使用wireshark抓网络报文(抓包)并分析其中数据

最新推荐文章于 2024-02-02 13:13:20 发布
最新推荐文章于 2024-02-02 13:13:20 发布
阅读量1.4w 收藏 97
点赞数 18
分类专栏: 笔记 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LINZAI508/article/details/111039825
版权

如何使用wireshark抓网络报文(抓包)

本文包内容分析转载自下午茶的芬芳,感谢作者的分享。

网络下载好wireshark打开软件按下开始捕获进行抓包,如下图:
在这里插入图片描述

抓好后如图,筛好只要本机IP的(根据个人要求去筛)。
在这里插入图片描述
筛选方法如下,在想筛的内容单击,然后右击,点击作为过滤器应用,点到“选中”
在这里插入图片描述

刚开始的数据是未展开的。如下图:
在这里插入图片描述
从该界面可以看出只显示了4行信息,但不是代表包的内容只有4层,只是这4层是标准的4层,其他层没什么标准,所以很大可能只会显示这4层。默认这些信息是没有被展开的。各行信息如下所示:
Frame:物理层的数据帧概况。
Ethernet II:数据链路层以太网帧头部信息。
Internet Protocol Version 4:互联网层 IP 包头部信息。
Transmission Control Protocol:传输层的数据段头部信息,此处是 TCP 协议。
有时会出现: Hypertext Transfer Protocol:应用层的信息,此处是 HTTP 协议。

1、 物理层数据帧

在这里插入图片描述
Frame 5: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interface 0
//5 号帧,线路 54 字节,实际捕获 54 字节
Interface id: 0 (\Device\NPF_{D98252F7-48A9-4610-9F08-8044426093CF}) //接口 id
Encapsulation type: Ethernet (1) //封装类型
Arrival Time: Mar 9, 2018 15:20:13.149458000 中国标准时间 //捕获日期和时间
[Time delta from previous captured frame: 0.049416000 seconds] //此包与前一个包
间隔时间
[Time delta from previous displayed frame: 0.049416000 seconds] //此包与第一帧间
隔时间
Frame Number: 5 //帧序号
Frame Length: 54 bytes (432 bits) //帧长度
Capture Length: 54 bytes (432 bits) //捕获长度
[Frame is marked: False] //此帧是否被标记:否
[Frame is ignored: False] //此帧是否被忽略:否
[Protocols in frame: eth:ethertype:ip:tcp] //此帧内封装的协议层次结构
[Coloring Rule Name: TCP] //着色标记的协议名称: TCP
[Coloring Rule String: tcp] //着色规则显示的字符串: TCP

2、 数据链路层以太网帧头部信息

在这里插入图片描述

Destination: Hangzhou_b4:e0:01 (38:97:d6:b4:e0:01) //目标 MAC 地址
Source: ChiconyE_8f:a0:03 (4c:bb:58:8f:a0:03) //源 MAC 地址
Type: IPv4 (0x0800) //ip 类型 IPv4

3、 互联网层 IP 包头部信息

在这里插入图片描述
0100 … = Version: 4 //互联网协议 IPv4
… 0101 = Header Length: 20 bytes (5) //IP 包头部长度 20bytes
Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT) //差分服务字段
Total Length: 40 //IP 包的总长度
Identification: 0x12ea (4842) //标志字段
Flags: 0x02 (Don’t Fragment) //标记字段
Fragment offset: 0 //碎片偏移量
Time to live: 128 //生存周期 TTL
Protocol: TCP (6) //此包内封装的上层协议为 TCP
Header checksum: 0xaa44 [validation disabled] //头部数据的校验和
Source: 10.169.6.40 //源 IP 地址
Destination: 207.148.93.60 //目的 IP 地址

4、 传输层 TCP 数据段头部信息

在这里插入图片描述
Source Port: 56361 //源端口号
Destination Port: 443 //目的端口号
Sequence number: 376 (relative sequence number) //序列号: 376
Acknowledgment number: 30 (relative ack number) //确认 ACK: 30
0101 … = Header Length: 20 bytes (5) //头部长度: 20
Flags: 0x010 (ACK) //标记字段
Window size value: 256 //流量控制窗口大小
Checksum: 0x8c74 [unverified] //TCP 数据段的校验和

