下面这张图是目前最新版本wireshark的默认着色规则。
Bad TCP:tcp.analysis.flags && !tcp.analysis.window_update
即TCP解析出错,通常重传,乱序,丢包,重复响应都在此条规则的范围内。
HSRP State Change:hsrp.state != 8 && hsrp.state != 16
HSRP即热备份路由协议(Hot Standby Router Protocol),这条规则表示状态非active和standby。
Spanning Tree Topology Change:stp.type == 0x80
生成树协议的状态标记为0x80,生成树拓扑发生变化。
OSPF State Change:ospf.msg != 1
OSPF(Open Shortest Path First,开放式最短路径优先协议)的msg类型不是hello。
ICMP errors:icmp.type eq 3 || icmp.type eq 4 || icmp.type eq 5 || icmp.type eq 11 || icmpv6.type eq 1 || icmpv6.type eq 2 || icmpv6.type eq 3 || icmpv6.type eq 4
ICMP协议错误,协议的type字段值错误。
ARP:arp
即ARP协议
ICMP:icmp || icmpv6
即icmp协议
TCP RST:tcp.flags.reset eq 1
TCP流被RESET。
SCTP ABORT:sctp.chunk_type eq ABORT
串流控制协议的chunk_type为ABORT(6)。
TTL low or unexpected:( ! ip.dst == 224.0.0.0/4 && ip.ttl < 5 && !pim) || (ip.dst == 224.0.0.0/24 && ip.dst != 224.0.0.251 && ip.ttl != 1 && !(vrrp || carp))
TTL异常。
Checksum Errors:eth.fcs_bad==1 || ip.checksum_bad==1 || tcp.checksum_bad==1 || udp.checksum_bad==1 || sctp.checksum_bad==1 || mstp.checksum_bad==1 || cdp.checksum_bad==1 || edp.checksum_bad==1 || wlan.fcs_bad==1
条件中的各类协议的checksum异常,在PC上抓包时网卡的一些设置经常会使Wireshark显示此错误。
SMB:smb || nbss || nbns || nbipx || ipxsap || netbios
Server Message Block类协议。
HTTP:http || tcp.port == 80 || http2
HTTP协议,这是很简陋的识别方法。
IPX:ipx || spx
互联网络数据包交换(Internet work Packet Exchange)类协议。
DCERPC:dcerpc
即DCE/RPC,分散式运算环境/远端过程调用(Distributed Computing Environment / Remote Procedure Calls)协议。
Routing:hsrp || eigrp || ospf || bgp || cdp || vrrp || carp || gvrp || igmp || ismp
路由类协议。
TCP SYN/FIN:tcp.flags & 0x02 || tcp.flags.fin == 1
TCP连接的起始和关闭。
TCP:tcp
TCP协议。
UDP:udp
UDP协议。
Broadcast:eth[0] & 1
广播数据。