基本使用:

https://www.cnblogs.com/dragonir/p/6219541.html

協議解析:

https://www.jianshu.com/p/a384b8e32b67

(1)版本 ，占4位，指IP協議的版本，目前廣泛使用的IP協議版本號為4（即IPv4）。

2)首部長度 ，占4位，可表示的最大十進制數值是15。請註意，這個字段所表示數的單位是32位字長（1個32位字長是4字節），因此，當IP的首部長度為1111時（即十進制的15），首部長度就達到60字節。當IP分組的首部長度不是4字節的整數倍時，必須利用最後的填充字段加以填充。因此數據部分永遠在4字節的整數倍開始，這樣在實現IP協議時較為方便。首部長度限制為60字節的缺點是有時可能不夠用。但這樣做是希望用戶盡量減少開銷。最常用的首部長度就是20字節（即首部長度為0101），這時不使用任何選項。

(3)服務類型 ，占8位，用來獲得更好的服務，但實際上一直沒有被使用過。1998年IETF把這個字段改名為區分服務DS(Differentiated Services)。只有在使用區分服務時，這個字段才起作用。

(4)總長度 ，總長度指首部和數據之和的長度，單位為字節。總長度字段為16位，因此數據報的最大長度為2^16-1=65535字節。在IP層下面的每一種數據鏈路層都有自己的幀格式，其中包括幀格式中的數據字段的最大長度，這稱為最大傳送單元MTU(Maximum Transfer Unit)。當一個數據報封裝成鏈路層的幀時，此數據報的總長度（即首部加上數據部分）一定不能超過下面的數據鏈路層的MTU值。

PS：圖中總長度為84個字節，ping包默認為56個字節，ICMP包頭是8個字節，再加上首部長度20個字節。下圖我將包長度設置為112個字節後，總長度就變成140個字節了

(5)標識(identification)，占16位。IP軟件在存儲器中維持一個計數器，每產生一個數據報，計數器就加1，並將此值賦給標識字段。但這個“標識”並不是序號，因為IP是無連接服務，數據報不存在按序接收的問題。當數據報由於長度超過網絡的MTU而必須分片時，這個標識字段的值就被復制到所有的數據報的標識字段中。相同的標識字段的值使分片後的各數據報片最後能正確地重裝成為原來的數據報。

PS：個人理解就是一個數據報對應一個標識，當數據報長度超過最大MTU時會被分片，但被分片的標識字段是一樣的。下面ping一個3100字節的包驗證一下，百度大包經禁ping了，改pingMOP：

從上圖可以看出3100字節的大包被分為3片字段都是一樣的（12312）。

(6)標誌(flag)，占3位，但目前只有2位有意義。標誌字段中的最低位記為MF(More Fragment)。MF=1即表示後面“還有分片”的數據報。MF=0表示這已是若幹數據報片中的最後一個。標誌字段中間的一位記為DF(Don’t Fragment)，意思是“不能分片”。只有當DF=0時才允許分片。

(7)片偏移，占13位。片偏移指出：較長的分組在分片後，某片在原分組中的相對位置。也就是說，相對用戶數據字段的起點，該片從何處開始。片偏移以8個字節為偏移單位。這就是說，除了最後一個分片，每個分片的長度一定是8字節（64位）的整數倍

PS：片偏移就是相對數據報字段的起點，以標識中的ping包來看，第一個分片的片偏移是0,第二個是1480,第3個是2960，如下圖所示：

(8)生存時間，占8位，生存時間字段常用的的英文縮寫是TTL(Time To Live)，表明是數據報在網絡中的壽命。由發出數據報的源點設置這個字段。其目的是防止無法交付的數據報無限制地在因特網中兜圈子，因而白白消耗網絡資源。最初的設計是以秒作為TTL的單位。每經過一個路由器時，就把TTL減去數據報在路由器消耗掉的一段時間。若數據報在路由器消耗的時間小於1秒，就把TTL值減1。當TTL值為0時，就丟棄這個數據報。後來把TTL字段的功能改為“跳數限制”（但名稱不變）。路由器在轉發數據報之前就把TTL值減1.若TTL值減少到零，就丟棄這個數據報，不再轉發。因此，現在TTL的單位不再是秒，而是跳數。TTL的意義是指明數據報在網絡中至多可經過多少個路由器。顯然，數據報在網絡上經過的路由器的最大數值是255.若把TTL的初始值設為1，就表示這個數據報只能在本局域網中傳送。

