Wireshark使用教程：不同报文颜色的含义

—

设置

色彩规则有两个入口，一个在报文上方的工具栏内，如图：

那个鲜艳的图标就是色彩规则的入口。

另一个是view-->coloring rules菜单。

点击进去即可看见所有的色彩规则的设置：

可以粗略地看到，黑色背景代表报文的各类错误，红色背景代表各类异常情景，其它颜色代表正常。

—

规则

本节对色彩规则的各默认项进行说明：

Bad TCP：tcp.analysis.flags && !tcp.analysis.window_update

即TCP解析出错，通常重传，乱序，丢包，重复响应都在此条规则的范围内。

HSRP State Change：hsrp.state != 8 && hsrp.state != 16

HSRP即热备份路由协议（Hot Standby Router Protocol），这条规则表示状态非active和standby。

Spanning Tree Topology  Change：stp.type == 0x80

生成树协议的状态标记为0x80，生成树拓扑发生变化。

OSPF State Change：ospf.msg != 1

OSPF（Open Shortest Path First，开放式最短路径优先协议）的msg类型不是hello。

ICMP errors：icmp.type eq 3 || icmp.type eq 4 || icmp.type eq 5 || icmp.type eq 11 || icmpv6.type eq 1 || icmpv6.type eq 2 || icmpv6.type eq 3 || icmpv6.type eq 4

ICMP协议错误，协议的type字段值错误。

ARP：arp

即ARP协议

ICMP：icmp || icmpv6

即icmp协议

TCP RST：tcp.flags.reset eq 1

TCP流被RESET。

SCTP ABORT：sctp.chunk_type eq ABORT

串流控制协议的chunk_type为ABORT（6）。

TTL low or unexpected：( ! ip.dst == 224.0.0.0/4 && ip.ttl < 5 && !pim) || (ip.dst == 224.0.0.0/24 && ip.dst != 224.0.0.251 && ip.ttl != 1 && !(vrrp || carp))

TTL异常。

Checksum Errors：eth.fcs_bad==1 || ip.checksum_bad==1 || tcp.checksum_bad==1 || udp.checksum_bad==1 || sctp.checksum_bad==1 || mstp.checksum_bad==1 || cdp.checksum_bad==1 || edp.checksum_bad==1 || wlan.fcs_bad==1

条件中的各类协议的checksum异常，在PC上抓包时网卡的一些设置经常会使Wireshark显示此错误。

SMB：smb || nbss || nbns || nbipx || ipxsap || netbios

Server Message Block类协议。

HTTP：http || tcp.port == 80 || http2

HTTP协议，这是很简陋的识别方法。

IPX：ipx || spx

互联网络数据包交换（Internet work Packet Exchange）类协议。

DCERPC：dcerpc

即DCE/RPC，分散式运算环境/远端过程调用（Distributed Computing Environment / Remote Procedure Calls）协议。

Routing：hsrp || eigrp || ospf || bgp || cdp || vrrp || carp || gvrp || igmp || ismp

路由类协议。

TCP SYN/FIN：tcp.flags & 0x02 || tcp.flags.fin == 1

TCP连接的起始和关闭。

TCP：tcp

TCP协议。

UDP：udp

UDP协议。

Broadcast：eth[0] & 1

广播数据。

这里面有部分协议现在的互联网流量中关注得比较少，但在基础网络中很常使用，因此，虽然被保留在着色规则中，但却显陌生，当然，对协议还原来说，按标准文档进行分析即可识别，提取有价值内容。

如需交流，可联系我。

长按进行关注。