wireshark抓包工具基本使用

最新推荐文章于 2025-03-21 15:30:43 发布
最新推荐文章于 2025-03-21 15:30:43 发布
阅读量4.4k 收藏 19
点赞数 5
分类专栏: 运维 通信协议 文章标签: 网络 tcp/ip udp
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/h4241778/article/details/125930629
版权
本文详细介绍了如何使用Wireshark监控网络数据,从搭建本地监听端口,选择网络接口,到添加过滤器,解读TCP三次握手过程,展示了数据帧的各个层级信息。通过实例解析,帮助读者理解网络封包结构和协议工作原理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

功能介绍

1 搭建本地监控端口

2 选择网络接口

3 添加过滤器

4 接收数据格式

5 数据包含义

5.1 物理层数据帧概况

5.2 数据链路层以太网帧头部信息

5.3 互联网层ip包头部信息

5.4 传输层tcp数据段头部信息

6 结合抓包数据分析tcp三次握手过程

6.1 TCP三次过程

6.2 tcp 报文内容

6.3 数据帧类型

6.4 三次握手数据帧

功能介绍

                               

  wireshark是用来获取网络数据封包,可以截取各种网络封包,显示网络封包的详细信息,包括http,TCP,UDP,等网络协议包。注:wireshark只能查看封包,而不能修改封包的内容,或者发送封包。

1 搭建本地监控端口

本地开启tcp server 端口8887;本地开启tcp client去连接。

2 选择网络接口

 捕获网络 选择接口Adapter for loopback traffic capture,如下图所示

3 添加过滤器

添加过滤器 tcp.port ==8887,如下图所示。

其他过滤器:

        tcp->只显示TCP协议的记录;

    http->只看HTTP协议的记录;

    ip.src ==192.168.1.102 ->显示源地址为192.168.1.102的记录;

    ip.dst==192.168.1.102 ->目标地址为192.168.1.10的记录;

    ip.addr == 42.121.252.58 ->只显示与某主机的通信;

    tcp.port ==80->端口为80的;

    tcp.srcport == 80 ->只显示TCP协议的源端口为80的;

    http.request.method=="GET"  ->只显示HTTP GET方法的;

    

4 接收数据格式

接收数据展示,发送接收123456789报文如下图所示

ASII码值显示

5 数据包含义

封包列表(Packet List Pane)

  封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。

  这是最重要的信息,用来查看协议中的每一个字段。而OSI七层模型分别为:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。

在封包信息中,每行对应的含义及在OSI模型中的对应关系如下:

  Frame:   物理层的数据帧概况  ->对应OSI七层模型中的【物理层】

  Ethernet II: 数据链路层以太网帧头部信息  ->对应OSI七层模型中的【数据链路层】

  Internet Protocol Version 4: 互联网层IP包头部信息  ->对应OSI七层模型中的【网络层】

  Transmission Control Protocol:  传输层T的数据段头部信息,此处是TCP  ->对应OSI七层模型中的【传输层】

Hypertext Transfer Protocol:  应用层的信息,此处是HTTP协议  ->对应OSI七层模型中的【应用层】

5.1 物理层数据帧概况

5.2 数据链路层以太网帧头部信息

5.3 互联网层ip包头部信息

5.4 传输层tcp数据段头部信息

6 结合抓包数据分析tcp三次握手过程

6.1 TCP三次过程

首先要清楚TCP三次过程,如下图所示

TCP三次握手过程如下:

第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN SENT状态,等待服务器确认;SYN:即是同步序列编号(Synchronize Sequence Numbers);

第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN RECV状态;

第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED(TCP连接成功)状态,完成三次握手。

6.2 tcp 报文内容

6.3 数据帧类型

574帧是客户端向服务器发送TCP请求建立连接。标识为SYN。

619帧是服务器得到请求后向客户端回应确认包的过程。标识为SYN,ACK。

620帧是客户端回应服务器发送确认包的过程,将于服务器建立连接。标识为ACK。

663帧是客户端向服务器发送HTTP请求内容的过程。标识为GET。

667帧是服务器响应客户端请求的过程,收到请求。标识为ACK。

674帧是服务器向客户端回应内容的过程。

6.4 三次握手数据帧

 第一次握手数据包,客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接

(第一次握手)

 第二次握手的数据包,服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的ISN(初始序号)加1以.即0+1=1,如下图所示

