WireShark对tcp通信数据的抓包

已于 2024-05-16 17:46:15 修改
阅读量5k 收藏 32
点赞数 35
分类专栏: openwrt、路由器、网络 文章标签: tcp/ip wireshark 网络
于 2024-05-06 13:18:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77164542/article/details/138491376
版权

目录

一、抓包准备工作

二、WireShark工具面板分析

面板数据解析

三、TCP三次握手抓取

第一次握手抓包分析

第二次握手抓包分析

第三次握手抓包分析

四、TCP四次挥手抓取

第一次挥手抓包分析

第二次挥手抓包分析

第三次挥手抓包分析

第四次挥手抓包分析

一、抓包准备工作

安装wireshark

sudo apt update

sudo apt install wireshark

运行

二、WireShark工具面板分析

上图中所显示的信息从上到下分布在 3 个面板中,每个面板包含的信息含义如下:

Packet List 面板:显示 Wireshark 捕获到的所有数据包,这些数据包从 1 进行顺序编号。

Packet Details 面板:显示一个数据包的详细内容信息,并且以层次结构进行显示。这些层次结构默认是折叠起来的,用户可以展开查看详细的内容信息。

Packet Bytes 面板:显示一个数据包未经处理的原始样子,数据是以十六进制和 ASCII 格式进行显示。

在Packet Details面板中:

Frame:物理层的数据帧概况。
Ethernet II:数据链路层以太网帧头部信息。
Internet Protocol Version 4:互联网层IP包头部信息。
Transmission Control Protocol:传输层的数据段头部信息,此处是TCP协议。

面板数据解析

双击packet list面板数据包

Frame 6: 87 bytes on wire (696 bits), 87 bytes captured (696 bits) on interface lo, id 0 (第6帧数据,线路87字节,实际捕获87字节)

Section number: 1

Interface id: 0 (lo)(接口id)

Encapsulation type: Ethernet (1)(封装类型)

Arrival Time: Jan 9, 2024 09:07:39.315583109 CST(捕获日期和时间)

[Time shift for this packet: 0.000000000 seconds]

Epoch Time: 1704762459.315583109 seconds

[Time delta from previous captured frame: 0.000184924 seconds]

(此包与前一个包的时间间隔)

[Time delta from previous displayed frame: 0.000184924 seconds]

[Time since reference or first frame: 1.000935456 seconds]

(此包与第一帧的时间间隔)

Frame Number: 6 (帧序号)

Frame Length: 87 bytes (696 bits) (帧长度)

Capture Length: 87 bytes (696 bits)(捕获长度)

[Frame is marked: False] (此帧是否做了标记,false否)

[Frame is ignored: False](此帧是否做了标记,false否)

[Protocols in frame: eth:ethertype:ip:tcp:data](帧内封装层次协议结构,eth:ethertype:ip:tcp,以太网,以太网协议,ip,tcp)

[Coloring Rule Name: TCP](着色标记的协议名称)

[Coloring Rule String: tcp](着色显示的字符串)

Ethernet II, Src: 00:00:00_00:00:00 (00:00:00:00:00:00), Dst: 00:00:00_00:00:00 (00:00:00:00:00:00)

Destination: 00:00:00_00:00:00 (00:00:00:00:00:00)(目标地址)

Source: 00:00:00_00:00:00 (00:00:00:00:00:00)(源mac地址)

Type: IPv4 (0x0800)

Internet Protocol Version 4, Src: 127.0.0.1, Dst: 127.0.0.1(ipv4协议)

Transmission Control Protocol, Src Port: 8877, Dst Port: 60856, Seq: 1, Ack: 17, Len: 21

Data (21 bytes)(tcp协议)

三、TCP三次握手抓取

1.第一次握手
第一次握手建立连接时,客户端向服务器发送SYN报文(Seq=x,SYN=1),并进入SYN_SENT状态,等待服务器确认。
2.第二次握手
第二次握手实际上是分两部分来完成的,即SYN+ACK(请求和确认)报文。

(1)服务器收到了客户端的请求,向客户端回复一个确认信息(Ack=x+1)。
(2)服务器再向客户端发送一个SYN包(Seq=y)建立连接的请求,此时服务器进入SYN_RECV状态。

