Wireshark显示封装信息

最新推荐文章于 2024-04-27 05:09:26 发布
最新推荐文章于 2024-04-27 05:09:26 发布
阅读量1.6k 收藏 12
点赞数 1
分类专栏: Linux系统编程 文章标签: Linux C TCP/IP Wireshark

(1)Wireshark窗口界面介绍,如图8.32所示,是抓包后的窗口界面以及界面描述。
在这里插入图片描述
(2)封包列表的面板上显示为:编号、时间戳、源地址、目标地址、协议、长度,以及封包信息。不同的协议会使用不同颜色。可以自行设置在View选项中的Color Rules中修改显示颜色的规则。
(3)封包详细信息,是最重要的信息,用来查看协议中每一个字段。OSI七层模型分别为物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。在封包信息中,每行对应的含义及在OSI模型中的对应关系如下:
Frame:物理层的数据帧概况,对应OSI七层模型中的物理层。
Ethernet II:数据链路层以太网帧头部信息,对应OSI七层模型中的数据链路层。
Internet Protocol Version 4:互联网层IP包头部信息,对应OSI七层模型中的网络层。
Transmission Control Protocol:传输层的数据段头信息,此处是TCP,对应的是OSI七层模型中的传输层。
Hypertext Transfer Protocol:应用层的信息,对应OSI七层模型中的应用层。
(4)针对上述封包详细信息,逐一进行解读,选取示例为随机选取,可能会根据数据包的不同以及抓包工具的不同,其信息显示格式略有不同。读者可自行抓包选取进行对比查看。

数据包物理层Frame层解析,及注释如下。
-Frame 5: 66 bytes on wire (528 bits), 66 bytes captured(捕获) (528 bits) on interface 0
//5号帧,对方发送66字节,实际收到66字节

-Interface id: 0 (\Device\NPF_{37239901-4A63-419C-9693-97957A8232CD}) //接口id为0

-Encapsulation type: Ethernet (1) //封装类型

-Arrival Time: May 31, 2019 15:14:31.719446000 //捕获日期和时间(中国标准时间)

-[Time shift for this packet: 0.000000000 seconds]
-Epoch Time: 1499238871.865685000 seconds
-[Time delta from previous captured frame: 0.006861000 seconds] //与前一包时间间隔
-[Time delta from previous displayed frame: 0.006861000 seconds]
-[Time since reference or first frame: 0.613985000 seconds] //#此包与第一帧的时间间隔

-Frame Number: 5 //帧序号
-Frame Length: 66 bytes (528 bits) //帧长度
-Capture Length: 66 bytes (528 bits) //捕获字节长度
-[Frame is marked: False] //是否做了标记
-[Frame is ignored: False] //是否被忽略
-[Protocols in frame: eth:ethertype:ip:tcp] //帧内封装的协议层次结构
-[Coloring Rule Name: HTTP] //着色标记的协议名称
-[Coloring Rule String: http || tcp.port == 80 || http2] //着色规则显示的字符串

数据链路层以太网帧头信息解析,及注释如下。
-Ethernet II, Src: Vmware_e6:9e:37 (00:0c:29:e6:9e:37),
Dst: WistronI_b6:5d:15 (3c:97:0e:b6:5d:15)

  • Destination: WistronI_b6:5d:15 (3c:97:0e:b6:5d:15) //目的MAC地址
  • Source: Vmware_e6:9e:37 (00:0c:29:e6:9e:37)//源MAC地址
  • Type: IPv4 (0x0800) //0x0800表示使用IP协议
    网络层IP包头部信息解析,及注释如下。
    Internet Protocol Version 4, Src: 10.0.36.199, Dst: 10.0.36.250
    0100 … = Version: 4 //IPV4协议
    … 0101 = Header Length: 20 bytes (5) //包头长度

-Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
//差分服务字段
-Total Length: 52 //IP包总长度
-Identification: 0x3849 (14409) //标识字段
-Flags: 0x02 (Don’t Fragment) //标记字段
-Fragment offset: 0 //分段偏移量
-Time to live: 128 //生存期TTL
-Protocol: TCP (6) //此包内封装的上层协议为TCP
-Header checksum: 0xd100 [validation disabled] //头部数据的校验和
-[Header checksum status: Unverified] //头部数据校验状态
-Source: 10.0.36.199 //源IP地址
-Destination: 10.0.36.250 //目的IP地址
-[Source GeoIP: Unknown] //基于地理位置的IP
-[Destination GeoIP: Unknown]

