在網絡鏈路中,一個數據包的發送經常會經過多個節點,那么在不同節點抓到報文后,如何確定目前查看的這個報文是否是從源端發過來,問題復現的那段報文;
或者數據流量比較大,同時刻的報文數量很多,已經無法根據時間來確認具體的報文是哪一條時,又需要確定具體的報文情況時,就需要用到這個字段:Identification。
在wireshark中,該字段被書定義為ip.id。
該字段可以理解成報文的唯一標識符,用來標記報文的唯一性,尤其是在該報文經過了各種NAT轉發后,該值是不會發生改變的。
在報文分析中我們往往是通過這個值進行確認報文的唯一性的。當然這個值並不是永不重復,在報文量特別大的情況下,該id是可能發生重復的,不過幾率較小,配合報文的時間戳進行雙向確認,基本可以明確報文的唯一性。
操作使用
一般為了分析方便,需要把該字段應用成列,默認的wireshark是沒有該列的,我們需要把該字段值應用成列。具體操作步驟如下:
找到對應的字段值,選中
右鍵選擇應用為列:
可以看到該列已經出現了上方:
使用該字段值進行過濾篩選:
