利用Wireshark进行网络分析

已于 2024-08-10 22:38:50 修改
阅读量868 收藏 24
点赞数 16
分类专栏: 网络问题定位 问题定位 文章标签: wireshark 网络
于 2024-03-15 20:54:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jun_fire/article/details/136749746
版权
本文介绍了Wireshark的使用技巧,包括过滤规则、TCP参数解读,MTU对包大小的影响,以及如何理解抓取到的包含HTTP包在内的复杂TCP交互。特别提到了TCP确认机制可能导致的包收发顺序误解。
摘要由CSDN通过智能技术生成

Wireshark

  • 一站式学习wireshark
  • wireshark过滤规则语法
  • 网络延迟会导致包的收发顺序并不是理想的,例如,发送某个包后接受到的ACK可能是之前包的ACK, 参见《wireshark网络分析的艺术》中的虚惊一场章节
  • TCP参数解读(详见《Wireshark网络分析就是这么简单》P57-TCP的连接启蒙)
    • Len是数据段的长度,这个长度不包括TCP头,Len=0的包不代表就没有字节
    • ACK: 确认号,假如需要确认一个"Seq:x Len:y"的包,需要回复的确认号是x+y
    • 当前包的Seq等于上一个包(源地址和目的地址均相同)的Seq+上一个包的Len
    • 每个包的TCP层含有的“window size”, 不是发送窗口,而是在向对方声明自己的接收窗口
    • 发送窗口是无法看到了,只能通过推断得到一些关于发送窗口的信息
  • 其它
    • Follow Tcp Dump 会显示相应的会话信息
    • wireshark中的一些提示的含义,参见《wireshark网络分析的艺术》中的Wireshark的提示一章
    • MTU,参见《wireshark网络分析的艺术》中的MTU导致的悲剧
    • 抓取回环包时,需要在lo口抓取,示例: tcpdump -i lo -w ./coap5.cap

问题和原理

MTU1500,为何抓包到1514?
  • 抓包软件抓到的是去掉前导同步码、帧开始分界符、FCS之外的数据,其最大值是 6+6+2+1500=1514。这是由于据 RFC894的说明,以太网封装IP数据包的最大长度是1500字节,也就是说以太网最大帧长应该是以太网首部加上1500,再加上7字节的前导同步码和 1字节的帧开始定界符,具体就是:7字节前导同步吗+1字节帧开始定界符+6字节的目的MAC+6字节的源MAC+2字节的帧类型+1500+4字节的 FCS。 按照上述,最大帧应该是1526字节,但是实际上我们抓包得到的最大帧是1514字节,为什么不是 1526字节呢?原因是当数据帧到达网卡时,在物理层上网卡要先去掉前导同步码和帧开始定界符,然后对帧进行CRC检验,如果帧校验和错,就丢弃此帧。如 果校验和正确,就判断帧的目的硬件地址是否符合自己的接收条件(目的地址是自己的物理硬件地址、广播地址、可接收的多播硬件地址等),如果符合,就将帧交 “设备驱动程序”做进一步处理。这时我们的抓包软件才能抓到数据。因此,抓包软件抓到的是去掉前导同步码、帧开始分界符、FCS之外的数据,其最大值是 6+6+2+1500=1514

举例(结合包)

  • wireshark抓HTTP包

    在这里插入图片描述

    • 抓到的包如上图所示,可知我们需要的是两个HTTP的包,序号分别为2和4,但实际中还有两个TCP包,经分析TCP包和HTTP包除应用层和物理层外其它都相同,seq和ack都相同,但len不同。 猜测TCP本身有一套确认机制,所以自动确认,然后发送HTTP数据时,由于这期间没有收到对方发过来的数据,所以ACK和Seq(TCP确认时长度为0)的值是一样的?没看懂啥玩意,直接忽略

