图解Wireshark协议分析实例

最新推荐文章于 2025-03-21 15:30:43 发布
最新推荐文章于 2025-03-21 15:30:43 发布
阅读量7.9k 收藏 10
点赞数 2
分类专栏: 协议分析和开发 文章标签: wireshark 协议分析 mptcp skype
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bcbobo21cn/article/details/51454170
版权

分析实例来自于

https://wiki.wireshark.org/SampleCaptures

一 MPTCP协议相关分析

文件iperf-mptcp-0-0.pcap,打开文件;

 

MPTCP,全称Multipath TCP,多径TCP。MPTCP协议是一种利用多条路径并发传输的传输层协议,可以提高端到端的吞吐率,增加网络利用率。
IPv6到来的时候,主机的多地址(Multihome)将会变得越来越普及。即使是广泛使用的IPv4,Multihome host也越来越多了。从数据中心Fat-tree网络架构下的服务器到具有Wifi/3G/Bluetooth多连接的智能手机,都是多宿主机。但传统的TCP并不能同时利用这些连接资源,因此要么使用2层的bond/trunk功能,要么只能建多条4层TCP连接,而MPTCP则可以为用户提供透明的多路径利用能力。

协议分层功能能看到捕获数据中的协议包含层次情况;本捕获文件的最外层协议是PPP;

文件的详细信息,包的数量等等;

各种协议的对话情况;下二图是IPv4和TCP的对话情况;

 

不同协议的端点情况统计;

不同长度的包的分配情况;

在那个时刻捕获了多少包;

可以显示http协议的情况,此捕获文件中不包含http协议;

各个协议的具体情况;

除了支持计算机网通信协议,对电话通信的协议分析也支持;

自带的显示过滤器;

仅看ipv6协议包的情况;

看一个具体的包,125号,该包是一个数据包,捕获信息显示其数据部分长1428bytes。

二 Skype协议的分析

实例文件,SkypeIRC.cap

协议层次情况;这是一个局域网内的会话,最外层为Ethernet;在UDP中包括H.248,查询了域名(DNS);

H.248协议是2000年由ITU-T(International Telecommunication Union - Telecommunication Standardization Sector,国际电信联盟-电信标准部)第16工作组提出的媒体网关控制协议,它是在早期的MGCP(Media Gateway Control Protocol,媒体网关控制协议)协议基础上改进而成。H.248协议是用于连接MGC(Media Gateway Controller,媒体网关控制器)与MG(Media Gateway,媒体网关)的网关控制协议,应用于媒体网关与软交换之间及软交换与H.248终端之间,是软交换应支持的重要协议。

TCP中包含IRC,

IRC是Internet Relay Chat 的英文缩写,中文一般称为互联网中继聊天。它是一种网络聊天协议。IRC的工作原理,您只要在自己的PC上运行客户端软件,然后通过因特网以IRC协议连接到一台IRC服务器上即可。它的特点是速度非常之快,聊天时几乎没有延迟的现象,并且只占用很小的带宽资源。所有用户可以在一个被称为\"Channel\"(频道)的地方就某一话题进行交谈或密谈。每个IRC的使用者都有一个Nickname(昵称)。

 

Skype是基于P2P 技术的VoIP客户端,用户可以通过Skype通过互联网进行语音和文本的传输。 Skype的通讯协议是不公开的,而且通讯内容是加过密的,哥伦比亚大学的Baset和Schulzrinne完全在实验的基础上对Skype的通讯机制 进行分析,通过分析得出的结论主要有三个:
   (1)Skype的通话质量较MSN和Yahoo的即时通信工具要好;
  (2)可以无缝的在NATs和防火墙后使用;
  (3)安装使用起来非常简单。

 

等,还有其他协议;

看82号包,是一个IRC包,应该是一个包含聊天内容的包;

 

