wireshark ip.id 过滤器
作者:互联网
在网络链路中,一个数据包的发送经常会经过多个节点,那么在不同节点抓到报文后,如何确定目前查看的这个报文是否是从源端发过来,问题复现的那段报文;
或者数据流量比较大,同时刻的报文数量很多,已经无法根据时间来确认具体的报文是哪一条时,又需要确定具体的报文情况时,就需要用到这个字段:Identification。
在wireshark中,该字段被书定义为ip.id
。
该字段可以理解成报文的唯一标识符,用来标记报文的唯一性,尤其是在该报文经过了各种NAT转发后,该值是不会发生改变的。
在报文分析中我们往往是通过这个值进行确认报文的唯一性的。当然这个值并不是永不重复,在报文量特别大的情况下,该id是可能发生重复的,不过几率较小,配合报文的时间戳进行双向确认,基本可以明确报文的唯一性。
操作使用
一般为了分析方便,需要把该字段应用成列,默认的wireshark是没有该列的,我们需要把该字段值应用成列。具体操作步骤如下:
找到对应的字段值,选中
右键选择应用为列:
可以看到该列已经出现了上方:
使用该字段值进行过滤筛选:
标签:段值,唯一性,ip,报文,该列,id,wireshark 来源: https://www.cnblogs.com/yyxianren/p/15557517.html