Wireshark有一个名为"跟踪TCP流"的功能,在"分析"菜单下。
当我使用它时,会生成一个屏幕截取过滤器,类似于:
tcp.stream eq 1
这个索引是从哪里来的?
我找不到任何包含它的字段...
3个回答
26
流索引是Wireshark内部映射到的一个值:[IP地址A,TCP端口A,IP地址B,TCP端口B]
所有具有相同tcp.stream值的数据包应具有这些字段的相同值(尽管A->B和B->A数据包的源/目标将被交换)
在Wireshark中查看“统计信息/会话/TCP”选项卡以显示这些流的摘要。
- rupello
4
流索引是Wireshark内部使用的。它仅使用数字来唯一标识TCP流。
- yan
0
除了源IP和目的IP以及端口相同之外,流中的数据包符合整个开放-传输-关闭通信序列。因此,我猜测当SYN数据包到达时,Wireshark会在内部创建一个新的流ID,并跟踪对话中的所有数据包,直到双方完成它(FIN/RST标志)。
使用tcp.stream过滤器过滤数据包非常有用,可以分析特定的序列。
使用tcp.stream过滤器过滤数据包非常有用,可以分析特定的序列。
- Hek
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接