精华内容
下载资源
问答
  • Wireshark使用教程:不同报文颜色的含义

    万次阅读 多人点赞 2018-01-08 07:24:05
    Wireshark色彩规则。”在Wireshark主界面,报文会显示各种各样的颜色,它们表示不同的含义。这些颜色,是由色彩规则控制的。对这些颜色进行适当的了解,对分析...

     Wireshark色彩规则。


    在Wireshark主界面,报文会显示各种各样的颜色,它们表示不同的含义。这些颜色,是由色彩规则控制的。

    0?wx_fmt=png


    对这些颜色进行适当的了解,对分析报文有很大帮助。



    01


    设置


    色彩规则有两个入口,一个在报文上方的工具栏内,如图:

    0?wx_fmt=png


    那个鲜艳的图标就是色彩规则的入口。


    另一个是view-->coloring rules菜单。

    0?wx_fmt=png


    点击进去即可看见所有的色彩规则的设置:

    0?wx_fmt=png



    可以粗略地看到,黑色背景代表报文的各类错误,红色背景代表各类异常情景,其它颜色代表正常。


    02


    规则

    本节对色彩规则的各默认项进行说明:


    Bad TCP:tcp.analysis.flags && !tcp.analysis.window_update

    即TCP解析出错,通常重传,乱序,丢包,重复响应都在此条规则的范围内。


    HSRP State Change:hsrp.state != 8 && hsrp.state != 16

    HSRP即热备份路由协议(Hot Standby Router Protocol),这条规则表示状态非active和standby。


    Spanning Tree Topology  Change:stp.type == 0x80

    生成树协议的状态标记为0x80,生成树拓扑发生变化。


    OSPF State Change:ospf.msg != 1

    OSPF(Open Shortest Path First,开放式最短路径优先协议)的msg类型不是hello。


    ICMP errors:icmp.type eq 3 || icmp.type eq 4 || icmp.type eq 5 || icmp.type eq 11 || icmpv6.type eq 1 || icmpv6.type eq 2 || icmpv6.type eq 3 || icmpv6.type eq 4

    ICMP协议错误,协议的type字段值错误。


    ARP:arp

    即ARP协议


    ICMP:icmp || icmpv6

    即icmp协议


    TCP RST:tcp.flags.reset eq 1

    TCP流被RESET。


    SCTP ABORT:sctp.chunk_type eq ABORT

    串流控制协议的chunk_type为ABORT(6)。


    TTL low or unexpected:( ! ip.dst == 224.0.0.0/4 && ip.ttl < 5 && !pim) || (ip.dst == 224.0.0.0/24 && ip.dst != 224.0.0.251 && ip.ttl != 1 && !(vrrp || carp))

    TTL异常。


    Checksum Errors:eth.fcs_bad==1 || ip.checksum_bad==1 || tcp.checksum_bad==1 || udp.checksum_bad==1 || sctp.checksum_bad==1 || mstp.checksum_bad==1 || cdp.checksum_bad==1 || edp.checksum_bad==1 || wlan.fcs_bad==1

    条件中的各类协议的checksum异常,在PC上抓包时网卡的一些设置经常会使Wireshark显示此错误。


    SMB:smb || nbss || nbns || nbipx || ipxsap || netbios

    Server Message Block类协议。


    HTTP:http || tcp.port == 80 || http2

    HTTP协议,这是很简陋的识别方法。


    IPX:ipx || spx

    互联网络数据包交换(Internet work Packet Exchange)类协议。


    DCERPC:dcerpc

    即DCE/RPC,分散式运算环境/远端过程调用(Distributed Computing Environment / Remote Procedure Calls)协议。


    Routing:hsrp || eigrp || ospf || bgp || cdp || vrrp || carp || gvrp || igmp || ismp

    路由类协议。


    TCP SYN/FIN:tcp.flags & 0x02 || tcp.flags.fin == 1

    TCP连接的起始和关闭。


    TCP:tcp

    TCP协议。


    UDP:udp

    UDP协议。


    Broadcast:eth[0] & 1

    广播数据。


    这里面有部分协议现在的互联网流量中关注得比较少,但在基础网络中很常使用,因此,虽然被保留在着色规则中,但却显陌生,当然,对协议还原来说,按标准文档进行分析即可识别,提取有价值内容。


