一、數(shù)據(jù)包詳細(xì)信息

Packet Details面板內(nèi)容如下，主要用于分析封包的詳細(xì)信息。

平湖ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場(chǎng)景，ssl證書(shū)未來(lái)市場(chǎng)廣闊！成為成都創(chuàng)新互聯(lián)公司的ssl證書(shū)銷(xiāo)售渠道，可以享受市場(chǎng)價(jià)格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：028-86922220（備注：SSL證書(shū)合作）期待與您的合作！

幀：物理層、鏈路層

包：網(wǎng)絡(luò)層

段：傳輸層、應(yīng)用層

1）Frame

物理層數(shù)據(jù)幀概況

2）Ethernet II

數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息

3）Internet Protocol Version 4

互聯(lián)網(wǎng)層IP包頭部信息

IP包頭：

4）Transmission Control Protocol

傳輸層數(shù)據(jù)段頭部信息，此處是TCP協(xié)議

TCP包頭：

5）Hypertext Transfer Protocol

應(yīng)用層信息，此處是HTTP協(xié)議

 

二、著色規(guī)則

Wireshark默認(rèn)有一組著色規(guī)則，可以在Packet Details面板中展開(kāi)包的幀部分，查看著色規(guī)則。

在View | Coloring Rules中，打開(kāi)著色規(guī)則窗口，新航道托福可以自己創(chuàng)建、刪除、選中、去除。

 

三、Wireshark提示

1）Packet size limited during capture

說(shuō)明被標(biāo)記的那個(gè)包沒(méi)有抓全。一般是由抓包方式引起，有些操作系統(tǒng)中默認(rèn)只抓每個(gè)幀的前96個(gè)字節(jié)。

4號(hào)包全長(zhǎng)171字節(jié)，但只有96字節(jié)被抓到。

2）TCP Previous segment not captured

如果Wireshark發(fā)現(xiàn)后一個(gè)包的Seq大于Seq+Len，就知道中間缺失了一段。

如果缺失的那段在整個(gè)網(wǎng)絡(luò)包中找不到（排除了亂序），就會(huì)提示。

6號(hào)包的Seq是1449大于5號(hào)包的Seq+Len=1+1=1，說(shuō)明中間有個(gè)1448字節(jié)的包沒(méi)被抓到，就是“Seq=1,Len=1448”。

3）TCP ACKed unseen segment

當(dāng)Wireshark發(fā)現(xiàn)被Ack的那個(gè)包沒(méi)被抓到，就會(huì)提示。

32號(hào)包的Seq+Len=6889+1448=8337，說(shuō)明下一個(gè)包Seq=8337。

而我們看到的是35號(hào)包的Seq=11233，意味著8337~11232這段數(shù)據(jù)沒(méi)抓到。

4）TCP Out-of-Order

當(dāng)Wireshark發(fā)現(xiàn)后一個(gè)包的Seq號(hào)小于前一個(gè)包的Seq+Len時(shí)，就會(huì)認(rèn)為亂序，發(fā)出提示。

3362號(hào)包的Seq小于3360包的Seq，所以就是亂序。

5）TCP Dup ACK

當(dāng)亂序或丟包發(fā)生時(shí)，接收方會(huì)收到一些Seq號(hào)比期望值大的包。沒(méi)收到一個(gè)這種包就會(huì)Ack一次期望的Seq值，提現(xiàn)發(fā)送方。

7號(hào)包期望的下一個(gè)Seq=30763，但8號(hào)包Seq=32223，說(shuō)明Seq=30763包丟失，9號(hào)包發(fā)了Ack=30763，表示“我要的是Seq=30763”。

10號(hào)、12號(hào)、14號(hào)也都是大于30763的，因此沒(méi)收到一個(gè)就回復(fù)一次Ack。

6）TCP Fast Retransmission

當(dāng)發(fā)送方收到3個(gè)或以上的【TCP Dup ACK】，就意識(shí)到之前發(fā)的包可能丟了，于是快速重傳它。

7）TCP Retransmission

如果一個(gè)包真的丟了，又沒(méi)有后續(xù)包可以在接收方觸發(fā)【Dup Ack】就不會(huì)快速重傳。

這種情況下發(fā)送方只好等到超時(shí)了再重傳。

1053號(hào)包發(fā)出后，一直沒(méi)有等到相應(yīng)的Ack，只能在100多毫秒之后重傳了。

8）TCP zerowindow

包種的“win”代表接收窗口的大小，當(dāng)Wireshark在一個(gè)包中發(fā)現(xiàn)“win=0”時(shí)，就會(huì)發(fā)提示。

9）TCP window Full

此提示表示這個(gè)包的發(fā)送方已經(jīng)把對(duì)方所聲明的接收窗口耗盡了。

當(dāng)Wireshark計(jì)算出Middle East已經(jīng)有65535字節(jié)未被確認(rèn)，就會(huì)發(fā)出此提示。

【TCP window Full】表示發(fā)送方暫時(shí)沒(méi)辦法再發(fā)送數(shù)據(jù)；

【TCP zerowindow】表示發(fā)送方暫時(shí)沒(méi)辦法再接收數(shù)據(jù)。

10）TCP segment of a reassembled PDU

Wireshark可以把屬于同一個(gè)應(yīng)用層的PDU的TCP包虛擬地集中起來(lái)。

TCP層收到上層大塊報(bào)文后分解成段后發(fā)出去，主機(jī)響應(yīng)一個(gè)查詢或者命令時(shí)如果要回應(yīng)很多數(shù)據(jù)（信息）而這些數(shù)據(jù)超出了TCP的最大MSS時(shí)，

主機(jī)會(huì)通過(guò)發(fā)送多個(gè)數(shù)據(jù)包來(lái)傳送這些數(shù)據(jù)（注意：這些包并未被分片）。

11）Time-to-live exceeded（Fragment reassembly time exceeded）

表示這個(gè)包的發(fā)送方之前收到了一些分片，但由于某些原因遲遲無(wú)法組裝起來(lái)。

本文題目：數(shù)據(jù)包、著色規(guī)則和提示
轉(zhuǎn)載來(lái)于：http://chinadenli.net/article2/gpiiic.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站營(yíng)銷(xiāo)、網(wǎng)站收錄、Google、搜索引擎優(yōu)化、品牌網(wǎng)站制作、商城網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)