(第二次握手)

 第三次握手的数据包,客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方。如下图所示

(第三次握手)

  以上就是 wireshark中的tcp三次握手过程。

Wireshark抓包工具使用
背锅神童的博客
07-02 340
Wireshark抓包工具使用
wireshark抓取回环地址数据报
云淡风轻
09-03 5662
简介 Npcap 是一个Windows上得报文抓取库,基于winpcap和libpcap库,改进了抓取速度,便捷性和安全性。npcap可以抓取本地报文(loopback packet),安装后会创建一个回环网卡,通过这个网卡wireshark可以和其他设备一样,抓取回环地址的报文 准备 去 https://nmap.org/npcap/下载npcap并安装 安装成功后可以看到新创建的...
手把手教你用 wireshark 抓包
MClink的博客
05-09 1万+
不少人觉得抓包是一个很高级的东西,感觉涉及到了网络的知识,相信不少从业互联网行业的人对抓包是没有概念的,做web开发的同学可能比较熟悉使用 chrome 的开发者面板来进行抓包,但是对于 wireshark 或者是 tcpdump 这类的工具却并不熟悉,本篇文章就可以让你快手上手 wireshark 的基础使用,话不多说,快来体验吧 1.下载 wireshark 软件   工欲善其事必先利其器,没有工具咋干活嘞,wireshark 的下载是十分简单的,这里我推荐使用腾讯软件中心 的安.
Wireshark网络抓包分析使用详解
最新发布
2501_91093988的博客
03-21 2420
是 Hyper-V 虚拟化环境创建的默认交换机接口,IP 地址 172.19.176.1,通常是 Hyper-V 虚拟网络的默认子网,用于捕获 Hyper-V 虚拟机与主机或网络之间的通信流量。”是 WSL 创建的虚拟网络接口,用于连接 WSL 环境与主机网络并监控 WSL 应用产生的流量,IP 地址为 172.17.128.1,这通常是 WSL 的虚拟网络子网范围。使用的环境大致分为两种,一种是电脑直连网络的单机环境,另外一种就是应用比较多的即连接交换机的网络环境。
Wireshark——捕获localhost(127.0.0.1)对应端口的数据包
计算机硕士的博客
03-06 2867
Wireshark——捕获localhost(127.0.0.1)对应端口的数据包。
Capture local packets using Wireshark 使用 wireshark 抓本地包
agathakuan的博客
10-28 1万+
一般而言 windows 系統本地到本地ip 的傳輸不會經過網卡,因此無法由 wireshark 捕捉解析,本文介紹 wireshark 同步安裝 Npcap方式,藉此loopback本地ip 到 本地ip
TCP抓包
nullganbadie的博客
11-02 1061
前言 基于VS2015写一个socket通信的Client/Server小程序,验证TCP协议的三次握手与四次挥手。 Server:监听本机的8888端口。 Client:向本机地址(127.0.0.1:8888)发送信息。 工具 Wireshark 代码 Server代码: #include <WinSock2.h> #include <iostream&gt...
Wireshark 网络抓包工具
fengyuzaitu_126_com的博客
07-06 831
1)捕获回环包(本地127.0.0.1之间的通信包) 说明默认情况下安装的Wireshark软件,无法捕获回环包(本地127.0.0.1之间的通信包),需要安装Npcap组件包。Npcap安装过程中会提示卸载WinPcap,按照操作点击确定卸载就行 下载Npcap 下载路径:Npcap: Windows Packet Capture Library & Driver (nmap.org) 下载文件:Npcap 1.31 installer 部署环境:Win10 + Wireshark32_2.4.
Wireshark抓包工具使用教程
one piece的博客
07-06 1584
WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
WireShark3.6.3抓包工具64位和32位安装包
12-08
作为一个网络嗅探器和抓包工具WireShark能够实时捕获和分析网络通信数据。用户可以利用它对各种协议进行解码,比如TCP/IP、HTTP、FTP、DNS等,从而详细了解网络传输的数据内容和结构。这对于网络问题的诊断、数据...
Wireshark 抓包 工具使用实验报告
weixin_74018987的博客
07-08 1248
