wireshark跟踪捕获文件中发现的任何异常和其他感兴趣的项,并将它们显示在专家信息对话框中。其目标是让您更好的了解不常见或者显著的网络行为,并让新手和专家用户比手动扫描数据包列表更快的发现网络问题
注意:专家信息是调查的起点,而不是终点。每个网络都是不同的,由您来验证Wireshark的专家信息是否适用于您的特定情况。专家信息的存在不一定意味着问题的存在,专家信息的缺失也不一定意味着一切正常。
专家信息的数量很大程度上取决于所使用的协议,而一些常见协议(如TCP和IP)的剖析器将显示详细信息,而其他剖析器则很少或根本不显示。
专家信息条目
专家信息将按照严重程序分组,并包含如下内容
示例:
数据包 | 摘要(summary) | 分组 | 协议 |
---|---|---|---|
592 | TCP: [TCP Out-Of-Order] … | Malformed(畸形的) | TCP |
1202 | DNS: Standard query response … | 协议 | DNS |
443 | TCP: 80 → 59322 [RST] Seq=12761 Win=0 Len=0 | 序列号 | TCP |
严重程度
每个专家信息项都有一个严重级别。使用以下级别,从最低到最高。wireshark将使用不同的沿着对其进行标记。
- 聊天(蓝色)
- 有关通常工作流程的信息,比如设置了SYN标志的TCP数据包
- 注意(青色)
- 比如,应用程序返回了一个值得注意的错误,比如一个HTTP代码
- 警告(黄色)
- 警告,比如应用程序返回异常错误代码,比如连接问题
- 错误(红色)
- 严重问题,比如格式错误的数据包
摘要
每个专家信息项的简单解释文本
分组
除了严重性级别之外,专家信息项还按组进行了分类:
- 假设(Assumption):协议字段的数据不完整,根据假定值进行了剖析
- 检验和(Checksum):校验和无效
- 注释(Comment):数据包注释
- 调试(Debug):调试信息,你不应该在wireshark的发布版本中看到这个组
- 解密(Decryption):解密问题
- 已弃用(Deprecated):协议字段已经被弃用
- 畸形的(Malformed:格式错误的数据包或者解析程序有错误。此数据报的解析已中止
- 协议(Protocol):违反协议规范(比如无效字段值或者非法长度)。可能会继续对该数据包进行解析
- 重新组装():重新组装时出现问题。比如,不是所有的碎片都可用,或者在重新组装期间发生异常
- 请求代码(Request Code):一个应用程序请求。通常分配聊天级别。
- 响应代码(Response Code):应用程序响应代码表示潜在问题,比如找不到HTTP 404
- 安全(Security):安全问题,比如不安全的实现
- 序列(Sequence):协议序列号可疑,比如它不连续或者检测到重传
- 未编码(Undecoded):解析不完整或者数据因为其他问题无法解码
协议
创建专家信息项的协议剖析器
专家信息对话框
两种方法可以打开:
- Analyze → Expert Info
- 单击主状态栏上的专家级别指标
右键单击项将允许您根据该项应用或准备筛选器、复制其摘要文本和其他任务。
- 显示过滤器的限制:仅显示与当前显示过滤器匹配的数据包中存在的专家信息
- 按照摘要(summary)分组:按照摘要对项目进行分组,而不是按照上述分组
- 搜索:只显示与搜索字符串匹配的项,比如“dns”。支持正在表达式
- 显示:允许您显示或者隐藏每个严重级别
- 帮助:进入用户指南的这一部分
- 关闭:关闭对话框
彩色协议详细信息树
数据包详细信息树按照严重性级别的颜色为字段标记专家信息,比如,“警告”级别以黄色为背景。这个沿着被传播到树中的顶级协议栈,以便更容易的找到创建专家信息的字段
对于上面截图,IP “Time to live”值非常低(只有1),所以相应的协议字段被标记为青色背景。为了更容易的在包树中找到该项目,IP协议顶层项目也被标记为青色。
专家数据报详细列表(可选)
可选的“专家信息严重性”数据包列表可用,显示数据包的最重要严重性,如果一切正常,则保持空。默认情况下不显示此列。必须在首选项中设置