2017-06-23 14:15:46...wireshark怎么抓包、wireshark抓包详细图文教程 Wireshark入门教程及破解 Wireshark抓包iOS入门教程 原文链接: http://www.cnblogs.com/strick/p/6261463.html -
Wireshark实验讲义.doc
2019-06-05 14:42:09Wireshark(前称Ethereal)安装过程和使用说明,文档详细结束了Wireshark的安装和命令的使用,具体抓包过程,对所抓取数据的分析过程等,需要的盆友自己下载看 -
wireshark使用说明
2021-08-13 10:51:06wireshark软件使用说明。 -
wireshark.docx
2021-08-05 23:47:46wireshark与网络协议 -
结合wireshark分析TCP和三次握手原理.docx
2021-04-08 10:38:15tcp三次握手原理分析 -
Wireshark 使用
2022-01-17 09:19:09使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。 Wireshark不能做的 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。 Wireshark VS Fiddler Fiddler是在windows上... -
Wireshark详细使用指南
2021-12-07 10:30:35Wireshark详细使用指南 -
Wireshark详细使用教程
2022-05-18 21:01:18Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。WireShark可以比喻做硬件工程的... -
Wireshark实验
2022-01-07 13:12:54Wireshark实验 数据链路层 实作一 熟悉Ethernet帧结构 源MAC:d4:72:26:aa:23:a4 目的MAC:f4:d1:08:cb:57:cd 类型:IPv4(0x0800) 问题: 你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。 解答... -
史上最全wireshark使用教程,8万字整理总结,建议先收藏再耐心研读
2021-07-14 22:43:081.1.什么是Wireshark. 1 1.1.1.主要应用... 1 1.1.2.特性... 1 1.1.3.捕捉多种网络接口... 2 1.1.4.支持多种其它程序捕捉的文件... 2 1.1.5.支持多格式输出... 2 1.1.6.对多种协议解码提供支持... 2 1.1.7.... -
Wireshark入门-Wireshark
2021-12-19 10:14:21wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一块网卡。 窗口介绍 过滤器 使用过滤器是非常重要的,初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条... -
Wireshark基本介绍和学习TCP三次握手
2020-09-01 20:42:02本文主要介绍Wireshark基本介绍和学习TCP三次握手,这里详细整理了相关资料,并给出详细流程,有需要的小伙伴可以参考下 -
Wireshark使用指南
2022-03-10 21:13:38一、Wireshark简介 Wireshark是一种用于剖析网络流量和分析数据包的开源工具。 二、如何捕获报文 ...选项,打开捕获窗口 ...数据包的颜色 设置时间格式 数据包列表面板的标记符号 四种流跟踪... -
Wireshark的入门使用
2021-12-31 14:21:26WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在网络封包和流量分析领域有着十分... -
WireShark抓包使用.pdf
2021-12-31 13:00:38WireShark抓包使用.pdf