admin管理员组文章数量:1532330
2024年5月1日发(作者:)
Wireshark使用说明
一、安装wireshark:
1、在windows下安装:
Wireshark的安装需要WinPcap,但是在Wireshark的安装包里一般含有WinPcap,所以
不需要单独下载安装它。
除了普通的安装之外,还有几个组件供挑选安装。
选择组件(注意:GTK1和GTK2无法同时安装):
Wireshark GTK1-Wireshark:一个GUI网络分析工具
Wireshark GTK2-Wireshark:一个GUI网络分析工具(建议使用GTK2 GUI模组工具)
GTK-Wimp:GTK2窗口模拟(看起来感觉像原生windows32程序,推荐使用)
TSshark:一个命令行的网络分析工具
注意:如果使用GTK2的GUI界面遇到问题可以尝试GTK1,在Windows下256色(8bit)
显示模式无法运行GTK2.但是某些高级分析统计功能在GTK1下可能无法实现。
插件/扩展(Wireshark,TShark分析引擎):
Dissector Plugins:带有扩展分析的插件
Tree Statistics Plugins-树状统计插件:统计工具扩展
Mate - Meta Analysis and Tracing Engine (experimental):可配置的显示过滤引擎,参考
/Mate.
SNMP MIBs: SNMP,MIBS的详细分析。
2、在LINUX下安装:
(1)在编译或者安装二进制发行版之前,您必须确定已经安装如下包:
GTK+:The GIMP Tool Kit.
Glib:可以从获得。
Libpcap:Wireshark用来捕捉包的工具,您可以从获得。
根据您操作系统的不同,您或许能够安装二进制包,如RPMs.或许您需要获得源文件并
编译它。
如果您已经下载了GTK+源文件,例 1 “从源文件编译GTK+”提供的指令对您编译有
所帮助。
例 1. 从源文件编译GTK+
#gunzip -dc gtk+- | tar xvf –
#./configure
#make install
注意:您可能需要修改例1 中提供的版本号成对应您下载的GTK+版本。如果GTK的
目录发生变更,您同样需要修改它。tar xvf 显示您需要修改的目录。
如果您使用Linux,或者安装了GUN tar,您可以使用tar zxvfgtk+-命令。同
样也可能使用gunzip –c或者gzcat。如果您在windows中下载了gtk+ 或者其他文件。您的
文件可能名称为:gtk+-1_2_8_
例 2. 编译、安装libpcap
#gunzip -dc .Z | tar xvf –
#cd libpcap-0.9.4
#./configure
#make
#make install
注意:Libpcap的目录需要根据您的版本进行修改。tar xvf命令显示您解压缩的目录。
例 3. 在RedHat Linux 6.2或者基于该版本得发行版下安装需要的RPM包
#cd /mnt/cdrom/RedHat/RPMS
#rpm -ivh
#rpm -ivh
#rpm -ivh gtk+-
#rpm -ivh gtk+-
#rpm -ivh
注意:如果您使用RedHat 6.2之后的版本,需要的RMPs包可能已经变化。您需要使
用正确的RMPs包。
(2)在Linux下编译wireshark:
如果使用Linux则解压gzip'd tar文件。对于Linux命令如下:
tar zxvf
注意使用管道命令行 gunzip –dc |tar xvf 同样可以。如果您在
Windows下下载了Wireshark,你会发现文件名中的那些点变成了下划线。
然后将当前目录设置成源文件的目录。
再执行下面的命令来编译并安装wireshark:
#./configure
#make
#make install
一旦您使用make install安装了Wireshark,您就可以通过输入Wireshark命令来运行它了。
安装过程中可能会遇到一些错误信息。这里给出一些错误的解决办法:
如果configure那一步发生错误。你需要找出错误的原因,您可以检查日志文件
(在源文件目录下),看看都发生了哪些错误。有价值的信息通常在最后几行。
一般原因是因为您缺少GTK+环境,或者您的GTK+版本过低。configure错误的另一个
原因是因为因为缺少libpcap(这就是前面提到的捕捉包的工具)。
二、捕捉数据分组
1、准备工作
常见需要注意的地方:
A. 必须拥有root/Administrator特权才能开始捕捉
