刘贝斯老师的博客

很多同学在使用wireshark的时候，想把某一个字段作为单独的一列来显示，下面教大家一下怎么做。通常wireshark默认的配置中，是没有ttl这一列，下面我们在加一下没有修改的之前，如下图添加列对着TTL这个这段进行右键，选择到Apply as Column结果：隐藏列取掉图中的勾，即可隐藏删除列选中该列，点击Remove This column移动列移动列很简...

语法：frame contains “字符串”配置举例1、在整个pcap文件中，搜索linux关键字–frame contains “linux”2、搜索linux关键字的时候，基于DNS协议要基于协议来搜索关键字，我们首先要知道该字段在协议的哪个位置。如下图，DNS的queries下的name字段，放的dns解析后的域名，查到了过滤语句： dns.qry. name基于协议...

在上一篇中，我整理了wireshark针对协议进行过滤，这一边我们来整理针对地址进行过滤。下面例子中表达式的应用，也可以去上一篇文章中去找显示单个IP地址ip.src192.168.1.1 过滤源地址ip.dst192.168.1.1 过滤目的地址ip.addr==192.168.1.1 过滤源和目地地址显示IP地址范围ip.addr > 192.168.1.1 过滤大于指定I...

wireshark在捕获的过程前，我们进行一下简单的过滤，就可以限制捕获到的数据包了捕获前，在如下图输入过滤信息，就可以对捕获的数据包进行过滤（不同版本，截图可能会与差异！）重要的事情说三遍：以下语法是针对wireshark抓包之前的过滤语句！！！以下语法是针对wireshark抓包之前的过滤语句！！！以下语法是针对wireshark抓包之前的过滤语句！！！常见的过滤前命令：基于I...

wireshark中主要提供了两种过滤器：捕获过滤器，显示过滤器捕获过滤器：捕获数据包之前先进行过滤，在上一篇中我们已经介绍过了。显示过滤器：对捕获后的数据包进行显示过滤，主要对抓到的数据包进行更加精细的过滤显示过滤器使用语法协议 协议子类1 协议子类2 比较运算符 值 逻辑运算符 协议 协议子类 协议子类1 比较运算符 值协议子类1 协议子类2：是协议的子类，是可选项下面看下比较运算...

如果我们需要长时间抓包，或者抓包接口的流量非常大，保存为一个pcap文件的话，那么该文件就会极大，打开也极慢，过滤和查询更新。将wireshark抓不到的数据包保存到一个文件集就可以完美解决这个问题啦。下面通过一个配置举例来看需求通过wireshark抓包，一秒钟保存一个文件，保存5个文件后停止抓包（因为数据中心的网络一秒的流量就有几个G ~！）位置：capture > optio...

下图是经过过滤后的tcp三次握手，http数据传输和FIN断开连接后的数据包下面把它保存为一个新的pcap文件第一步：file>export specified packets…第二步骤：使用输入数据包序号的方式，然后报错即可解释：1、Capture：针对的是整个数据包2、display：针对过滤后的显示如果序列号不连续，rang空格中的写法支持用逗号分隔...

目前网络中主要的延迟分为三类1、线路延迟，也成为网络延迟（RTT）TCP的三次握手不涉及传输层以上的协议，因此即使服务器处理压力非常大，收到SYN收也会非常迅速的回SYN/ACK，通过三次握手的时间可以算出线路延迟。2、客户端延迟三次握手建立完成后，客户端向服务器发送了一个请求，这个发送请求的时间比较长，以至于服务器无法回ACK。3、服务器延迟三次握手建立完成后，服务器收到了客户端的请...

如果应用数据没有使用默认端口，那么wireshark就无法识别是什么应用问题描述：比如HTTP协议默认使用的是80端口，但是在某些环境中修改成了81，那么wireshark是无法识别到的（为了做实验，我用tcprewrite手动改的）解决方法（两个）：方法一：Decode as （解码为），把81端口解析为http方法二：调整配置，让wireshark默认把81端口解析为htt...

1、根据节点来查看统计信息位置：statistics > endpoints2、根据会话来查看统计信息位置：statistics > conversations3、分层统计各个协议数据位置：statistics > protocol hierarchy...