【转】Wireshark网络抓包(一)——数据包、着色规则和提示
转自:https://www.cnblogs.com/strick/p/6261463.html
一、数据包详细信息
Packet Details面板内容如下,主要用于分析封包的详细信息。
帧:物理层、链路层
包:网络层
段:传输层、应用层
1)Frame
物理层数据帧概况
2)Ethernet II
数据链路层以太网帧头部信息
3)Internet Protocol Version 4
互联网层IP包头部信息
IP包头:
4)Transmission Control Protocol
传输层数据段头部信息,此处是TCP协议
TCP包头:
5)Hypertext Transfer Protocol
应用层信息,此处是HTTP协议
二、着色规则
Wireshark默认有一组着色规则,可以在Packet Details面板中展开包的帧部分,查看着色规则。
在View | Coloring Rules中,打开着色规则窗口,可以自己创建、删除、选中、去除。
三、Wireshark提示
1)Packet size limited during capture
说明被标记的那个包没有抓全。一般是由抓包方式引起,有些操作系统中默认只抓每个帧的前96个字节。
4号包全长171字节,但只有96字节被抓到。
2)TCP Previous segment not captured
如果Wireshark发现后一个包的Seq大于Seq+Len,就知道中间缺失了一段。
如果缺失的那段在整个网络包中找不到(排除了乱序),就会提示。
6号包的Seq是1449大于5号包的Seq+Len=1+1=1,说明中间有个1448字节的包没被抓到,就是“Seq=1,Len=1448”。
3)TCP ACKed unseen segment
当Wireshark发现被Ack的那个包没被抓到,就会提示。
32号包的Seq+Len=6889+1448=8337,说明下一个包Seq=8337。
而我们看到的是35号包的Seq=11233,意味着8337~11232这段数据没抓到。
4)TCP Out-of-Order
当Wireshark发现后一个包的Seq号小于前一个包的Seq+Len时,就会认为乱序,发出提示。
3362号包的Seq小于3360包的Seq,所以就是乱序。
5)TCP Dup ACK
当乱序或丢包发生时,接收方会收到一些Seq号比期望值大的包。没收到一个这种包就会Ack一次期望的Seq值,提现发送方。
7号包期望的下一个Seq=30763,但8号包Seq=32223,说明Seq=30763包丢失,9号包发了Ack=30763,表示“我要的是Seq=30763”。
10号、12号、14号也都是大于30763的,因此没收到一个就回复一次Ack。
6)TCP Fast Retransmission
当发送方收到3个或以上的【TCP Dup ACK】,就意识到之前发的包可能丢了,于是快速重传它。
7)TCP Retransmission
如果一个包真的丢了,又没有后续包可以在接收方触发【Dup Ack】就不会快速重传。
这种情况下发送方只好等到超时了再重传。
1053号包发出后,一直没有等到相应的Ack,只能在100多毫秒之后重传了。
8)TCP zerowindow
包种的“win”代表接收窗口的大小,当Wireshark在一个包中发现“win=0”时,就会发提示。
9)TCP window Full
此提示表示这个包的发送方已经把对方所声明的接收窗口耗尽了。
当Wireshark计算出Middle East已经有65535字节未被确认,就会发出此提示。
【TCP window Full】表示发送方暂时没办法再发送数据;
【TCP zerowindow】表示发送方暂时没办法再接收数据。
10)TCP segment of a reassembled PDU
Wireshark可以把属于同一个应用层的PDU的TCP包虚拟地集中起来。
TCP层收到上层大块报文后分解成段后发出去,主机响应一个查询或者命令时如果要回应很多数据(信息)而这些数据超出了TCP的最大MSS时,
主机会通过发送多个数据包来传送这些数据(注意:这些包并未被分片)。
11)Time-to-live exceeded(Fragment reassembly time exceeded)
表示这个包的发送方之前收到了一些分片,但由于某些原因迟迟无法组装起来。
参考资料:
Wireshark网络分析的艺术
Wireshark数据包分析实战详解
一站式学习Wireshark
wireshark怎么抓包、wireshark抓包详细图文教程
Wireshark入门教程及破解
Wireshark抓包iOS入门教程
【转】Wireshark网络抓包(一)——数据包、着色规则和提示相关推荐
- wireshark抓包红色_Wireshark网络抓包(一)——数据包、着色规则和提示
一.数据包详细信息 Packet Details面板内容如下,主要用于分析封包的详细信息. 帧:物理层.链路层 包:网络层 段:传输层.应用层 1)Frame 物理层数据帧概况 2)Ethernet ...
