Wireshark数据包分析
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。
为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。
wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark.
随便打开一个包
- Frame:物理层的数据帧概况。
- Ethernet II:数据链路层以太网帧头部信息。
- Internet Protocol Version 4:互联网层IP包头部信息。
- Transmission Control Protocol:传输层的数据段头部信息,此处是TCP协议。
User Datagram Protocol:UDP协议 - Hypertext Transfer Protocol:应用层的信息,此处是HTTP协议
各层分析
一、物理层Frame
-Frame 5: 66 bytes on wire (528 bits), 66 bytes captured(捕获) (528 bits) on interface 0 //5号帧,对方发送66字节,实际收到66字节
-Interface id: 0 (\Device\NPF_{37239901-4A63-419C-9693-97957A8232CD}) //接口id为0
-Encapsulation type: Ethernet (1) //封装类型
-Arrival Time: Jul 5, 2017 15:14:31.865685000 //捕获日期和时间(中国标准时间)
-[Time shift for this packet: 0.000000000 seconds]
-Epoch Time: 1499238871.865685000 seconds
-[Time delta from previous captured frame: 0.006861000 seconds] //与前一包时间间隔
-[Time delta from previous displayed frame: 0.006861000 seconds]
-[Time since reference or first frame: 0.613985000 seconds] //#此包与第一帧的时间间隔
-Frame Number: 5 //帧序号
-Frame Length: 66 bytes (528 bits) //帧长度
-Capture Length: 66 bytes (528 bits) //捕获字节长度
-[Frame is marked: False] //是否做了标记
-[Frame is ignored: False] //是否被忽略
-[Protocols in frame: eth:ethertype:ip:tcp] //帧内封装的协议层次结构
-[Coloring Rule Name: HTTP] //着色标记的协议名称
-[Coloring Rule String: http || tcp.port == 80 || http2] //着色规则显示的字符串
二、数据链路层以太网帧头部信息
-Ethernet II, Src: Tp-LinkT_f5:3e:62 (c0:61:18:f5:3e:62), Dst: IntelCor_09:65:a5 (58:fb:84:09:65:a5)
- Destination: IntelCor_09:65:a5 (58:fb:84:09:65:a5) //目的MAC地址
- Source: Tp-LinkT_f5:3e:62 (c0:61:18:f5:3e:62) //源MAC地址(就是我电脑的MAC地址)
- Type: IPv4 (0x0800) //0x0800表示使用IP协议
三、互联网层IP包头部信息
Internet Protocol Version 4, Src: 192.168.2.112, Dst: 116.211.185.1420100 .... = Version: 4 //IPV4协议.... 0101 = Header Length: 20 bytes (5) //包头长度-Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT) //差分服务字段
-Total Length: 52 //IP包总长度
-Identification: 0x3849 (14409) //标识字段
-Flags: 0x02 (Don't Fragment) //标记字段
-Fragment offset: 0 //分段偏移量
-Time to live: 128 //生存期TTL
-Protocol: TCP (6) //此包内封装的上层协议为TCP
-Header checksum: 0xd100 [validation disabled] //头部数据的校验和
-[Header checksum status: Unverified] //头部数据校验状态
-Source: 192.168.2.112 //源IP地址
-Destination: 116.211.185.142 //目的IP地址
-[Source GeoIP: Unknown] //基于地理位置的IP
-[Destination GeoIP: Unknown]
四、传输层TCP数据段头部信息
Transmission Control Protocol, Src Port: 60606, Dst Port: 80, Seq: 0, Len: 0-Source Port: 60606 //源端口号(ecbe)
-Destination Port: 80 //目的端口号(0050)
-[Stream index: 0]
-[TCP Segment Len: 0]
-Sequence number: 0 (relative sequence number) //序列号(相对序列号)(四个字节fd 3e dd a2)
-Acknowledgment number: 0 //确认号(四个字节00 00 00 00)
-Header Length: 32 bytes //头部长度(0x80)
-Flags: 0x002 (SYN) //TCP标记字段
-Window size value: 8192 //流量控制的窗口大小(20 00)
-[Calculated window size: 8192]
-Checksum: 0x97ad [unverified] //数据段的校验和(97 ad)
-[Checksum Status: Unverified]
-Urgent pointer: 0 //紧急指针(00 00)
-Options: (12 bytes), Maximum segment size, No-Operation (NOP), Window scale, No-Operation (NOP), No-Operation (NOP), SACK permitted //选项(可变长度
五、UDP数据段首部
User Datagram Protocol, Src Port: 7273, Dst Port: 15030
-Source Port: 7273 //源端口(1c 69)
-Destination Port: 15030 //目的端口(3a 6b)
-Length: 1410 //长度(05 82)
-Checksum: 0xd729 [unverified] //校验和(d7 29)
-[Checksum Status: Unverified]
-[Stream index: 6335]
参考博客:https://my.oschina.net/u/1585857/blog/479306
Wireshark的常见几种过滤方法
Wireshark数据包分析相关推荐
- WireShark数据包分析数据封装
WireShark数据包分析数据封装 数据封装(Data Encapsulation)是指将协议数据单元(PDU)封装在一组协议头和尾中的过程.在OSI七层参考模型中,每层主要负责与其它机器上的对等层 ...