一站式讲解Wireshark网络抓包分析的若干场景、过滤条件及分析方法
dvlinker的技术专栏
10-17 4万+
本文详细讲解常用的抓包工具、抓包分析的网络场景、分析抓包时的多种过滤条件以及如何结合常用的协议分析排查问题,给大家提供一个借鉴或参考。
wireshark图解、过滤器使用
lgstudyvc的专栏
08-19 3149
------------ wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。   wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,
Wireshark 比较skype视频发送接收端是否有丢包
weixin_30826095的博客
09-15 187
过滤规则 ip.src ==192.168.1.107 and ip.dst==192.168.1.110 Internet Protocol, Src: 192.168.1.110 (192.168.1.110), Dst: 125.43.12.30 (125.43.12.30) 这一层有一个字段Identification: 0x7f5f (32607) ,身份标识. 两...
WireShark案例分析
Libra_Ng
11-22 2919
路由器错配故障分析 故障现象 服务器A,B共处于同一个子网内,会出现A可以和B通信,而B有时却不能和A通信,经检查发现在子网掩码配置时,两个服务器为下图所示: 网络中主机之间的基本通信可以分为两种类型: 同一网络内主机间的通信:数据可以直接发送给对方,不需借助网关. 不同网络之间的主机通信:数据必须先发送给网关,然后再通过网关转发给对方. 故障分析 从A到B的通信:A的子网掩码255.255....
Wireshark网络抓包分析使用详解
最新发布
2501_91093988的博客
03-21 2487
是 Hyper-V 虚拟化环境创建的默认交换机接口,IP 地址 172.19.176.1,通常是 Hyper-V 虚拟网络的默认子网,用于捕获 Hyper-V 虚拟机与主机或网络之间的通信流量。”是 WSL 创建的虚拟网络接口,用于连接 WSL 环境与主机网络并监控 WSL 应用产生的流量,IP 地址为 172.17.128.1,这通常是 WSL 的虚拟网络子网范围。使用的环境大致分为两种,一种是电脑直连网络的单机环境,另外一种就是应用比较多的即连接交换机的网络环境。
Wireshark协议分析从入门到精通
王温暖的博客
01-19 661
https://edu.51cto.com/course/3721.html
Wireshark协议分析从入门到精通》
ikwen的博客
06-29 1164
http://edu.51cto.com/center/course/lesson/index?id=62643《Wireshark协议分析从入门到精通》
WireShark使用实例
_LsOutLook
04-13 651
首先更改两个虚拟机的网络连接方式 在Target机上,侦听333端口 nc -lp 333 -c bash 简单解释一下这条命令,在Target机上用侦听333端口,如果建立连接那么将Target机的shell传给主动建立连接的机器 在我的另一台机器中,启动wireshark开始抓包 在这台机器中,主动连接Target的333端口,命令如下: nc -nv 192.168.x.y...
wireshark常见使用操作讲解以及几个故障解决案例分享
qq_23930765的博客
02-28 4948
问题解决:把端口映射配置删除掉,重新配置了一次,问题解决,映射生效,可以正常的建立三次握手建立TCP连接了,如果实际中重新配置还是没用,还可以在服务器端口开启wireshark的抓包,匹配客户端过来的地址,看是否有收到,如果没收到,正面对方流量没过来,可能是运营商过滤了,或者路由器收到没有转发。实际中,可能会遇到这样的情况,Ping对方是通的,但是访问具体的业务却不通,在无法定位的时候,wireshark可以帮忙缩短这些可能性的范围。192.168.1.1,则匹配出192.168.1.1的信息。
图解USB协议之二:数据包分析
12-05
#### 二、USB传输包组(事务)实例分析 接下来,我们将通过具体的实例来深入分析USB数据包组的构成及其作用。 **1. IN包组分析** IN包组主要用于从设备读取数据。下面是一些典型的IN包组实例: - **Index[691]**...
网络协议分析精通:CTF中Wireshark的有效运用技巧
![网络协议分析精通:CTF中...本文旨在详细介绍网络协议分析的基础知识,以及Wireshark这款网络分析工具的功能和应用。首先介绍了Wireshark的基本使用方法和数据包捕获过滤技术。随后深入探讨了Wireshark的高级
Wireshark从入门到精通》抓包协议分析视频下.rar
08-11
