|
|
51CTO旗下网站
|
|
移动端

5.8 专家信息

《Wireshark数据包分析实战(第2版)》第5章Wireshark高级特性,本章我们将会从这些强大的功能特性中挑选一些进行介绍,其中包括端点和会话窗口、名字解析的细节、协议解析、数据流跟踪、IO图形化等。本节为大家介绍专家信息。

作者:诸葛建伟 等译来源:人民邮电出版社|2013-03-21 13:50

【51CTO技术沙龙】10月27日,让我们共同探索AI场景化应用实现之道

5.8  专家信息

Wireshark中每个协议的解析器都有一些专家信息,可以让你得到使用这个协议的数据包中一些特定状态的警告。这些状态可以分为4类。

对话:关于通信的基本信息。

注意:正常通信中的异常数据包。

警告:不是正常通信中的异常数据包。

错误:数据包中的错误,或者解析器解析时的错误。

举例来说,打开download-slow.pcap这个文件,然后单击Analyze,并选择Expert Info Composite,便可以打开这个捕获文件的专家信息窗口(如图5-18所示)。

我们应该注意到这个窗口中每种类型的信息都有一个对应的选项卡,在这个例子中没有错误消息,有3个警告、18个注意以及3个对话。在选项卡上,括号之外的数字指的是这个类别中不同消息的数量,而括号中的数字是消息出现的总次数。

这个捕获文件中所有的信息都是与TCP有关的,因为至本书截稿时,专家信息系统还没有在其他的协议中实现。目前,总共为TCP配置了14种专家信息消息,并且这些消息在解决捕获文件的问题时非常有用。这些信息可以在满足如下条件的时候对数据包进行标记。

对话消息

窗口更新  由接收者发送,用来通知发送者TCP接收窗口的大小已被改变。

注意消息

TCP重传输  数据包丢失的结果。发生在收到重复的ACK,或者数据包的重传输计时器超时的时候。

重复ACK  当一台主机没有收到下一个期望序列号的数据包时,它会生成最近收到一次数据的重复ACK。

零窗口探查  在一个零窗口包被发送之后,用来监视TCP接收窗口的状态(将在第9章中介绍)。

保活ACK  用来响应保活数据包。

零窗口探查ACK  用来响应零窗口探查数据包。

窗口已满  用来通知传输主机其接收者的TCP接收窗口已满。

警告信息

上一段丢失  指明数据包丢失。发生在当数据流中一个期望的序列号被跳过时。

收到丢失数据包的ACK  发生在当一个数据包已经确认丢失但收到了其ACK数据包时。

保活  当一个连接的保活数据包出现时触发。

零窗口  当接收方已经达到TCP接收窗口大小时,发出一个零窗口通知,要求发送方停止传输数据。

乱序  当数据包被乱序接收时,会利用序列号进行检测。

快速重传输  一次重传会在收到一个重复ACK的20毫秒内进行。

错误消息

无错误消息

关于这些消息的意义,我们会在第6章中学习TCP以及第9章检测慢速网络问题时了解到。

尽管这章中介绍的一些功能看上去只有在一些冷僻的情况下用到,你可能会发现它们比你想象中使用得要多。你需要熟悉这些窗口和选项,因为我会在之后的几个章节中频繁地提到它们。

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

Web服务安全

Web服务技术是最近几年迅速兴起的一种应用集成技术,而安全问题是影响该技术广泛应用的一个关键因素。这个问题已成为最近几年来国内外研究...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