一、資料包詳細資訊
Packet Details面板內容如下,主要用於分析封包的詳細資訊。
幀:物理層、鏈路層
包:網路層
段:傳輸層、應用層
1)Frame
物理層資料幀概況
2)Ethernet II
資料鏈路層乙太網幀頭部資訊
3)Internet Protocol Version 4
網際網路層IP包頭部資訊
IP包頭:
4)Transmission Control Protocol
傳輸層資料段頭部資訊,此處是TCP協議
TCP包頭:
5)Hypertext Transfer Protocol
應用層資訊,此處是HTTP協議
二、著色規則
Wireshark預設有一組著色規則,可以在Packet Details面板中展開包的幀部分,檢視著色規則。
在View | Coloring Rules中,開啟著色規則視窗,可以自己建立、刪除、選中、去除。
三、Wireshark提示
1)Packet size limited during capture
說明被標記的那個包沒有抓全。一般是由抓包方式引起,有些作業系統中預設只抓每個幀的前96個位元組。
4號包全長171位元組,但只有96位元組被抓到。
2)TCP Previous segment not captured
如果Wireshark發現後一個包的Seq大於Seq+Len,就知道中間缺失了一段。
如果缺失的那段在整個網路包中找不到(排除了亂序),就會提示。
6號包的Seq是1449大於5號包的Seq+Len=1+1=1,說明中間有個1448位元組的包沒被抓到,就是“Seq=1,Len=1448”。
3)TCP ACKed unseen segment
當Wireshark發現被Ack的那個包沒被抓到,就會提示。
32號包的Seq+Len=6889+1448=8337,說明下一個包Seq=8337。
而我們看到的是35號包的Seq=11233,意味著8337~11232這段資料沒抓到。
4)TCP Out-of-Order
當Wireshark發現後一個包的Seq號小於前一個包的Seq+Len時,就會認為亂序,發出提示。
3362號包的Seq小於3360包的Seq,所以就是亂序。
5)TCP Dup ACK
當亂序或丟包發生時,接收方會收到一些Seq號比期望值大的包。沒收到一個這種包就會Ack一次期望的Seq值,提現傳送方。
7號包期望的下一個Seq=30763,但8號包Seq=32223,說明Seq=30763包丟失,9號包發了Ack=30763,表示“我要的是Seq=30763”。
10號、12號、14號也都是大於30763的,因此沒收到一個就回復一次Ack。
6)TCP Fast Retransmission
當傳送方收到3個或以上的【TCP Dup ACK】,就意識到之前發的包可能丟了,於是快速重傳它。
7)TCP Retransmission
如果一個包真的丟了,又沒有後續包可以在接收方觸發【Dup Ack】就不會快速重傳。
這種情況下發送方只好等到超時了再重傳。
1053號包發出後,一直沒有等到相應的Ack,只能在100多毫秒之後重傳了。
8)TCP zerowindow
包種的“win”代表接收視窗的大小,當Wireshark在一個包中發現“win=0”時,就會發提示。
9)TCP window Full
此提示表示這個包的傳送方已經把對方所宣告的接收視窗耗盡了。
當Wireshark計算出Middle East已經有65535位元組未被確認,就會發出此提示。
【TCP window Full】表示傳送方暫時沒辦法再發送資料;
【TCP zerowindow】表示傳送方暫時沒辦法再接收資料。
10)TCP segment of a reassembled PDU
Wireshark可以把屬於同一個應用層的PDU的TCP包虛擬地集中起來。
TCP層收到上層大塊報文後分解成段後發出去,主機響應一個查詢或者命令時如果要回應很多資料(資訊)而這些資料超出了TCP的最大MSS時,
主機會透過傳送多個數據包來傳送這些資料(注意:這些包並未被分片)。
11)Time-to-live exceeded(Fragment reassembly time exceeded)
表示這個包的傳送方之前收到了一些分片,但由於某些原因遲遲無法組裝起來。
