如何简单使用wireshark分析TCP报文

最新推荐文章于 2025-03-04 19:36:19 发布
最新推荐文章于 2025-03-04 19:36:19 发布
阅读量2.1k 收藏 22
点赞数 31
文章标签: tcp/ip wireshark 网络 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Master_H_ice/article/details/143278057
版权

简单使用wireshark分析TCP报文

1. 打开wireshark找到需要分析的TCP流

打开wireshark(官网https://www.wireshark.org/)后,通过protoco标题找到我们需要分析的TCP流,如图所示:
找到TCP流
过滤该TCP流。右键追踪流->TCP流,如图所示:
在这里插入图片描述

2. 分析的TCP流的窗口情况

2.1 TCP吞吐量计算方法

TCP的流量计算公式如下: T h r o u g h p u t = m i n ( W n d S i z e 拥塞窗 , W n d S i z e 接收窗 ) ∗ T h r e a d N u m ∗ 8 / r t t Throughput=min(WndSize_{拥塞窗},WndSize_{接收窗})*ThreadNum*8/rtt Throughput=min(WndSize拥塞窗,WndSize接收窗)ThreadNum8/rtt

影响流量的因素主要是拥塞窗、接收窗、rtt时延。看拥塞窗口可以分析流量影响的原因。

2.2 TCP窗口变化

打开wireshark的TCP的窗口分析:
打开窗口分析
如图所示,蓝色线为拥塞窗的变化,绿色为接收窗的变化。TCP的拥塞窗在拉升的过程中出现了掉沟,这种情况可能是丢包或时延过大导致的。
TCP发送窗

2.3 分析TCP的报文

将鼠标点击到TCP发送窗口下降的位置点击,可以看到在wireshark中跳转到对应行的报文。窗口缩窗的位置出现了DUP ACK,在两包报文之前出现了相同的ACK报文,说明27011这一包存在丢包。可以理解为,接收端一直收不到该seq的报文,就重复给发送端发送对应ACK的报文。
出现DUP ACK
同样的,后面多次窗口掉沟都是因为丢包。
在这里插入图片描述

3. 如何理解拥塞窗缩窗

拥塞窗口是TCP中设计的一种用于避免网络拥塞发生的机制。拥塞窗口的大小取决于网络的拥塞程度,并且动态变化。发送方通过保证自己的发送窗口小于等于拥塞窗口以避免网络拥塞的发生。

发送方控制拥塞窗口的原则是:网络没有出现拥塞,拥塞窗口就再增大一些,以便把更多的分组发送出去。只要网络一出现拥塞,拥塞窗口就减少一些,以减少注入到网络中的分组数,避免网络拥塞。
TCP拥塞窗