    如需交流,可联系我。

    0?wx_fmt=jpeg

    长按进行关注。






    展开全文
  • Wireshark捕获得到的数据包,不同颜色代表的不同含义
  • wireshark过滤规则及使用方法

    千次阅读 2019-01-23 09:57:32
    Wireshark 基本语法,基本使用方法,及包过滤规则: 1.过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src&nbsp;eq&nbsp;192.168.1.107&nbsp;or&nbsp;ip.dst&nbsp;eq&nbsp;192.168.1....
    Wireshark 基本语法,基本使用方法,及包过滤规则:

    1.过滤IP,如来源IP或者目标IP等于某个IP

    例子:
    ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107
    或者
    ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP

    Linux上运行的wireshark图形窗口截图示例,其他过虑规则操作类似,不再截图。

    ip.src eq 10.175.168.182

    截图示例:

    提示: 在Filter编辑框中,收入过虑规则时,如果语法有误,框会显红色,如正确,会是绿色。


    2.过滤端口

    例子:
    tcp.port eq 80 // 不管端口是来源的还是目标的都显示
    tcp.port == 80
    tcp.port eq 2722
    tcp.port eq 80 or udp.port eq 80
    tcp.dstport == 80 // 只显tcp协议的目标端口80
    tcp.srcport == 80 // 只显tcp协议的来源端口80

    udp.port eq 15000

    过滤端口范围
    tcp.port >= 1 and tcp.port <= 80

    3.过滤协议

    例子:
    tcp
    udp
    arp
    icmp
    http
    smtp
    ftp
    dns
    msnms
    ip
    ssl
    oicq
    bootp
    等等

    排除arp包,如!arp   或者   not arp


    4.过滤MAC

    太以网头过滤
    eth.dst == A0:00:00:04:C5:84 // 过滤目标mac
    eth.src eq A0:00:00:04:C5:84 // 过滤来源mac
    eth.dst==A0:00:00:04:C5:84
    eth.dst==A0-00-00-04-C5-84
    eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的

    less than 小于 < lt 
    小于等于 le

    等于 eq
    大于 gt
    大于等于 ge
    不等 ne

    5.包长度过滤

    例子:
    udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
    tcp.len >= 7   指的是ip数据包(tcp下面那块数据),不包括tcp本身
    ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
    frame.len == 119 整个数据包长度,从eth开始到最后

    eth —> ip or arp —> tcp or udp —> data


    6.http模式过滤

    例子:
    http.request.method == “GET”
    http.request.method == “POST”
    http.request.uri == “/img/logo-edu.gif”
    http contains “GET”
    http contains “HTTP/1.”

    // GET包
    http.request.method == “GET” && http contains “Host: “
    http.request.method == “GET” && http contains “User-Agent: “
    // POST包
    http.request.method == “POST” && http contains “Host: “
    http.request.method == “POST” && http contains “User-Agent: “
    // 响应包
    http contains “HTTP/1.1 200 OK” && http contains “Content-Type: “
    http contains “HTTP/1.0 200 OK” && http contains “Content-Type: “
    一定包含如下
    Content-Type:

    7.TCP参数过滤
    tcp.flags 显示包含TCP标志的封包。
    tcp.flags.syn == 0x02     显示包含TCP SYN标志的封包。
    tcp.window_size == 0 && tcp.flags.reset != 1

    8.包内容过滤
    -----------------------------------------------

    tcp[20]表示从20开始,取1个字符
    tcp[20:]表示从20开始,取1个字符以上
    注: 些两虚线中的内容在我的wireshark(linux)上测试未通过。
    --------------------------------------------------
        
    tcp[20:8]表示从20开始,取8个字符
    tcp[offset,n]

    udp[8:3]==81:60:03 // 偏移8个bytes,再取3个数,是否与==后面的数据相等?
    udp[8:1]==32   如果我猜的没有错的话,应该是udp[offset:截取个数]=nValue
    eth.addr[0:3]==00:06:5B

    例子:
    判断upd下面那块数据包前三个是否等于0x20 0x21 0x22
    我们都知道udp固定长度为8
    udp[8:3]==20:21:22

    判断tcp那块数据包前三个是否等于0x20 0x21 0x22
    tcp一般情况下,长度为20,但也有不是20的时候
    tcp[8:3]==20:21:22
    如果想得到最准确的,应该先知道tcp长度

    matches(匹配)和contains(包含某字符串)语法
    ip.src==192.168.1.107 and udp[8:5] matches “\\x02\\x12\\x21\\x00\\x22″        ------???--------
    ip.src==192.168.1.107 and udp contains 02:12:21:00:22
    ip.src==192.168.1.107 and tcp contains “GET”
    udp contains 7c:7c:7d:7d 匹配payload中含有0x7c7c7d7d的UDP数据包,不一定是从第一字节匹配。


