wireshark过滤器使用注意事项

2013-04-26 · 网络分析 · 网络分析 · 10514 次阅读

以前一直认为各个网络分析产品的过滤器工作机制应该都是一样的，今天在协助分析定位一个故障的时候，我使用wireshark进行分析，用HTTP作为过滤条件，想仅查看HTTP交互的报文，其过滤后显示的内容如下图所示：

单看上图的显示内容，我们很容易的认为，这就是纯粹的HTTP交互，但是未看见三次握手连接建立的过程，一开始我心里是有点疑惑，但是并未往心里去，后来在合作伙伴的提醒下，我再尝试使用TCP作为过滤条件，方才看到大量的SYN报文，如下图所示：

实在想不通，难道HTTP的三次握手过程不属于HTTP报文？？？？不知道wireshark在这一块是如何设计和考虑的，总之个人认为这个设计不合常理。我们以后在使用wireshark过滤器的时候稍微注意一下，避免出现误解。