标签: 数据包

艾体宝干货 | 用于故障排除的最佳 Wireshark 过滤器 引导语： 在网络故障排除过程中，Wireshark是一款非常强大的工具，它可以用来分析网络数据包并解决各种问题。本文将介绍一些好用的Wireshark过滤器，以便更有效地进行故障排除。 简介： Wireshark是一种流行的网络协议分析工具，可用于捕获和分析网络数据包。在网络故障排除中，Wireshark是一款不可或缺的工具，它可以帮助您识别和解决各种网络问题。本文将介绍一些最佳的Wireshark过滤器，帮助您提取和分析特定的数据包，加快故障排除的速度，提高工作效率。 关键词： Wireshark, 过滤器, 故障排除, 网络问题, 数据包 分析网络行为和排除网络故障就像用漏斗过滤渣滓。因此，网络协议分析仪 Wireshark 通过帮助网络工程师过滤特定的数据段，如特定的 IP 地址、值或协议，使故障排除过程更易于管理。 从网络流量的捕获或跟踪文件开始，可以应用过滤器将搜索范围缩小到特定的数据段，如特定的 IP 地址、值或协议，从而使故障排除过程更易于管理。 Wireshark 过滤器： 网络分析必备工具 一、Wireshark过滤器 我们列出了一系列有用的过滤器，以提高数据分析效率。这些过滤器适用于实时捕获和导入的文件，可精确检查协议字段和数据流的 HEX 值，满足各种故障排除方案的独特需求。以下是他们的最佳选择： 1、ip.addr == x.x.x.x 过滤以特定 IP 地址作为源地址或目标地址的数据包。是分析进出特定 IP 流量的理想工具。 2、ip.addr == x.x.x.x && ip.addr == y.y.y.y “对话 ”对话框，即可获得当前打开的跟踪中的对话列表。 3、http or dns 侧重于 HTTP 和 DNS 协议，便于调查网络流量和域名解析。 4、tcp.port == xxx 通过特定端口号隔离 TCP 数据包，简化通过指定端口的流量检查。如果需要过滤多个端口，也可以提供一个过滤值列表：tcp.port in {80, 443}。这将过滤 80 或 443 端口上的所有流量。 5、tcp.seq == x 按 TCP 序列号过滤数据包，用于分析数据包顺序。 6、tcp.flags.reset==1 显示所有 TCP 重置，这对识别突然终止的连接至关重要。 7、tcp.flags.push==1 识别 TCP 推送事件，对排除数据流问题至关重要。 8、tcp 包含 "关键字 显示包含指定术语的 TCP 数据包，帮助进行特定内容搜索。请注意，引号内的字符串将被转义。因此，搜索文件补丁可能会产生意想不到的结果。为避免这种情况，也可以强制搜索避免内容转义，例如： tcp contains r “C:\foo” 9、tcp.stream eq X Conversations 对话框。 10、http.request 捕获 HTTP GET 和 POST 请求，突出显示网页访问模式。具体来说，它会捕获存在 http.request 字段的所有数据包。如果只需过滤特定请求，可相应指定：http.request.method in {POST,PUSH} 11、!(arp 或 icmp 或 dns) 排除指定协议，集中分析相关流量。 12、udp 包含 “xx:xx:xx” ! 按十六进制值过滤 UDP 数据包，用于精确定位特定数据段。 13、dns.flags.rcode != 0 识别有解析错误的 DNS 请求，对诊断域名问题至关重要。 14、tcp.payload == bb:cc 过滤所有前两个字节包含 bb:cc 的报文的有效载荷字段。这可以用在很多地方，例如，eth.addr == 94:37:f7 将过滤所有来自具有华为供应商 ID 的网卡的流量。 二、专业tips： 如何将常用筛选器添加为按钮？ 地址栏右侧的小 + 允许创建所谓的 “过滤按钮”。这些按钮可用作常用显示过滤表达式的快捷方式。 添加新按钮时，可以将字段直接拖到 + 号上，也可以在应用筛选器时点击它。在后一种情况下，它会自动将当前的筛选器添加到创建对话框中，只需为按钮提供一个名称即可。在名称中添加两个斜线 // 后，按钮甚至可以组合在一起。 2. 如何拖放筛选器？ 与其复制筛选器，不如直接将筛选器拖入搜索栏。 3、捕获可操作的网络数据 网络数据包决定着故障排除过程的成败。网络数据包捕获的主要优势之一是其提供的详细程度。捕获数据包内的所有信息（包括源地址和目标地址、协议信息和有效载荷数据）的能力可对网络流量进行更全面的分析，使其成为排除网络故障的宝贵工具。 ProfiShark 或 IOTA 等数据包捕获工具具有硬件时间戳和硬件捕获过滤器等高级功能，可提供高保真捕获文件以供分析。 Profishark IOTA 用于现场故障排除和工业网络的高性能现场数据包捕获。 高保真现场流量捕获 硬件时间戳 非侵入式流量访问 与 Wireshark 或任何 PCAP 分析仪结合使用 故障安全 流量捕获与分析，只需一个盒子。中小型企业和数据中心。 部署在边缘和远程站点 集成分析仪表板 在线或带外 1 TB 或 2 TB 捕获存储 捕获性能 3.2 Gbps