一、資料包詳細資訊
Packet Details面板內容如下,主要用於分析封包的詳細資訊。
幀:物理層、鏈路層
包:網路層
段:傳輸層、應用層
1)Frame
物理層資料幀概況
2)Ethernet II
資料鏈路層乙太網幀頭部資訊
3)Internet Protocol Version 4
網際網路層IP包頭部資訊
IP包頭:
4)Transmission Control Protocol
傳輸層資料段頭部資訊,此處是TCP協議
TCP包頭:
5)Hypertext Transfer Protocol
應用層資訊,此處是HTTP協議
二、著色規則
Wireshark預設有一組著色規則,可以在Packet Details面板中展開包的幀部分,檢視著色規則。
在View | Coloring Rules中,開啟著色規則視窗,可以自己建立、刪除、選中、去除。
三、Wireshark提示
1)Packet size limited during capture
說明被標記的那個包沒有抓全。一般是由抓包方式引起,有些作業系統中預設只抓每個幀的前96個位元組。
4號包全長171位元組,但只有96位元組被抓到。
2)TCP Previous segment not captured
如果Wireshark發現後一個包的Seq大於Seq+Len,就知道中間缺失了一段。
如果缺失的那段在整個網路包中找不到(排除了亂序),就會提示。
6號包的Seq是1449大於5號包的Seq+Len=1+1=1,說明中間有個1448位元組的包沒被抓到,就是“Seq=1,Len=1448”。
3)TCP ACKed unseen segment
當Wireshark發現被Ack的那個包沒被抓到,就會提示。
32號包的Seq+Len=6889+1448=8337,說明下一個包Seq=8337。
而我們看到的是35號包的Seq=11233,意味著8337~11232這段資料沒抓到。
4)TCP Out-of-Order
當Wireshark發現後一個包的Seq號小於前一個包的Seq+Len時,就會認為亂序,發出提示。
3362號包的Seq小於3360包的Seq,所以就是亂序。
5)TCP Dup ACK
當亂序或丟包發生時,接收方會收到一些Seq號比期望值大的包。沒收到一個這種包就會Ack一次期望的Seq值,提現傳送方。
7號包期望的下一個Seq=30763,但8號包Seq=32223,說明Seq=30763包丟失,9號包發了Ack=30763,表示“我要的是Seq=30763”。
10號、12號、14號也都是大於30763的,因此沒收到一個就回復一次Ack。
6)TCP Fast Retransmission
當傳送方收到3個或以上的【TCP Dup ACK】,就意識到之前發的包可能丟了,於是快速重傳它。
7)TCP Retransmission
如果一個包真的丟了,又沒有後續包可以在接收方觸發【Dup Ack】就不會快速重傳。
這種情況下發送方只好等到超時了再重傳。
1053號包發出後,一直沒有等到相應的Ack,只能在100多毫秒之後重傳了。
8)TCP zerowindow
包種的“win”代表接收視窗的大小,當Wireshark在一個包中發現“win=0”時,就會發提示。
9)TCP window Full
此提示表示這個包的傳送方已經把對方所宣告的接收視窗耗盡了。
當Wireshark計算出Middle East已經有65535位元組未被確認,就會發出此提示。
【TCP window Full】表示傳送方暫時沒辦法再發送資料;
【TCP zerowindow】表示傳送方暫時沒辦法再接收資料。
10)TCP segment of a reassembled PDU
Wireshark可以把屬於同一個應用層的PDU的TCP包虛擬地集中起來。
TCP層收到上層大塊報文後分解成段後發出去,主機響應一個查詢或者命令時如果要回應很多資料(資訊)而這些資料超出了TCP的最大MSS時,
主機會透過傳送多個數據包來傳送這些資料(注意:這些包並未被分片)。
11)Time-to-live exceeded(Fragment reassembly time exceeded)
表示這個包的傳送方之前收到了一些分片,但由於某些原因遲遲無法組裝起來。