尖枫508
关注
  • 18
    点赞
  • 97
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
MDNS协议wireshark抓包分析
07-09
arduino的MDNS库,开发测试时的wireshark抓包分析,已过滤其他杂包
Android中使用tcpdump、wireshark进行抓包分析技术介绍
01-05
本文主要介绍如何使用tcpdump和wireshark对Android应用程序进行抓包分析,需要说明的是在抓包之前,你的Android设备必须root过了,另外你的电脑必须有Android SDK环境。 下载并安装tcpdump tcpdump链接:http://www.tcpdump.org/ 选择一个版本下载并解压提取出其中呃tcpdump文件,然后push到你的手机上去: 代码如下: adb push c:\tcpdump /data/local/tcpdump 进一步操作: 代码如下: adb shellsuchmod +x /data/local/tcpdump 然后就可
Wireshark 抓包分析工具
03-13
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上,并将电线替换成网络线。在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。
Wireshark抓包(TCP/UDP/ARP/DNS/DHCP/HTTP)
最新发布
2302_80585579的博客
02-02 2925
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。在任何时候,一台主机有IP数据报文发送给另一台主机,它都要知道接收方的逻辑(IP)地址。但是IP地址必须封装成才能通过物理网络。这就意味着发送方必须有接收方的物理(MAC)地址,因此需要完成逻辑地址到物理地址的映射。而ARP协议可以接收来自IP协议的逻辑地址,将其映射为相应的物理地址,然后把物理地址递交给数据链路层。
使用wireshark进行网络报文取与分析
qq_38883139的博客
11-29 5074
Wireshark介绍 Wireshark(前称Ethereal)是一个免费的网络报文分析软件。网络报文分析软件的功能是网络报文,并逐层显示报文中各字段取值。网络报文分析软件有个形象的名字“嗅探工具”,像一只猎狗,忠实地守候在接口旁,获进出该进口的报文分析其中携带的信息,判...
Wireshark抓包:详解TCP四次挥手报文内容
热门推荐
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
03-30 1万+
一、详解tcp四次挥手 刚才用图解释了tcp四次挥手的过程。用wireshark一个包,进行详细的分析。 1.客户端发的第一个释放连接的请求 这是的包,然后过滤出来的,看下最后的阶段,是要开始释放一个链接了。这里是第一个fin,ack包: 不是说只有fin吗?为啥这里是fin,ack包? 双击点看看下: tcp报文是一个可靠的协议,它的每一个数据包都要进行确认,每发一个数据包都有一个ack包。表示每发一个包,都要去确认一下的。 所以第一个fin,ack包,ack被标记了,其实也是对上一个报文数据
实验二 Wireshark 报文捕捉分析实验
m0_56147044的博客
03-21 1396
实验报告wireshark分析tcp分享
5.2.4 IP数据报(二)分析Wireshark捕获数据
nytcjsjboss的博客
06-01 3294
让我们回忆一下第四章学习以太网的时候介绍的结构,如图在的首部有6个字节的目的MAC地址,6个字节的源MAC地址,2个字节的协议类型字段如果该字段是0800H就表示该数据部分封装的是来自于上层的IP数据报,接下来就是数据字段了,封装的如果是IP数据报的情况下那么该数据字段的第一个字节就是IP数据报首部的第一个字节了。我们知道IP数据报的首部每一行都是32个比特位,4个字节,而源主机位于第四行的四个字节,也就是说是从IP数据报首部的第13个字节开始后的四个字节如图。我们先来分析一下这个数据
wireshark捕捉的数据包,对数据头部、IP数据包头部、ICMP头部进行分析
sparrow_fly_2021的博客
11-13 3687
数据、IP数据包、ICMP协议分析
报文捕获分析工具Wireshark简介
村中少年的专栏