B. 必须选择正确的网络接口捕捉数据。
2、开始捕捉
可以使用以下任一方式开始捕捉包
方式一:使用
的接口并启动捕捉
打开捕捉接口对话框,浏览可用的本地网络接口,选择需要进行捕捉
方式二:使用"捕捉选项"按钮启动对话框开始捕捉,如下图
如果前次捕捉时的设置和现在的要求一样,可以直接点击"开始捕捉"按钮或者是菜
单项立即开始本次捕捉。
方式三:如果已经知道捕捉接口的名称,可以使用如下命令从命令行开始捕捉:
wireshark -i eth0 -k
上述命令会从eht0接口开始捕捉。
捕捉时,会出现下面的捕捉信息对话框:
上述对话框会向你显示捕捉到包的数目,以及捕捉持续时间。捕获前选定了要统计的协
议,在捕获过程中无法对其作出更改(增加或取消某些要统计的协议)。
提示:这个对话框可以被隐藏,在下面的捕捉选项对话框设置"Hide capture info dialog
box"即可。
3、停止捕捉
运行中的捕捉线程可以用下列方法停止:
方法一:使用捕捉信息对话框上的"stop"按钮停止。
注意:捕捉信息对话框有可能被隐藏,如果你选择了"Hide capture info dialog"
方法二:使用菜单项"Capture/ Stop"
方法三:使用工具栏项" Stop"
方法四:使用快捷键:Ctrl+E
注意:如果设置了触发停止的条件,捕捉达到条件时会自动停止。
4、重新启动捕捉
运行中的捕捉进程可以被重新启动。这将会移出上次捕捉的所有包。如果你捕捉到一些
你不感兴趣的包,你不想保留它,这个功能十分有用。
重新启动是一项方便的功能,类似于停止捕捉后,在很短的时间内立即开始捕捉。以下两种
方式可以实现重新启动捕捉:
方法一:使用菜单项"Capture/ Restart"
方法二:使用工具栏项" Restart"
方法三:使用快捷键Ctrl+R
5、捕捉时过滤:
捕捉过滤的形式为:和取值(and/or)进行进行基本单元连接,加上可选的,高有限级的
not:
[not] primitive [and|or [not] primitive ...]
在下图所示处输入:
例 1. 捕捉来自或指向主机10.0.0.5的telnet协议:tcp port 23 and host 10.0.0.5
例 2. 捕捉所有不是来自10.0.0.5的telnet 通信:tcp port 23 and not src host 10.0.0.5
相关的捕捉时过滤语法:
一个基本单元通常是下面中的一个
(1)[src|dst] host
此基本单元允许你过滤主机ip地址或名称。你可以优先指定src|dst关键词来指定你关
注的是源地址还是目标地址。如果未指定,则指定的地址出现在源地址或目标地址中的包会
被抓取。
(2)ether [src|dst] host
此单元允许你过滤主机以太网地址。你可以优先指定关键词src|dst在关键词ether和host
之间,来确定你关注的是源地址还是目标地址。如果未指定,同上。
(3)gateway host
过滤通过指定host作为网关的包。这就是指那些以太网源地址或目标地址是host,但源ip
地址和目标ip地址都不是host的包
(4)[src|dst] net
通过网络号进行过滤。你可以选择优先指定src|dst来确定你感兴趣的是源网络还是目标
网络。如果两个都没指定。指定网络出现在源还是目标网络的都会被选择。另外,你可以选
择子网掩码或者CIDR(无类别域形式)。
(5)[tcp|udp] [src|dst] port 过滤tcp,udp及端口号。可以使用src|dst和tcp|udp关键词来确定来自源还是目标,tcp 协议还是udp协议。tcp|udp必须出现在src|dst之前。 (6)less|greater 选择长度符合要求的包。(大于等于或小于等于) (7)ip|ether proto 选择有指定的协议在以太网层或是ip层的包 (8)ether|ip broadcast|multicast 选择以太网/ip层的广播或多播 (9) 创建一个复杂过滤表达式,来选择包的字节或字节范围符合要求的包。 6、 保存捕捉包 你可以通过File->菜单保存捕捉文件。在保存时可以选择保存哪些包,以什么 格式保存: Windows下的界面: LINUX下的界面: 通过这些对话框,你可以执行如下操作: (1)输入你指定的文件名。 (2)选择保存的目录 (3)选择保存包的范围 (4)通过点击"File type/文件类型"下拉列表指定保存文件的格式。 (5)点击"Save/OK"按钮保存。如果保存时遇到问题,会出现错误提示。