    --------------------------------------不理解Begin------------------------------------------------------------------------------------
    例子:
    得到本地qq登陆数据包(判断条件是第一个包==0x02,第四和第五个包等于0x00x22,最后一个包等于0x03)
    0x02 xx xx 0x00 0x22 … 0x03
    如何拼写过虑条件???
        
    udp[11:2]==00:00 表示命令编号为00:00
    udp[11:2]==00:80 表示命令编号为00:80
    当命令编号为00:80时,QQ号码为00:00:00:00

    得到msn登陆成功账号(判断条件是”USR 7 OK “,即前三个等于USR,再通过两个0x20,就到OK,OK后面是一个字符0x20,后面就是mail了)
    USR xx OK mail@hotmail.com
    正确
    msnms and tcp and ip.addr==192.168.1.107 and tcp[20:] matches “^USR\\x20[\\x30-\\x39]+\\x20OK\\x20[\\x00-\\xff]+”

    -------------------------------------不理解End---------------------------------------------------------------------------------------


    9.dns模式过滤


    10.DHCP

    注意:DHCP协议的检索规则不是dhcp/DHCP, 而是bootp
    以寻找伪造DHCP服务器为例,介绍Wireshark的用法。在显示过滤器中加入过滤规则,
    显示所有非来自DHCP服务器并且bootp.type==0x02(Offer/Ack/NAK)的信息:
    bootp.type==0x02 and not ip.src==192.168.1.1

    11.msn

    msnms && tcp[23:1] == 20 // 第四个是0x20的msn数据包
    msnms && tcp[20:1] >= 41 && tcp[20:1] <= 5A && tcp[21:1] >= 41 && tcp[21:1] <= 5A && tcp[22:1] >= 41 && tcp[22:1] <= 5A
    msnms && tcp[20:3]==”USR” // 找到命令编码是USR的数据包
    msnms && tcp[20:3]==”MSG” // 找到命令编码是MSG的数据包
    tcp.port == 1863 || tcp.port == 80

    如何判断数据包是含有命令编码的MSN数据包?
    1)端口为1863或者80,如:tcp.port == 1863 || tcp.port == 80
    2)数据这段前三个是大写字母,如:
    tcp[20:1] >= 41 && tcp[20:1] <= 5A && tcp[21:1] >= 41 && tcp[21:1] <= 5A && tcp[22:1] >= 41 && tcp[22:1] <= 5A
    3)第四个为0x20,如:tcp[23:1] == 20
    4)msn是属于TCP协议的,如tcp

    MSN Messenger 协议分析
    http://blog.csdn.net/Hopping/archive/2008/11/13/3292257.aspx

    MSN 协议分析

    更详细的说明
    <<wireshark过滤表达式实例介绍>>
    http://www.csna.cn/viewthread.php?tid=14614

    Wireshark 主界面的操作菜单中英对比
    http://www.csna.cn/viewthread.php?tid=9645&extra=page=1

    12. wireshark字符串过虑语法字符

    如下内容转自:http://www.csna.cn/viewthread.php?tid=14614

    类似正则表达式的规则。

     1、wireshark基本的语法字符

    \d          0-9的数字
    \D          \d的补集(以所以字符为全集,下同),即所有非数字的字符
    \w          单词字符,指大小写字母、0-9的数字、下划线
    \W          \w的补集
    \s          空白字符,包括换行符\n、回车符\r、制表符\t、垂直制表符\v、换页符\f
    \S          \s的补集
    .          除换行符\n外的任意字符。 在Perl中,“.”可以匹配新行符的模式被称作“单行模式”
    .*       匹配任意文本,不包括回车(\n)? 。 而,[0x00-0xff]*        匹配任意文本,包括\n
    […]          匹配[]内所列出的所有字符
    [^…]          匹配非[]内所列出的字符

    —————————————————————————————-
    2、定位字符  所代表的是一个虚的字符,它代表一个位置,你也可以直观地认为“定位字符”所代表的是某个字符与字符间的那个微小间隙。

    ^          表示其后的字符必须位于字符串的开始处
    $          表示其前面的字符必须位于字符串的结束处
    \b          匹配一个单词的边界
    \B          匹配一个非单词的边界