传输层TCP数据段头部信息解析,及注释如下。
Transmission Control Protocol, Src Port: 60606, Dst Port: 80, Seq: 0, Len: 0

-Source Port: 60606 //源端口号(ecbe)
-Destination Port: 80 //目的端口号(0050)
-[Stream index: 0]
-[TCP Segment Len: 0]
-Sequence number: 0 (relative sequence number) //序列号(相对序列号)(四个字节fd 3e dd a2)
-Acknowledgment number: 0 //确认号(四个字节00 00 00 00)
-Header Length: 32 bytes //头部长度(0x80)
-Flags: 0x002 (SYN) //TCP标记字段
-Window size value: 8192 //流量控制的窗口大小(20 00)
-[Calculated window size: 8192]
-Checksum: 0x97ad [unverified] //数据段的校验和(97 ad)
-[Checksum Status: Unverified]
-Urgent pointer: 0 //紧急指针(00 00)
-Options: (12 bytes), Maximum segment size, No-Operation (NOP), Window scale, No-Operation (NOP), No-Operation (NOP), SACK permitted //选项(可变长度)
UDP数据段头部信息,及注释如下。
User Datagram Protocol, Src Port: 7273, Dst Port: 15030
-Source Port: 7273 //源端口(1c 69)
-Destination Port: 15030 //目的端口(3a 6b)
-Length: 1410 //长度(05 82)
-Checksum: 0xd729 [unverified] //校验和(d7 29)
-[Checksum Status: Unverified]
-[Stream index: 6335]