确认那个错误 提示以后,你可以重试。 (6)点击"Cancel"按钮退出而不保存捕捉包。 7、输出格式 可以将Wireshark捕捉到的包保存为其原生格式文件(libpcap),也可以保存为其他格式 供其他工具进行读取分析。 Wireshark可以保存为如下格式: libpcap, tcpdump and various other tools using tcpdump's capture format (*.pcap,*.cap,*.dmp) Accellent 5Views (*.5vw) HP-UX's nettl (*.TRC0,*.TRC1) Microsoft Network Monitor - NetMon (*.cap) Network Associates Sniffer - DOS (*.cap,*.enc,*.trc,*fdc,*.syc) Network Associates Sniffer - Windows (*.cap) Network Instruments Observer version 9 (*.bfr) Novell LANalyzer (*.tr1) Sun snoop (*.snoop,*.cap) Visual Networks Visual UpTime traffic (*.*) 三、浏览捕捉的包 在捕捉完成之后,或者打开先前保存的包文件之后,通过点击包列表面版中的包,可以 在包详情面板看到关于这个包树状结构以及字节面版 通过点击左侧"+"标记,可以展开树状视图的任意部分。下面是一个例子: 当Wireshark正在捕捉时,也可以进行同样的选择。(前提是在捕捉选项对话框选择了实 时更新列表(update list of packet in real time )) 另外,还可以使用分离的窗口浏览单独的数据包,如下图,想要这样做,只需要在选中 包列表面版中您感兴趣的包,菜单 View->Show Packet in New Windows 。这样我们可以很 轻松地比较两个或多个包。 或者在包列表面板中右键单击所选的包,选择Show Packet in New Window: 又或者在包列表面板中双击所选择的包: 四、浏览时过滤包 Wireshark有两种过滤语法:一种是捕捉包时使用,另一种是显示包时使用。之前在“捕 捉时过滤”里已经介绍过第一种过滤语法了,这里将介绍第二种:显示过滤。 显示过滤可以隐藏一些你不感兴趣的包,让你可以集中注意力在你感兴趣的那些包上 面。可以从以下几个方面选择包: 协议 预设字段 字段值 字段值比较 „„ 根据协议类型选择数据报,只需要在Filter框里输入你感兴趣的协议,然后回车开始过 滤。下面显示了输入tcp进行过滤后的图。 显然,上图显示的已经仅有TCP协议了(从图中可以看到1-10号包已经被隐藏)。因 为包的编号是固定不变的,所以第一个包显示的编号是11。 注意: 1. 使用过滤时,所有的包依然保留在捕捉文件里。显示过滤只是更改捕捉文件的显示 方式而非内容。 2. 我们只能对Wireshark可以识别的协议进行过滤。也可以对解析器已经添加到树视图 的字段进行过滤,但仅限于解析器已经为字段加上了协议缩写的。在对话 框可以看到可用的字段列表。 例如:想要限制包列表面板仅显示来自或指向192.168.0.1的包,可以使用: ==192.168.0. 注意:点击Clear可以移除过滤 1、建立显示过滤表达式 Wireshark提供了简单而强大的过滤语法,可以用它们建立复杂的过滤表达式。你可以 比较包中的值,合并表达式为多个指定表达式。 提示:可以在Wireshark Wiki Display页找到发现大量的显示过滤范例。 /DisplayFilters. (1)显示过滤字段 包详情面板的每个字段都可以作为过滤使用。应用这些作为过滤将会仅显示包含该字段 的包。例如:过滤字符串TCP,将会显示所有包含TCP协议的包。 包详情面板: 通过"Help/Support Protocals"/帮助/协议支持菜单项访问"Display Filter Fields/显示过滤 字段"可以查看完整的过滤字段列表。 (2) 比较值 可以通过在许多不同的比较操作建立比较过滤。详见下表。 提示:可以使用下表中的英语和比较符(c-link)项达到同样的效果,它们也可以混合使用。 表格:显示滤镜比较操作符 English C-linke 描述及范例 eq ne gt == != > Equal ==10.0.0.5 Not equal !=10.0.0.5 Greate than English C-linke 描述及范例 _len>10 lt ge le < >= <= Less than _len<128 Greater than or equal to _len ge 0x100 Equal _len <= 0x20 (3)组合表达式 你可以用逻辑操作符将过滤表达式组合在一起使用,见下表。 显示过滤的逻辑操作符 English C-linke 描述和范例 and or xor not && || ^^ ! Logical AND ==10.0.0.5 and Logical OR ==10.0.0.5 or ==192.1.1.1 Logical XOR [0:3] == 0.6.29 xor [0:3] == 0.6.29 Logical Not not llc Substring Operator Wireshark允许选择一个序列的子序列。在标签后你可以加上一对[]号,在里 面包含用逗号(是不是冒号?)分离的列表范围。 [0:3] == 00:00:83 上例使用n:m格式指定一个范围。在这种情况下,n是起始位置偏移(0表示 没有偏移,即是第一位,同理1表示向右偏移一位,便是第二位),m是从 指定起始位置的区域长度。 [1-2] == 00:83 上例使用n-m格式一个范围。在本例中n表示起始位置偏移,m表示终止位 置偏移 [:4]=00:00:83:00 上例使用:m格式,表示从起始位置到偏移偏移位置m。等价于0:m [4:]=20:20 上例使用n:格式,表示从最后位置偏移n个序列 [2] == 83 上例使用 n 形式指定一个单独的位置。在此例中中序列中的单元已经在偏 移量n中指定。它等价于n:1 [0:3,102,:4,4:,2] == 00:00:83:00:83:00:00:83:00:20:20:83 Wireshark 允许你将多个分号隔开的列表组合在一起表示复合区域,如上例 所示 [...] (4) 常见的错误: 在组合表达式中使用"!="操作符,像,,,等元素可能会产生 非预期效果。 例子: 经常有人用 ==1.2.3.4 表达式来选择所有包含ip地址为1.2.3.4的包。 如果有人想用 !=1.2.3.4 表达式来排除ip地址为1.2.3.4的包,很不幸,它不会像 你期待的那样。 解释:那个表达式为真值的条件是源地址或目标地址中的任意一个不等于1.2.3.4即可。 因此,那个表达式 !=1.2.3.4 可以被读作:"该包包含的ip字段值必须不为1.2.3.4"。 因为一个ip数据报同含源地址和目标地址,只要两个地址有一个不为1,2,3,4表达式就为真。 如果真想过滤捕捉文件中ip地址包含1.2.3.4的包,正确的表达式应该是!(==1.2.3.4)。 它可以读作:"显示所有'字段名为值存在1.2.3.4'为非真的包'",换句话说:"筛选所有字段 名的值中未出现1.2.3.4的包"。 (5)“Filter Expression/过滤表达式”对话框 过滤表达式对话框 打开上图的对话框以后。将会显示一个按协议类型分组的树分支列表,一个关系选择框。 Field Name: 从协议字段树中选择协议字段。每个可过滤协议都放在第一级。点击+号展开列表,可 以获得关于那些协议的可过滤字段。 Relation: 从可用关系列表中选择关系。is present是一元关系,表示如果你选择的字段存在,表 达式就为真值。其它关系都为二元关系,需要附加数据(例如:一个值来匹配)来完成。 如果你从字段名列表选择一个字段,并选择一个二元关系(例如等于关系"=="),你可能需 要输入值,也有可能是范围信息。 Value: 在此输入合适的配置值,输入的值同样要符合你选择的field name的属性值类型(例如 字符串). Predefined values: 有些协议字段包含预设值可用,这一点跟C语言中的枚举变量类似。如果选择的协议 有这样的值定义,你可以在此选择。 Range: 此处作者留空了 OK: 如果你已经建立好了表达式,点击OK即可创建你的过滤字符串 Cancel: 你可以点击Cancle按钮不做任何修改离开Add Expression。。。对话框。 (6)定义、保存过滤器 你可以定义过滤器,并给他们标记以便以后使用。这样可以省去回忆、重新输入某些你 曾用过的复杂过滤器的时间。 定义新的过滤器或修改已经存在的过滤器有两种方法: 方法一:在Capture 菜单选择; 方法二:在Analyze菜单选择。Wireshark 将会弹出如下图所示话框。 注意:因为捕捉和显示滤镜的设定义和保存方式几乎完全一样,所以这里放在一起讲, 二者之间的不同点会做标记。 警告:必须使用Save来保存你的过滤器,OK或者Apply不会保存过滤器。