https://wiki.frotmail.nl/index.php?action=history&feed=atom&title=WiresharkWireshark - Revision history2026-06-15T08:21:36ZRevision history for this page on the wikiMediaWiki 1.45.3https://wiki.frotmail.nl/index.php?title=Wireshark&diff=108&oldid=prevEric: Created page with "=Hoe herken je waar een capture is gemaakt= ==Lokaal of via een span poort?== Of een sessie lokaal is vastgelegd of via een spanpoort binnen is gekomen kan relevant zijn bij het interpreteren van een dump file. Checksum errors (wegens offloading) bijvoorbeeld zijn heel normaal bij een lokale dump maar niet te verwachten uit een spanpoort. Kleinste ethernet pakket = 64 bytes Als het pakket kleiner is wordt dit door de NIC aangevult (padding) FSC wordt door wireshark..."2022-04-05T09:47:21Z<p>Created page with "=Hoe herken je waar een capture is gemaakt= ==Lokaal of via een span poort?== Of een sessie lokaal is vastgelegd of via een spanpoort binnen is gekomen kan relevant zijn bij het interpreteren van een dump file. Checksum errors (wegens offloading) bijvoorbeeld zijn heel normaal bij een lokale dump maar niet te verwachten uit een spanpoort. Kleinste ethernet pakket = 64 bytes Als het pakket kleiner is wordt dit door de NIC aangevult (padding) FSC wordt door wireshark..."</p>
<p><b>New page</b></p><div>=Hoe herken je waar een capture is gemaakt=<br />
==Lokaal of via een span poort?==<br />
Of een sessie lokaal is vastgelegd of via een spanpoort binnen is gekomen kan relevant zijn bij het interpreteren van een dump file.<br />
Checksum errors (wegens offloading) bijvoorbeeld zijn heel normaal bij een lokale dump maar niet te verwachten uit een spanpoort.<br />
<br />
Kleinste ethernet pakket = 64 bytes<br />
<br />
Als het pakket kleiner is wordt dit door de NIC aangevult (padding)<br />
<br />
FSC wordt door wireshark niet altijd weergegeven: 4 bytes<br />
Kleinste pakket in wireshark is dus: 60 bytes<br />
<br />
Zie je een pakket dat kleiner is? Dan is het een lokaal packet en is deze nooit op de wire geweest. Dus een dump vanuit wireshark op het systeem.<br />
<br />
==Bij de Client of Server?==<br />
Het kan belangrijk zijn om vast te stellen waar een capture is gemaakt. Bij timing/performance issues bijvoorbeeld.<br />
<br />
Aan de three-way-handshake van een TCP sessie kunnen we 2 dingen aflezen:<br />
* Waar de capture is gemaakt<br />
* Wat de RTT (Round Trip Time) is<br />
<br />
Neem de volgende handshake:<br />
* 1) De client stuurt een SYN<br />
* 2) Server stuurt een SYN ACK<br />
* 3) Client stuurt een ACK<br />
<br />
In de capture zal waarschijnlijk tussen 1 en 2 OF tussen 2 en 3 een minimale delay zitten ( < 0.0001 ).<br />
De server stuurt zijn SYN ACK vrijwel direct nadat hij de SYN krijgt, en de client stuurt zijn ACK ook vrijwel direct nadat de SYN ACK binnen komt.<br />
<br />
* Zit er dus geen delay tussen 1 en 2 is de dump gemaakt aan de server kant. De RTT is dan het verschil tussen 2 en 3.<br />
* Zit er geen delay tussen 2 en 3 dan is de dump gemaakt aan de client kant. De RTT is dan het verschil tussen 1 en 2.<br />
<br />
=Zoeken=<br />
tcp.flag.syn -> het veld bestaat in het pakket (zegt niets over de inhoud van dit veld)<br />
tcp.flag.syn == 1 -> check ook de waarde<br />
ip.addr != 192.168.1.1 -> er is EEN veld dat niet deze waarde heeft<br />
!ip.addr == 192.168.1.1 -> er mag GEEN veld zijn met deze waarde</div>Eric