Wireshark
数据分析操作实验英汉对照
在
Wireshark
界面上展开第
1
号数据帧的英文解释
Wireshark
可以将从网络捕获到的二进制数据按照不同的协议包结构规范,翻译解释为人们可以读懂
的英文信息,并
显示在主界面的中部窗格中。为了帮助大家在网络安全与管理的数据分析中,迅速理解
Wireshark
显示的捕获数据帧内的英文信息,
特做如下中文的翻译解
释。
本页内容请参看教材中
Wireshark
的界面图
1.19
,
图
1.25
,
图
3.16
,
图
7.11
等,
以及以太帧结构图
3.2
,
IP
包结构图
4.15
等
的介绍。
Wireshark
显示的下面这些数据信息的顺序与各数据包内各字段的顺序相同,其他帧的内容展开与此类似。
帧号
时间
源地址
目的地址
高层协议
包内信息概况
No. Time Source Destination Protocol Info
1 0.000000 202.203.44.225 202.203.208.32 TCP 2764 > http [SYN] Seq=0 Len=0
MSS=1460
源端口
>
目的端口
[
请
求建立
TCP
链接
]
以下为物理层的数据帧概况
Frame 1 (62 bytes on wire, 62 bytes captured)
1
号帧,线路
62
字节,实际捕获
62
字节
Arrival Time: Jan 21, 2008 15:17:33.910261000
捕获日期和时间
[Time delta from previous packet:0.00000 seconds]
此包与前一包
的时间间隔
[Time since reference or first frame: 0.00 seconds]
此包与第
1
帧的间隔时间
Frame Number: 1
帧序号
Packet Length: 62 bytes
帧长度
Capture Length: 62 bytes
捕获长度
[Frame is marked: False]
此帧是否做
了标记:否
[Protocols in frame: eth:ip:tcp]
帧内封装的协议层次结构
[Coloring Rule Name: HTTP]
用不同颜色染色标记的协议名称:
HTTP
[Coloring Rule String: http || tcp.port == 80]
染色显示规则的字符串:
以下为数据链路层以太网帧头部信息
Ethernet II, Src: AcerTech_5b:d4:61 (00:00:e2:5b:d4:61), Dst: Jetcell_e5:1d:0a
(00:d0:2b:e5:1d:0a)
以太网协议版本
II
,源地址:厂名
_
序号(网卡地址),目的:厂名
_
序号(网卡地址)
Destination: Jetcell_e5:1d:0a (00:d0:2b:e5:1d:0a)
目的:厂名
_
序号(网卡地
址)
Source: AcerTech_5b:d4:61 (00:00:e2:5b:d4:61)
源:厂名
_
序号(网卡地址)
Type: IP (0x0800)
帧内封装的上层协议类型为
IP
(十六进制码
0800
)看教材
70
页图
3.2
以下为互联网层
IP
包头部信息
Internet Protocol, Src: 202.203.44.225 (202.203.44.225), Dst: 202.203.208.32
(202.203.208.32)
互联网协议,源
IP
地址,目的
IP
地址
Version: 4
互联网协议
IPv4
(此部分参看教材
119
页图
4.15
的
IPv4
数据报字段结构)
Header length: 20 bytes
IP
包头部长度
Differentiated Services Field:0x00(DSCP 0x00:Default;ECN:0x00)
差分
服务字段
Total Length: 48
IP
包的总长度
Identification:0x8360 (33632)
标志字段
Flags:
标
记字段(在路由传输时,是否允许将此
IP
包分段,教材
125
页)
Fragment offset: 0
分段偏移量(将一个
IP
包分段后传输时,本段的标识)
Time to live: 128
生存期
TTL
Protocol: TCP (0x06)
此包内封装的上层协议为
TCP
Header checksum: 0xe4ce [correct]
头部数据的校验和
Source: 202.203.44.225 (202.203.44.225)
源
IP
地址
Destination: 202.203.208.32 (202.203.208.32)
目的
IP
地址
以下为传输层
TCP
数据段头部信息
Transmission Control Protocol, Src Port: 2764 (2764), Dst Port: http (80), Seq: 0, Len:
0
传输控制协议
TCP
的内容
Source port: 2764 (2764
)
源端口
名称(端口号)(此部分参看教材
149
页图
5.7
)
Destination port: http (80)
目的端口名
http
(端口号
80
)
Sequence number: 0 (relative sequence number)
序列号(相对
序列号)
Header length: 28 bytes
头部长度
Flags: 0x02 (SYN)
TCP
标记字段(本字段是
SYN
,是请求建立
TCP
连接)
Window size: 65535
流量控制的窗口大小
Checksum: 0xf73b [correct]
TCP
数据段的校验和
Options: (8 bytes)
可选项
抓
包工具
Ethereal
(现在叫
WireShark
)的简单使用。
使用的目的就是为了抓取一下
http
包,看看服务端的重定向目的。
下载了
Ethereal 0.99.0
这个东西以前在开发协议栈的时候用过,非常不错的
软件。
安装,并且在安装过程中,提示要安装
WinCap
,这个是要安装的,应该是抓包
需要的插件吧。
打开软件,选择:
capture->options
,在
interface
中选择一个网卡,并且在
capture filter
中增加一个过滤器,就可以了。
常用的过滤器就是
host + ip
,可以抓与指定
ip
通信的包,是我最常用的。
然后
start
,就开始抓包了。
抓到了包之后,是二进制的,在包上面点击右键选择
Follow TCP Stream
,就
可以看到
http
包了。
里面红色的是发出的请求,篮色的是响应。
ok
,大功告成。
使用
Wireshark
来检测一次
HTTP
连接过程
2007
年
12
月
20
日
星期四
下午
10:15
作者:老王
Wireshark
是一个类似
tcpdump
的嗅探软件,界面更人性化一些,今天我用它来
检测一次
HTTP
连接过程。
安装好之后,先配置一下,选择
Capture->Options
,先设定你要嗅探的网络接
口,
然后在
Capture
Filter
里输入
tcp
port
http
,说明只监听
80
端口的
tcp
请求。
设置好这些,你就可以点击
Start
开始检测了。
打开浏览器随便浏览一个网页,你就会得到类似下面的结果:
我浏览的是
的页面。这里
211.100.209.50
是浏览器,
66.249.89.147
就
是服务器。
下面具体解释一下这个
HTTP
连接过程:
--------------------------------------------------------------
浏览器向服务器发出连接请求。
服务器回应了浏览器的请求,并要求确认。
浏览器回应了服务器的确认,连接成功。
浏览器发出一个页面
HTTP
请求。
服务器数确认。
服务器发送据。
客户端确认。
服务器响应了一个
200
状态,表示成功。
客户端发出一个图片
HTTP
请求。
服务器响应了一个
304HTTP
头,告诉浏览器别打扰它,直接用缓存。
客户端又发出一个图片
HTTP
请求。
服务器还是响应了一个
304HTTP
头。
浏览器确认。
服务器准备关闭连接,并要求确认。
浏览器确认。
浏览器准备关闭连接,并要求确认。
服务器确认。
--------------------------------------------------------------
其中包含了我们常说的
TCP
三次握手的过程。
当“服务器回应了浏览器的请求,并要求确认”的时候,
如果浏览器没有正常的确认,服务器就会在
SYN_RECV
状态等下去,直到超时。
如果恶意程序伪造了大量类似的请求,那就是常说的
SYN
洪水攻击了。