3.第三次握手
第三次握手客户端收到服务器的回复(SYN+ACK报文)。此时,客户端也要向服务器发送确认包(ACK)。此包发送完毕客户端和服务器进入ESTABLISHED 状态,完成三次握手。此时就可以进行数据传输了。

右键追踪流,点击tcp

最低0.47元/天 解锁文章
WireShark 抓住 TCP
2402_85546752的博客
07-17 1759
也就是图中最上面的红色框部分。这一次的连接建立和中断一共产生了来回 8 次的请求,每次请求会在列表上列出时间、源端IP、目的端IP、以太网帧长度以及概览信息,包括数据传输方向(源端口->目标端口)、标记情况、序号、确认序号、窗口大小等等。2,接下来要用 Telnet 连接一个外网服务器,所以我选择第一个 WI-FI:en0,这样 Wireshark 就会捕获我连接的 wifi 上的网络传输。第一部分是连接建立的三次握手,第二部分是发了长度为 1个字节的数据,第三步是客户端主动发起的断开连接的四次挥手过程。
使用wireshark抓包分析TCP三次握手
04-12
wireshark实际操作来分析tcp三次握手的整个过程,看完会对三次握手有更深入了解
WireShark抓包分析TCP三次握手过程,TCP报文解析
wangyuxiang946的博客
09-20 2万+
使用WireShark工具抓取TCP协议三次握手的数据包,分析TCP三次握手过程,分析TCP报文中各个字段的作用。
Wireshark 跟踪TCP
hbspring007的专栏
06-05 7349
打开捕获文件;在一个协议为TCP的包上右击,选择 追踪-TCP;将进入TCP追踪;   选择该菜单后,主面板上包列表里,仅列出本次TCP会话的包; 同时会在一个单独的窗口中显示TCP; 看一下基本是乱码;大体能看出,是http1.1协议;是本机和百度的一个网址通信的情况; 红色是源到目的地;蓝色反之; 先看一下;需要详细解析的时候再说吧;   看一下本次会话最后一个包; eclick.e.shifen.com https(443) [ACK]
Wireshark抓包和分析,看这篇就够了!
最新发布
xnxqwzy的博客
03-04 1861
Wireshark抓包与分析WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在网络封包和量分析领域有着十分强大功能的工具,深受各类和网络分析师的喜爱。我们首先来介绍一下Wireshark这款软件。首先我们先认识一下这个软件的主界面是长这样的在这个界面中为Wireshark的主界面。
wireshark tcp抓包分析_网络分析系列之八_使用Wireshark抓包
weixin_39805998的博客
12-12 320
通过前面的部分,我们对Wireshark界面主体内容有了大致了解。这一节主要介绍如何抓包抓包后的界面显示(因为Wireshark打开数据包后又是另一副界面)。如何保存或导出抓取的报文等内容。第一次抓包现在可以开始你的第一次数据包捕获实验了。你可能会想:“当网络什么问题也没有的时候,怎么能捕获数据包呢?“首先,网络总是有问题的。第二,做数据包分析并不一定要等到有问题的时候再做。事实上,大多数的数据...
Wireshark网络抓包分析——工具
myvest的专栏
10-19 2611
转自https://www.cnblogs.com/strick/p/6344486.html 一、基本信息统计工具 1)捕获文件属性(Summary) File:了解抓包文件的各种属性,例如抓包文件的名称、路径、文件所含数据包的规模等信息 Time:获悉抓包的开始、结束和持续时间 Capture:抓包文件由哪块网卡生成、OS版本、Wireshark版本等信息 Display:剩下...
使用WireShark抓包分析TCP_IP协议
十十办文武的博客
04-26 1万+
TCP/IP 协议是一组用于互联网通信的协议。它由两个主要协议组成:传输控制协议(TCP)和互联网协议(IPTCP/IP协议是互联网上最常用的协议之一,它使得不同类型的计算机和网络设备能够相互通信TCP负责将数据分割成数据包,并确保它们在网络上的传输。IP负责将数据包从源地址路由到目标地址。在计算机网络(谢希仁编著)这本书中,详细介绍了TCP/IP网络传输涉及的分层,及各个比特的含义。在这篇文章中,我们将使用Wireshark抓包分析 TCP/IP 协议,用实践来验证理论。
使用Wireshark抓包分析TCP协议
new9232的博客
04-17 3万+
