Packet Details面板內容以下,主要用於分析封包的詳細信息。html
幀:物理層、鏈路層網絡
包:網絡層學習
段:傳輸層、應用層spa
1)Frame操作系統
物理層數據幀概況.net
2)Ethernet II3d
數據鏈路層以太網幀頭部信息htm
3)Internet Protocol Version 4blog
互聯網層IP包頭部信息教程
IP包頭:
4)Transmission Control Protocol
傳輸層數據段頭部信息,此處是TCP協議
TCP包頭:
5)Hypertext Transfer Protocol
應用層信息,此處是HTTP協議
Wireshark默認有一組着色規則,能夠在Packet Details面板中展開包的幀部分,查看着色規則。
在View | Coloring Rules中,打開着色規則窗口,能夠本身建立、刪除、選中、去除。
1)Packet size limited during capture
說明被標記的那個包沒有抓全。通常是由抓包方式引發,有些操做系統中默認只抓每一個幀的前96個字節。
4號包全長171字節,但只有96字節被抓到。
2)TCP Previous segment not captured
若是Wireshark發現後一個包的Seq大於Seq+Len,就知道中間缺失了一段。
若是缺失的那段在整個網絡包中找不到(排除了亂序),就會提示。
6號包的Seq是1449大於5號包的Seq+Len=1+1=1,說明中間有個1448字節的包沒被抓到,就是「Seq=1,Len=1448」。
3)TCP ACKed unseen segment
當Wireshark發現被Ack的那個包沒被抓到,就會提示。
32號包的Seq+Len=6889+1448=8337,說明下一個包Seq=8337。
而咱們看到的是35號包的Seq=11233,意味着8337~11232這段數據沒抓到。
4)TCP Out-of-Order
當Wireshark發現後一個包的Seq號小於前一個包的Seq+Len時,就會認爲亂序,發出提示。
3362號包的Seq小於3360包的Seq,因此就是亂序。
5)TCP Dup ACK
當亂序或丟包發生時,接收方會收到一些Seq號比指望值大的包。沒收到一個這種包就會Ack一次指望的Seq值,提現發送方。
7號包指望的下一個Seq=30763,但8號包Seq=32223,說明Seq=30763包丟失,9號包發了Ack=30763,表示「我要的是Seq=30763」。
10號、12號、14號也都是大於30763的,所以沒收到一個就回復一次Ack。
6)TCP Fast Retransmission
當發送方收到3個或以上的【TCP Dup ACK】,就意識到以前發的包可能丟了,因而快速重傳它。
7)TCP Retransmission
若是一個包真的丟了,又沒有後續包能夠在接收方觸發【Dup Ack】就不會快速重傳。
這種狀況下發送方只好等到超時了再重傳。
1053號包發出後,一直沒有等到相應的Ack,只能在100多毫秒以後重傳了。
8)TCP zerowindow
包種的「win」表明接收窗口的大小,當Wireshark在一個包中發現「win=0」時,就會發提示。
9)TCP window Full
此提示表示這個包的發送方已經把對方所聲明的接收窗口耗盡了。
當Wireshark計算出Middle East已經有65535字節未被確認,就會發出此提示。
【TCP window Full】表示發送方暫時沒辦法再發送數據;
【TCP zerowindow】表示發送方暫時沒辦法再接收數據。
10)TCP segment of a reassembled PDU
Wireshark能夠把屬於同一個應用層的PDU的TCP包虛擬地集中起來。
TCP層收到上層大塊報文後分解成段後發出去,主機響應一個查詢或者命令時若是要回應不少數據(信息)而這些數據超出了TCP的最大MSS時,
主機會經過發送多個數據包來傳送這些數據(注意:這些包並未被分片)。
11)Time-to-live exceeded(Fragment reassembly time exceeded)
表示這個包的發送方以前收到了一些分片,但因爲某些緣由遲遲沒法組裝起來。
參考資料: