碼上歡樂
相關內容    簡體    繁體

Wireshark使用教程:不同報文顏色的含義

本文轉載自   查看原文   2020-05-08 02:07   760 

在Wireshark主界面,報文會顯示各種各樣的顏色,它們表示不同的含義。這些顏色,是由色彩規則控制的。

 

 

對這些顏色進行適當的了解,對分析報文有很大幫助。

 

 

01

 

設置

 

色彩規則有兩個入口,一個在報文上方的工具欄內,如圖:

 

 

那個鮮艷的圖標就是色彩規則的入口。

 

另一個是view-->coloring rules菜單。

 

 

點擊進去即可看見所有的色彩規則的設置:

 

 

 

 

 

可以粗略地看到,黑色背景代表報文的各類錯誤,紅色背景代表各類異常情景,其它顏色代表正常。

 


02

規則

本節對色彩規則的各默認項進行說明:

 

Bad TCP:tcp.analysis.flags && !tcp.analysis.window_update

即TCP解析出錯,通常重傳,亂序,丟包,重復響應都在此條規則的范圍內。

 

HSRP State Change:hsrp.state != 8 && hsrp.state != 16

HSRP即熱備份路由協議(Hot Standby Router Protocol),這條規則表示狀態非active和standby。

 

Spanning Tree Topology  Change:stp.type == 0x80

生成樹協議的狀態標記為0x80,生成樹拓撲發生變化。

 

OSPF State Change:ospf.msg != 1

OSPF(Open Shortest Path First,開放式最短路徑優先協議)的msg類型不是hello。

 

ICMP errors:icmp.type eq 3 || icmp.type eq 4 || icmp.type eq 5 || icmp.type eq 11 || icmpv6.type eq 1 || icmpv6.type eq 2 || icmpv6.type eq 3 || icmpv6.type eq 4

ICMP協議錯誤,協議的type字段值錯誤。

 

ARP:arp

即ARP協議

 

ICMP:icmp || icmpv6

即icmp協議

 

TCP RST:tcp.flags.reset eq 1

TCP流被RESET。

 

SCTP ABORT:sctp.chunk_type eq ABORT

串流控制協議的chunk_type為ABORT(6)。

 

TTL low or unexpected:( ! ip.dst == 224.0.0.0/4 && ip.ttl < 5 && !pim) || (ip.dst == 224.0.0.0/24 && ip.dst != 224.0.0.251 && ip.ttl != 1 && !(vrrp || carp))

TTL異常。

 

Checksum Errors:eth.fcs_bad==1 || ip.checksum_bad==1 || tcp.checksum_bad==1 || udp.checksum_bad==1 || sctp.checksum_bad==1 || mstp.checksum_bad==1 || cdp.checksum_bad==1 || edp.checksum_bad==1 || wlan.fcs_bad==1

條件中的各類協議的checksum異常,在PC上抓包時網卡的一些設置經常會使Wireshark顯示此錯誤。

 

SMB:smb || nbss || nbns || nbipx || ipxsap || netbios

Server Message Block類協議。


HTTP:http || tcp.port == 80 || http2

HTTP協議,這是很簡陋的識別方法。

 

IPX:ipx || spx

互聯網絡數據包交換(Internet work Packet Exchange)類協議。

 

DCERPC:dcerpc

即DCE/RPC,分散式運算環境/遠端過程調用(Distributed Computing Environment / Remote Procedure Calls)協議。


Routing:hsrp || eigrp || ospf || bgp || cdp || vrrp || carp || gvrp || igmp || ismp

路由類協議。

 

TCP SYN/FIN:tcp.flags & 0x02 || tcp.flags.fin == 1

TCP連接的起始和關閉。

 

TCP:tcp

TCP協議。

 

UDP:udp

UDP協議。

 

Broadcast:eth[0] & 1

廣播數據。

 

這里面有部分協議現在的互聯網流量中關注得比較少,但在基礎網絡中很常使用,因此,雖然被保留在着色規則中,但卻顯陌生,當然,對協議還原來說,按標准文檔進行分析即可識別,提取有價值內容。
————————————————
版權聲明:本文為CSDN博主「多姿多彩」的原創文章,遵循CC 4.0 BY-SA版權協議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/yeyiqun/java/article/details/99310715


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 Wireshark使用教程:不同報文顏色的含義 wireshark 報文顏色 如何使用Wireshark抓取HTTP2報文? Wireshark安裝使用及報文分析(圖文詳解) 使用WireShark簡單分析ICMP報文 使用wireshark分析tcp/ip報文之報文頭 wireshark使用教程 wireshark使用教程 Wireshark使用教程 WireShark使用教程
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM