首页 > 其他分享 >wireshark初相识二

wireshark初相识二

时间:2022-08-22 19:37:14浏览次数:46  
标签:Protocol 相识 Frame bytes Time 20 frame wireshark

使用 Wireshark 选择需要抓包的网络方式,并设置过滤器条件,当有数据通信后即可抓到对应的数据包,这里将分析其每一帧数据包的结构。

以HTTP协议为例,一帧数据包一般包括以下几个部分:

  • Frame:物理层的数据帧情况。
  • Ethernet II :数据链路层以太网帧头部信息。
  • Internet Protocol Version 4:以太网协议层。
  • Transmission Control Protocol:传输控制协议。
  • HyperText Transfer Protocol:超文本传输协议。

对于各种协议而言,前三层基本一样,第四层开始就可以出现TCP, UDP 协议,第五层就有HTTP 应用层协议等。

第一层:Frame:(物理层)

复制代码
 1 // 第8056帧,有507个字节在线,共4056位,实际在接口0上捕获到507个字节
 2 Frame 8056: 507 bytes on wire (4056 bits), 507 bytes captured (4056 bits) on interface 0
 3     // 接口ID:0
 4     Interface id: 0 (\Device\NPF_{7920DB7B-B8DB-417F-8C85-72E6DCCD61C5}) 
 5     // 封装类型
 6     Encapsulation type: Ethernet (1) 
 7     // 到达时间
 8     Arrival Time: Aug  8, 2019 15:45:00.750794000 中国标准时间       
 9     // 包偏移量
10     [Time shift for this packet: 0.000000000 seconds]
11     // 新纪元时间
12     Epoch Time: 1565250300.750794000 seconds
13     // 两帧之间的时间间隔
14     [Time delta from previous captured frame: 0.000326000 seconds]
15     // 捕获到显示的时间间隔
16     [Time delta from previous displayed frame: 0.126423000 seconds]
17     // 此帧与第一帧的时间间隔
18     [Time since reference or first frame: 197.144051000 seconds]
19     // 帧号
20     Frame Number: 8056
21     // 帧长度
22     Frame Length: 507 bytes (4056 bits)
23     // 捕获的帧长度
24     Capture Length: 507 bytes (4056 bits)
25     // 帧是否标记
26     [Frame is marked: False]
27     // 帧是否忽略
28     [Frame is ignored: False]
29     // 帧内封装的协议层次结构
30     [Protocols in frame: eth:ethertype:ip:tcp:http]
31     // 着色标记的协议
32     [Coloring Rule Name: HTTP]
33     // 着色规则显示的字符串
34     [Coloring Rule String: http || tcp.port == 80 || http2]
复制代码

第二层:Ethernet II (数据链路层以太网帧头部信息)

复制代码
1 // 源MAC地址:TexasIns_ce:a9:4b (68:c9:0b:ce:a9:4b)  
2 // 目标MAC地址:AplexTec_0d:4e (40:d8:55:16:ad:4e)
3 Ethernet II, Src: AsustekC_4d:bc:f2 (70:8b:cd:4d:bc:f2), Dst: Hangzhou_91:be:b8 (d4:61:fe:91:be:b8)
4     // 目标MAC地址
5     Destination: Hangzhou_91:be:b8 (d4:61:fe:91:be:b8)
6     // 源MAC地址
7     Source: AsustekC_4d:bc:f2 (70:8b:cd:4d:bc:f2)
8     // IP类型
9     Type: IPv4 (0x0800)
复制代码

 第三层:Internet Protocol Version 4(以太网协议层)

复制代码
 1 // IPv4 协议,源IP:192.168.1.50, 目的IP:111.202.102.36
 2 Internet Protocol Version 4, Src: 192.168.1.50, Dst: 111.202.102.36
 3     // 版本4
 4     0100 .... = Version: 4
 5     // 头长度20字节
 6     .... 0101 = Header Length: 20 bytes (5)
 7     // 差分服务字段
 8     Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
 9     // 总长度
10     Total Length: 493
11     // 鉴别
12     Identification: 0x90c2 (37058)
13     // 标志
14     Flags: 0x4000, Don't fragment
15     // 生存期
16     Time to live: 64
17     // 协议名称
18     Protocol: TCP (6)
19     // 头部校验和
20     Header checksum: 0x0000 [validation disabled]
21     // 头部校验和检测状态
22     [Header checksum status: Unverified]
23     // 源IP
24     Source: 192.168.1.50
25     // 目标IP
26     Destination: 111.202.102.36
复制代码

第四层:Transmission Control Protocol(传输控制协议)

复制代码
 1 // 传输控制协议,源端口:4434,目标端口:80,序号1,确认号:1,长度:453
 2 Transmission Control Protocol, Src Port: 4434, Dst Port: 80, Seq: 1, Ack: 1, Len: 453
 3     // 源端口:4434
 4     Source Port: 4434
 5     // 目标端口:80
 6     Destination Port: 80
 7     // 流索引
 8     [Stream index: 105]
 9     // TCP段长度
10     [TCP Segment Len: 453]
11     // 序号
12     Sequence number: 1    (relative sequence number)
13     // 下一个序号
14     [Next sequence number: 454    (relative sequence number)]
15     // 确认号
16     Acknowledgment number: 1    (relative ack number)
17     // 头部长度
18     0101 .... = Header Length: 20 bytes (5)
19     // 标记
20     Flags: 0x018 (PSH, ACK)
21     // 窗口大小
22     Window size value: 32768
23     // 计算窗口大小
24     [Calculated window size: 262144]
25     // 窗口大小乘积因子
26     [Window size scaling factor: 8]
27     // 校验和
28     Checksum: 0x99a8 [unverified]
29     // 校验和监测状态
30     [Checksum Status: Unverified]
31     // 紧急指针
32     Urgent pointer: 0
33     [SEQ/ACK analysis]
34     [Timestamps]
35     // TCP负载
36     TCP payload (453 bytes)
复制代码

第五层:HyperText Transfer Protocol(超文本传输协议)

复制代码
 1 // 超文本传输协议(HTML)
 2 Hypertext Transfer Protocol
 3     // POST请求
 4     POST /q HTTP/1.1\r\n
 5     // 缓存控制
 6     Cache-Control: no-cache\r\n
 7     // 连接类型
 8     Connection: Keep-Alive\r\n
 9     // 编辑注解
10     Pragma: no-cache\r\n
11     // 用户代理
12     User-Agent: SESC\r\n
13     // 内容长度
14     Content-Length: 719\r\n
15         [Content length: 719]
16     // 主机
17     Host: get.sogou.com\r\n
18     \r\n
19     // 完整请求地址
20     [Full request URI: http://get.sogou.com/q]
21     [HTTP request 47/57]
22     // 前一请求所在帧
23     [Prev request in frame: 5904]
24     // 响应帧
25     [Response in frame: 5910]
26     // 下一请求帧
27     [Next request in frame: 5912]
28     // 文件数据
29     File Data: 719 bytes
30     // 数据
31     Data (719 bytes)
复制代码

HTTP协议的内容根据请求情况会有所不同,需要具体情况具体分析。

标签:Protocol,相识,Frame,bytes,Time,20,frame,wireshark
From: https://www.cnblogs.com/lovezhr/p/16613965.html

相关文章

  • wireshark 11111111111111111
     wireshark抓包过滤器语法及示例=====================================================================BPF语法(BerkeleyPacketFilter),基于libpcap/wincap库语句......
  • wireshark故障解决案例分享
    wireshark常见使用操作讲解以及几个故障解决案例分享系统集成项目专家阿祥 2022-06-1310:26 发表于河南 以下文章来源于网络之路博客 ,作者网络之路作者一天......
  • Wireshark使用教程举例
    入门小站 入门小站 2022-07-0422:11 发表于#Linux485#wireshark3Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测......
  • 抓包工具的一些功能wireshark
    最近在学习一些中间件的时候,想看下系统发出去的包.所以就安装了whireShark工具.还记得最早使用wireShark的时候是研究生的一个暑假里,用的,那时候啥也不会,却不自知.最......