Master_H_ice
关注
使用wireshark分析tcp报文
海渊_haiyuan的博客
05-12 3万+
前言 TCP协议在网络过程中,是一个最常见不过的协议了。在分析tcp网络协议报文时,借助当前强力的工具wireshark可以起到很好的辅助作用。 首先抓取了一个简单的http请求报文, 选取其中的一次完整请求,追踪tcp流: 可以在报文中看到tcp的3次握手,以及http 的request 和 response ,还有tcp的4次断开。 另外整个封包列表的面板中也有显示,编号,时间戳,源地址...
使用WireShark抓包分析TCP_IP协议_wiresharkip协议分析
2401_87555661的博客
11-12 1669
在(谢希仁编著)这本书中,详细介绍了TCP/IP网络传输涉及的分层,及各个比特的含义。在这篇文章中,我们将使用抓包分析 TCP/IP 协议,用实践来验证理论。
使用wireshark分析TCP ——以HTTP协议为例
czw
06-16 2万+
1. 对以太网帧、ip数据报、TCP报文结构的分析以南邮图书馆网站为例,图书馆网址为:http://lib.njupt.edu.cn,对应的IP地 202.119.224.202。 设置wireshark的过滤条件为”ip.addr == 202.119.224.202”,得到下面结果: 双击第一条,得到详细信息: 从上往下,依次对应tcp/ip五层模型中的数据链路层、网络层和传输层。1.1
wireshark抓包
yiwenrong的博客
12-30 1373
wireshark抓包新手使用教程 Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程各种问题定位。本文主要内容包括: 1、Wireshark软件下载和安装以及Wireshark主界面介绍。 2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。 3、Wireshark过滤器使用。通过过滤器可以筛选出...
Wireshark的抓包和分析,看这篇就够了!
最新发布
xnxqwzy的博客
03-04 1805
Wireshark的抓包与分析WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在网络封包和流量分析领域有着十分强大功能的工具,深受各类和网络分析师的喜爱。我们首先来介绍一下Wireshark这款软件。首先我们先认识一下这个软件的主界面是长这样的在这个界面中为Wireshark的主界面。
WireShark抓包分析TCP三次握手过程,TCP报文解析
wangyuxiang946的博客
09-20 2万+
使用WireShark工具抓取TCP协议三次握手的数据包,分析TCP三次握手过程,分析TCP报文中各个字段的作用。
wireshark-tcp报文
weixin_40073415的博客
08-26 1042
wireshark查看客户端跟服务器之间的报文,了解其业务流程。分层介绍OSI体系结构,对应wireshark报文,如下图。图片:物理层数据链路层相邻两个设备的MAC地址。网络层本层主要负责将TCP层传输下来的数据加上目标地址和源地址传输层主要关注传输层中内容,flag。
wireshark TCP常见异常报文分析
myvest的专栏
10-19 1万+
流媒体播放中,常常需要借助wiresharkTCP层面对交互过程进行分析,本文记录一些常见的TCP异常报文及其分析。 乱序与丢包 1、[TCP Previous segment not captured] [TCP Previous segment not captured]报文指的是在TCP发送端传输过程中,该Seq前的报文缺失了。一般在网络拥塞的情况下,造成TCP报文乱序、丢包时,会出现该标...
使用Wireshark抓包分析TCP协议
热门推荐
new9232的博客
04-17 3万+
wireshark数据包详细栏每个字段对应的分层。 分层介绍 数据链路层 我们点开这个字段,从该字段中可以看到相邻两个设备的MAC地址 网络层 本层主要负责将TCP层传输下来的数据加上目标地址和源地址。 传输层 这一层用到了TCP协议 tcp包头 每个字段对应的TCP包头 TCP握手过程分析 TCP三次握手示意图 第一次握手:客户端向服务器发送一个SYN段(表示发起连接请求),并且包含客户端的一个初始序列号seq。 第二次握手:服务端返回一个SYN(表示
WireSharktcp通信数据的抓包
2301_77164542的博客
05-06 5067
这样,原本的第二次挥手(ACK)和第三次挥手(FIN)就合并在了一个TCP报文中,因此抓包工具只会抓取到这个合并后的FIN+ACK报文以及后续的客户端ACK报文,总共是三个包。此时就可以进行数据传输了。[Protocols in frame: eth:ethertype:ip:tcp:data](帧内封装层次协议结构,eth:ethertype:ip:tcp,以太网,以太网协议,ip,tcp)Destination: 00:00:00_00:00:00 (00:00:00:00:00:00)(目标地址)
