Appearance
Skip to content
UDP
UDP(User Datagram Protocol)是在 IP 之上按数据报传输的传输层协议,提供端口号和长度、校验和等基本信息,但不建立连接、不保证重传和顺序。排查 DNS、DHCP、QUIC、语音视频、广播/组播或“请求发出但没有响应”的场景时,经常需要先看 UDP。
不要把 UDP 和 TCP 混淆:UDP 没有三次握手、连接状态、序号确认和内建重传;如果应用需要可靠性,通常由应用层或上层协议自己处理。
Wireshark 中看什么
| 目标 | 重点字段或视图 | 说明 |
|---|---|---|
| 确认端口方向 | udp.srcport、udp.dstport、udp.port | 端口常用于判断是哪类应用或服务,但不要只凭端口下结论。 |
| 找请求无响应 | Conversation、udp.stream | 围绕同一对地址和端口查看是否只有单向数据。 |
| 判断上层协议 | Protocol 列、Decode As | DNS、DHCP、QUIC 等可能运行在 UDP 上。 |
| 检查报文大小 | udp.length | 适合辅助分析异常大包、截断或分片相关问题。 |
| 观察校验和提示 | udp.checksum 及专家信息 | 某些环境下校验和卸载会影响本机抓包显示,需结合抓包位置判断。 |
常用显示过滤字段
text
udp只显示 UDP 报文。
text
udp.port == 53查看源端口或目的端口为 53 的 UDP 流量,常用于 DNS 排查。
text
udp.dstport == 443查看发往 UDP 443 的流量,常用于初筛 QUIC/HTTP/3,但不能只凭端口确认协议。
text
udp.length > 1200查找较大的 UDP 数据报。阈值请按现场网络和应用调整。
text
udp.stream == 0查看 Wireshark 标记的某一条 UDP 会话流。具体编号以现场报文为准。
常见分析问题
UDP 没有响应一定是网络丢包吗?
不一定。服务端未监听、应用主动丢弃、访问控制、NAT/防火墙策略、广播/组播范围、上层协议错误都可能导致没有响应。需要同时看 IP 路径、端口方向和应用层解析结果。
UDP 会自动重传吗?
UDP 本身不会。若看到重复请求,通常来自应用层重试、客户端库重试或上层协议机制,而不是 UDP 层自动重传。
Wireshark 为什么没有把 UDP 解析成期望的协议?
可能是端口非标准、协议协商条件不满足、报文不完整,或需要使用 Decode As。先确认端口、方向、负载内容和 Wireshark 是否已有对应解析器。
相关页面和外部参考
- IP
- ICMP
- DNS
- DHCP
- QUIC
- Display Filters
- Wireshark Wiki 原页:<https://wiki.wireshark.org/UDP>
相关 Wireshark Wiki 页面
- Wireshark Wiki 首页Home · 入门与使用
- User_Datagram_ProtocolUser_Datagram_Protocol · 协议参考