anton_99
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【006】 Wireshark抓包内容:中文名为“.....“及如何查看真实的报文内容
专注【PostgreSQL源码学习&研究】
04-18 7430
1.本次项目中,进程服务是放到容器环境里,当webserver模块向存储模块发起一个请求的时候,发现存储响应的报文内容不正确。所谓“不正确”,即抓包看到的响应报文中,其所有的中文名都显示不出来,为:“name”:"…"等形式,而且后面该中文名后面的报文也给忽略掉了。但是我发出去的报文中,log日志打印,是没有问题的。如下: 而抓包看到的报文内容却是这样的,如下图所示: Wirshark抓包报文...
【计算机网络实验】实验四 TCP/UDP协议分析
m0_61709053的博客
12-13 4147
图 1 第一次握手第一次握手:客户端将标志位SYN置为1,随机产生一个值,并将该数据包发送给服务器,等待服务器确认;图 2 第二次握手第二次握手:服务器收到数据包后由标志位SYN = 1,直到客户端请求建立连接,服务器将标志位SYN和ACK都置为1,随机产生一个值,并将该数据包发送给客户端以确认连接请求;图 3第三次握手第三次握手:客户端收到确认后,检查 ACK是否为X + 1= 1,如果正确则将标志位ACK置为1,并将该数据包发送给服务器,服务器检查。
wireshark详细图文介绍
qq_36973999的博客
07-03 1267
一。我在windows系统中使用Wireshark的,首先熟悉一下界面,图1是使用Wireshark打开google.cap文件的界面。 图1 Wireshark界面 图1中标注出三快区域,R1区域用来显示简单的数据包信息,我们用tcpdump抓包的时候,默认情况下也是显示成这样的;R2区域用来显示选中的数据包的详细信息,细心一点会发现他是按照TCP/IP四层结构显示的,第一行是数据...
WireShark详解
koooooooo5的博客
03-19 986
WireShark介绍及使用Wireshark介绍Wireshark使用一、基础数据说明二、指定数据包过滤Wireshark安装 Wireshark介绍 Wireshark是一款可以运行在多平台的网络抓包工具,可以嗅探通过本机网卡的各类网络包,并对它们的协议,源、目标地址等多种数据进行解析。 Wireshark使用 一、基础数据说明 下图为Wireshark中一个普通数据包的显示内容 数据包显示五层信息 (1)Frame: 物理层的数据帧概况 (2)Ethernet II: 数据链路层以太网帧头部
Wireshark的使用
m0_60466340的博客
10-11 315
ping发出了什么报文 打开wireshark之后,在cmd输入ping www.bilibili.com ping成功之后可以看到wireshark显示有一个ping请求的信息,可以看出ping发送的是ICMP协议Echo报文 查看网站是否为明文传输 先ping要查询的网站查看IP地址 打开wireshark之后,登录该网站,用wireshark找到目标地址为该网站IP地址的数据包 点开一个看详细信息可以看到用户名为15555555,密码为ffffff。可以看出显示方式为明文。 ..
wireshark抓包分析数据怎么看 wireshark使用教程_wireshark怎么看
qq194582923的博客
04-27 3166
TCP包的具体内容从下图可以看到wireshark捕获到的TCP包中的每个字段。Wireshark过滤器设置初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。(1)抓包过滤器捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。如何使用wireshark?可以在抓取数据包前设置如下。
解析TRDP报文的Wireshark应用程序
04-12
6. **利用专家信息**: Wireshark的“专家信息”功能能指出可能存在的问题,比如错误、警告或提示。这对于识别和解决问题非常有帮助。 7. **导出和分析结果**: 完成分析后,你可以选择保存捕获的数据包以便后续查看...
Wireshark分析协议数据包
10-11
Wireshark是一款强大的网络协议分析工具,用于捕获和显示网络封包的详细信息,它可以帮助网络管理员、开发者以及安全专家深入理解网络通信的过程。在Wireshark中,我们可以分析多种协议的数据包,包括IP、UDP、TCP、...
wireshark监听分析MSTP.zip
11-17
如果你的设备通过以太网连接,Wireshark显示所有可用的网络接口供你选择。 开始捕获后,BACnet设备上的MSTP通信会被记录下来。"mstpcap.txt"文件可能包含已经捕获的数据包,可以导入Wireshark进行分析。点击"File...
wireshark源码
06-10
另外,如果"信息(INFO)"列已显示,我们就将它的内容清除。 至此我们已经准备好一个可以编译和安装的基本解析器。不过它目前只能识别和标示协议。 为了编译解析器并创建插件,还需要在解析器代码文件"packet-rdp.c...
wireshark中获取h264裸码流
05-22
3. **Wireshark显示过滤器** 要查看H264数据,可以使用显示过滤器如`rtp`或`udp.port == 5004`(假设H264流在5004端口上)。这将显示与RTP相关的所有包,你可以通过“Payload”或“Raw”视图查看H264码流。 4. *...
wireshark显示过滤器语法实例分析
tecoes的博客
04-13 1063
Wireshark显示过滤器语法使用例子分析 1.过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.srceq192.168.1.107orip.dsteq192.168.1.107 或者 ip.addreq192.168.1.107//都能显示来源IP和目标IP 提示: 在Filter编辑框中,收入过虑规则时,如果语法有误,框会显红色,如正确,会是绿色。 ...