       感谢朋友们对我发的上一个帖子《图解USB协议之一 枚举过程》的支持，虽然手头的项目比较忙，周末还是抽时间写了这个专题的第二篇，不能让大家失望啊，哈！     本篇分析数据包，仍然使用“HD-USB12”USB协议分析仪采集分析数据。分两部分内容：首先和童鞋们一起简单复习一下USB协议中的相关知识，然后用“HD-USB12”USB协议分析仪采集几个实例进行分析。     一、协议知识 1）PID格式，详见图1                                                   （图1） 注： a、 上图是从低位到高位 b、 高四位是低四位取反 c、 PID自校验 2）PID分类，详见图2                                                   （图2） 3）Token包格式（不包括SOF），详见图3                                   （图3）  注： a、 ADDR表示设备地址 b、 ENDP表示端点号 c、 CRC5表示设备地址及端点号的校验和 4）SOF包格式，详见图4                                          （图4）  注： a、 FrameNumber表示帧号，1毫秒发送一帧 b、 CRC5表示FrameNumber的校验和 5）Data包格式，详见图5                                     （图5）        注： a、 DATA表示要传输的数据，全速USB的最大长度为1023Bytes，高速USB 的最大长度为     1024Bytes b、 CRC16表示DATA的校验和 6）Handshake包格式，详见图6                  （图6） 二、USB传输包组（事务）实例分析 1）IN包组分类（懒得自己总结，直接从HD-USB12的数据包过滤功能截取），详见图7                  （图7） 2）IN包组分析（通过HD-USB12监控软件仅过滤出IN包组数据），详见图8                                              （图8） a、Index ：表示主机向设备发送IN指令取数据，设备回应没数据； b、Index ：表示主机向设备地址0（DEV ＝ 00）端点0（EP = 80,  最高位表示传输方向）发送IN指令取数据，设备回应端点停止（STALL）； c、Index ：表示主机向设备地址0（DEV ＝ 00）端点0（EP = 80,   最高位表示传输方向）发送IN指令取数据，设备收到指令后向主机发送数据     Index ，主机正确收到数据后回应ACK  d、Index 的内容，详见图9                                            （图9） e、Index 的内容，详见图10                                               （图10） f、Index 的数据发送时序，详见图11（只截取了部分，时序做的很漂亮，看着也很清晰）                                                  （图11） 注意时序图的Offset 其传输的数据为FF，根据USB采用的传输编码（NRZI）前6位为1后插入1位0，因些第7位的传输要传输2位（01），其时间也占用两位的时间。（啊啊！有时序功能就是清楚，时序还有其它用途以后分解） 3）OUT包组分类，详见图12（直接从HD-USB12的数据包过滤功能截取）                   （图12） 4）OUT包组分析（通过HD-USB12监控软件仅过滤出OUT包组数据），详见图13                                                （图13） a、Index ：表示主机向设备地址0（DEV ＝ 00）端点0（EP = 00,  最高位表示传输方向）发送Out指令后，发送数据Index （主机发出空回应所以Index 没有数据），设备收到数据后回应ACK； b、Index 的内容，详见图14                                               （图14） c、Index 的内容，详见图15                                                 （图15） 5）SETUP包组分类，详见图16（直接从HD-USB12的数据包过滤功能截取）                        （图16） 6）SETUP包组分析（通过HD-USB12监控软件仅过滤出SETUP包组数据），详见图17                                                   （图17） a、Index ：表示主机向设备地址0（DEV ＝ 00）端点0（EP = 00, 最高位表示传输方向）发送SETUP指令后，发送数据Index ，设备收到数据后回应ACK； b、Index 的内容，详见图18                                                     （图18）  c、Index 的内容，详见图19                                                         （图19） 以上数据包分析是根据现有特定设备捕获得到，并不完整涉及到所有事务包组，如IN＋DATA＋NAK、OUT＋DATA＋NAK、SETUP＋DATA＋NAK等等。 PDF文档下载： http://forum.eet-cn.com/downloadAttachment.jspa?messageID=1200668595attachmentId=29431pageUserId=8731679306userID=8731679306