2023年7月3日发(作者：)

wireshark报⽂分析⼼得--Identification使⽤说明wireshark 报⽂分析⼼得 – Identification 使⽤说明前⾔wireshark 是⼀个很常见的⽹络封包分析软件。⽹络封包分析软件的功能是撷取⽹络封包，并尽可能显⽰出最为详细的⽹络封包资料。在实际⼯作中，经常需要使⽤它进⾏报⽂的分析⼯作，wireshark即可以在windows环境下进⾏抓包，更多的是将在Linux环境下通过tcpdump等抓包⼯具抓取到的数据报⽂进⾏分析，毕竟在windows环境下运⾏的wireshark在报⽂的可读性上还是有⾮常⼤的优势的。具体在Linux环境下使⽤tcpdump命令的⽤法⼤家可以看我之前写的tcpdump命令说明，这⾥就不再赘述，这⾥主要介绍⼀下wireshark报⽂分析的⼼得。报⽂标记–在⽹络链路中，⼀个数据包的发送经常会经过多个节点，那么在不同节点抓到报⽂后，如何确定⽬前查看的这个报⽂是否是从源端发过来，问题复现的那段报⽂；或者数据流量⽐较⼤，同时刻的报⽂数量很多，已经⽆法根据时间来确认具体的报⽂是哪⼀条时，⼜需要确定具体的报⽂情况时，就需要⽤到这个字段：Identification。在wireshark中，该字段被书定义为。该字段可以理解成报⽂的唯⼀标识符，⽤来标记报⽂的唯⼀性，尤其是在该报⽂经过了各种NAT转发后，该值是不会发⽣改变的。在报⽂分析中我们往往是通过这个值进⾏确认报⽂的唯⼀性的。当然这个值并不是永不重复，在报⽂量特别⼤的情况下，该id是可能发⽣重复的，不过⼏率较⼩，配合报⽂的时间戳进⾏双向确认，基本可以明确报⽂的唯⼀性。来看看wireshark官⽹是如何描述该字段的。操作使⽤⼀般为了分析⽅便，需要把该字段应⽤成列，默认的wireshark是没有该列的，我们需要把该字段值应⽤成列。具体操作步骤如下：找到对应的字段值，选中右键选择应⽤为列：可以看到该列已经出现了上⽅：使⽤该字段值进⾏过滤筛选：希望上述描写会对报⽂分析有所帮助，后⾯我会整理⼀下，使⽤wireshark时分析报⽂时延的⼀些使⽤⼼得。