Wireshark分析TCP连接断开过程分析与总结.docx
05-24
使用 Wireshark 分析 TCP 连接断开过程,我们可以看到整个断开过程的详细信息,包括四次握手过程、状态转换过程等。Wireshark 分析结果可以帮助我们更好地理解 TCP 连接断开过程,并且可以用于网络故障诊断和性能...
Wireshark - 使用WireShark进行报文分析简明教程
04-23
Wireshark - 使用WireShark进行报文分析简明教程,根据实际的项目过程操作过程,实际操作例子。
使用wireshark抓取Tcp三次握手
weixin_47792933的博客
05-23 9637
文章目录wireshak的下载安装TCP协议段格式简单介绍 wireshak的下载安装 软件的下载可以直接去官方下载 wireshark,选择自己电脑适合的版本就行。 ,但是不咋推荐,原因是国外网站访问速度太慢,写博文的时候我去官方下载安装包还下不下来,之后去搜狗下载了一个安装包,进行安装,点击安装包一路next进行安装,其中安装过程中需要注意的我会单独说明下。 阅读许可: 勾选下面几个选项,有些默认没有勾选: TCP协议段格式简单介绍 TCP,即Transmission Control Protoc
使用wireshark分析tcp
标子 的专栏
06-25 1258
今天使用wireshark分析一下tcp的一些原理。首先我们建立一个tcp服务器。 const net = require('net'); net.createServer().listen(11111); 再建立一个tcp客户端。 const net = require('net'); net.connect({port: 11111, host: '192.168.8.226'}) 我们逐个情况分析。 1 不启动服务器,启动客户端。 我们看看这种情况下tcp的表现。先看看总览。 我们看到tcp
WireSharkTCP解析
qq_42896037的博客
09-29 3348
文章目录三次握手详解SYN字段ACK字段第一次握手MSSWin和WS(window scale 窗口缩放因子)SACK_PERM第二次第三次握手数据传输过程四次挥手 三次握手详解 利用WireShark抓包,追踪流,抓取到一个会话的数据包。前三个TCP数据包对应了TCP建立连接的三次握手 上图为TCP报文段格式 SYN字段 SYN:同步序列编号(Synchronize Sequence Numbers)。是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时,客户机首
wireshark tcp报文深度解析
陌上花开缓缓归以的博客
05-10 1246
/保留6位中的4位首部长度。//保留6位中的4位首部长度。//16位TCP检验和。//保留6位中的2位。//保留6位中的2位。
如何使用wireshark分析报文
m0_63902994的博客
07-19 5775
Wireshark的专家信息是非常强大的一个分析模块,分别对错误、警告、注意、聊天等数据信息做出分类和注释,对网络故障分析提供了强有力的信息依据,让你准确快速地判断出故障点,并进行下一步处理。当选择列表选中“错误”,专家信息窗口就只显示错误数据信息,可以清晰地看到错误数据包的概述摘要,分组,协议类型和包的数量等各类型的注释。同样,在选择“警告”会单独显示其数据信息,左边的数字是数据包的序列号,协议类型和数据包的数量等,不在做过多解释。
TCP协议报文讲解,Wireshark抓包,细致分析三次握手和四次挥手
Michelangeshaw的博客
11-02 2206
TCP(Transmission Control Protocol,传输控制协议)是面向连接、可靠的传输层协议。它在网络中通过三次握手建立连接,并确保数据包的可靠传输。TCP广泛应用于需要可靠数据传输的场景,例如HTTP、FTP、SMTP等协议的传输。
wireshark查看TCP
sinat_35705952的博客
04-11 2687
通过实验一的实验结果,我们可以得知,当客户端发起的 TCP 第一次握手 SYN 包,在超时时间内没收到服务端的 ACK,就会在超时重传 SYN 数据包,每次超时重传的 RTO 是翻倍上涨的,直到 SYN 包的重传次数到达 tcp_syn_retries 值后,客户端不再发送 SYN 包。如果不启用 SACK,就必须重传丢失包之后的每个数据包。接收窗口的大小,是在 TCP 三次握手中协商好的,后续数据传输时,接收方发送确认应答 ACK 报文时,会携带当前的接收窗口的大小,以此来告知发送方。
wireshark分析TCP报文具体方法
06-01
6. 可以使用Wireshark的统计功能来分析TCP报文的性能,如TCP流量、RTT等。 7. 分析完毕后,可以保存捕获的数据包以备后续分析或共享给其他人。 注意:在分析TCP报文时,需要确保有足够的理解和经验,以正确解释...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值