01 Wireshark协议分析从入门到精通课程介绍avi 11.1 Wireshark安装入门之软件介绍avi 1.1.2 Wireshark安装入门之抓包原理,av 11.3 WireShark安装入门之初始安装av 114 Wire Shark安装入门之快速抓包.avi 115 Wireshark安装入门之界面介绍avi 1.2.1 Wireshark进阶调试之显示界面设置.av 1.2.2 Wireshark进阶调试之数据包操作,avi 1.2.3 Wireshark进阶调试之首选项设置.avi 1.2.4 Wireshark进阶调试之抓包选项设置.avi 1.25.1 Wireshark进阶调试-抓包过滤器设置avi 1.25.2 Wireshark进阶调试-显示过滤器设置.av 13. Wireshark高级功能之数据流追踪.avi 14 Wireshark高级功能之专家信息说明mp4 15 Wireshark高级功能之统计摘要说明.mp4 16. Wireshark高级功能之协议分层统计mp4 17 Wireshark高级功能之网络节点和会话统计mp4 18 Wireshark高级功能之数据包长度统计mp4 19 Wireshark高级功能之图表分析 -I0 Graph. mp4 20. Wireshark高级功能之图标分析- Flow Gragh.mp4
Wireshark从入门到精通
05-14
Wireshark从入门到精通非常实用的一个教程,Wireshark是一款免费的抓包软件,可以分享网络疑难故障。网络工程师必备工具。
cip 报文 工控协议分析
12-27
用于分析工控协议cip的报文.用于学习和借鉴.网上的资源较少,故上传,用着自取.
Wireshark之IP协议分析.zip
03-11
此文件为*.pcapng格式的文件,可以直接使用Wireshark打开,内含两部分数据包,第一个是IP数据包,第二个是IP数据包分片的部分,可以直接用来进行协议分析
计算机网络五层协议——TCP协议实例图解
感谢那一段回忆里的疯狂,在我们最无谓的岁月闪着光。
03-04 5723
废话也不多说了,更多理论详情可查看:我的大学教材 谢希仁——《计算机网络》,和《TCP/IP详解》 这里主要通过抓包实际查看TCP连接的3次握手详情。在终端下执行命令:curl -XGET "cg0.me/api/ping"图1:wireshark抓包界面:如图1所示:我们开始对网络请求开始抓包分析,点击图中的追踪TCP流。 如图2所示: 图2: 图3: 图4: 简单点说:1 如图2所
Wireshark使用入门
aifeier1982的博客
06-23 582
[TOC] 1. Wireshark介绍 1.1 客户端界面 打开Wireshark后,能够看到三个区域。最上方是工具栏区域,可以开始捕获、停止捕获等操作。中间是Cpature Filter区域,能够在开始捕获前指定过滤规则。下方是可以捕获的网络设备,双击其中一个设备后就开始进行网络流量的捕获。 结果的展示主要分三个区域,最上方是请求和响应列表,每一条记录表示一次请求或响应的交互。中...
Wireshark学习笔记(二)取证分析案例详解
Zichel77的博客
06-10 3224
Wireshark信息流量分析实战
Wireshark从入门到精通(进阶篇)
wwwoshishui的博客
03-21 4232
2.1二层Ethernet、LAN交换故障分析 Ethernet发现广播及错误风暴 1.广播及错误风暴是通信网络中最难解决的故障之一 2.导致此类故障的原因有很多,比如二层环路、针对二层的攻击、网卡故障、某台主机上的某个服务持续不断向网络中发包等 3.二层丢包现象,势必会导致TCP(四层协议)重传 4.广播风暴是指在网络中传播的广播包的数量每秒高达数千乃至数万 5.一般而言,广播风暴发生之...
zynq7020裸机运行lwip协议栈,如何进入tcp_write函数调试
03-19
<think>好的,用户现在的问题是关于如何在Zynq 7020裸机环境下调试lwIP协议栈中的tcp_write函数。我需要先理清用户的需求和背景。 首先,用户提到了Zynq 7020裸机运行lwIP,这说明他们可能在嵌入式系统中使用FPGA和ARM Cortex-A9的架构,没有操作系统支持,直接跑在硬件上。这种情况下,调试手段可能比较有限,通常需要依赖JTAG、串口输出,或者一些硬件调试工具。 接下来,用户想进入tcp_write函数进行调试,可能遇到了问题,比如连接失败、发送数据出错,或者之前提到的ERR_MEM错误。他们需要具体的调试方法,可能包括设置断点、打印日志、分析内存状态等。 我需要回顾之前的历史对话,之前用户询问过tcp_write返回ERR_MEM的错误,我给出了系统性的分析和解决方案。现在的问题更偏向于调试方法,特别是在裸机环境下的具体步骤。所以需要结合之前的解决方案,补充调试的具体技术手段。 考虑到裸机调试的常见方法,首先想到的是使用JTAG调试器,比如Xilinx的SDK或Vivado自带的调试工具,设置断点,单步执行。但用户可能需要更详细的步骤,比如如何配置调试环境,需要注意哪些关键点。 另外,裸机环境下可能没有操作系统支持,因此printf输出可能需要通过串口实现,用户需要确保串口初始化正确,能够在代码中添加调试信息输出到串口终端。 还可能涉及到lwIP的配置选项,比如启用调试宏定义,调整内存池的大小,或者在代码中添加日志输出,跟踪tcp_write的调用流程和参数状态。 此外,用户可能需要检查内存分配情况,比如pbuf的申请和释放,是否存在内存泄漏或碎片,导致tcp_write无法分配足够的内存而返回错误。 还需要考虑网络连接的状态,比如TCP连接是否建立成功,窗口大小是否合理,是否有ACK未能及时收到,导致发送缓冲区满。 