1、找到第一個syn報文
tcp.flags.syn == 1
過濾IP地址
ip.addr ==192.168.1.1 //顯示所有目標或源地址是192.168.1.1的數據包
ip.dst==192.168.1.1 //顯示目標地址是192.168.1.1的數據包
ip.src ==192.168.1.1 //顯示源地址是192.168.1.1的數據包
2、中括號代表註釋或者提示,不是tcp報文裏面的
3、黑色是什麼意思?
在菜單欄的 視圖——着色規則裏面,有各種顏色的說明,這裏的黑底紅字意思是Bad tcp,出錯的報文
4、length字段是什麼含義? 怎麼計算出來的?
MTU=MSS+IP header(20 bytes)+tcp header(20 bytes)
length=MTU+Ethernet header(14bytes)
5、TCP segment of a reassembled PDU是啥意思
翻譯過來是 要重組的協議數據單元(PDU:Protocol Data Unit)的TCP段。
主機響應一個查詢或者命令時如果要回應很多數據(信息)而這些數據超出了TCP的最大MSS時,主機會通過發送多個數據包來傳送 這些數據(注意:這些包並未被分片)。對wireshark來說這些對相應同一個查詢命令的數據包被標記了“TCP segment of a reassembled PDU”。那麼問題來了,wireshark如何識別多個數據包是對同一個查詢數據包的響應? wireshark是根據sequence number來識別,這些數據包ACK number是相同的,當然number的數值與查詢數據包中的next sequence number也是一樣的。
6、分析-專家信息。可以看到數據包中的一些有用的統計,比如重傳次數、鏈接建立次數、網絡錯誤等。如下