    —————————————————————————————-
    3、重复描述字符

    {n}          匹配前面的字符n次
    {n,}          匹配前面的字符n次或多于n次
    {n,m}          匹配前面的字符n到m次
    ?          匹配前面的字符0或1次
    +          匹配前面的字符1次或多于1次
    *          匹配前面的字符0次或式于0次

    —————————————————————————————-
    4、and or 匹配

    and 符号 并
    or  符号 或
    例如:
    tcp and tcp.port==80
    tcp or udp

    —————————————————————————————-
    5、wireshark过滤匹配表达式实例

    5.1、搜索按条件过滤udp的数据段payload(数字8是表示udp头部有8个字节,数据部分从第9个字节开始udp[8:])
    udp[8]==14        (14是十六进制0x14)匹配payload第一个字节0x14的UDP数据包
    udp[8:2]==14:05 可以udp[8:2]==1405,且只支持2个字节连续,三个以上须使用冒号:分隔表示十六进制。 (相当于 udp[8]==14 and udp[9]==05,1405是0x1405)
    udp[8:3]==22:00:f7 但是不可以udp[8:3]==2200f7
    udp[8:4]==00:04:00:2a,匹配payload的前4个字节0x0004002a
    而udp contains 7c:7c:7d:7d 匹配payload中含有0x7c7c7d7d的UDP数据包,不一定是从第一字节匹配。
    udp[8:4] matches “\\x14\\x05\\x07\\x18″
    udp[8:] matches “^\\x14\\x05\\x07\\x18\\x14″

    5.2、搜索按条件过滤tcp的数据段payload(数字20是表示tcp头部有20个字节,数据部分从第21个字节开始tcp[20:])
    tcp[20:] matches “^GET [ -~]*HTTP/1.1\\x0d\\x0a”
    等同http matches “^GET [ -~]*HTTP/1.1\\x0d\\x0a”

    tcp[20:] matches “^GET (.*?)HTTP/1.1\\x0d\\x0a”
    tcp[20:] matches “^GET (.*?)HTTP/1.1\\x0d\\x0a[\\x00-\\xff]*Host: (.*?)pplive(.*?)\\x0d\\x0a”
    tcp[20:] matches “^GET (.*?)HTTP/1.1\\x0d\\x0a[\\x00-\\xff]*Host: “
    tcp[20:] matches “^POST / HTTP/1.1\\x0d\\x0a[\\x00-\\xff]*\\x0d\\x0aConnection: Keep-Alive\\x0d\\x0a\\x0d\\x0a”

    检测SMB头的smb标记,指明smb标记从tcp头部第24byte的位置开始匹配。
    tcp[24:4] == ff:53:4d:42

    检测SMB头的smb标记,tcp的数据包含十六进制ff:53:4d:42,从tcp头部开始搜索此数据。
    tcp contains ff:53:4d:42
    tcp matches “\\xff\\x53\\x4d\\x42″

    检测tcp含有十六进制01:bd,从tcp头部开始搜索此数据。
    tcp matches “\\x01\\xbd”

    检测MS08067的RPC请求路径
    tcp[179:13] == 00:5c:00:2e:00:2e:00:5c:00:2e:00:2e:00
                      \      .     .     \     .     .
    5.3、其他
    http.request.uri matches “.gif$” 匹配过滤HTTP的请求URI中含有”.gif”字符串,并且以.gif结尾(4个字节)的http请求数据包($是正则表达式中的结尾表示符)
    注意区别:http.request.uri contains “.gif$” 与此不同,contains是包含字符串”.gif$”(5个字节)。匹配过滤HTTP的请求URI中含有”.gif$”字符串的http请求数据包(这里$是字符,不是结尾符)

    eth.addr[0:3]==00:1e:4f 搜索过滤MAC地址前3个字节是0x001e4f的数据包。

    展开全文
  • wireshark分析数据包

    2021-01-13 10:57:31
     Tcpacked lost segment(tcp应答丢失) Tcp window update(tcp窗口更新) 流量图 wireshark的颜色含义 颜色控制 可以粗略地看到,黑色背景代表报文的各类错误,红色背景代表各类异常情景,其它颜色代表正常。...

