标签:显示 frame delta displayed 过滤 time
简介
Wireshark 显示过滤器中有很多 time 相关的过滤表达式,譬如一般常看到的 frame.time 字段代表帧被捕获的绝对时间,以及一些用于分析关联数据包之间时间的字段,像是本文计划讲到的 frame.time_delta 、 frame.time_delta_displayed ,包括还有 RTT 相关、 tcp.time 、 http.time 、 dns.time 等等功能强大的字段。如果能好好掌握并运用上述时间字段的功能,对于网络数据包协议分析将会有极大的帮助。
本文简单讲解下最常用到的 frame.time_delta 和 frame.time_delta_displayed 字段。
frame.time
Absolute time when this frame was captured,帧被捕获的绝对时间。
frame.time_delta
Time delta from previous captured frame,相较于上一个捕获帧的时间增量。
frame.time_delta_displayed
Time delta from previous displayed frame,相较于上一个显示帧的时间增量。
以上时间单位均为 s 秒。
原理
一图胜千言
Time Delta 列为自选添加,字段即为
frame.time_delta_displayed。
frame.time
可以简单认为就是 Time 列中的时间(注:只是时间显示格式的不同),实际字段显示见下
frame.time_delta
拿帧 2 为例,和帧 1 (相对于帧2,为上一个捕获帧)的时间增量值为 0.000963327 s。
frame.time_delta_displayed
如果仍拿上图的帧 2为例,和帧 1 (相对于帧2,为上一个显示帧)的时间增量值同样也为 0.000963327 s。
那么该值在什么情况下会不一样呢?就体现在 displayed 上,如果应用显示过滤器,譬如过滤源 ip 为 192.168.0.1 的情况下,显示过滤后的帧仅有帧 1 和 帧 3 ,如下图。
那么在帧 3 的数据包细节中,frame.time_delta_displayed 即和帧 1 (相对于帧3,为上一个显示帧)的值为 0.003788956 s。而 frame.time_delta 即和帧 2 (此处因过滤显示的原因隐藏,但实际存在,所以相对于帧 3,仍为上一个捕获帧)的值为 0.002825629 s。
扩展
以上为 frame.time_delta 和 frame.time_delta_displayed 字段最基本的解释,可以结合包括 is present、==、!=、>、<、>=、<=、in 等关系表达式进行各种显示过滤。
而对于排查网络缓慢问题时,对于高增量时间的判断一般会用到 >、<、>=、<=。在其中特别想提到的就是 frame.time_delta > 0.01 可成功过滤,而 frame.time_delta_displayed > 0.01 是无法正常过滤的,这是什么问题???
这也是本文的由来,重点想表达的地方。
frame.time_delta
frame.time_delta_displayed
为什么帧 3 的 frame.time_delta_displayed 值为 0.0028256296 s ,但却无法成功过滤出来。
解答
仔细查看帧 1, frame.time_delta_displayed 显示为 0,不匹配,因此被过滤掉未显示。现在是帧 2,由于帧 1 未显示,因此 frame.time_delta_displayed 也显示为 0,不匹配,因此被过滤掉未显示。然后是帧 3 … 无限套娃 。
明白了嘛?仔细体会下 disaplayed 的含义。
那么,有人问非要用 frame.time_delta_displayed > xxx 过滤行不行,嗯,也行,必须通过显示帧 1 来开始工作,例如使用显示过滤器 frame.number == 1 || frame.time_delta_displayed > xxx 。
标签:显示,frame,delta,displayed,过滤,time 来源: https://blog.csdn.net/weixin_47627078/article/details/120618024
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。