wireshark常用過濾命令3

wireshark 是乙個很常見的網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包，並盡可能顯示出最為詳細的網路封包資料。

在實際工作中，經常需要使用它進行報文的分析工作，wireshark即可以在windows環境下進行抓包，更多的是將在linux環境下通過tcpdump等抓包工具抓取到的資料報文進行分析，畢竟在windows環境下執行的wireshark在報文的可讀性上還是有非常大的優勢的。

具體在linux環境下使用tcpdump命令的用法大家可以看我之前寫的tcpdump命令說明，這裡就不再贅述，這裡主要介紹一下wireshark報文分析的心得。

在網路鏈路中，乙個資料報的傳送經常會經過多個節點，那麼在不同節點抓到報文後，如何確定目前檢視的這個報文是否是從源端發過來，問題復現的那段報文；

或者資料流量比較大，同時刻的報文數量很多，已經無法根據時間來確認具體的報文是哪一條時，又需要確定具體的報文情況時，就需要用到這個字段：identification。

在wireshark中，該字段被書定義為ip.id。

該欄位可以理解成報文的唯一識別符號，用來標記報文的唯一性，尤其是在該報文經過了各種nat**後，該值是不會發生改變的。

在報文分析中我們往往是通過這個值進行確認報文的唯一性的。當然這個值並不是永不重複，在報文量特別大的情況下，該id是可能發生重複的，不過幾率較小，配合報文的時間戳進行雙向確認，基本可以明確報文的唯一性。

來看看wireshark官網是如何描述該字段的。

一般為了分析方便，需要把該字段應用成列，預設的wireshark是沒有該列的，我們需要把該字段值應用成列。具體操作步驟如下：

找到對應的字段值，選中

右鍵選擇應用為列：

可以看到該列已經出現了上方：

使用該字段值進行過濾篩選：

希望上述描寫會對報文分析有所幫助，後面我會整理一下，使用wireshark時分析報文時延的一些使用心得。