- Wireshark网络抓包(九)——为什么我的 Wireshark 抓不到/抓不全 HTTP 数据包
Wireshark 抓不到/抓不全 HTTP 数据包 目录 1. 前言 2. 简单分析 3. 具体过程 4. 相关测试 5. 总结 一.前言 ↶ 用 Wireshark 练习抓包,发现 ...
- Wireshark网络抓包(三)——网络协议
一.ARP协议 ARP(Address Resolution Protocol)地址解析协议,将IP地址解析成MAC地址. IP地址在OSI模型第三层,MAC地址在OSI第二层,彼此不直接通信: 在通 ...
- Wireshark学习笔记——如何快速抓取HTTP数据包
0.前言 在火狐浏览器和谷歌浏览器中可以非常方便的调试network(抓取HTTP数据包),但是在360系列浏览器(兼容模式或IE标准模式)中抓取HTTP数据包就不那么那么方便了.虽然也可使用Http ...
- Wireshark网络抓包实践
1. 网络抓包相关阅读 抓包工具Wireshark基本介绍和学习TCP三次握手 Wireshark网络抓包实践 HTTP代理神器Fidder 2. Wireshark 世界上最流行的网络协议分析器,抓 ...
- 【转】Wireshark网络抓包(三)——网络协议
转自:https://www.cnblogs.com/strick/p/6262284.html 一.ARP协议 ARP(Address Resolution Protocol)地址解析协议,将IP地 ...
- 为什么我的 Wireshark 抓不到/抓不全 HTTP 数据包 ?
扩展阅读: Mac 电脑, wireshark 很多 http 包抓不到! wireshark截不到http协议 参考链接: 配置Wireshark抓取https数据包 解密SSL Wireshark ...
- Wireshark网络抓包工具
Wireshark工具 1. Wireshark软件简介 2. Wireshark下载 3. Wireshark安装 4. 页面介绍 5. 常用功能介绍 5.1 网络接口选择 5.2 抓包规则设定 5 ...
- ubuntu 下 Wireshark网络抓包工具使用
Wireshark的原名是Ethereal,新名字是2006年起用的.当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件.但由于Ethereal这个名称的使用权已经被原来那个 ...
- Wireshark网络抓包实验
Wireshark网络抓包实验 首先通过ipconfig命令查得 本机IP:192.168.43.214 Wireshark对Ping命令抓包分析 实验步骤: 第一步,确定目标地址,选择www.bai ...
最新文章
- java 链表反转_LeetCode206 实现单链表的反转
- Oracle入门(十四G)之PL / SQL中检索数据
- LoadRunner常用术语
- ACdream区域赛指导赛之手速赛系列(2)
- 【三维深度学习】多视角立体视觉模型R-MVSNet
- mysql 大小端_go语言中大小端模式的个人理解
- Query DSL(2)----Full text queries
- JSP中常用的字体类型
- Deeping Learning学习与感悟——《深度学习工程师》_3
- LOL英雄联盟卡顿掉帧问题解决办法 2022年8月1日
- Python快速生成gif图
- 一群不想鸡娃的直男程序员,决定对一支笔下手了
- 块级、内联、内联块级
- 笔记本简单使用eNSP的云连接外网
- 高等数学(第七版)同济大学 习题12-7 个人解答
- 网易服务器修改权限等级,网易七鱼客服管理_七鱼客服管理人员权限设置_企业服务汇...
- Java算法:华为机试算法(下),华为算法Java版,牛客网华为算法73~108题
- 【设计模式】建造者模式:你创建对象的方式有它丝滑吗?
- ICT(计算机通信电子自动化等)专业区别和联系
- centos的yum源网络代理设置