请问wireshark的Follow Tcp stream功能原理是？那个stream index怎么计算出来的？

timke212004 2011-12-15 12:47:48

如题。
我个人的考虑是，follow tcp stream是依靠tcp数据包的32位序号得出来stream index，然后依据这个进行follow，但是具体怎么来的，却想不通，数据进行转换，可是还是不知所以然，求高手指点。

...全文

12651 8 打赏收藏转发到动态举报

写回复

8 条回复

切换为时间正序

请发表友善的回复…

发表回复

ruanben 2014-06-30

打赏
举报

回复

2#，Statistics/Conversations/TCP Statistics/Conversations/endpoints/tcp 可以看到这些索引号对应的数据流这些是什么意思？？？怎么看？？

风一样的逗比 2014-04-12

打赏
举报

回复

请问楼主现在知道什么原理了吗？我最近也在研究这个，有点想不明白

smiletolife2 2012-11-06

打赏
举报

回复

#2楼的解释很好

timke212004 2011-12-28

打赏
举报

回复

#2楼的解释很好，“对ip A port A和ip B port B的对应，加上src/dst的转换”，部分正确。对于udp来说没有问题，但是对于tcp而言，还要参考tcp报文的序号。再次感谢二位！

qintel 2011-12-22

打赏
举报

回复

#2楼解释更合理，就是对ip A port A和ip B port B的对应，加上src/dst的转换。

qintel 2011-12-22

打赏
举报

回复

the stream index is an internal Wireshark mapping to: [IP address A, TCP port A, IP address B, TCP port B]

All the packets for the same tcp.stream value should have the same values for these fields (though the src/dest will be switched for A->B and B->A packets)

see the Statistics/Conversations/TCP tab in Wireshark to show a summary of these streams

http://stackoverflow.com/questions/6076897/follow-tcp-stream-where-does-field-stream-index-come-from

Statistics/Conversations/TCP
Statistics/Conversations/endpoints/tcp
可以看到这些索引号对应的数据流

qintel 2011-12-22

打赏
举报

回复

没那么复杂，可能是根据src.ip src.port dst.ip dst.port，生成一个索引号，累加.

wireshark自带的follow tcp stream提取出的stream 数据没有时间戳等其他信息，在分析数据的延时和丢包问题时就有些力不从心了。这里简单用python实现了一个简单follow tcp stream功能，同时保留了tcp信息。

为什么wireshark有的地方显示的是乱码（https://blog.csdn.net/javajiawei/article/details/84329847）博文中用的几个报文

Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具，就好像使电工用来测量进入电信的电量的电度表一样。（当然比那个更高级）过去的此类工具要么是过于昂贵，要么是属于某人私有，或者是二者兼顾。 Wireshark出现以后，这种现状得以改变。 Wireshark可能算得上是今天能使用的最好的开元网络分析软件。目录：第 1 章介绍 4 1.1. 什么是Wireshark 4 1.1.1. 主要应用 4 1.1.2. 特性 4 1.1.3. 捕捉多种网络接口 5 1.1.4. 支持多种其它程序捕捉的文件 5 1.1.5. 支持多格式输出 5 1.1.6. 对多种协议解码提供支持 5 1.1.7. 开源软件 5 1.1.8. Wireshark不能做的事 5 1.2. 系通需求 5 1.2.1. 一般说明 6 1.2.2. Microsoft Windows 6 1.2.3. Unix/Linux 6 1.3. 从哪里可以得到Wireshark 6 1.4. Wiresahrk简史[6] 7 1.5. Wireshark开发维护 7 1.6. 汇报问题和获得帮助 7 1.6.1. 网站 7 1.6.2. 百科全书 7 1.6.3. FAQ 7 1.6.4. 邮件列表 8 1.6.5. 报告问题 8 1.6.6. 在UNIX/Linux平台追踪软件错误 8 1.6.7. 在Windows平台追踪软件错误 9 第 2 章编译/安装Wireshark 10 2.1. 须知 10 2.2. 获得源 10 2.3. 在UNIX下安装之前 10 2.4. 在UNIX下编译Wireshark 11 2.5. 在UNIX下安装二进制包 12 2.5.1. 在Linux或类似环境下安装RPM包 12 2.5.2. 在Debian环境下安装Deb包 12 2.5.3. 在Gentoo Linux环境下安装Portage 12 2.5.4. 在FreeBSD环境下安装包 12 2.6. 解决UNIX下安装过程中的问题 [10] 12 2.7. 在Windows下编译源 13 2.8. 在Windows下安装Wireshark 13 2.8.1. 安装Wireshark 13 2.8.2. 手动安装WinPcap 14 2.8.3. 更新Wireshark 14 2.8.4. 更新WinPcap 15 2.8.5. 卸载Wireshark 15 2.8.6. 卸载WinPcap 15 第 3 章用户界面 16 3.1. 须知 16 3.2. 启动Wireshark 16 3.3. 主窗口 16 3.3.1. 主窗口概述 17 3.4. 主菜单 17 3.5. "File"菜单 18 3.6. "Edit"菜单 19 3.7. "View"菜单 20 3.8. "Go"菜单 22 3.9. "Capture"菜单 23 3.10. "Analyze"菜单 24 3.11. "Statistics"菜单 25 3.12. "Help"菜单 27 3.13. "Main"工具栏 27 3.14. "Filter"工具栏 29 3.15. "Pcaket List"面板 29 3.16. "Packet Details"面板 30 3.17. "Packet Byte"面板 30 3.18. 状态栏 31 第 4 章实时捕捉数据包 32 4.1. 介绍 32 4.2. 准备工作 32 4.3. 开始捕捉 32 4.4. 捕捉接口对话框 32 4.5. 捕捉选项对话框 33 4.5.1. 捕捉桢 34 4.5.2. 捉数据帧为文件。 35 4.5.3. 停止捕捉桢 35 4.5.4. 显示桢选项 35 4.5.5. 名称解析设置 36 4.5.6. 按钮 36 4.6. 捕捉文件格式、模式设置 36 4.7. 链路层包头类型 37 4.8. 捕捉时过滤 37 4.8.1. 自动过滤远程通信 38 4.9. 在捕捉过程中 38 4.9.1. 停止捕捉 39 4.9.2. 重新启动捕捉 39 第 5 章文件输入／输出及打印 41 5.1. 说明 41 5.2. 打开捕捉文件 41 5.2.1. 打开捕捉文件对话框 41 5.2.2. 输入文件格式 42 5.3. 保存捕捉包 43 5.3.1. "save Capture File As

长话短说，wireshark有一个follow tcp stream功能，这个功能很方便。美中不足的是提取出的stream 数据没有时间戳等其他信息，在分析数据的延时和丢包问题时就有些力不从心了。这里简单用python实现了一个简单follow tcp stream功能，同时保留了tcp信息。原理很简单，仍然是基于wireshark，里面有一个Export packet dissection as...

长话短说，wireshark有一个follow tcp stream功能，这个功能很方便。美中不足的是提取出的stream 数据没有时间戳等其他信息，在分析数据的延时和丢包问题时就有些力不从心了。这里简单用python实现了一个简单follow tcp stream功能，同时保留了tcp信息。原理很简单，仍然是基于wireshark，里面有一个Export packet dissect

安全技术/病毒

9,506

社区成员

28,984

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章