Wireshark在菜单项“Analyze”下有一个名为“follow tcp stream”的功能。
当我使用它时,会生成一个屏幕截图过滤器,如:
tcp.stream eq 1
这个指数来自哪里?
我在包含它的数据包中找不到任何字段......
答案 0 :(得分:11)
流索引是内部Wireshark映射到: [IP地址A,TCP端口A,IP地址B,TCP端口B]
相同tcp.stream值的所有数据包对于这些字段应具有相同的值(尽管src / dest将切换为A-> B和B-> A数据包)
请参阅Wireshark中的Statistics / Conversations / TCP选项卡以显示这些流的摘要
答案 1 :(得分:2)
流索引是Wireshark-internal。它只使用一个数字来唯一标识TCP流。