- 《Wireshark数据包分析实战(第2版)》目录—导读
版权声明 Wireshark数据包分析实战(第2版) Copyright © 2011 by Chris Sanders. Title of English-language original:Pra ...
- Wireshark数据包分析(详细解析)
wireshark数据包分析 Wireshark(前称Ethereal)是一个网络封包分析软件.网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料.Wireshark使用Win ...
- [网络安全课程实验]:WireShark数据包分析
目录 实验:WireShark数据包分析 一.实验目的 二.实验环境 三.实验内容与实验要求 四.实验过程与分析 TCP三次握手 第一次握手 第二次握手 第三次握手 UDP 五.实验结果总结 实验:W ...
- Wireshark数据包分析(一)——使用入门
Wireshark简介: Wireshark是一款最流行和强大的开源数据包抓包与分析工具,没有之一.在SecTools安全社区里颇受欢迎,曾一度超越Metasploit.Nessus.Aircrack ...
- Wireshark数据包分析——Teardrop泪滴攻击
本文仅做数据包学习使用! 一.泪滴攻击原理 Teardrop攻击是一种拒绝服务攻击,是一种针对IP协议的攻击方法,顾名思义,Teardrop攻击是一种令人落泪的攻击手段,可见其破坏威力很强大.它利用发 ...
- Wireshark数据包分析——Slammer蠕虫攻击
本文仅做数据包学习使用! 一.Slammer蠕虫概述 SQL Slammer (2003年) Slammer 是一款DDOS恶意程序, 透过一种全新的传染途径, 采取分布式阻断服务攻击感染服务器, 它 ...
- Wireshark数据包分析之DHCP协议包解读
*此篇博客仅作为个人笔记和学习参考 DHCP协议包格式 DHCP报文类型 DHCP Discover.DHCP Offer.DHCP Request.DHCP ACK.DHCP NAK.DHCP Re ...
- 读书笔记 1.数据包分析技术与网络基础 Wireshark数据包分析实战 第3版
1.数据包分析技术与网络基础 1.2.1 协议 发起连接 :是由客户端还是服务器发起连接?在真正通信之前必须要交换哪些信息? 协商连接参数 :通信需要进行协议加密吗?加密密钥如何在通信双方进行传输? ...
- wireshark数据包分析实战 第三、四章
1,wireshark支持的协议上千种,开源的. 2,wireshark需要winpcap驱动支持.winpcap驱动的作用通过操作系统捕捉原始数据包.应用过滤器.将网卡切换为混杂模式. 3,捕获文件 ...
最新文章
- iPad mini时隔四年更新,搭载A12芯片,起售价2999
- 设计模式学习笔记二:简单工厂模式
- linux下mysql的基本用法
- python封装的好处_Python之浅谈多态和封装
- Oracle 表及表空间(一)
- Unknown SSL protocol error in connection to xxx:443
- 【最简便解法】1066 图像过滤 (15分)
- java 不显示控制台_命令行启动java程序不显示控制台窗口
- 一键拼接所有微信好友头像
- uniapp 地址栏选择,获取地址,地址编码
- 哔哩哔哩2018校招前端笔试
- java ee 7精粹_Java EE 7精粹 ([美]Arun Gupta) 中文pdf扫描版[68MB]
- HDU 6148 Valley Numer (数位DP)题解
- c语言勾股数编程,C++勾股数公式讲解
- LED大屏实现“人屏”互动的方式有哪些?
- 台灣人如何在大陸工作
- Unraid6.9.1开心版安装
- So easy!非技术人员也能学会的土狗防骗技巧!
- Vue3 - props
- 产品:《人人都是产品经理》读书笔记