Packet详细信息面板的内容如下,主要用于分析数据包的详细信息。
帧:物理层,链接层
包:网络层
部分:传输层、应用层
1)框架
物理层数据帧概述
2)以太网II
数据链路层以太网帧头信息
3)互联网协议版本4
Internet层IP数据包头信息
IP头:
4)Transmission控制协议
传输层数据段的头信息,如下所示TCP协议
TCP标头:
5)Hypertext传输协议
应用层信息,这里是HTTP协议
2、着色规则Wireshark默认情况下,有一组着色规则。可以在“Packet详细信息”面板中展开包的框架部分,以查看着色规则。
在视图|着色规则中,打开着色规则窗口,您可以自己创建、删除、选择和删除它们。
3、Wireshark提示1)Packet被捕时体型有限
这意味着标记的袋子没有被完全抓住。通常是抓包由于该模式,一些操作系统在默认情况下只捕获每个帧的前96个字节。
包4的总长度为171字节,但只捕获了96字节。
2)TCP上一段未捕获
如果Wireshark发现后一个包的SEQ大于SEQ+LEN,她知道在中间缺失了一个段落。
如果在整个网络包中找不到缺少的部分(故障),它将提示。
封装6的SEQ为1449,大于封装5的SEQ+LeN=1+1=1,表明中间有1448字节的包,即“SEQ=1,LeN=1448”。
3)TCP确认的不可见段
当Wireshark发现Ack的包没有被抓到时,她会提示。
对于包32,Seq+len=6889+1448=8337,表示下一个包Seq=8337。
我们看到的是35号包的SEQ=11233,这意味着8337到11232之间的数据没有被捕获。
4)从Order那里
当Wireshark发现后一个包裹的序号小于前一个包裹的序号+长度时,她会认为这是不正常的,并给出提示。
包装3362的序号小于3360包裹的序号坏了。
5)TCP重复确认
当出现故障或数据包丢失时,接收器将收到一些SEQnumber大于预期值的数据包。如果你没有收到这样的数据包,你将撤回Ack和发送者想要的SEQ值。
包7期望下一个SEQ=30763,但包8SEQ=32223,表明SEQ=30763包丢失。包裹9发送Ack=30763,表示“我想要SEQ=30763”。
10号、12号和14号也大于30763号,所以Ack只回复了一次,没有收到回复。
6)TCP快速重传
当发送方意识到可能丢失3个以上的TCP数据包时,发送方可能会重新传输它们。
7)TCP重传
如果一个数据包真的丢失了,那么是否有后续的数据包可以在接收器触发[DUPAck],将不会很快重新传输。
在这种情况下,发送方必须等到超时后才能重新传输。
1053包裹寄出后,它没有等待相应的Ack。它只能在超过100毫秒后重新传输。
8)TCP零窗口
包中的“Win”表示接收窗口的大小。当Wireshark在包裹中发现“win=0”时,她会发出提示。
9)TCP窗口已满
此提示表示数据包的发送方已耗尽另一方声明的接收窗口。
当Wireshark计算出中东65535字节尚未确认时,将发出此提示。
[TCPwindowfull]表示发送方暂时无法再次发送数据;
[TCPzeroindow]表示发送方暂时无法接收数据。
10)重新组装的TCP段PDU
Wireshark可以虚拟地集中属于同一应用层的PDU的TCP数据包。
当TCP层接收到来自上层的大消息时,它被分解成段并发送出去。当主机响应查询或命令时,如果它需要响应大量数据(信息),并且这些数据超过了TCP的最大值MSS什么时候
主机通过发送多个数据包来传输这些数据(注意:这些数据包不是分段的)。
11)超过生存时间(超过碎片重新组装时间)
它表示此数据包的发送方以前收到过一些片段,但由于某些原因无法组装。
最新评论