Wireshark - 1.0 Betriebsanweisung

The expert infos is a kind of log of the anomalies found by Wireshark in a capture file.

The general idea behind the following "Expert Info" is to have a better display of "uncommon" or
just notable network behaviour. This way, both novice and expert users will hopefully find probable
network problems a lot faster, compared to scanning the packet list "manually" .

Take expert infos as a hint what's worth looking at, but not more. For example: The
absence of expert infos doesn't necessarily mean everything is ok!

While some common protocols like TCP/IP will show detailed expert infos, most other
protocols currently won't show any expert infos at all.

The following will first describe the components of a single expert info, then the User Interface.

Each expert info will contain the following things which will be described in detail below:

1

Note

Sequence

TCP

Duplicate
ACK (#1)

2

Chat

Sequence

TCP

Connection
reset (RST)

8

Note

Sequence

TCP

Keep-Alive

9

Warn

Sequence

TCP

Fast retrans-
mission
(suspected)

Every expert info has a specific severity level. The following severity levels are used, in parentheses
are the colors in which the items will be marked in the GUI:

•

Chat (grey): information about usual workflow, e.g. a TCP packet with the SYN flag set

•

Note (cyan): notable things, e.g. an application returned an "usual" error code like HTTP 404

•

Warn (yellow): warning, e.g. application returned an "unusual" error code like a connection
problem

•

Error (red): serious problem, e.g. [Malformed Packet]

Advanced Topics

133