之前分享完基础的二层、三层过滤语法,本次继续TCP过滤语法,涉及TCP的故障和问题会比较复杂,后面会专门针对不同类型的故障来详细分享,本次仅介绍常见的语法。
1. tcp.port/udp.port(如同mac地址或ip地址,tcp和udp基于端口进行传输,因为port类似于ip.addr),常用语法:
1.1 tcp.port/tcp.destport/tcp.srcport(tcp端口、目的端口、源端口,类似于ip.addr,ip.dst,ip.src)
udp.port/udp.destport/udp/srcport
1.2 端口范围:tcp.port> xxx && tcp.port<yyyy,等同于之前的portrang
2. TCP FLAG位tcp.flag.xxx,wireshark通过tcp.flag来快速定位相关flag位的信息,并可以通过I/O来显示。在看用法之前,先了解一下TCP的报头:
在OffSet的第13字节有1个字节的flag位,分别是:URG(紧急指针)、ACK(确认)、PSH(紧急推送)、RST(置位)、SYN(序列号)、FIN(结束)。例如通过tcp.flag.fin查看tcp连接拆除的报文:
3. TCP Analysis,分析常见的TCP故障。
可以快速的定位常见的tcp错误,例如重复ack确认、tcp重传、零窗口等故障,例如:
4. Follow Steam,追踪tcp流。在抓取的数据包中,如果存在多条TCP会话,会通过tcp.steam eq xx来定位。如果要关注某条对话相应的tcp会话,也可以通过右键-Follow-TCP Steam来快速定位,如下图
5. TCP Steam Graphs(选择一条tcp-statistics-TCP Steam Graphs),可以查看tcp的相关信息,如下图:
绿线表示上传,即52.114.128.10->10.2.34.216,棕色下载。也可以选择①②④等关注的数值。
6. I/O graphs 来展示TCP关注数据(statistics-I/O Graphs),例如:通过自定义tcp总流量、ack丢失、和重传的过滤来展示:
TCP的基本过滤规则就介绍到这里,后续会基于实际的TCP故障及协议深入分析。
文章版权声明
1 原创文章作者:汇维网,如若转载,请注明出处: https://www.52hwl.com/1738.html
2 温馨提示:软件侵权请联系469472785#qq.com(三天内删除相关链接)资源失效请留言反馈
3 下载提示:如遇蓝奏云无法访问,请修改lanzous(把s修改成x)
4 免责声明:本站为个人博客,所有软件信息均来自网络 修改版软件,加群广告提示为修改者自留,非本站信息,注意鉴别