wireshark不同颜色报文含义(报文颜色)
文章目录
- 查看颜色映射
- 含义
- Bad TCP
- HSRP State Change
- Spanning Tree Topology Change
- OSPF State Change
- ICMP errors
- ARP
- ICMP
- TCP RST
- SCTP ABORT
- TTL low or unexpected
- Checksum Errors
- SMB
- HTTP
- IPX
- DCERPC
- Routing
- TCP SYN/FIN
- TCP
- UDP
- Broadcast
查看颜色映射
view–> color rules(视图 --> 着色规则)
含义
Bad TCP
tcp.analysis.flags && !tcp.analysis.window_update
即TCP解析出错,通常重传,乱序,丢包,重复响应都在此条规则的范围内。
HSRP State Change
hsrp.state != 8 && hsrp.state != 16
HSRP即热备份路由协议(Hot Standby Router Protocol),这条规则表示状态非active和standby。
Spanning Tree Topology Change
stp.type == 0x80
生成树协议的状态标记为0x80,生成树拓扑发生变化。
OSPF State Change
ospf.msg != 1
OSPF(Open Shortest Path First,开放式最短路径优先协议)的msg类型不是hello。
ICMP errors
icmp.type eq 3 || icmp.type eq 4 || icmp.type eq 5 || icmp.type eq 11
|| icmpv6.type eq 1 || icmpv6.type eq 2 || icmpv6.type eq 3 ||
icmpv6.type eq 4
ICMP协议错误,协议的type字段值错误。
ARP
arp
即ARP协议
ICMP
icmp || icmpv6
即icmp协议
TCP RST
tcp.flags.reset eq 1
TCP流被RESET。
SCTP ABORT
sctp.chunk_type eq ABORT
串流控制协议的chunk_type为ABORT(6)。
TTL low or unexpected
( ! ip.dst == 224.0.0.0/4 && ip.ttl < 5 && !pim) || (ip.dst ==
224.0.0.0/24 && ip.dst != 224.0.0.251 && ip.ttl != 1 && !(vrrp || carp))
TTL异常。
Checksum Errors
eth.fcs_bad1 || ip.checksum_bad1 || tcp.checksum_bad1 ||
udp.checksum_bad1 || sctp.checksum_bad1 || mstp.checksum_bad1 ||
cdp.checksum_bad1 || edp.checksum_bad1 || wlan.fcs_bad==1
条件中的各类协议的checksum异常,在PC上抓包时网卡的一些设置经常会使Wireshark显示此错误。
SMB
smb || nbss || nbns || nbipx || ipxsap || netbios
Server Message Block类协议。
HTTP
http || tcp.port == 80 || http2
HTTP协议,这是很简陋的识别方法。
IPX
ipx || spx
互联网络数据包交换(Internet work Packet Exchange)类协议。
DCERPC
dcerpc
即DCE/RPC,分散式运算环境/远端过程调用(Distributed Computing Environment / Remote Procedure Calls)协议。
Routing
hsrp || eigrp || ospf || bgp || cdp || vrrp || carp || gvrp || igmp ||
ismp
路由类协议。
TCP SYN/FIN
tcp.flags & 0x02 || tcp.flags.fin == 1
TCP连接的起始和关闭。
TCP
tcp
TCP协议。
UDP
udp
UDP协议。
Broadcast
eth[0] & 1
广播数据。
参考文章:Wireshark使用教程:不同报文颜色的含义
wireshark不同颜色报文含义(报文颜色)相关推荐
- 基于wireshark的HTTP请求报文分析
HTTP请求 一个HTTP请求由四个部分组成:请求行.请求头部.空行.请求数据. -请求行 请求行由请求方法字段.URL字段和HTTP协议版本字段3个字段组成,它们用空格分隔.比如 GET /data ...