关闭wireshark 时会随之消失。 相关选项介绍: New: 增加一个新的过滤器到列表中。当前输入的Filter name,Filter string值将会被使用。如 果这些都为空,将会被设置为"new"。 Delete: 删除选中的过滤器。如果没有过滤器被选中则为灰色。 Filter name: 修改当前选择的过滤器的名称(过滤器名称仅用在此处为了区分方便而已,没有其他用 处。可以将多个过滤器使用同一个名称,但这样使用起来会很不方便)。 Filter string: 修改当前选中过滤器的的内容。仅适用显示过滤,在输入时进行语法检查。 Add Expression: 仅适用显示过滤。打开增加表达式对话框,辅助创建过滤表达式。详见(5)“Filter Expression/过滤表达式”对话框 OK: 仅适用显示过滤,为当前显示应用选择的过滤器,关闭当前对话框。 Save: 保存当前对话框设置。 Close: 关闭当前对话框。将会放弃未保存的设置。 五、 查找包 当你捕捉到一些包以后,或者读取以前存储的包的时候,可以很容易的进行查找。从 Edit菜单选择菜单项,Wireshark将会弹出下图所示对话框. 首先你需要选择查找方式: Display filter:在Filter:输入字段,选择查找方向,点击OK(过滤器方式) 例如:查找192.168.0.1发起的三步握手建立连接,使用如下字符: == 192.168.0.1 and Hex Value:在包数据中搜索指定的序列。 例如:使用"00:00"查找下一个包含两个空字节的包数据。 String:在包中查找字符串,可以指定多种参数。 提示:输入的查找值将会被进行语法检查。如果语法检查无误,输入框背景色会变成绿 色,反之则是红色。 你可以指定查找的方向通过: UP:向上查找包列表(包编号递减方式) Down:向下查找包列表(包编号递增方式) Edit->Find Next/查找下一个:适用最后一次的查找设置继续查找 Edit->Find Previous/查找上一个:适用最后一次的设置修改查找方向,继续查找 六、标记包 可以在包列表面板对包进行标记。不管原来设置的颜色是怎样的,被标记的包的背景色 将变为黑色。标记包有助于在分析大的包文件时进行查找。 标记方法:单击右键,选择Mark Packet: 警告:包标记并没有存储在捕捉文件中或任何其他地方,关闭文件后,所有标记将会丢 失。 在保存/导出/打印包时,可以使用包标记控制输出包。标记包以后,可以输出进行区间 选择。 对标记包可以进行三项操作: Mark packet(toggle) 冻结已标记的单个包 Mark all packets 标记所有包 Unmark all packets 取消所有标记 这些标记功能出现在"Edit"菜单中。“Mark packet(toggle)”功能在弹出包列表面板弹出 上下文菜单中同样可以找到。 七、Follow TCP Stream Following TCP streams可以帮助我们查看TCP流中的应用层数据。如果你想查看telnet 流中的密码,或者你想尝试弄明白一个数据流,或者你仅仅只需要一个显示过滤来显示某个 TCP流的包,这些都可以通过该功能来实现。 在包列表中选择一个你感兴趣的TCP包,然后选择Wireshark工具栏菜单的"Following TCP Streams"选项(或者使用包列表鼠标右键的上下文菜单)。然后,Wireshark就会创建合适 的显示过滤器,并弹出一个对话框显示TCP流的所有数据。如下图所示: 流的内容出现的顺序同他们在网络中出现的顺序一致。从A到B的通信标记为红色, 从B到A的通信标记为蓝色。当然,如果你喜欢的话你可以从"Edit/Preferences"菜单项的 "Colores"修改颜色。 非打印字符将会被显示为圆点。 注意:在捕捉过程中,TCP流不能实时更新。想得到最近的内容需要重新打开对话框。 可以在此对话框执行如下操作: Save As:以当前选择格式保存流数据。 Print:以当前选择格式打印流数据。 Direction:选择流的显示方向("Entire conversation", "data from A to B only" or "data from B to A only"). Filter out this stream:应用一个显示过滤,在显示中排除当前选择的TCP流。 Close:关闭当前对话框,移除对当前显示过滤的影响。 可以用以下格式浏览流数据: AsCII:在此视图下你可以以ASCII方式查看数据。