Wireshark使用教程：不一樣報文顏色的含義

時間 2020-07-09

標籤 wireshark 使用教程不一樣報文顏色含義简体版

原文原文鏈接

「 Wireshark色彩規則。」
ios

在Wireshark主界面，報文會顯示各類各樣的顏色，它們表示不一樣的含義。這些顏色，是由色彩規則控制的。網絡

對這些顏色進行適當的瞭解，對分析報文有很大幫助。tcp

01工具

—spa

設置3d

色彩規則有兩個入口，一個在報文上方的工具欄內，如圖：blog

那個鮮豔的圖標就是色彩規則的入口。
ip

另外一個是view-->coloring rules菜單。ci

點擊進去便可看見全部的色彩規則的設置：路由

能夠粗略地看到，黑色背景表明報文的各種錯誤，紅色背景表明各種異常情景，其它顏色表明正常。

—

規則

本節對色彩規則的各默認項進行說明：

Bad TCP：tcp.analysis.flags && !tcp.analysis.window_update

即TCP解析出錯，一般重傳，亂序，丟包，重複響應都在此條規則的範圍內。

HSRP State Change：hsrp.state != 8 && hsrp.state != 16

HSRP即熱備份路由協議（Hot Standby Router Protocol），這條規則表示狀態非active和standby。

Spanning Tree Topology Change：stp.type == 0x80

生成樹協議的狀態標記爲0x80，生成樹拓撲發生變化。

OSPF State Change：ospf.msg != 1

OSPF（Open Shortest Path First，開放式最短路徑優先協議）的msg類型不是hello。

ICMP errors：icmp.type eq 3 || icmp.type eq 4 || icmp.type eq 5 || icmp.type eq 11 || icmpv6.type eq 1 || icmpv6.type eq 2 || icmpv6.type eq 3 || icmpv6.type eq 4

ICMP協議錯誤，協議的type字段值錯誤。

ARP：arp

即ARP協議

ICMP：icmp || icmpv6

即icmp協議

TCP RST：tcp.flags.reset eq 1

TCP流被RESET。

SCTP ABORT：sctp.chunk_type eq ABORT

串流控制協議的chunk_type爲ABORT（6）。

TTL low or unexpected：( ! ip.dst == 224.0.0.0/4 && ip.ttl < 5 && !pim) || (ip.dst == 224.0.0.0/24 && ip.dst != 224.0.0.251 && ip.ttl != 1 && !(vrrp || carp))

TTL異常。

Checksum Errors：eth.fcs_bad==1 || ip.checksum_bad==1 || tcp.checksum_bad==1 || udp.checksum_bad==1 || sctp.checksum_bad==1 || mstp.checksum_bad==1 || cdp.checksum_bad==1 || edp.checksum_bad==1 || wlan.fcs_bad==1

條件中的各種協議的checksum異常，在PC上抓包時網卡的一些設置常常會使Wireshark顯示此錯誤。