Wireshark使用教程:不同报文颜色的含义 |
您所在的位置:网站首页 › Paradox是什么颜色的意思 › Wireshark使用教程:不同报文颜色的含义 |
“ Wireshark色彩规则。” 在Wireshark主界面,报文会显示各种各样的颜色,它们表示不同的含义。这些颜色,是由色彩规则控制的。 对这些颜色进行适当的了解,对分析报文有很大帮助。 01 — 设置 色彩规则有两个入口,一个在报文上方的工具栏内,如图: 那个鲜艳的图标就是色彩规则的入口。 另一个是view-->coloring rules菜单。 点击进去即可看见所有的色彩规则的设置: 可以粗略地看到,黑色背景代表报文的各类错误,红色背景代表各类异常情景,其它颜色代表正常。 02 — 规则 本节对色彩规则的各默认项进行说明: Bad TCP:tcp.analysis.flags && !tcp.analysis.window_update 即TCP解析出错,通常重传,乱序,丢包,重复响应都在此条规则的范围内。 HSRP State Change:hsrp.state != 8 && hsrp.state != 16 HSRP即热备份路由协议(Hot Standby Router Protocol),这条规则表示状态非active和standby。 Spanning Tree Topology Change:stp.type == 0x80 生成树协议的状态标记为0x80,生成树拓扑发生变化。 OSPF State Change:ospf.msg != 1 OSPF(Open Shortest Path First,开放式最短路径优先协议)的msg类型不是hello。 ICMP errors:icmp.type eq 3 || icmp.type eq 4 || icmp.type eq 5 || icmp.type eq 11 || icmpv6.type eq 1 || icmpv6.type eq 2 || icmpv6.type eq 3 || icmpv6.type eq 4 ICMP协议错误,协议的type字段值错误。 ARP:arp 即ARP协议 ICMP:icmp || icmpv6 即icmp协议 TCP RST:tcp.flags.reset eq 1 TCP流被RESET。 SCTP ABORT:sctp.chunk_type eq ABORT 串流控制协议的chunk_type为ABORT(6)。 TTL low or unexpected:( ! ip.dst == 224.0.0.0/4 && ip.ttl < 5 && !pim) || (ip.dst == 224.0.0.0/24 && ip.dst != 224.0.0.251 && ip.ttl != 1 && !(vrrp || carp)) TTL异常。 Checksum Errors:eth.fcs_bad==1 || ip.checksum_bad==1 || tcp.checksum_bad==1 || udp.checksum_bad==1 || sctp.checksum_bad==1 || mstp.checksum_bad==1 || cdp.checksum_bad==1 || edp.checksum_bad==1 || wlan.fcs_bad==1 条件中的各类协议的checksum异常,在PC上抓包时网卡的一些设置经常会使Wireshark显示此错误。 SMB:smb || nbss || nbns || nbipx || ipxsap || netbios Server Message Block类协议。HTTP:http || tcp.port == 80 || http2 HTTP协议,这是很简陋的识别方法。 IPX:ipx || spx 互联网络数据包交换(Internet work Packet Exchange)类协议。 DCERPC:dcerpc 即DCE/RPC,分散式运算环境/远端过程调用(Distributed Computing Environment / Remote Procedure Calls)协议。Routing:hsrp || eigrp || ospf || bgp || cdp || vrrp || carp || gvrp || igmp || ismp 路由类协议。 TCP SYN/FIN:tcp.flags & 0x02 || tcp.flags.fin == 1 TCP连接的起始和关闭。 TCP:tcp TCP协议。 UDP:udp UDP协议。 Broadcast:eth[0] & 1 广播数据。 这里面有部分协议现在的互联网流量中关注得比较少,但在基础网络中很常使用,因此,虽然被保留在着色规则中,但却显陌生,当然,对协议还原来说,按标准文档进行分析即可识别,提取有价值内容。 如需交流,可联系我。 长按进行关注。 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |