wireshark过滤器使用注意事项

作者:易隐者 发布于:2013-4-26 15:23 Friday 分类:网络分析

       以前一直认为各个网络分析产品的过滤器工作机制应该都是一样的,今天在协助分析定位一个故障的时候,我使用wireshark进行分析,用HTTP作为过滤条件,想仅查看HTTP交互的报文,其过滤后显示的内容如下图所示:

点击查看原图

       单看上图的显示内容,我们很容易的认为,这就是纯粹的HTTP交互,但是未看见三次握手连接建立的过程,一开始我心里是有点疑惑,但是并未往心里去,后来在合作伙伴的提醒下,我再尝试使用TCP作为过滤条件,方才看到大量的SYN报文,如下图所示:

点击查看原图

         实在想不通,难道HTTP的三次握手过程不属于HTTP报文????不知道wireshark在这一块是如何设计和考虑的,总之个人认为这个设计不合常理。我们以后在使用wireshark过滤器的时候稍微注意一下,避免出现误解。

标签: TCP wireshark 过滤器 HTTP


您对本文的评分:
当前平均分: 4.5(3 次打分)

版权所有:《蚂蚁网-多维人生,三实而立!》 => 《wireshark过滤器使用注意事项
本文地址:http://www.vants.org/?post=219
除非注明,文章均为 《蚂蚁网-多维人生,三实而立!》 原创,欢迎转载!转载请注明本文地址,谢谢。

评论:

hubert
2013-05-02 11:18
严格的来说,那三次握手的确不属于HTTP,虽然说在这个例子里的这个三次握手是为建立HTTP的最终连接而产生的,但是,他只属于TCP,而不应属于它的子层。任何的TCP协议在建立会话之前都要干这个事情的,这个你肯定是知道的,如FTP,TELNET.SSH.SFTP.......
易隐者
2013-05-03 12:05
@hubert:恩,这个的确有一定的道理,我现在也想明白了,但是这个不太符合我们正常的思维习惯,呵呵,因此容易产生误解。

发表评论:

Powered by 易隐者 基于emlog 皖ICP备12002343号-1