wiresharkWord文件下载.docx

wiresharkWord文件下载.docx

《wiresharkWord文件下载.docx》由会员分享，可在线阅读，更多相关《wiresharkWord文件下载.docx（9页珍藏版）》请在冰豆网上搜索。

传输层的数据段头部信息，此处是TCP协议。

HypertextTransferProtocol：

应用层的信息，此处是HTTP协议。

∙

下面分别介绍下在图1.48中，帧、包和段内展开的内容。

如下所示：

（1）物理层的数据帧概况

Frame5:

268bytesonwire（2144bits）,268bytescaptured（2144bits）oninterface0 

#5号帧，线路268字节，实际捕获268字节

Interfaceid:

#接口id

Encapsulationtype:

Ethernet

（1）#封装类型

ArrivalTime:

Jun11,201505:

12:

18.469086000 

中国标准时间 

#捕获日期和时间

[Timeshiftforthispacket:

0.000000000seconds]

EpochTime:

1402449138.469086000seconds

[Timedeltafrompreviouscapturedframe:

0.025257000seconds] 

#此包与前一包的时间间隔

[Timesincereferenceorfirstframe:

0.537138000seconds] 

#此包与第一帧的时间间隔

FrameNumber:

5 

#帧序号

FrameLength:

268bytes（2144bits） 

#帧长度

CaptureLength:

#捕获长度

[Frameismarked:

False] 

#此帧是否做了标记：

否

[Frameisignored:

#此帧是否被忽略：

[Protocolsinframe:

eth:

ip:

tcp:

http] 

#帧内封装的协议层次结构

[Numberofper-protocol-data:

2] 

[HypertextTransferProtocol,key0]

[TransmissionControlProtocol,key0]

[ColoringRuleName:

HTTP] 

#着色标记的协议名称

[ColoringRuleString:

http||tcp.port==80] 

#着色规则显示的字符串

（2）数据链路层以太网帧头部信息

EthernetII,Src:

Giga-Byt_c8:

4c:

89（1c:

6f:

65:

c8:

89）,Dst:

Tp-LinkT_f9:

3c:

c0（6c:

e8:

73:

f9:

c0）

Destination:

#目标MAC地址

Source:

89） 

#源MAC地址

Type:

IP（0x0800）

（3）互联网层IP包头部信息

InternetProtocolVersion4,Src:

192.168.0.104（192.168.0.104）,Dst:

61.182.140.146（61.182.140.146）

Version:

4 

#互联网协议IPv4

Headerlength:

20bytes 

#IP包头部长度

DifferentiatedServicesField:

0x00（DSCP0x00:

Default;

ECN:

0x00:

Not-ECT（NotECN-CapableTransport））

#差分服务字段

TotalLength:

254 

#IP包的总长度

Identification:

0x5bb5（23477）

#标志字段

Flags:

0x02（Don'

tFragment） 

#标记字段

Fragmentoffset:

0 

#分的偏移量

Timetolive:

64

#生存期TTL

Protocol:

TCP（6） 

#此包内封装的上层协议为TCP

Headerchecksum:

0x52ec[validationdisabled] 

#头部数据的校验和

192.168.0.104（192.168.0.104） 

#源IP地址

61.182.140.146（61.182.140.146） 

#目标IP地址

（4）传输层TCP数据段头部信息

TransmissionControlProtocol,SrcPort:

51833（51833）,DstPort:

http（80）,Seq:

1,Ack:

1,Len:

214

Sourceport:

51833（51833） 

#源端口号

Destinationport:

http（80） 

#目标端口号

Sequencenumber:

1 

（relativesequencenumber） 

#序列号（相对序列号）

[Nextsequencenumber:

215 

（relativesequencenumber）] 

#下一个序列号

Acknowledgmentnumber:

（relativeacknumber） 

#确认序列号

#头部长度

0x018（PSH,ACK） 

#TCP标记字段

Windowsizevalue:

64800 

#流量控制的窗口大小

Checksum:

0x677e[validationdisabled] 

#TCP数据段的校验和

Wireshark分析数据包

在Wireshark中的数据包都可以称为是网络数据。

每个网络都有许多不同的应用程序和不同的网络涉及。

但是一些常见的包中，通常都会包括一些登录程序和网络浏览会话。

本节以访问Web浏览器为例将介绍分析网络数据的方法。

通常在访问Web服务器过程中，会涉及到DNS、TCP、HTTP三种协议。

由于此过程中来回发送的数据包较为复杂，所以下面将介绍分析Web浏览数据。

【实例1-3】分析访问Web浏览数据。

具体操作步骤如下所示：

（1）捕获访问网站的数据包，并保存该文件名为http-wireshar.pcapng。

本例中捕获的文件如图1.49所示。

图1.49 

http-wireshar.pcapng捕获文件

（2）接下来通过该捕获文件中的数据，分析访问Web的整个过程。

在该捕获过程中，将包含DNS请求、响应、TCP三次握手等数据。

如图1.50所示，在该界面显示了在访问网站之间DNS解析过程。

图1.50 

DNS解析

（3）在该界面31帧，是DNS将解析为一个IP地址的数据包（被称为一个“A”记录）。

32帧表示返回一个与主机名相关的IP地址的DNS响应包。

如果客户端支持IPv4和IPv6，在该界面将会看到查找一个IPv6地址（被称为“AAAA”记录）。

此时，DNS服务器将响应一个IPv6地址或混杂的信息。

说明：

31帧是客户端请求XX，通过DNS服务器解析IP地址的过程。

标识为“A”记录。

32帧是DNS服务器回应客户端请求的过程。

标识为response.

（4）如图1.51所示，在该界面看客户端和服务器之间TCP三次握手（33、34、35帧）和客户端请求的GET主页面（36帧）。

然后服务器收到请求（37帧）并发送响应包（38帧）。

33帧是客户端向服务器发送TCP请求建立连接。

标识为SYN。

34帧是服务器得到请求后向客户端回应确认包的过程。

标识为SYN，ACK。

35帧是客户端回应服务器发送确认包的过程，将于服务器建立连接。

标识为ACK。

36帧是客户端向服务器发送HTTP请求内容的过程。

标识为GET。

37帧是服务器相应客户端请求的过程，收到请求。

38帧是服务器向客户端回应内容的过程。

图1.51 

TCP三次握手

（5）当客户端从相同的服务器上再次请求访问另一个链接时，将会再次看到一个GET数据包（1909帧），如图1.52所示。

图1.52 

请求另一个元素

此外，如果链接另一个Web站点时，客户端将再次对下一个站点进行DNS查询（156、157帧），TCP三次握手（158、159、160帧）。

如图1.53所示。

图1.53 

请求下一个站点

本文选自：

Wireshark数据抓包基础教程大学霸内部资料，转载请注明出处，尊重技术尊重IT人！