12-16 6806
介绍报文捕获分析工具Wireshark以及一些概念
wireshark:如何定位到应用层的请求和返回的报文
OceanStar的博客
03-14 3449
如何定位到应用层的请求和返回的报文? 在 Wireshark 界面中,我们很容易找到请求和返回的报文。比如这样: 我们只要选中请求报文Wireshark 就会自动帮我们匹配到对应的响应报文,反过来也一样。从图上看,应用层请求(这里是 HTTP 请求)是一个向右的箭头,表示数据是进来的方向;应用层响应是一个向左的箭头,表示数据是出去的方向。 只截到报文的一部分,这个问题有什么影响吗? 有时候我们会遇到这种错误如下: 文件只取了一部分。 造成这个报错的原因是,当时tcpdump程序并不是用CTRL+C等
WireShark数据后(TCP、数据链路层、IP层)UDP层分析
weixin_44448942的博客
12-14 3116
数据的获取与分析利用————WinShark数据后(TCP、数据链路层、IP层)UDP层分析 WinShark数据后(TCP、数据链路层、IP层)UDP层分析 1、安装WireShark 2、访问网站主页,并使用工具获取数据包。 图1. 图中所标为:TCP第一次握手的PDU和HTTP协议向网站请求时的PDU 访问网站放时产生的HTTP协议数据报; 找到上述HTTP访问过程中的TCP连接...
Wireshark抓包分析TCP IP协议
05-03
能够使用抓包工具捕获网络中的数据包,对捕获数据包进行筛选分析分析网络流量是否正常。 通过抓包分析应用层协议,客户端软件和服务端软件通信,交互过程。 通过抓包工具分析传输层协议如何建立TCP连接,如何实现可靠传输,如何实现流量控制,通信完毕如何释放连接。 通过抓包工具分析网络层协议的封装。
RTSP wireshark抓包分析
03-09
RTSP wireshark抓包分析
EthrCAT抓包报文分析.docx
03-18
讲述EtherCAT报文取方法,报文过滤及简单的分析
Wireshark抓包全集(85种协议、类别的抓包文件).zip
11-30
Wireshark 抓包 协议 网络 Wireshark 抓包 协议 网络 工具 网络技术 网络协议
电容容量越大越好吗?
好记性不如烂笔头
12-13 1万+
电容容量越大越好吗?电容的作用:1)旁路2)去耦3)滤波4)储能 电容容量并不是越大越好。 直观上看,似乎储能电容越大,为IC提供的电流补偿的能力越强。因此,许多人爱使用容量很大的电容。其实这是一个错误的概念。 由于电容上寄生电感的存在,电容放电回路会在某个频点上发生谐振,在谐振点,电容的阻抗小,因此放电回路的阻抗最小,补充能量的效果也最好。 当频率超过谐振点时,放电回路的阻抗开始增加,这意味着电容提供电流能力开始下降。电容的容值越大,谐振频率越低,电容能有效补偿电流的频率范围也越小。为保证电容提供高频电流
PCM音频数据、DSD音频数据,DOP及spdif
好记性不如烂笔头
12-20 1万+
本文原创:http://article.pchome.net/pic-1717286-1.html 一、PCM 我们电脑中常见WAV格式的音频文件其内部封装的正是PCM的音频,苹果的OS X系统下则是采用aiff格式来存储封装PCM的音频。PCM的全称是Pulse-code modulation。中文是脉冲编码调制,是一种音频模拟信号的数字化方法。PCM将信号的强度依照同样的间距分成数段,然后用独特的二进制来量化。将音频模拟信号转变成数字信号的过程是一种调制的过程,从数字信号回制成模拟信号的过程则是解调。
如何使用Wireshark抓包分析UDP报文
11-29
以下是使用Wireshark抓包分析UDP报文的步骤: 1. 打开Wireshark软件并选择要取的网络接口。 2. 在过滤器中输入“udp”以过滤出UDP协议的报文。 3. 点击“开始捕获”按钮开始抓包。 4. 进行需要分析的操作,例如访问一个网站。 5. 停止抓包并在捕获列表中找到相应的UDP报文。 6. 右键点击报文并选择“跟踪UDP流”以查看完整的UDP通信过程。 7. 在“跟踪UDP流”窗口中可以查看UDP报文的详细信息,例如源IP地址、目标IP地址、源端口号、目标端口号、数据长度等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

尖枫508

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值