wireshark怎麼給ipv6新增著色規則

一、資料包詳細資訊

Packet Details面板內容如下，主要用於分析封包的詳細資訊。

幀：物理層、鏈路層

包：網路層

段：傳輸層、應用層

1）Frame

物理層資料幀概況

2）Ethernet II

資料鏈路層乙太網幀頭部資訊

3）Internet Protocol Version 4

網際網路層IP包頭部資訊

IP包頭：

4）Transmission Control Protocol

傳輸層資料段頭部資訊，此處是TCP協議

TCP包頭：

5）Hypertext Transfer Protocol

應用層資訊，此處是HTTP協議

二、著色規則

Wireshark預設有一組著色規則，可以在Packet Details面板中展開包的幀部分，檢視著色規則。

在View | Coloring Rules中，開啟著色規則視窗，可以自己建立、刪除、選中、去除。

三、Wireshark提示

1）Packet size limited during capture

說明被標記的那個包沒有抓全。一般是由抓包方式引起，有些作業系統中預設只抓每個幀的前96個位元組。

4號包全長171位元組，但只有96位元組被抓到。

2）TCP Previous segment not captured

如果Wireshark發現後一個包的Seq大於Seq Len，就知道中間缺失了一段。

如果缺失的那段在整個網路包中找不到（排除了亂序），就會提示。

6號包的Seq是1449大於5號包的Seq Len=1 1=1，說明中間有個1448位元組的包沒被抓到，就是“Seq=1,Len=1448”。

3）TCP ACKed unseen segment

當Wireshark發現被Ack的那個包沒被抓到，就會提示。

32號包的Seq Len=6889 1448=8337，說明下一個包Seq=8337。

而我們看到的是35號包的Seq=11233，意味著8337~11232這段資料沒抓到。

4）TCP Out-of-Order

當Wireshark發現後一個包的Seq號小於前一個包的Seq Len時，就會認為亂序，發出提示。

3362號包的Seq小於3360包的Seq，所以就是亂序。

5）TCP Dup ACK

當亂序或丟包發生時，接收方會收到一些Seq號比期望值大的包。沒收到一個這種包就會Ack一次期望的Seq值，提現傳送方。

7號包期望的下一個Seq=30763，但8號包Seq=32223，說明Seq=30763包丟失，9號包發了Ack=30763，表示“我要的是Seq=30763”。

10號、12號、14號也都是大於30763的，因此沒收到一個就回復一次Ack。

6）TCP Fast Retransmission

當傳送方收到3個或以上的【TCP Dup ACK】，就意識到之前發的包可能丟了，於是快速重傳它。

7）TCP Retransmission

如果一個包真的丟了，又沒有後續包可以在接收方觸發【Dup Ack】就不會快速重傳。

這種情況下發送方只好等到超時了再重傳。

1053號包發出後，一直沒有等到相應的Ack，只能在100多毫秒之後重傳了。

8）TCP zerowindow

包種的“win”代表接收視窗的大小，當Wireshark在一個包中發現“win=0”時，就會發提示。

9）TCP window Full

此提示表示這個包的傳送方已經把對方所宣告的接收視窗耗盡了。

當Wireshark計算出Middle East已經有65535位元組未被確認，就會發出此提示。

【TCP window Full】表示傳送方暫時沒辦法再發送資料；

【TCP zerowindow】表示傳送方暫時沒辦法再接收資料。

10）TCP segment of a reassembled PDU

Wireshark可以把屬於同一個應用層的PDU的TCP包虛擬地集中起來。

TCP層收到上層大塊報文後分解成段後發出去，主機響應一個查詢或者命令時如果要回應很多資料（資訊）而這些資料超出了TCP的最大MSS時，

主機會透過傳送多個數據包來傳送這些資料（注意：這些包並未被分片）。

11）Time-to-live exceeded（Fragment reassembly time exceeded）

表示這個包的傳送方之前收到了一些分片，但由於某些原因遲遲無法組裝起來。