wireshark常见使用

wireshark常见使用

常用显示过滤语法(抓好的包查找)

file:///D:/Program%20Files/Wireshark/wireshark-filter.html

比较操作符

== 等于
!= 不等于
> 大于
< 小于
>= 大于等于
<= 小于等于

逻辑运算符

and 两个条件同时满足
or 其中一个条件满足
xor 有且仅有一个条件满足
not 没有条件满足

IP过滤

ip.addr
ip.src
ip.dst

端口flag过滤

tcp.port
tcp.srcport
tcp.dstport
tcp.flag.syn
tcp.flag.ack

协议过滤

arp
ip
icmp
udp
tcp
bootp
dns
http

范例

ip.addr == 114.114.114.114
ip.src == 114.114.114.114
ip.dst == 114.114.114.114
tcp.port == 80
arp
tcp

ip.src == 192.168.1.100 and tcp.port == 80
ip.addr == 192.168.1.100 and udp.port == 4000

通过序列号在客户端服务端互相查找

tcp.seq_raw eq 4022234701   #  注意  这里是裸序列号  不是相对序列号

查找HTTP内容搜索

http contains "C04221GW0001e1r00"

常见INFO里面信息分析

[TCP zerowindow] 0窗口 ,win=0,当接收方缓冲区满了

[TCP Keep-Alive] 保活,长链接,检测是否0窗口没有了,可以发送数据了

[PUSH] 让服务端接收到数据立马处理,不在缓冲区排队

[TCP Reransmission] 重传,可能网络问题

[TCP Dup ACK 1#1] 乱序

[TCP Fast Reransmission] 快速重传,乱序后快速重传

发表评论

相关文章