1、找到第一个syn报文
tcp.flags.syn == 1
过滤IP地址
ip.addr ==192.168.1.1 //显示所有目标或源地址是192.168.1.1的数据包
ip.dst==192.168.1.1 //显示目标地址是192.168.1.1的数据包
ip.src ==192.168.1.1 //显示源地址是192.168.1.1的数据包
2、中括号代表注释或者提示,不是tcp报文里面的
3、黑色是什么意思?
在菜单栏的 视图——着色规则里面,有各种颜色的说明,这里的黑底红字意思是Bad tcp,出错的报文
4、length字段是什么含义? 怎么计算出来的?
MTU=MSS+IP header(20 bytes)+tcp header(20 bytes)
length=MTU+Ethernet header(14bytes)
5、TCP segment of a reassembled PDU是啥意思
翻译过来是 要重组的协议数据单元(PDU:Protocol Data Unit)的TCP段。
主机响应一个查询或者命令时如果要回应很多数据(信息)而这些数据超出了TCP的最大MSS时,主机会通过发送多个数据包来传送 这些数据(注意:这些包并未被分片)。对wireshark来说这些对相应同一个查询命令的数据包被标记了“TCP segment of a reassembled PDU”。那么问题来了,wireshark如何识别多个数据包是对同一个查询数据包的响应? wireshark是根据sequence number来识别,这些数据包ACK number是相同的,当然number的数值与查询数据包中的next sequence number也是一样的。
6、分析-专家信息。可以看到数据包中的一些有用的统计,比如重传次数、链接建立次数、网络错误等。如下