2023年7月3日发(作者：)

Wireshark使⽤⼩⼼得Wireshark⼯作使⽤⼩结！基本概念wireshark是个开源的好⽤软件，⽤来分析数据包。数据包：通常就是四层信息物理层数据帧，数据链路层以太帧头部。⽹络层IP包头部。传输层TCP包头部。最后就是应⽤层信息。基础功能使⽤打开软件界⾯。就不介绍了不懂的⾃⼰打开看⼀下吧！过滤器按照命令填写，基础的筛选与追踪流这种最常⽤的功能就不说了。主要想说⼀下如果不记得筛选的命令怎么填了，可以点击对应的指标，选择作为过滤器应⽤。还有时候默认的列，不满⾜我们需要排查问题需要，可以选择应⽤为列。⽐如我们看到TCP流的情况判断是乱序还是丢包了。开启IP层的ID应⽤为列。就可以清晰的判断问题。简单的过滤条件and与or使⽤。&&与||。条件记得括号更标准好看。现在直接使⽤and与or也是可以的了。常⽤的排错过滤条件**_segment：**表明已经在抓包中看到不连续的序列号。报⽂丢失会造成重复的ACK，这会导致重传。**ate_ack：**显⽰被确认过不⽌⼀次的报⽂。⼤量的重复ACK是TCP端点之间⾼延时的迹象。**smission：**显⽰抓包中的所有重传。如果重传次数不多的话还是正常的，过多重传可能有问题。这通常意味着应⽤性能缓慢和/或⽤户报⽂丢失。**_update：**将传输过程中的TCP window⼤⼩图形化。如果看到窗⼝⼤⼩下降为零，这意味着发送⽅已经退出了，并等待接收⽅确认所有已传送数据。这可能表明接收端已经不堪重负了。**_in_flight：**某⼀时间点⽹络上未确认字节数。未确认字节数不能超过你的TCP窗⼝⼤⼩，为了最⼤化吞吐量你想要获得尽可能接近TCP窗⼝⼤⼩。如果看到连续低于TCP窗⼝⼤⼩，可能意味着报⽂丢失或路径上其他影响吞吐量的问题。**_rtt：**衡量抓取的TCP报⽂与相应的ACK。如果这⼀时间间隔⽐较长那可能表⽰某种类型的⽹络延时（报⽂丢失，拥塞，等等）。ps：这段直接复制的 嘻嘻字节流搜索我在⼯作中常⽤的功能。因为XXXXXXX的原因。我会使⽤解码的关联信息来搜索，如果只有⼀份，就说明镜像过来的流量有丢包。巴拉巴拉hhh，如果有需要搜索的明⽂字符串也可以直接搜索。去重与合并数据包在wirkshark的安装⽬录下有许多exe⽂件。,数据包去重命令为 editcap -d 。（我之前就遇到了镜像之后tap过来的流量同⼀个ipid有四份，后⾯查看有两个两对mac流量，筛选⼀对mac的，之后使⽤该命令去重，获得⼀份正常的流量）,数据包合并命令为 mergecap -w 。的数据包截取就算了吧。直接gui界⾯就可以⽂件——导出特定分组——range选填。筛选再筛选如果我们抓到的数据包很⼤很⼤，但是我们仅仅需要部分ip到ip的分析。可以先使⽤过滤条件之后界⾯上——⽂件——导出特定分组——Displayed的。之后再打开那个pcap查看分析。其他⼩功能介绍分析——专家信息（看看就好）统计——流量图（这个可以看起来⽐较直观）也⽀持过滤条件编辑——⾸选项——Protocols——对于部分协议进⾏个性化配置编辑——⾸选项——RSA密钥可以添加之后解密HTTPS信息常见异常分析说明Packet size limited during capture：标记了的包没抓全TCP Previous segment not captured：Wireshark 发现后⼀个包的 Seq ⼤于 Seq+Len，就知道中间缺失了⼀段。TCP ACKed unseen segment：发现被 Ack 的那个包没被抓到，就会提⽰。TCP Out-of-Order：后⼀个包的 Seq 号⼩于前⼀个包的 Seq+Len 时。TCP Dup ACK：当乱序或丢包发⽣时，接收⽅会收到⼀些 Seq 号⽐期望值⼤的包。没收到⼀个这种包就会 Ack ⼀次期望的 Seq 值，提现发送⽅。TCP Fast Retransmission：三次DUP ACK之后出发快速重传。TCP Retransmission：发送⽅只好等到超时了再重传。TCP zerowindow：0窗⼝懂得都懂！没法再收。TCP window Full：窗⼝耗尽。没法再发！Time-to-live exceeded：分⽚⽆法正常组装⼩想法除⾮是客户端上或者服务器上抓出来的包，不然真的可能很多是镜像源的问题。如果你的流量是镜像源过来的，真的不要100%信任它。多谢观看~UP UP