    抓包常见的信息以及含义

    Packet size limited during capture

    说明被标记的那个包没有抓全。一般是由抓包方式引起,有些操作系统中默认只抓每个帧的前96个字节。

    4号包全长171字节,但只有96字节被抓到。

    TCP Previous segment not captured

    说明乱序了,前一个包没有收到,收到后面的包了,这时会重传包。Wireshark发现后一个包的Seq大于前一个包的Seq+Len,就知道中间缺失了一段。如果缺失的那段在整个网络包中找不到(排除了乱序),就会提示。

    6号包的Seq是1449大于5号包的Seq+Len=1+1=1,说明中间有个1448字节的包没被抓到,就是“Seq=1,Len=1448”。

    175: SEQ=4675 大于 174: SEQ=Seq(4381)+0 (len)

    [TCP Retransmission]

    一个包真的丢了,又没有后续包可以在接收方触发【Dup Ack】就不会快速重传。这种情况下发送方只好等到超时了再重传。超时重新发送,当发送方送出一个TCP片段后,将开始计时,等待该TCP片段的ACK回复。如果接收方正确接收到符合次序的片段,接收方会利用ACK片段回复发送方。发送方得到ACK回复后,继续移动窗口,发送接下来的TCP片段。如果直到计时完成,发送方还是没有收到ACK回复,那么发送方推断之前发送的TCP片段丢失,因此重新发送之前的TCP片段。这个计时等待的时间叫做重新发送超时时间。

    [TCP segment of a reassembled PDU] 

    TCP层收到上层大块报文后分解成段后发出去,主机响应一个查询或者命令时如果要回应很多数据(信息)而这些数据超出了TCP的最大MSS时就要分片了,被分片出来的包,就会被标记了成TCP segment of a reassembled PDU,被标记了的包的SEQ和ACK都和原来的包一致。

    TCP Out-Of-Order含义

    使用TCP传输较大数据时,都会将数据分片,然后按照顺序依次传输。当Wireshark抓包时候,数据包标记为TCP Out-Of-Order,意思是该数据包的发送顺序不对。这意味着网络状况不好。当然,Wireshark有时会重传的包识别为乱序包。

    [TCP Dup Ack]

    一般来说是网络拥塞导致丢包,比如发送方的报文到达不了接收方,接受方收不到预期序列号的报文就会发送dup ack给发送方,发送方收到3个dup ack就会快速重传而不必等超时定时器。

    TCP dup ack XXX#X:
    就是接收端要求发送方重复应答XXX序号丢失的报文,#后面X的是表示第几次丢失。

    当网络中存在乱序或者丢包时,将会导致接收端接收到的seq number不连续。此时接收端会向发送端回复重复ack,ack值为期望收到的下一个seq number。重复ack数大于等于3次将会触发快速重传。

    [TCP Fast Retransmission]

    快速重新发送  ,由于IP包的传输是无序的,所以接收方有可能先收到后发出的片段,也就是乱序(out-of-order)片段。乱序片段的序号并不等于最近发出的ACK回复号。已接收的文本流和乱序片段之间将出现空洞(hole),也就是等待接收的空位。比如已经接收了正常片段5,6,7,此时又接收乱序片段9。这时片段8依然空缺,片段8的位置就是一个空洞。TCP协议规定,当接收方收到乱序片段的时候,需要重复发送ACK。比如接收到乱序片段9的时候,接收方需要回复ACK。回复号为8 (7+1)。此后接收方如果继续收到乱序片段(序号不是8的片段),将再次重复发送ACK=8。当发送方收到3个ACK=8的回复时,发送方推断片段8丢失。即使此时片段8的计时器还没有超时,发送方会打断计时,直接重新发送片段8,这就是快速重新发送机制(fast-retransmission)。

    325包,客户端向服务端反馈ack=133251,说明下一个期望收到服务端seq=133251的包; 
    326包,服务端向客户端发送了seq=135771的数据包,与客户端的期望不符,因此客户端在327包重传了ack=133251的包,再次申明期望收到seq=133251的包。Wireshark将重复ack标记为TCP Dup ACK,#后边指明为第几次重传。 
    328包,服务端向客户端发送了seq=137031的数据包,仍然与客户端期望不符,客户端在329包再次重传ack=133251的包。 
    330包,服务端收到3次重复ack,触发快速重传,重传了seq=133251的TCP分片。 

     Tcp keep alive(tcp保持活动)

    在TCP中有一个Keep-alive的机制可以检测死连接,原理很简单,TCP会在空闲了一定时间后发送数据给对方:

