Description
tcp.flags 说明
tcp.flags 说明
在Wireshark的过滤器中,tcp.flags可以用于过滤各种TCP标志位。它包含以下项目:
-
SYN: 标志位SYN=1,用于TCP三次握手中的 SYN 数据包,请求建立连接
-
ACK: 标志位ACK=1,确认接收到的数据
-
FIN: 标志位FIN=1,请求关闭连接
-
RST: 标志位RST=1,重置连接
-
PSH: 标志位PSH=1,接收方应立即传送此报文的数据,而不等待其他数据
-
URG: 标志位URG=1,此报文包含紧急数据
-
ECE: ECN Echo, 标志位ECE=1,回复ECN设置的通知
-
CWR: Congestion Window Reduced,标志位CWR=1,通知发送方拥塞窗口已经减少
这些标志位可以单独使用,也可以组合使用。例如:
-
SYN+ACK: 服务端响应的SYN+ACK数据包,同意建立连接并确认SYN
-
FIN+ACK: 确认对端的FIN的数据包,同时自身也请求关闭连接
在Wireshark的过滤器中,可以使用这些标志位进行过滤,例如:- SYN 过滤SYN数据包
-
ACK 过滤ACK数据包
-
FIN 过滤FIN数据包
-
RST 过滤RST数据包
-
tcp.flags.syn==1 过滤SYN标志位为1的数据包
-
tcp.flags.syn== && tcp.flags.ack==1 过滤同时包含SYN和ACK标志位的数据包
通过过滤不同的标志位或标志位组合,可以分析出TCP连接的握手、数据传输和释放过程。当然,除了这些标志位外,过滤器中 tcp 还包含其他字段,例如:- srcport 源端口
\- dstport 目标端口
\- seq 序列号
\- ack 确认号
\- window_size 窗口大小
\- payload:可以过滤包含特定数据的包
\- 等等
blog link tcp.flags 说明