综合这些点,我应该分步骤给出调试方法,从硬件调试工具的使用,到软件日志的添加,再到协议栈的配置和内存分析,最后结合网络状态的监控,全面覆盖可能的调试途径。 同时,需要提醒用户注意裸机环境下的资源限制,比如堆栈大小、内存池配置,这些都可能影响lwIP的运行。如果在之前的讨论中已经调整过这些参数,可能需要再次确认当前的配置是否合适。 可能还需要检查中断处理是否正确,因为lwIP在裸机环境下通常依赖定时器中断来驱动协议栈的任务处理,比如ARP、超时重传等。如果中断处理有问题,可能导致协议栈无法正常运作,进而影响tcp_write的执行。 最后,应该给出一个系统化的调试流程,帮助用户逐步排查问题,从设置断点开始,到观察变量状态,再到分析网络数据包,确保用户能够有条理地进行调试。</think>在Zynq 7020裸机环境下调试lwIP的`tcp_write`函数,需要结合硬件调试工具和协议栈特性进行系统性分析。以下是分步调试方案: --- ### **一、调试环境搭建** #### 1. 硬件调试基础配置 ```c // 确保串口调试通道已启用(用于打印日志) void uart_init() { XUartPs_Config *config = XUartPs_LookupConfig(XPAR_XUARTPS_0_DEVICE_ID); XUartPs_CfgInitialize(&uart_inst, config, config->BaseAddress); XUartPs_SetBaudRate(&uart_inst, 115200); // 波特率匹配调试终端 } ``` #### 2. lwIP调试宏启用 ```c // 在lwipopts.h中开启关键调试选项 #define LWIP_DEBUG 1 // 全局调试开关 #define TCP_DEBUG LWIP_DBG_ON // TCP层调试 #define PBUF_DEBUG LWIP_DBG_ON // 内存分配跟踪 #define TCP_INPUT_DEBUG LWIP_DBG_ON // 输入数据处理日志 ``` --- ### **二、断点调试法** #### 1. Vivado硬件调试器配置 ```bash # 在Xilinx SDK中操作: 1. 创建Debug Configuration -> 选择Zynq硬件 2. 在"Application"选项卡加载ELF文件 3. 设置断点:右键点击tcp_write函数入口 -> Toggle Breakpoint ``` #### 2. 关键参数观察窗口 当断点触发时,在调试器中监控以下关键寄存器/变量: | 观察对象 | 作用 | 典型值示例 | |----------------------|-----------------------------------|------------------| | pcb->snd_buf | 发送缓冲区剩余空间 | 0表示缓冲区满 | | pcb->snd_queuelen | 当前发送队列长度 | 超过配置值会阻塞 | | pcb->state | TCP连接状态 | ESTABLISHED=4 | | pcb->snd_wnd | 接收方通告窗口大小 | 0时触发等待 | | p->ref | pbuf引用计数 | 非0表示内存被占用| --- ### **三、动态日志追踪** #### 1. 定制调试输出 ```c // 在tcp_out.c中添加专用调试代码 err_t tcp_write(struct tcp_pcb *pcb, const void *arg, u16_t len, u8_t apiflags) { LWIP_DEBUGF(TCP_DEBUG, ("[TCP_Write] Entry: pcb=%p len=%d flags=0x%x\n", pcb, len, apiflags)); /* 发送缓冲区状态实时打印 */ printf("snd_buf: %d, snd_queuelen: %d\n", tcp_sndbuf(pcb), pcb->snd_queuelen); if (pcb->snd_queuelen >= pcb->snd_queuelen_max) { LWIP_DEBUGF(TCP_DEBUG, ("[TCP_Write] Queue overflow!\n")); } // ...原函数逻辑... } ``` #### 2. 关键错误码拦截 ```c // 在调用tcp_write后添加错误处理 err_t err = tcp_write(pcb, data, len, 0); if (err != ERR_OK) { printf("TCP Write Error: %d - ", err); switch(err) { case ERR_MEM: printf("Memory exhausted\n"); break; case ERR_CONN: printf("Connection closed\n"); break; case ERR_VAL: printf("Invalid parameters\n"); break; default: printf("Unknown error\n"); } // 打印协议栈内部状态 tcp_debug_print_pcb(pcb); } ``` --- ### **四、内存状态分析** #### 1. PBUF池监控 ```c // 在应用层添加内存统计输出 void print_mem_stats() { printf("PBUF Pool: free/%d, used/%d\n", memp_pools[MEMP_PBUF_POOL]->stats->avail, memp_pools[MEMP_PBUF_POOL]->stats->used); } // 在tcp_write调用前后调用该函数 ``` #### 2. 