    1.如果主机可达,对方就会响应ACK应答,就认为是存活的。

    2.如果可达,但应用程序退出,对方就发RST应答,发送TCP撤消连接。

    3.如果可达,但应用程序崩溃,对方就发FIN消息。

    4.如果对方主机不响应ack, rst,继续发送直到超时,就撤消连接。这个时间就是默认

    的二个小时。

    KeepAliveTime值控制 TCP/IP 尝试验证空闲连接是否完好的频率。如果这段时间内没有活动,则会发送保持活动信号。如果网络工作正常,而且接收方是活动的,它就会响应。如果需要对丢失接收方敏感,换句话说,需要更快地发现丢失了接收方,请考虑减小这个值。如果长期不活动的空闲连接出现次数较多,而丢失接收方的情况出现较少,您可能会要提高该值以减少开销。缺省情况下,如果空闲连接 7200000 毫秒(2 小时)内没有活动,Windows 就发送保持活动的消息。通常,1800000 毫秒是首选值,从而一半的已关闭连接会在 30 分钟内被检测到。

    TCP ACKed unseen segment

    当Wireshark发现被Ack的那个包没被抓到,就会提示。

    32号包的Seq+Len=6889+1448=8337,说明下一个包Seq=8337。

    而我们看到的是35号包的Seq=11233,意味着8337~11232这段数据没抓到。

    TCP acked unseen segment

    反馈ACK指向了一个未知的TCP片段。 
    这个意思是说ACK反馈的是一个wireshark上不存在的TCP包。很可能是wireshark漏抓了这个包,但却抓到了对端反馈的该报的ack包。如下图,标记为ack unseen segment的包反馈的ack=2721,看着像是反馈的seq=1361的包,但其实这个ack还反馈了seq=1的包,由于seq=1的包没有抓到,因此wireshark将反馈ack标记为ack unseen segment。从下面的图还可知,由于对端已经反馈了ack=2721,说明发端发送的seq=1的包,对端也收到了,只不过wireshark可能漏抓了而已。 
    这里写图片描述

    RST

    TCP 重置。 
    是TCP协议结束异常连接的一种方式,通过flags中的reset=1标记。当TCP连接无法通过正常的4次挥手结束时,一方可以通过发送携带reset标志的TCP包结束TCP连接。 
    如下图,发送方通过2个TCP流发送数据,截图中,接收方首先向发送方反馈了TCP window=0,让发送方暂缓发送数据,之后紧接着发送了TCP RST标记,释放了TCP连接。猜测可能接收方程序突然崩溃了,导致缓存区数据没法清空,之后接收方系统发送了TCP reset释放TCP连接。 

     Tcpacked lost segment(tcp应答丢失)

     

     Tcp window update(tcp窗口更新)

     

    流量图

    wireshark的颜色含义

    颜色控制

    可以粗略地看到,黑色背景代表报文的各类错误,红色背景代表各类异常情景,其它颜色代表正常。

    Bad TCP:tcp.analysis.flags && !tcp.analysis.window_update

    即TCP解析出错,通常重传,乱序,丢包,重复响应都在此条规则的范围内。

    HSRP State Change:hsrp.state != 8 && hsrp.state != 16

    HSRP即热备份路由协议(Hot Standby Router Protocol),这条规则表示状态非active和standby。

    Spanning Tree Topology  Change:stp.type == 0x80

    生成树协议的状态标记为0x80,生成树拓扑发生变化。

    OSPF State Change:ospf.msg != 1

    OSPF(Open Shortest Path First,开放式最短路径优先协议)的msg类型不是hello。

    ICMP errors:icmp.type eq 3 || icmp.type eq 4 || icmp.type eq 5 || icmp.type eq 11 || icmpv6.type eq 1 || icmpv6.type eq 2 || icmpv6.type eq 3 || icmpv6.type eq 4

    ICMP协议错误,协议的type字段值错误。

    ARP:arp

    即ARP协议

    ICMP:icmp || icmpv6

    即icmp协议

    TCP RST:tcp.flags.reset eq 1

    TCP流被RESET。

    SCTP ABORT:sctp.chunk_type eq ABORT

    串流控制协议的chunk_type为ABORT(6)。

    TTL low or unexpected:( ! ip.dst == 224.0.0.0/4 && ip.ttl < 5 && !pim) || (ip.dst == 224.0.0.0/24 && ip.dst != 224.0.0.251 && ip.ttl != 1 && !(vrrp || carp))

    TTL异常。

    Checksum Errors:eth.fcs_bad==1 || ip.checksum_bad==1 || tcp.checksum_bad==1 || udp.checksum_bad==1 || sctp.checksum_bad==1 || mstp.checksum_bad==1 || cdp.checksum_bad==1 || edp.checksum_bad==1 || wlan.fcs_bad==1

