swanabin的专栏

在局域网中使用wireshark抓包过滤http的时候经常会出现一些干扰协议，例如SSDP，使用过滤条件“http”有可能出现N多ssdp包，本文主要介绍使用wireshark抓包时如何过滤SSDP数据包。wireshark抓包中排除SSDPSSDP使用UDP协议的1900端口传输所以过滤http时加上tcp的条件即可：tcp && httphttp&&!(udp.

ARP（Address Resolution Protocol）协议，地址解析协议。该协议的功能是将IP地址转化为物理地址。可能有人就会问了？ 为什么ARP的功能是将IP地址转化为物理地址？对于上面这个问题，我们就不得不说OSI七层模型了，关于OSI七层模型的详细我这了不做过多介绍。其中IP地址是在第三层即网络层，MAC地址是在第二层即数据链路层，他们彼此是不能通信的。在通过以太网

（1）什么是DNS服务器？    DNS（Domain Name System， 域名系统）是因特网上作为域名和IP地址相互映射的一个分布式数据库，能够使用户更方便地访问互联网，而不是用去记住能够被机器直接读取的IP数串。在互联网上域名与IP地址之间是一对一或者多对一的，如果要记住所以的IP地址，显然是不太容易的。虽然域名便于人们记住，但是主机之间只能互相认识IP地址，所以它们之间的转化就

（1）什么是DHCP协议？    DHCP（Dynamic Host Configuration Protocol,动态主机配置协议）是一个局域网的网络协议，使用UDP协议工作。主要用于给内部网络或网络服务提供供应商自动分配IP地址。DHCP协议是一个应用层协议，能够让设备自动获取IP地址以及其他重要的网络资源。DHCP使用的客服务器模式，其中客户端使用的是UDP68端口，而服务器使用的是

（1）什么是ICMP协议？      ICMP（Internet Control  Message Protocol）网际报文控制协议，是Internet协议族的核心协议之一，它主要用在网络计算机的操作系统中发送出错信息。例如：请求服务不可用，主机不可达。ICMP协议是一种面向无连接的协议，用于传输出错报告控制信息。但是ICMP不是高层协议，而是IP层协议。（2）学习ICMP的重要

（1） TCP是怎么样的协议？       TCP（Transmission Control Protocol）传输控制协议，是一种面向连接的，可靠的，基于IP的传输层协议。它的主要目地是为数据提供可靠的端到端的传输。（2） TCP协议的由来？      上一节学习了UDP协议，可以知道UDP协议非常简单，而且容易实现。但是其可靠性较差，一旦将数据包发出，将无法

（1）什么是UDP协议？        UDP（User  Datagram    Protocol ）用户数据报协议。是OSI七层模型中一种无连接的传输层协议，提供面向事物的简单的不可靠信息传输服务。UDP协议就是一种无连接的网络协议，该协议用来支持那些需要在计算机之间传输数据的网络应用，包括网络视频会议系统在内的众多客户/服务器模式的网络应用。（2）UDP的特点？

（1）： 什么是IP协议？        互联网协议IP是Internet Protocol的缩写，中文缩写问哦“网协”。IP协议位于OSI模型中的第三层也就是网络层，其主要目的是使得网络之间能够互相通信。（2）：什么是IP地址？ IP地址是如何产生的？       互联网协议地址（Internet Protocol Address）中文为：网际协议地址，缩写为IP地址。

如果你正在读这篇文章，很可能你对TCP“非著名”的“三次握手”或者说“SYN,SYN/ACK,ACK”已经很熟悉了。不幸的是，对很多人来说，对TCP的学习就仅限于此了。尽管年代久远，TCP仍是一个相当复杂并且值得研究的协议。这篇文章的目的是让你能够更加熟练的检查Wireshark中的TCP序列号和确认号在我们开始之前，确保在Wireshark中打开示例（请到作者原文中下载）并亲自实践一下

在抓包的过程发现很多从本地主机（客户机）发出的 TCP 包有很多都是报 IP checksum error ，但应用正常，从 server 返回的包也一切正常，很是奇怪。如图，很多黑色的条目，黑色一般就是有问题的包：网上有一篇帖子，说明了这个情况产生的原因：http://www.netexpert.cn/thread-4850-1-1.html5.23 Ethe

1.   tcp out-of-order（tcp有问题）解答：1）、    应该有很多原因。但是多半是网络拥塞，导致顺序包抵达时间不同，延时太长，或者包丢失，需要重新组合数据单元 因为他们可能是通过不同的路径到达你电脑上面的。2）、    CRM IT 同仁上礼拜来跟我反应一个问题，由他们客服系统藉由邮件主机要寄送给客户的信件，常常会有寄送失败的问题，查看了一下 Log，

引子现在从网上看到的一些wireshark过滤规则的介绍，都是比较老一点的，新版本的语法好像有所变化，所以在这里写一篇基于最新的1.12版本的wireshark规则系列。题外话毕业后接触过不少和网络相关的东西，开始的时候是视频相关的，后来到无线协议相关，到现在的html，每次都少不了和网络数据包打交道。避免不了接触一些抓包工具，有wirshark，fidder，http-a

在进行通信开发的过程中，我们往往会把本机既作为客户端又作为服务器端来调试代码，使得本机自己和自己通信。但是wireshark此时是无法抓取到数据包的，需要通过简单的设置才可以。具体方法如下：①：以管理员身份运行cmd②：route add 本机ip mask 255.255.255.255 网关ipfor example route add 192.168.1.103

首先说几个最常用的关键字，“eq” 和 “==”等同，可以使用 “and” 表示并且，“or”表示或者。“!" 和 "not” 都表示取反。　　一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况： 　　（1）对源地址为192.168.0.1的包的过滤，即抓取源地址满足要求的包。　　 表达式为：ip.src == 192.168.0.1

WireShark 过滤语法1. 过滤IP，如来源IP或者目标IP等于某个IP例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107或者ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP2. 过滤端口例子:tcp.port eq 80 // 不管端口是来源的还是目标的都显示