内存泄漏检测 ```c // 在lwipopts.h中启用内存调试 #define MEMP_OVERFLOW_CHECK (1) // 内存越界检测 #define MEMP_STATS (1) // 内存统计 #define LWIP_STATS (1) // 全局统计 #define LWIP_STATS_DISPLAY (1) // 统计信息显示 ``` --- ### **五、网络流量抓取** #### 1. 硬件级抓包 ```bash # 使用Wireshark+以太网调试器(如J-Link Trace): 1. 连接开发板ETH接口到PC的USB转以太网适配器 2. 在Wireshark中过滤目标IP:ip.dst == 192.168.1.100 3. 观察TCP序列号(seq)和窗口大小(win)变化 ``` #### 2. 协议栈内部数据流可视化 ```c // 添加数据包标记代码 void tcp_write_debug(struct tcp_pcb *pcb, const void *data, u16_t len) { static uint32_t packet_counter = 0; printf(">> Sending Packet #%d, Len=%d\n", ++packet_counter, len); hexdump(data, len); // 自定义十六进制打印函数 tcp_write(pcb, data, len, 0); } ``` --- ### **六、典型调试场景** #### 场景1:阻塞在tcp_write入口 - **现象**:程序卡在`tcp_write`函数入口 - **诊断步骤**: 1. 检查`pcb->state`是否为`ESTABLISHED` 2. 确认`tcp_sndbuf(pcb)`返回值是否大于0 3. 验证数据指针`arg`是否指向有效内存区域 #### 场景2:间歇性返回ERR_MEM - **调试流程**: 1. 在`tcp_output`函数后添加延迟: ```c tcp_output(pcb); usleep(1000); // 人为制造发送间隔 ``` 2. 监控`pcb->snd_queuelen`变化趋势 3. 检查`MEMP_NUM_TCP_SEG`配置是否过小 --- ### **七、调试优化技巧** 1. **时序敏感问题捕捉**: ```c // 在中断服务例程(ISR)中添加时间戳标记 uint32_t get_timestamp() { return *((volatile uint32_t*)0xE0001004); // 读取Zynq全局定时器 } ``` 2. **发送速率可视化**: ```c // 统计每秒发送量 static uint32_t last_time = 0, bytes_sent = 0; uint32_t now = get_timestamp(); if (now - last_time >= 1000000) { // 1秒间隔 printf("TX Rate: %d KB/s\n", bytes_sent / 1024); bytes_sent = 0; last_time = now; } bytes_sent += len; ``` 3. **关键断点条件设置**: ```bash # 在GDB中设置条件断点 (gdb) break tcp_out.c:1234 if pcb->snd_buf < 512 (gdb) commands > print pcb->snd_wnd > print pcb->state > continue > end ``` --- ### **调试流程图解** ``` 开始调试 │ ˅ [检查物理连接]→ETH灯是否亮?─否→检查PHY配置 │ 是 ˅ [验证TCP状态]→pcb->state == ESTABLISHED?─否→检查三次握手 │ 是 ˅ [监控发送窗口]→tcp_sndbuf() > 0?─否→等待窗口更新 │ 是 ˅ [检查内存池]→memp_pools[MEMP_PBUF_POOL].avail >0?─否→增大PBUF_POOL_SIZE │ 是 ˅ [单步执行]→观察数据拷贝路径 │ ˅ [触发tcp_output]→验证数据包实际发送 │ ˅ [Wireshark验证]→确认数据到达对端 ``` 通过上述方法,可以系统性地定位`tcp_write`函数相关问题。对于Zynq 7020平台,要特别注意**DMA缓冲区对齐**要求和**Cache一致性**问题(建议在数据操作前后使用`Xil_DCacheFlush()`)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值