前言
wireshark 是一个很常见的网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。
在实际工作中,经常需要使用它进行报文的分析工作,wireshark即可以在windows环境下进行抓包,更多的是将在Linux环境下通过tcpdump等抓包工具抓取到的数据报文进行分析,毕竟在windows环境下运行的wireshark在报文的可读性上还是有非常大的优势的。
具体在Linux环境下使用tcpdump命令的用法大家可以看我之前写的tcpdump命令说明,这里就不再赘述,这里主要介绍一下wireshark报文分析的心得。
报文标记–ip.id
在网络链路中,一个数据包的发送经常会经过多个节点,那么在不同节点抓到报文后,如何确定目前查看的这个报文是否是从源端发过来,问题复现的那段报文;
或者数据流量比较大,同时刻的报文数量很多,已经无法根据时间来确认具体的报文是哪一条时,又需要确定具体的报文情况时,就需要用到这个字段:Identification。
在wireshark中,该字段被书定义为ip.id。
该字段可以理解成报文的唯一标识符,用来标记报文的唯一性,尤其是在该报文经过了各种NAT转发后,该值是不会发生改变的。
在报文分析中我们往往是通过这个值进行确认报文的唯一性的。当然这个值并不是永不重复,在报文量特别大的情况下,该id是可能发生重复的,不过几率较小,配合报文的时间戳进行双向确认,基本可以明确报文的唯一性。
来看看wireshark官网是如何描述该字段的。
https://ccie-or-null.net/2014/12/02/wireshark-tid-bit-what-does-the-ip-identification-field-tell-us/
操作使用
一般为了分析方便,需要把该字段应用成列,默认的wireshark是没有该列的,我们需要把该字段值应用成列。具体操作步骤如下:
找到对应的字段值,选中
右键选择应用为列:
可以看到该列已经出现了上方:
使用该字段值进行过滤筛选:
希望上述描写会对报文分析有所帮助,后面我会整理一下,使用wireshark时分析报文时延的一些使用心得。
转载自:https://blog.csdn.net/ll845876425/article/details/85543914