1.给特定报文标注特殊颜色
[View]>[Coloring Rules] 然后就可以设定标注规则和颜色啦.
2.wireshark中TCP索引解释
tcp.stream eq tcp streamindex
the stream index is an internal Wireshark mapping to: [IP address A, TCP port A, IP address B, TCP port B]
All the packets for the same tcp.stream value should have the same values for these fields (though the src/dest will be switched for A->B and B->A packets)
see the Statistics/Conversations/TCP tab in Wireshark to show a summary of these streams
3.各种统计项:
Conversations 基于节点间交互抓包统计。
Endpoints 基于节点的抓包统计。
Protocol Hierarchy 基于协议抓包统计。
Packet Lengths Stats Tree 基于包长的抓包统计。
IO Graphs 抓包统计图形,可以展示IO随时间变化。
Conversation List Conversations的几种常用统计,比Conversations效率高,因为它只要在某一层进行统计。
Endpoint List Endpoints的几种常用统计,比Endpoints效率高。
Service Response Time 统计多种协议的请求与相应时延。
Compare two capture files 用于统计一个由SP/MS抓包合并后的抓包。统计出两侧丢包数。
Expert Infos 异常信息统计。
4.过滤:
Display Filter Macros 可以将复杂过滤条件定义为代数式,使用时类似函数调用。
5.自定义列:
Preferences->User Interface->Columns 添加Custom类型的列里面可以指定该列显示元素。
6.导出功能:
wireshark可以导出不同层次内容,如导出选定报文。Http响应内容。
7.常见提示
tcp acked unseen segment
tcp 回复一个没有收到的分片,可能抓包有丢包
tcp previous segment not captured
tcp 的分片号并非预期,可能发生了乱序