    条件中的各类协议的checksum异常,在PC上抓包时网卡的一些设置经常会使Wireshark显示此错误。

    SMB:smb || nbss || nbns || nbipx || ipxsap || netbios

    Server Message Block类协议。

    HTTP:http || tcp.port == 80 || http2

    HTTP协议,这是很简陋的识别方法。

    IPX:ipx || spx

    互联网络数据包交换(Internet work Packet Exchange)类协议。

    DCERPC:dcerpc

    即DCE/RPC,分散式运算环境/远端过程调用(Distributed Computing Environment / Remote Procedure Calls)协议。

    Routing:hsrp || eigrp || ospf || bgp || cdp || vrrp || carp || gvrp || igmp || ismp

    路由类协议。

    TCP SYN/FIN:tcp.flags & 0x02 || tcp.flags.fin == 1

    TCP连接的起始和关闭。

    TCP:tcp

    TCP协议。

    UDP:udp

    UDP协议。

    Broadcast:eth[0] & 1

    广播数据。

     

    参考链接:

    https://blog.csdn.net/baozhourui/article/details/88373622

    https://blog.csdn.net/hguisu/article/details/46273261

    https://segmentfault.com/a/1190000013734767

    https://www.cnblogs.com/thammer/p/5135827.html

    https://blog.csdn.net/qq_35615083/article/details/80276777

    https://blog.csdn.net/qq_29996285/article/details/83690338

    展开全文
  • wireshark抓包出现许多黑底红字

    万次阅读 2014-02-25 08:51:43
    在机子上抓到好多黑底红字的包,最后解决方法是wireshark中有关网卡设置的问题。如下图所示: 在edit--interface--protocols--ipv4中第四个选项
  • WireShark简单使用

    2021-03-22 16:15:20
    WireShark的工作原理 网卡对接受的数据包进行处理之前会先对它们的目的地址进行检查,如果目的地址不是本机话,就会丢弃这些数据,相反就会将这些数据包交给操作系统,操作系统将其分配给应用程序。如果启动...
  • Wireshark着色规则

    2019-07-19 14:15:00
    wireshark抓包蓝色和红色 在默认情况下 蓝色适合红色相反的方向 绿色背景的是HTTP包灰色背景的是TCP包。黑色背景的是TCP错误包或者校验和错误的包 有时候wireshark抓的包还有颜色区分,想知道为什么吗?...
  • 黑色:报文错误(TCP解析错误、重传、乱序、丢包、重复响应) Bad TCP:TCP解析错误,通常为重传、乱序、丢包、重复响应 HSRP State Change:HSRP(热备份协议),表示状态非active和standby Spanning Tree Topology...
  • wireshark操作使用手册

    千次阅读 2019-10-24 11:30:53
    Wireshark(早前为Ethereal)是一个网络数据包分析软件。主要功能是截取网络数据包,并尽可能显示出最为详细的网络数据包数据,相对于命令行的tcpdump而言,wireshark软件人机界面交互更友好,功能更强大。。...
  • Wireshark基础及使用

    2021-03-27 19:41:20
    Wireshark 基础及使用介绍安装可能遇到的问题简单使用 介绍      网络封包分析软件。      Wireshark使用WinPCAP作为接口, 直接与网卡进行数据报文交换。 安装 ...
  • 本文章将围绕WireShark抓包工具展开详细介绍,一篇文章就可以让你会用WireSharkWireShark简介:Wireshark是一款最流行和强大的开源数据包抓包与分析工具,可以截取各种网络数据包,并可以查看网络数据包详细信息。...
  • wireshark分析过滤rtp/rtcp码流

    千次阅读 2020-10-13 19:23:23
    1.基本过滤 ip过滤 过滤ip : ip.host ==xxxx 过滤目的地址 ip.dst == xxx 过滤源地址 ip.src ==xxx 过滤端口 tcp.port== xxx udp.port == xxx 过滤内容 tcp....如下图黑色线条反应码流,红色块状过滤出来的内容。
  • Wireshark使用教程用户手册

    万次阅读 2019-01-09 17:00:40
    1.1. 什么是Wireshark Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。 你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具...
  • 使用Wireshark抓取用户在网站的登陆密码下载Wireshark获取想要抓取网站的...然后在刚刚打开的黑色会话框里输入:ping jw1.wzbc.edu.cn ,然后回车,得到的IP为10.151.160.43,记下这个IP 开始抓包 打开Wireshark,选择
  • Wireshark基本用法