在实际的报文段中序号seq是随机生成的且不能为0,但因为Wireshark的特殊处理,所以显式地序号是从0开始的远端服务器处在LISTEN监听状态,收到接请求报文段后,发回确认。在确认报文段,SYN=1,ACK=1,其确认号ack=1,自己选择的序号seq=0,主机收到确认报文段后向服务器发确认,其ACK=1,确认号ack=1,序号seq=1。在同局域网下打开另一台设备,启动一个服务器,查看局域网内的这台设备的IP地址,接下来使用 Wireshark 捕获两者之间的通讯数据包,并且进行分析。
minecraft-packet-debugger:用于捕获 Minecraft 数据包的实用程序
08-03
我的世界数据包调试器 用于捕获 Minecraft 数据包的实用程序 如何使用? 下载最新(点击) 提取存档 安装包npm install 运行本地 Minecraft 服务器 重要的! 本地服务器的版本必须与您要连接的真实服务器的版本匹配 运行node index 连接到localhost 重要的! 代理服务器的标准端口是25566 ,如果你没有在config.json改变它就连接它 设置 在config.json您可以更改一些参数: host - 要连接的服务器的 IP port - 服务器端口(默认25565 ) version - 服务器版本 proxy_port - 要连接的代理服务器端口(默认25566 ,不建议更改) local_server - 本地服务器的自动提升(默认false ) 重要的! 如果您试图捕获真实玩家的数据包,请不要启用自动本地服务器。
Wireshark抓包工具使用教程以及常用抓包规则.zip
09-16
本教程将深入探讨Wireshark使用方法及其常见的抓包规则。 首先,我们需要了解Wireshark基本界面。启动Wireshark后,你会看到一个主窗口,其中包含“捕获”、“分析”、“查看”、“编辑”和“帮助”等多个菜单...
tcpdump、Wireshark抓包分析MySQL SQL语句与事务执行
adrninistrat0r的博客
08-27 6264
使用MySQL数据库时,使用事务与不使用事务相比,出现问题时排查更复杂。不使用事务时,客户端只需要请求MySQL服务一次(只考虑显式执行的SQL语句);使用事务时,客户端至少需要请求MySQL服务四次(开启事务、执行SQL语句、提交/回滚事务、恢复自动提交)。在Java中存在一些用法会导致事务失效,有的问题比较明显可以较快定位,有的问题隐藏较深可能需要较长时间排查。因此需要对MySQL的事务执行原理进行分析,并整理用于排查事务相关问题的快速有效的方法。...
wireshark抓包简易入门_wireshark抓包新手使用教程
2501_90425258的博客
01-29 701
以太网 :直接连接网线的一般选这个WLAN : 电脑接 WiFi 的一般选这个Adapter for loopback traffic capture:: 迂回路线,就是本机自己的网络,抓的是 127.0.0.1 的包。
【毕设扫描器】【参数Fuzz】第二篇:动态爬虫的创建、启动和协程池
soldi_er的博客
04-13 1245
文章目录Crawlergo发送请求的代码节点设置代理调试寻找(未抓到包)WireShark抓包 Crawlergo发送请求的代码节点 // crawlergo_cmd.go 代码 311 行 // 开始爬虫任务 task, err := pkg.NewCrawlerTask(targets, taskConfig) if err != nil { logger.Logger.Error("create crawler task failed.") os.Exit(-1) } …… go
wireshark 之 tshark常规用法
编程随手记
02-11 3551
文章目录tshark常用的命令行参数例子获取抓取设备接口抓取设备上的数据包(单一设备, 多设备, 所有设备)配置抓取过滤器(capture filter)抓取数据包的详细数据抓取的数据包写入到文件中配置显示过滤器分析抓取到的数据包文件(-R, -2, -Y的用法及区别)导出json格式到文件中, 方便后续分析 tshark是命令行式的wireshark tshark常用的命令行参数 参数 描述 -D 获取设备列表 -i 抓取的设备接口idx -f “${capture filt
wireshark抓取本地回环数据包
热门推荐
renwotao2009的专栏
10-22 2万+
wireshark抓取本地回环数据包一 The NPF driver isn’t running这个错误是因为没有开启NPF服务造成的。NPF即网络数据包过滤器(Netgroup Packet Filter,NPF)是Winpcap的核心部分,它是Winpcap完成困难工作的组件。它处理网络上传输的数据包,并且对用户级提供可捕获(capture)、发送(injection)和分析性能(analysi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码灵

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值