wireshark抓包新手使用教程
Tracey_YAN的博客
09-18 4382
wireshark抓包新手使用教程 Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程各种问题定位。 Wireshark 开始抓包示例 先介绍一个使用wireshark工具抓取ping命令操作的示例, 1、打开wireshark 2.6.5,主界面如下: 2、选择菜单栏上抓包-
wireshark显示过滤器使用技巧
孤的博客
11-07 4307
在使用wireshark的过程中,因为要在大量的包中找到自已要的包,所有显示过滤器的使用时必不可少的。在使用中,个人总结一些小技巧。 显示过滤器使用的常用语法: 协议 . 字段 == 值 (或者某个范围) 1. 要过滤出在frame协议中frame number字段中小于60的包,如下 语法: frame.number < 60 2.如要找出udp协议中源端口小于1000的。 语...
封包分析2
weixin_30287169的博客
12-12 265
经过前一章的讲解,相信对封包有了粗略的了解,这一章是要分析封包,其实封包的拦截不是很宽难,难就难在封包的分析上,从习惯上来说,大家都习惯辨认10进制的东西,对16进制,实在是不习惯,没关系,我们会让大家逐渐习惯的!如果大家愿意更好地掌握16进制,强烈建议大家手里拿一张Asic II码对照表,这样可以方便大家学习,不仅可以反查,而且可以顺查!方便多了!前一节,我们把网线拔了,先在查上吧,难题要来了!...
Wireshark网络封包分析
Naive的博客
04-05 1429
Wireshark是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口(现在普遍使用的是Npcap),直接与网卡进行数据报文交换。Npcap是一个网络数据包抓包工具,是WinPcap的改进版;它支持NDIS6技术、“只允许管理员Administrator”访问Npcap、与WinPcap兼容或并存两种模式;支持Windows平台的回环数据包采集和发送。菜单栏:用于调试、配置。
Fiddler - -查看并操作数据包
Kevin's Blog
03-27 3161
文章目录一、查看网络流量(查看抓包情况)二、检查网络流量(检查抓包详情)2.1 查看web会话统计信息2.2 查看web会话内容2.3 可视化会话转移时间轴2.3 快捷键2.4 其它操作2.4.1 抓取上/下行数据包 一、查看网络流量(查看抓包情况) 正常配置代理、勾选文件>捕获通信并且在工具>选项>连接勾选允许远程计算机连接后(允许远程计算机将信息路由通过Fildder)在会...
Wireshark抓包语句、抓包分析及校验和计算
Chenhui的博客
12-23 9869
文章目录一. Wireshark下载二. Wireshark抓取数据包1.抓取数据包2.常见的抓包过滤语句1. 过滤IP2.过滤端口3.过滤协议4.过滤MAC地址5.http模式过滤三.对数据包分析1. 物理层数据帧的分析2.数据链路层以太网帧头部信息3.网络层IP数据包头部信息4.传输层TCP数据段头部信息四. IP校验和计算 一. Wireshark下载 WireShark官网链接:https://www.wireshark.org/ 在官网的下载页面选择相应的下载文件进行下载,然后安装。  
抓包与分析
热门推荐
YQ15161839467的博客
11-14 1万+
(一)作业目的 (1)了解网络通信的分层实现过程,了解不同层次 PDU 的逐层封装与解封过程; (2)了解数据通信的过程,进一步认知协议的构成与通信过程,进而对 TCP/IP 分层体系结构有更深刻的了解。 (二)作业内容 1. 在局域网范围内从协议层面分析 ping 命令的执行过程,包括所使用协议, 以及不同层级的数据包封装与解封的过程。 2. 访问 www.ujs.edu.cn 网站,分析其中所使用的协议,以及数据包的逐层封 装与解封过程。 3. 思考在数据
如何解读Wireshark显示的网络数据包信息
最新发布
06-08
Wireshark是一个强大的网络协议分析工具,它允许用户实时捕获、查看和分析计算机网络中的数据包。在Wireshark中,你可以看到详细的网络通信信息,包括源IP地址、目标IP地址、端口号、协议类型、数据内容等。以下是解读Wireshark数据包信息的一些关键步骤: 1. **启动Wireshark**:首先,安装并运行Wireshark,通常情况下,你需要选择“开始捕获”或点击“Capture”按钮。 2. **设置过滤器**:如果网络流量很大,可以使用过滤器(Filter)来聚焦于特定的协议、源或目标IP,端口等,以简化分析。 3. **观察数据包摘要**:每个数据包旁边会有基本信息,如时间戳、协议类型、源和目标地址,以及数据包的大小。 4. **查看协议解析**:单击数据包,Wireshark显示该数据包的详细信息,包括封装的协议栈(如TCP/IP)、TCP/UDP连接状态、HTTP请求/响应头、DNS查询等。 5. **检查数据流**:对于文本协议(如HTTP、SMTP),Wireshark会尝试解码并显示易于阅读的内容;对于二进制数据,可能会看到十六进制表示的原始字节。 6. **分析报文细节**:注意查看“应用数据”部分,这可能包含用户数据,比如在HTTP中是请求正文,在FTP中可能是文件名。 7. **跟踪会话**:对连续的数据包进行追踪,可以理解完整的交互过程,如登录、传输文件、消息发送等。 8. **注释和搜索**:Wireshark允许添加注释来标记重要事件,也可以使用搜索功能快速查找特定关键词。 9. **使用统计信息**:底部的统计信息可以提供关于捕获的整体视图,如总数据量、不同协议的数量等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值