Wireshark的专家模式

-------------------------------本文作为留档文章已备查看-----------------------------------

　　Wireshark的每个协议的解析器（原始数据与Wireshark软件之间的翻译器）都有一些专家信息，可以让你得到使用这个协议的数据包中的一些特定状态的警告。这些状态可以分为四类：

　　　　1.对话： 关于正常通信的基本信息

　　　　2.注意：正常通信时的异常数据包

　　　　3.警告：不是正常通信中的异常数据包（个人理解为：非正常的通信产生的数据包）

　　　　4.错误：数据包中的错误，或者解析器解析时的错误

　　这四种状态在如下的专家模式（Analyze-->Expert Info Composite）的窗口中：

-------------------------------------------------------分割线------------------------------------------------------------

TCP的14种专家模式：

　　1.对话消息（Chat）：

　　　　窗口更新（window update）：由接收者发送，用来通知发送者TCP接收窗口的大小已经发生变化。

　　2.注意消息(Note)：

　　　　TCP重传（retransmission）：数据包丢失的结果。发生在收到重传的ACK,或者数据包的重传计时器超时的时候。

　　　　重复ACK（Duplicate ACK ）：当一台主机没有收到下一个期望序列号的数据包时，会生成最近一次收到的数据的重复ACK。

　　　　零窗口探查：在一个零窗口包被发送出去后，用来监视TCP接收窗口的状态。

　　　　

　　　　保活ACK(ACK to Tcp keep-alive)：用来响应保活数据包

　　　　零窗口探查ACK：用来响应零窗口探查数据包。

　　　　窗口已满：用来通知传输主机接受者的TCP窗口已满。

　　3.警告信息(Warn):

　　　　上一段丢失：指明数据包丢失。发生在当数据流中一个期望序列号被跳过时。

　　　　收到丢失数据包的ACK：发生在当一个数据包被确认丢失但在之后收到了这个已经被确认丢失的数据包的ACK数据包。

　　　　

　　　　保活：当一个连接的保活数据出现时触发。

　　

　　　　零窗口：当接收方已经达到TCP接收窗口大小时，发出一个零窗口通知，要求发送方停止传输数据。

　　　　

　　　　乱序：当数据包被乱序接收时，会利用序列号进行检测。

　　　　快速重传输：一次重传会在收到一个重复ACK的20毫秒内进行。

　　4.错误信息(Error)：

　　　　无错误信息　　

参考资料：

　　1.Wireshark数据包分析实战（第二版） Chris Sanders 著    诸葛建伟 陈霖 许伟林 译

----------------------------------------------------------------------------------------------------

----------------------------------以上内容如若有误，欢迎指正------------------------------------

----------------------------------------------------------------------------------------------------