- 报文、报文段、分组、包、数据报、帧、数据流的概念区别
1.报文(message) 我们将位于应用层的信息分组称为报文.报文是网络中交换与传输的数据单元,也是网络传输的单元.报文包含了将要发送的完整的数据信息,其长短不需一致.报文在传输过程中会不断地封装成 ...
- 【计算机网络】网络层 : ICMP 协议 ( ICMP 差错报文 | 差错报文分类 | ICMP 询问报文 | ICMP 应用 | Ping | Traceroute )
文章目录 一.ICMP 协议 二.ICMP 协议 简介 三.ICMP 五种差错报告报文 四.ICMP 差错报文形成 五.ICMP 差错报文 不发送 情形 六.ICMP 询问报文 七.ICMP 应用 一 ...
- OSPFB笔记-五个报文【超详细】[Hello报文,DD报文,LSR报文,LSU报文,LSAck报文]
目录 Hello报文 DD报文[数据库描述报文] LSR报文 LSU报文 LSAck报文 通过前面已经了解到ospf的报文头部[链接:OSPF头部报文https://blog.csdn.net/wei ...
- 帧、报文、报文段、分组、包、数据报的概念区别
1.报文(message) 我们将位于应用层的信息分组称为报文.报文是网络中交换与传输的数据单元,也是网络传输的单元.报文包含了将要发送的完整的数据信息,其长短不需一致.报文在传输过程中会不断地封装成 ...
- 帧、报文、报文段、分组、包、数据报、PDU、SDU、信元
消息,报文,message, 一般指完整的信息,传输层实现报文交付.我们将位于应用层的信息分组称为报文.报文在传输过程中会不断地封装成分组(包).帧来传输,封装的方式就是添加一些控制信息组成的首部,那 ...
- HTTP报文(message)是什么?请求报文、响应报文、报文首部(header)、报文主体(body)
文章目录 HTTP 报文格式 请求报文 响应报文 HTTP 报文格式 用于 HTTP 协议交互的信息被称为 HTTP 报文. 请求端(客户端)的 HTTP 报文叫做请求报文,响应端(服务器端)的叫做响 ...
- dhcp 续约review报文_DHCP报文及其格式
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)使用UDP协议工作,采用67(DHCP服务器文)和68(DHCP客户端)两个端口号.546号端口用于 ...
- 使用WireShark简单分析ICMP报文
ICMP协议介绍 1.ICMP是"Internet Control Message Protocol"(Internet控制消息协议)的缩写. 它是TCP/IP协议族的一个子协议. ...
- 使用wireshark分析tcp/ip报文之报文头
以太网报文的结构如下: 其中,以太网的帧头: 14 Bytes:MAC目的地址48bit(6B),MAC源地址48bit(6B),Type域2B,一共14B. IP头部: TCP头部: http:// ...
最新文章
- javascript 函数默认参数 只适用于 ES6
- 解决GitHub加载不出图片问题
- UbuntuでPostgreSQLをインストールからリモートアクセスまでの手順
- java基础 关于转换流
- Word2016此功能看似已中断...
- PLSQL developer 连接64位oracle 11.2G
- PortAudio(v19) 在vs2010上的环境搭建
- 2021年中国车内娱乐和信息系统市场趋势报告、技术动态创新及2027年市场预测
- oracle 11g r2 的jdk 版本,java 连接 oracle 11gr2 出错 泪求大神
- 如何使用PDF expert在Mac上给PDF调整页面顺序?
- js根据本地文件路径上传文件(流上传)
- 劉筱娟:人工智能名片能在移动互联网营销上发挥什么作用?
- 谷歌统计Google Analytics使用入门
- Dubbo解析及原理浅析
- 去中心化借贷协议Trister’s Lend全面内测并提交合约代码安全审计
- [NOIP2017 普及组]跳房子 【题解】
- 关于csdn写的博文未显示,待审核状态
- 胎儿面部超声切面识别
- 西门子300PLC系列:数据块DB精讲
- Android仿知乎图片墙