wireshark数据包详细栏每个字段对应的分层。 分层介绍 数据链路层 我们点开这个字段,从该字段中可以看到相邻两个设备的MAC地址 网络层 本层主要负责将TCP层传输下来的数据加上目标地址和源地址。 传输层 这一层用到了TCP协议 tcp包头 每个字段对应的TCP包头 TCP握手过程分析 TCP三次握手示意图 第一次握手:客户端向服务器发送一个SYN段(表示发起连接请求),并且包含客户端的一个初始序列号seq。 第二次握手:服务端返回一个SYN(表示
wireshark抓包TCP数据
will_95的博客
06-09 9350
拆包TCPIP协议实践
Wireshark抓包TCP/UDP/ARP/DNS/DHCP/HTTP)
2302_80585579的博客
02-02 8291
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。在任何时候,一台主机有IP数据报文发送给另一台主机,它都要知道接收方的逻辑(IP)地址。但是IP地址必须封装成帧才能通过物理网络。这就意味着发送方必须有接收方的物理(MAC)地址,因此需要完成逻辑地址到物理地址的映射。而ARP协议可以接收来自IP协议的逻辑地址,将其映射为相应的物理地址,然后把物理地址递交给数据链路层。
wireshark tcp抓包
flyingzc的博客
06-14 661
curl www.baidu.com ip.addr == 36.152.44.96 三次握手,四次挥手 ![第一次握手](https://img-blog.csdnimg.cn/2021061422334118.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2thaXNoaXpoYW5nY2hlbmc=,size_16,color_FFFFFF,t
C#使用TCP/UDP协议通信并用Wireshark抓包分析数据
02-24
本文章主要讲述使用VS2019编写C#程序,并通过UDP/TCP进行通信,使用Wireshark抓包软件抓取发送的包并分析数据结构,由于涉及到客户端和通信端,可以使用两台电脑,一台电脑编写客户端代码,一台电脑编写服务器端代码...
Wireshark抓包分析微信功能----tcp/ip选修课期末大作业
01-07
**TCP/IP通信协议详解与Wireshark抓包分析** 在信息技术领域,TCP/IP通信协议是互联网上数据交换的基础。TCP(传输控制协议)和IP(因特网协议)是这个协议族中的两个核心组件,负责确保数据的可靠传输和网络寻址。...
TCP与TLS数据报文抓包
03-18
1、生成 wireshark 工具可读取的 capture.pcap 抓包文件; 2、学习 “DNS解析步骤”报文结构; 3、学习 “TCP三次握手”报文结构; 4、学习 “TLS握手与秘钥协商” 等过程。 详细介绍,可参考我的技术文章: 一文...
使用wireshark抓取TCP包分析1
weixin_33905756的博客
03-01 2020
目录 前言 介绍 目的 准备工作 传输 创建连接 握手 生成密钥 发送数据 断开连接 结论 参考文献 ...
Wireshark抓包分析 TCP协议
wzhy2016的博客
12-04 3651
Wireshark抓包分析 TCP协议
Wireshark抓取本地Tcp包(任何数据包)
热门推荐
点火三周的专栏
11-14 4万+
没有任何一个程序员在做项目的时候不会遇到网络编程的问题,要解决这些问题除了对各种网络协议深入了解之外,还需要掌握各种网络分析工具的用法,不用多说wireshark绝对是这方面的翘楚,可惜的是,wireshark不能对本地接口(loopback,或者127.0.0.1)进行直接抓包wireshark的工作原理这里面的原理其实很简单,wireshark可以通过操作系统来访问所有的网络adapter,通
Wireshark抓包-TCP协议包
Hello_GY 的博客
08-04 1万+
TCP首部格式         源端口号、目的端口号:用于寻找发端和收端应用进程。这两个值加上IP首部中的源端IP地址和目的端IP地址唯一确定一个TCP连接,在网络编程中,一般一个IP地址和一个端口号组合称为一个套接字(socket)。    序号:用来标识从TCP发端向TCP收端发送的数据字节,它表示在这个报文段中的的第一个数据字节。在tcptcp用序号对每个字节进行计数   确认序号:包...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值