(9)協議占8位，協議字段指出此數據報攜帶的數據是使用何種協議，以便使目的主機的IP層知道應將數據部分上交給哪個處理過程。

(10)首部檢驗和，占16位。這個字段只檢驗數據報的首部，但不包括數據部分。這是因為數據報每經過一個路由器，路由器都要重新計算一下首部檢驗和（一些字段，如生存時間、標誌、片偏移等都可能發生變化）。不檢驗數據部分可減少計算的工作量。

(11)源地址，占32位。

(12)目的地址，占32位。

(13)數據部分，可變，最大為總長度-首部長度。

基本IO Graphs:

IO graphs是一個非常好用的工具。基本的Wireshark IO

graph會顯示抓包文件中的整體流量情況，通常是以每秒為單位（報文數或字節數）。默認X軸時間間隔是1秒，Y軸是每一時間間隔的報文數。如果想要查看每秒bit數或byte數，點擊“Unit”，在“Y

Axis”下拉列表中選擇想要查看的內容。這是一種基本的應用，對於查看流量中的波峰/波谷很有幫助。要進一步查看，點擊圖形中的任意點就會看到報文的細節。

過濾：

每一個圖形都可以應用一個過濾條件。這裏創建兩個不同的graph，一個HTTP一個ICMP。可以看到過濾條件中Graph 1使用“http”Graph 2使用“icmp”。圖中可以看到紅色ICMP流量中有些間隙，進一步分析。

常用排錯過濾條件:

對於排查網絡延時/應用問題有一些過濾條件是非常有用的：

tcp.analysis.lost_segment：表明已經在抓包中看到不連續的序列號。報文丟失會造成重復的ACK，這會導致重傳。

tcp.analysis.duplicate_ack：顯示被確認過不止一次的報文。大涼的重復ACK是TCP端點之間高延時的跡象。

tcp.analysis.retransmission：顯示抓包中的所有重傳。如果重傳次數不多的話還是正常的，過多重傳可能有問題。這通常意味著應用性能緩慢和/或用戶報文丟失。

tcp.analysis.window_update：將傳輸過程中的TCP window大小圖形化。如果看到窗口大小下降為零，這意味著發送方已經退出了，並等待接收方確認所有已傳送數據。這可能表明接收端已經不堪重負了。

tcp.analysis.bytes_in_flight：某一時間點網絡上未確認字節數。未確認字節數不能超過你的TCP窗口大小（定義於最初3此TCP握手），為了最大化吞吐量你想要獲得盡可能接近TCP窗口大小。如果看到連續低於TCP窗口大小，可能意味著報文丟失或路徑上其他影響吞吐量的問題。

tcp.analysis.ack_rtt：衡量抓取的TCP報文與相應的ACK。如果這一時間間隔比較長那可能表示某種類型的網絡延時（報文丟失，擁塞，等等）。

函數:

IO Graphs有六個可用函數：SUM, MIN, AVG, MAX, COUNT, LOAD。

MIN( ), AVG( ), MAX( )

首先看一下幀之間的最小，平均和最大時間，這對於查看幀/報文之間的延時非常有用。我們可以將這些函數結合“frame.time_delta”過濾條件看清楚幀延時，並使得往返延時更為明顯。如果抓包文件中包含不同主機之間的多個會話，而只想知道其中一個pair，可將“frame.time_delta”結合源和目標主機條件如“ip.addr==x.x.x.x &&ip.addr==y.y.y.y”。如下圖所示：

