Wiresshark

1.给特定报文标注特殊颜色

[View]>[Coloring Rules] 然后就可以设定标注规则和颜色啦.

2.wireshark中TCP索引解释

tcp.stream eq tcp streamindex
the stream index is an internal Wireshark mapping to: [IP address A, TCP port A, IP address B, TCP port B]
All the packets for the same tcp.stream value should have the same values for these fields (though the src/dest will be switched for A->B and B->A packets)
see the Statistics/Conversations/TCP tab in Wireshark to show a summary of these streams

3.各种统计项：
Conversations 基于节点间交互抓包统计。
Endpoints 基于节点的抓包统计。
Protocol Hierarchy 基于协议抓包统计。
Packet Lengths Stats Tree 基于包长的抓包统计。
IO Graphs 抓包统计图形，可以展示IO随时间变化。
Conversation List Conversations的几种常用统计，比Conversations效率高，因为它只要在某一层进行统计。
Endpoint List Endpoints的几种常用统计，比Endpoints效率高。
Service Response Time 统计多种协议的请求与相应时延。
Compare two capture files 用于统计一个由SP/MS抓包合并后的抓包。统计出两侧丢包数。
Expert Infos 异常信息统计。

4.过滤：
Display Filter Macros 可以将复杂过滤条件定义为代数式，使用时类似函数调用。

5.自定义列:
Preferences->User Interface->Columns 添加Custom类型的列里面可以指定该列显示元素。

6.导出功能：
wireshark可以导出不同层次内容，如导出选定报文。Http响应内容。

7.常见提示

tcp acked unseen segment
tcp 回复一个没有收到的分片，可能抓包有丢包

tcp previous segment not captured
tcp 的分片号并非预期，可能发生了乱序