    2018-11-02 09:17:21
     下载和安装好Wireshark之后,启动Wireshark并且在接口列表中选择接口名,然后开始在此接口上抓包。例如,如果想要在无线网络上抓取流量,点击无线接口。点击Capture Options可以配置高级属性,但现在无此必要。 ...
  • Wireshark基本用法(抓包等)

    千次阅读 2018-10-01 08:38:59
     下载和安装好Wireshark之后,启动Wireshark并且在接口列表中选择接口名,然后开始在此接口上抓包。例如,如果想要在无线网络上抓取流量,点击无线接口。点击Capture Options可以配置高级属性,但现在无此必要。 ...
  • Wireshark, a network analysis tool formerly known as Ethereal, captures packets in real time and display them in human-readable format. Wireshark includes filters, color coding, and other features tha...
  • Info栏清楚的标明“TCP Retransmission”,报文以黑色背景红色字体标出。下图是Packet List面板中的重传示例(仍然不清楚,但可参见上图): 也可以在Packet Details和Packet Bytes面板中查看来确定是否是重传报文...
  • 利用 WireShark 深入调试网络请求

    千次阅读 2017-09-29 14:24:46
    在这里分享一下,主要想聊一聊追查 bug 时的那些方法论,当然也不能太虚,还是要带一点干货,比如 WireShark 的使用。 Bug 复现 遇到 bug 后的第一件事当然是复现。经过一番测试我发现 bug 几乎只会主要出现在 ...
  • 一站式学习Wireshark(四):网络性能排查之TCP重传与重复ACK 介绍   作为网络管理员,很多时间必然会耗费在修复慢速服务器和其他终端。但用户感到网络运行缓慢并不意味着就是网络问题。 解决网络性能问题,首先...
  • tcpdump抓包wireshark分析

    千次阅读 2018-07-10 15:46:49
    分别转自https://www.cnblogs.com/senlinmilelu/p/6876650.html 和https://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html简介用简单的话来定义tcpdump,就是:dump the traffic on a network,根据...
  • 目录 一、Wireshark抓包软件下载安装 二、控制台程序使用 UDP 通信 1)创建新项目 2)编写代码 3)编译结果 4)抓包分析数据 三、Form窗口程序使用 TCP 通信 1)创建新项目 2)设计图形界面 3)编写代码 4)编译...
  • wireshark使用方法总结

    2018-06-13 20:56:39
    Wireshark基本用法抓取报文: 下载和安装好Wireshark之后,启动Wireshark并且在接口列表中选择接口名,然后开始在此接口上抓包。例如,如果想要在无线网络上抓取流量,点击无线接口。点击Capture Options可以配置...
  • 网络抓包wireshark

    2019-09-22 08:08:49
    抓包应该是每个技术人员掌握的基础知识,无论是技术支持运维人员或者是研发,多少都会遇到要抓包的情况,用过的抓包工具有fiddle、wireshark,作为一个不是经常要抓包的人员,学会用Wireshark就够了,毕竟它是功能最...
  • wireshark使用教程

    2019-09-29 22:39:12
    Wireshark基本用法 抓取报文:  下载和安装好Wireshark之后,启动Wireshark并且在接口列表中选择接口名,然后开始在此接口上抓包。例如,如果想要在无线网络上抓取流量,点击无线接口。点击Capture Options可以配置...
  • wireshark学习——3.图形显示

    千次阅读 2018-08-10 19:50:32
    我们之前讲解的各种实用的表格虽然能够有效辅助我们的分析,但是如果想要更好的了解我们所分析的网络情况,则需要依靠Wireshark的图形功能来直观地展示出来。而我们这次课主要讲解Wireshark常用的一些图形界面。 ...
  • Wireshark

    千次阅读 2011-12-10 21:32:42
    1.1. 什么是Wireshark Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。 你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具...
  • Wireshark使用教程

    2019-09-25 20:37:30
    抓取报文: 下载和安装好Wireshark之后,启动Wireshark并且在接口列表中选择接口名,然后开始在此接口上抓包。例如,如果想要在无线网络上抓取流量,点击无线接口。点击Capture Options可以配置高级属性,但现在无此...
  • Wireshark可以将从网络捕获到的二进制数据按照不同的协议包结构规范,翻译解释为人们可以读懂的英文信息,并显示在主界面的中部窗格中。为了帮助 大家在网络安全与管理的数据分析中,迅速理解Wireshark显示的捕获...

空空如也

空空如也

1 2 3 4 5 ... 13
收藏数 256
精华内容 102
关键字:

wireshark红色黑色