我們做了以下步驟：

將Y軸設置為“Advanced”，讓Caculation域可見。不做這一步就看不到計算選項。

X軸時間間隔1秒，所以每個柱狀圖代表1秒間隔的計算結果。

過濾出兩個特定IP地址的HTTP會話，使用條件：“(ip.addr==192.168.1.4&& ip.addr==128.173.87.169) && http”。

使用3個不同的graph，分別計算Min(), Avg(), Max()。

對每一個計算結果應用條件“frame.time_delta”，將style設置成“FBar”，顯示效果最佳。

Count( )：此函數計算時間間隔內事件發生的次數，在查看TCP分析標識符時很有用，例如重傳。

Sum( )：該函數統計事件的累加值。有兩種常見的用例是看在捕獲TCP數據量，以及檢查TCP序列號。

協議過濾器：

arp：顯示所有包括ARP請求和回復在內的所有ARP數據流。

ip：顯示內含IPv4頭在內的（如ICMP目的地址不可達報文，在ICMP報文頭之後返回到來方向的IPv4頭）IP數據流。

ipv6：顯示所有IPv6數據流，包括內含IPv6報文頭的IPv4報文，如6to4，Teredo，以及ISATAP數據流。

tcp：顯示所有基於TCP的數據流。

應用過濾器：

bootp：顯示所有DHCP數據流（基於BOOTP）。

dns：顯示包括TCP區域傳輸以及基於標準UDP的DNS請求和回復在內的所有DNS數據流。

tftp：顯示所有TFTP（Trivial File Transfer Protocol）數據流。

http：顯示所有HTTP命令，回復以及數據傳輸報文，但不顯示TCP握手報文，TCP ACK報文以及TCP結束報文。

icmp：顯示所有ICMP報文。

域過濾器：

boot.option.hostname：顯示所有包含主機名的DHCP數據流（DHCP基於BOOTP）。

http:host：顯示所有包含HTTP主機名字段的所有HTTP報文。此報文是客戶端向網絡服務器發送請求時發出的。

ftp.request.command：顯示所有包含命令的FTP數據流，比如USER，PASS，或RETR命令。

字符過濾器：

tcp.analysis.flags：顯示所有包含TCP分析標識的所有報文，包括報文丟失，重傳，或零窗口標識。

tcp.analysis,zero_window：顯示含有表明發送方的接收緩存用完標識的報文。

顯示過濾器比較運算符:

通過擴展過濾條件可查找某一域值，Wireshark針對此功能支持數字比較運算符。

1. ==或eq

例如：ip.src == 10.2.2.2

顯示所有源地址為10.2.2.2的IPv4數據流

2. ！=或ne

例如：tcp.srcport != 80

顯示源端口除了80以外的所有TCP數據流

3. >或gt

例如：frame.time_relative > 1

顯示距前一個報文到達時間相差1秒的報文

4. <或lt

例如：tcp.window_size < 1460

顯示當TCP接收窗口小於1460字節時的報文

5. >=或ge

例如：dns.count.answers >= 10

顯示包含10個以上answer的DNS響應報文

6. <=或le

例如：ip.ttl <= 10

顯示IP報文中Time to Live字段小於等於10的報文

7. contains

例如：http contains “GET”

顯示所有HTTP客戶端發送給HTTP服務器的GET請求

對於基於TCP應用的過濾條件采用比較運算符。例如，如果想看端口80上面的HTTP數據流，使用HTTP.port==80。

小貼士：

運算符兩邊不用留空格。ip.src == 10.2.2.2與ip.src==10.2.2.2的效果是相同的。

過濾HTTP數據流:

在排查網頁瀏覽器會話或檢查網速過慢問題時，對瀏覽器會話進行過濾就顯得尤為重要。過濾HTTP數據流有兩種方式：

http

tcp.port==xx(xx表示所使用的HTTP端口)

第二種過濾方法更加有效。

Wireshark基本用法 && 過濾規則 && 協議詳解