「 Wireshark の色のルール」 。
Wireshark のメイン インターフェイスでは、パケットはさまざまな意味を表すさまざまな色で表示されます。これらの色は、色のルールによって制御されます。
これらの色を正しく理解することは、パケットを分析する際に非常に役立ちます。
01
—
設定
カラー ルールには 2 つのエントリがあり、図に示すように、1 つはメッセージの上のツールバーにあります。
その明るい色のアイコンが色のルールへの入り口です。
もう 1 つは、[ビュー] --> [カラーリング ルール] メニューです。
クリックすると、すべてのカラー ルール設定が表示されます。
黒い背景はメッセージ内のさまざまなエラーを表し、赤い背景はさまざまな異常な状況を表し、その他の色は正常な状態を表していることが大まかにわかります。
02
—
ルール
このセクションでは、カラー ルールのデフォルトの各項目について説明します。
不正な TCP:tcp.analysis.flags && !tcp.analysis.window_update
つまり、TCP 解析エラー、通常は再送信、順序の乱れ、パケット損失、および応答の繰り返しはすべて、このルールの範囲内にあります。
HSRP 状態変更:hsrp.state != 8 && hsrp.state != 16
HSRP はホット スタンバイ ルーター プロトコル(ホット スタンバイ ルーター プロトコル) であり、このルールは状態がアクティブではなくスタンバイであることを示します。
スパニングツリートポロジ変更:stp.type == 0x80
スパニング ツリー プロトコルのステータス フラグは 0x80 であり、スパニング ツリーのトポロジが変更されました。
OSPF状態変更:ospf.msg != 1
OSPF (Open Shortest Path First、オープン最短パス優先プロトコル) の msg タイプは hello ではありません。
ICMP エラー:icmp.type eq 3 || icmp.type eq 4 || icmp.type eq 5 || icmp.type eq 11 || icmpv6.type eq 1 || icmpv6.type eq 2 || icmpv6.type eq 3 || icmpv6.type eq 4
ICMP プロトコルが間違っており、プロトコルのタイプ フィールドの値が間違っています。
ARP:アープ
つまり、ARPプロトコルは、
ICMP:icmp || icmpv6
icmpプロトコル
TCP RST:tcp.flags.reset eq 1
TCP ストリームがリセットされます。
SCTP ABORT:sctp.chunk_type eq ABORT
ストリーミング制御プロトコルのchunk_typeはABORT (6)である。
TTL が低いか予期しない: ( ! ip.dst == 224.0.0.0/4 && ip.ttl < 5 && !pim) || (ip.dst == 224.0.0.0/24 && ip.dst != 224.0.0.251 && ip.ttl != 1 && !(vrrp || カープ))
TTL例外。
チェックサム エラー:eth.fcs_bad==1 || ip.checksum_bad==1 || tcp.checksum_bad==1 || udp.checksum_bad==1 || sctp.checksum_bad==1 || mstp.checksum_bad==1 || cdp.checksum_bad==1 || edp.checksum_bad==1 || wlan.fcs_bad==1
条件内のさまざまなプロトコルのチェックサムが異常であり、PC でパケットをキャプチャするときのネットワーク カードの設定によっては、Wireshark でこのエラーが表示されることがよくあります。
サーバーメッセージブロッククラスのプロトコル。SMB:smb || NBSS || NBNS || nbipx || ipxsap || ネットバイオス
HTTP:http || tcp.port == 80 || http2
HTTP プロトコル。これは非常に簡単な識別方法です。
IPX:ipx || スプックス
インターネットパケット交換(インターネット作業 Packet Exchange ) クラスのプロトコル。
つまり、DCE/RPC、分散コンピューティング環境/リモート プロシージャ コール (分散コンピューティング環境/リモート プロシージャ コール) プロトコルです。DCERPC:ディーサーPC
ルーティング:hsrp || エイグループ || ospf || BGP || cdp || vrrp || 鯉 || gvrp || igmp || IMP
ルーティングプロトコル。
TCP SYN/FIN:tcp.flags & 0x02 || tcp.flags.fin == 1
TCP 接続の開始と終了。
TCP: TCP
TCPプロトコル。
UDP:udp
UDPプロトコル。
ブロードキャスト:eth[0] & 1
放送データ。
現在のインターネットトラフィックではそれほど重要ではないプロトコルもいくつかありますが、それらは基本的なネットワークで非常に一般的に使用されているため、カラーリングルールには残されていますが、馴染みのないものです。標準文書によると、分析を使用して貴重なコンテンツを特定し、抽出できます。
連絡が必要な場合は、私に連絡してください。
長押ししてフォローします。