2023年7月3日发(作者：)

Wireshark常⽤过滤使⽤⽅法

过滤源ip、⽬的ip。在wireshark的过滤规则框Filter中输⼊过滤条件。如查找⽬的地址为192.168.101.8的包，==192.168.101.8；查找源地址为==1.1.1.1

端⼝过滤。如过滤80端⼝，在Filter中输⼊，==80，这条规则是把源端⼝和⽬的端⼝为80的都过滤出来。使⽤t==80只过滤⽬的端⼝为80的，t==80只过滤源端⼝为80的包

协议过滤⽐较简单，直接在Filter框中直接输⼊协议名即可，如过滤HTTP的协议

http模式过滤。如过滤get包，=="GET",过滤post包，=="POST"

连接符and的使⽤。过滤两种条件时，使⽤and连接，如过滤ip为192.168.101.8并且为http协议的，==192.168.101.8 and http。

⼯作中，⼀些使⽤⽅式调整时间格式

然后再排序下。根据时间字段

根据端⼝过滤服务端端⼝是7018，和客户端建⽴socket连接，根据服务端的端⼝找到2者通信的所有socket数据（客户端进⼊房间后会异常断开，判断是客户端导致的还是服务端导致的）==7018，最后的RST报⽂是服务端发起的，说明是服务端主动断开的，缩⼩问题范围仅从抓包信息看是服务器的⼀个流量控制机制启动了。服务器发回rst位，同时win置为0，是告诉客户端不要发包。按tcp流控机制来说，此时客户端应该停⽌发包，直⾄服务器发送信息告诉客户端可以继续发送。

TCP连接:SYN ACK RST UTG PSH FIN三次握⼿：发送端发送⼀个SYN=1，ACK=0标志的数据包给接收端，请求进⾏连接，这是第⼀次握⼿；接收端收到请求并且允许连接的话，就会发送⼀个SYN=1，ACK=1标志的数据包给发送端，告诉它，可以通讯了，并且让发送端发送⼀个确认数据包，这是第⼆次握⼿；最后，发送端发送⼀个SYN=0，ACK=1的数据包给接收端，告诉它连接已被确认，这就是第三次握⼿。之后，⼀个TCP连接建⽴，开始通讯。*SYN：同步标志同步序列编号(Synchronize Sequence Numbers)栏有效。该标志仅在三次握⼿建⽴TCP连接时有效。它提⽰TCP连接的服务端检查序列编号，该序列编号为TCP连接初始端(⼀般是客户端)的初始序列编号。在这⾥，可以把 TCP序列编号看作是⼀个范围从0到4，294，967，295的32位计数器。通过TCP连接交换的数据中每⼀个字节都经过序列编号。在TCP报头中的序列编号栏包括了TCP分段中第⼀个字节的序列编号。*ACK：确认标志确认编号(Acknowledgement Number)栏有效。⼤多数情况下该标志位是置位的。TCP报头内的确认编号栏内包含的确认编号(w+1，Figure-1)为下⼀个预期的序列编号，同时提⽰远端系统已经成功接收所有数据。*RST：复位标志复位标志有效。⽤于复位相应的TCP连接。*URG：紧急标志紧急(The urgent pointer) 标志有效。紧急标志置位，*PSH：推标志该标志置位时，接收端不将该数据进⾏队列处理，⽽是尽可能快将数据转由应⽤处理。在处理 telnet 或 rlogin 等交互模式的连接时，该标志总是置位的。*FIN：结束标志带有该标志置位的数据包⽤来结束⼀个TCP回话，但对应端⼝仍处于开放状态，准备接收后续数据。TCP的⼏个状态对于我们分析所起的作⽤。在TCP层，有个FLAGS字段，这个字段有以下⼏个标识：SYN, FIN, ACK, PSH, RST, URG.其中，对于我们⽇常的分析有⽤的就是前⾯的五个字段。它们的含义是：SYN表⽰建⽴连接，FIN表⽰关闭连接，ACK表⽰响应，PSH表⽰有DATA数据传输，RST表⽰连接重置。其中，ACK是可能与SYN，FIN等同时使⽤的，⽐如SYN和ACK可能同时为1，它表⽰的就是建⽴连接之后的响应，如果只是单个的⼀个SYN，它表⽰的只是建⽴连接。TCP的⼏次握⼿就是通过这样的ACK表现出来的。但SYN与FIN是不会同时为1的，因为前者表⽰的是建⽴连接，⽽后者表⽰的是断开连接。RST⼀般是在FIN之后才会出现为1的情况，表⽰的是连接重置。⼀般地，当出现FIN包或RST包时，我们便认为客户端与服务器端断开了连接；⽽当出现SYN和SYN＋ACK包时，我们认为客户端与服务器建⽴了⼀个连接。PSH为1的情况，⼀般只出现在DATA内容不为0的包中，也就是说PSH为1表⽰的是有真正的TCP数据包内容被传递。TCP的连接建⽴和连接关闭，都是通过请求－响应的模式完成的。