适合基于ASCII的协议用,例如 HTTP EBCDIC:是IBM公司的字符二进制编码标准。 HEX Dump.:允许你查看所有数据,可能会占用大量屏幕空间。适合显示二进制协议。 C Arrays.:允许将流数据导入自己的C语言程序。 RAW:允许载入原始数据到其他应用程序做进一步分析。显示类似于ASCII设置。但 “save As”将会保存为二进制文件。 八、时间戳 在包被捕捉时,每个包在进入时都被加上时间戳,这个时间戳将会保存在捕捉文件中, 所以它们也可以在以后分析时使用。 那么,时间戳是从哪里来的呢?是捕捉的时候产生的。Wireshark从 libpcap(WinPcap) libraray(库)中获得时间戳。而libpcap(winpcap)又是从操作系统内核获得的时间。如果捕捉数 据是从捕捉文件载入的,很显然Wireshark从文件中获得时间戳数据。 1、 Wireshark内置 Wireshak内置的格式使用的时间戳格式由日期(从1.1.1970开始)和时间(从凌晨起,纳 秒(10亿分之一秒)为单位)组成。你可以调整Wireshark在包列表的时间戳显示方式。感兴 趣可研究一下"View"菜单的"Time Display Format"项。 当读取或写入捕捉文件时,Wireshark按需要在内置格式和其他捕捉文件格式间进行时 间戳转换。 捕捉时,Wireshark使用libpcap(WinPcap)捕捉库(支持纳秒精度)。除非你在专用的捕 捉硬件上进行捕捉,否则一般这样的精度已经足够了。 2、 捕捉文件格式 Wireshark支持的捕捉文件格式都带有时间戳。不同的捕捉文件格式的时间戳精度有很 大不同,从秒"0"到纳秒 "0.123456789"都有。大多数格式捕捉文件存储的时间戳都是固定精 度的,些捕捉文件格式甚至存储了时间戳精度本身(可能是出于方便)。 大多数被Wireshark(和/或更多其他工具)使用的libpcap捕捉文件格式都仅支持固定的百 万分之一固定精度"0.123456"。 注意:写入数据到一个实际支持精度比你写入数据精度低的格式文件中,可能会导致数 据丢失。例如:如果你载入一个纳秒精度的捕捉文件,然后将其存储为libpcap文件(百万分 之一秒精度),Wireshark很明显会将时间精度调整为百万分之一秒。 3、 准确性 那么,Wireshark的时间戳的准确性如何呢?实际上,Wireshark自身不会创建时间戳, 而是通过其他的地方得到时间并显示他们。所以,准确性取决于你实用的捕捉系统(操作系 统)。 九、合并包 1、 什么是合并包 网络协议经常需要传输较大的数据块,在传输时,底层协议可能不支持这样大的数据块 (比如网络包大小的限制),或者是像TCP一样的流数据,TCP流本身是完全不知道数据分 块情况的。 在这种情况下,网络协议必须确定数据块分段的边界,并(如果有必要)将数据块分割为 多个包。很明显,在接受端也需要有找到数据块分段边界的机制。 2、 如何用Wireshark合并包 对那些可以被Wireshark识别的协议,Wireshark通常处理过程为:查找、解码、显示数 据块。Wireshark会尝试查找数据块对应的包,在"Packet Bytes"面板的附加页面显示合并以 后的数据。感兴趣可研究一下"View"菜单的"Packet Bytes"面板。 注意: 1. 合并可能发生在多个协议层,所以在"Packet Bytes"面板可能会见到多个附加页选项 卡。 2. 合并后的数据将在数据块的最后一个包里看到。 以HTTP Get应答为例:请求数据(例如一个HTML页面)返回时,Wireshark会显示一个 16进制转储数据在"Packet Bytes"面板的一个名为"Uncompressed entity body"新选项卡。 默认情况下,首选项中合并功能被设置为允许。在2005年9月之前默认值是不允许。 如果你的首选项是在200年9月之前设置的,你必须确认一下合并包选项的设置。合并包对 分析网络包作用非常大。 允许和禁止合并包设置对协议来说还有两项要求: 1. 下层的协议(如:TCP)必须支持合并。通常协议支持合并与否都是通过协议的参数设 置的。 2. 高层的协议(如:HTTP)必须使用合并机制来合并分片的数据。这些也同样可以通过协 议参数来允许或禁止。
版权声明:本文标题:wireshark详细的使用说明 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1714518235a408990.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论