Wireshark网络分析实战笔记（五）Expert Info工具

Expert Info：自动识别网络中异常，并给出导致异常的具体原因

使用方法：Analyze菜单栏中的Expert Information选项或直接点击wireshark界面左下角的圆点

Expert Info事件：

Errors：

严重错误，譬如：畸形数据包或识别出数据包协议头部的某些字段和预期值不符

Warn：

一般性问题（应用程序问题或通信问题），譬如：TCP zero window ,TCP window full ,TCP报文段失序，TCP报文段丢失

Note：

可能引发故障的异常现象（正常行为），譬如：TCP重传，重复确认，快速重传

Chat：

符合常规流量的特征，譬如：SYN,FIN,RST

小技巧：如何给数据包添加注释信息：右键数据包-Packet Comment

基于Expert Info生成的信息配置显示过滤器：

1、_ws.expert.group:根据信息类型过滤，共分为12种

信息类型	显示过滤器表达式
Checksum:校验和类	_ws.expert.group == 0x1000000
Sequence:序列号类	_ws.expert.group == 0x2000000
Response:响应类	_ws.expert.group == 0x3000000
Request:请求类	_ws.expert.group == 0x4000000
Undecoded:不能识别类	_ws.expert.group == 0x5000000
Reassemble:重组问题类	_ws.expert.group == 0x6000000
Malformed:畸形数据包类	_ws.expert.group == 0x7000000
Debug:不应该出现匹配此类型的数据包	_ws.expert.group == 0x8000000
Protocol:协议类	_ws.expert.group == 0x9000000
Seurity:	_ws.expert.group == 0xa000000
Comment:含注释信息类	_ws.expert.group == 0xb000000
Decryption:	_ws.expert.group == 0xc000000

2、_ws.expert.message:基于特定字符的匹配，譬如：contains ， matches

3、_ws.expert.severity:根据故障高低，error，warn，note

事件类别	显示过滤器表达式
Error	_ws.expert.severity == 0x800000
Warn	_ws.expert.severity == 0x600000
Note	_ws.expert.severity == 0x400000
Chat	_ws.expert.severity == 0x200000
Comment	_ws.expert.severity == 0x100000
Ok	_ws.expert.severity == 0x1

常见的Errots事件：

1.检验和错误
2.伪造的数据包问题
小技巧：如何关闭IP和TCP的校验和的检查：打开Edit菜单栏下preferences选项，在protocol中分别找到IPv4和TCP，取消勾选Validate the IPv4 checkum if possible

常见的Warn事件：

1.含Readdembly字样的几种子事件：未抓到重组的数据包
2.与TCP窗口有关的两种子事件（含window字样的子事件）：存在TCP zero window ,TCP window full等问 题，都是建立连接设备忙不过来所致
3.与TCP报文段丢失或失序有关的三种子事件（含segment字样）：TCP报文丢失由于未抓全所有的TCP报文段，TCP报文段失序是因为感知到TCP报文段未按发送顺序接收，一般都是由网络故障引发

常见的Notes事件：

1.TCP重传，重复确认，快速重传（含retransmissions,fast retransmission, duplicate ack）:预示着网速慢，丢包或主机忙不过来
2.TCP keep-live（含keep-live）:预示TCP或基于TCP应用程序问题
3.IP数据包生存时间（time to live）：预示路由问题