前言
wireshark 是一個很常見的網絡封包分析軟件。網絡封包分析軟件的功能是擷取網絡封包,並盡可能顯示出最為詳細的網絡封包資料。
在實際工作中,經常需要使用它進行報文的分析工作,wireshark即可以在windows環境下進行抓包,更多的是將在Linux環境下通過tcpdump等抓包工具抓取到的數據報文進行分析,畢竟在windows環境下運行的wireshark在報文的可讀性上還是有非常大的優勢的。
具體在Linux環境下使用tcpdump命令的用法大家可以看我之前寫的tcpdump命令說明,這里就不再贅述,這里主要介紹一下wireshark報文分析的心得。
報文標記–ip.id
在網絡鏈路中,一個數據包的發送經常會經過多個節點,那么在不同節點抓到報文后,如何確定目前查看的這個報文是否是從源端發過來,問題復現的那段報文;
或者數據流量比較大,同時刻的報文數量很多,已經無法根據時間來確認具體的報文是哪一條時,又需要確定具體的報文情況時,就需要用到這個字段:Identification。
在wireshark中,該字段被書定義為ip.id。
該字段可以理解成報文的唯一標識符,用來標記報文的唯一性,尤其是在該報文經過了各種NAT轉發后,該值是不會發生改變的。
在報文分析中我們往往是通過這個值進行確認報文的唯一性的。當然這個值並不是永不重復,在報文量特別大的情況下,該id是可能發生重復的,不過幾率較小,配合報文的時間戳進行雙向確認,基本可以明確報文的唯一性。
來看看wireshark官網是如何描述該字段的。
https://ccie-or-null.net/2014/12/02/wireshark-tid-bit-what-does-the-ip-identification-field-tell-us/
操作使用
一般為了分析方便,需要把該字段應用成列,默認的wireshark是沒有該列的,我們需要把該字段值應用成列。具體操作步驟如下:
找到對應的字段值,選中
右鍵選擇應用為列:
可以看到該列已經出現了上方:
使用該字段值進行過濾篩選:
希望上述描寫會對報文分析有所幫助,后面我會整理一下,使用wireshark時分析報文時延的一些使用心得。
轉載自:https://blog.csdn.net/ll845876425/article/details/85543914