常用显示过滤语法(抓好的包查找)
file:///D:/Program%20Files/Wireshark/wireshark-filter.html
比较操作符
== 等于
!= 不等于
> 大于
< 小于
>= 大于等于
<= 小于等于
逻辑运算符
and 两个条件同时满足
or 其中一个条件满足
xor 有且仅有一个条件满足
not 没有条件满足
IP过滤
端口flag过滤
tcp.port
tcp.srcport
tcp.dstport
tcp.flag.syn
tcp.flag.ack
协议过滤
arp
ip
icmp
udp
tcp
bootp
dns
http
范例
ip.addr == 114.114.114.114
ip.src == 114.114.114.114
ip.dst == 114.114.114.114
tcp.port == 80
arp
tcp
ip.src == 192.168.1.100 and tcp.port == 80
ip.addr == 192.168.1.100 and udp.port == 4000
通过序列号在客户端服务端互相查找
tcp.seq_raw eq 4022234701 # 注意 这里是裸序列号 不是相对序列号
查找HTTP内容搜索
http contains "C04221GW0001e1r00"
常见INFO里面信息分析
[TCP zerowindow] 0窗口 ,win=0,当接收方缓冲区满了
[TCP Keep-Alive] 保活,长链接,检测是否0窗口没有了,可以发送数据了
[PUSH] 让服务端接收到数据立马处理,不在缓冲区排队
[TCP Reransmission] 重传,可能网络问题
[TCP Dup ACK 1#1] 乱序
[TCP Fast Reransmission] 快速重传,乱序后快速重传