参考资料

  1. 《Wireshark网路分析的艺术》
  2. 《Wireshark网络分析就是这么简单》
VictorLeo
关注
专栏目录
借助wireshark深入分析---tcp传输窗口
海渊_haiyuan的博客
05-16 4145
tcp传输窗口解析——借助wireshark深入分析 tcp传输报文时,会有“往返”的需要。因为发包之后并不知道对方能否收到,要一直等到确认包到达,这样就花费了一个往返时间。假如每发一个包就停下来等确认, 一个往返时间里就只能传一个包,这样的传输效率太低了。最快的方式应该是一口气把所有包发出去,然后一起确认。但现实中也存在一些限制:接收方的缓存(接收窗口)可能一下子接受不了这么多数据;网络的带宽也...
Wiresharkwindow size value和calculated window size
weixin_34051201的博客
08-04 9457
为什么80%的码农都做不了架构师?>>> ...
wireshark中查看接收端的接收窗口
u011208220的专栏
07-29 2272
TCP的接收窗口对于TCP流量的最终
WiresharkWindow,Calculated window sizeWindow size scaling factor
qq_38226902的博客
03-23 2920
3.所以window size value表示报文的值,calculated window size表示放大后的值,也就是实际可用的值,由于TCP的头部窗口字段只有16bit,最多表示64k(65535),为了表示更大的窗口,使用了可选的放大倍数。1.在TCP三次握手的时候在SYN或SYN,ACK包中,通知options可选信息,告知对方将使用放大倍数。之后抓包发现,首次握手连接的SYN包的win大小依旧是65535(默认值),之后的包中的win会变大。然后通过点击包的详情,发现如下。
wireshark学习——9.tcp窗口
WY_记录
08-09 1047
步骤2:TCP知识的补遗 在讲解TCP窗口的知识之前,关于TCP数据包还有几个知识点是需要补充讲解一下的。这里我们打开实验文件Lab9-1.pcap: Alt text 在之前的课程中我曾经讲过,TCP提供有序的数据传输,因此每个数据段都要标上一个序列号,也就是Seq的值。这样当接收方收到乱序的数据包时,就可以根据这个序列号进行重新排序了。这里我们并不需要知道Seq的起始值是怎么计算的,但是...
TCP 协议中的 Window Size与吞吐量
maimang1001的专栏
08-26 5500
文中大量参考下面博客内容,比如最后一节几乎完全来自于第一个博客,详细内容跳转链接,学习总结,记录一下。​。
计算机网络实验:利用 Wireshark 进行协议分析(代码+实验报告)
12-29
《计算机网络实验:利用 Wireshark 进行协议分析(代码+实验报告)》是一本针对计算机网络实验的教材,主要介绍如何利用 Wireshark 进行协议分析。本教材主要面向计算机科学与技术专业的学生,以及其他对计算机网络感...
计算机网络实验三 利用wireshark进行协议分析
11-05
本次实验主要聚焦于利用Wireshark这一强大的网络封包分析工具来深入理解网络协议的工作原理。Wireshark是一款开源的网络抓包软件,广泛用于网络故障排查、性能分析以及安全审计。 首先,我们需要了解Wireshark的...
计算机网络-利用 Wireshark 进行协议分析-内含源码和说明书.zip
05-15
这个压缩包“计算机网络-利用Wireshark进行协议分析-内含源码和说明书.zip”包含了进行此类分析所需的资源,如源代码和详细的使用指南。 首先,让我们详细了解一下Wireshark的基本功能。Wireshark能够捕获并显示...
哈工大计算机网络实验之利用Wireshark进行协议分析 [含代码和实验报告]
12-27
在实验中,学生将利用Wireshark网络流量进行捕获,重点分析TCP和UDP协议。TCP(传输控制协议)是面向连接的协议,保证了数据的可靠传输;UDP(用户数据报协议)则是无连接的,强调快速传输但不保证数据的顺序或...
利用WireShark进行协议分析pdf格式
11-01
通过这个实验,你可以了解到如何使用Wireshark进行网络协议分析,同时加深对ICMP协议的理解。在实际工作中,Wireshark不仅可以用于基础的网络诊断,还可以帮助解决复杂的问题,如分析网络延迟、流量异常、安全威胁等...
Wireshark---TCP窗口的几个误区
m0_37039331的博客
09-13 2503
1.window size (即win=),这个值是发送窗口的大小吗? 不是,这是在向对方声明自己的接收窗口。 2.如何从包里看出发送窗口的大小呢? 没有办法。 3.发送窗口和MSS(最大段大小)有什么关系? 发送窗口决定了一次能发送多少字节,而MSS决定了这些字节要分多少个包发完。 4.发送方在一个窗口里发出n个包,就一定能收到n个确认包? 不一定,确认包一般会少。因为TCP有延迟确认。 那为...
Wireshark --> 抓包(网络分析)工具
热门推荐
@峰的博客
03-25 5万+
前言 为了让大家更容易「看得见」 TCP,我搭建不少测试环境,并且数据包抓很多次,花费了不少时间,才抓到比较容易分析的数据包。 接下来丢包、乱序、超时重传、快速重传、选择性确认、流量控制等等 TCP 的特性,都能「一览无云」。 没错,我把 TCP 的"衣服扒光"了,就为了给大家看的清楚,嘻嘻。 提纲 正文 显形“不可见”的网络网络世界中的数据包交互我们肉眼是看不见的,它们就好像隐形了一样,我们对着课本学习计算机网络的时候就会觉得非常的抽象,加大了学习的难度。 还别说,我自己在大学的时候,
最全Wireshark网络抓包分析_wireshark抓包数据怎么看,想给金三银四找工作的程序员几点建议
最新发布
2401_84978645的博客
05-16 3467
ICMP(Internet Control Message Protocol)网际报文控制协议,用于传输错误报告控制信息,对网络安全有极其重要的意义。例如请求的服务不可用、主机或路由不可达,ICMP协议依靠IP协议来完成任务,是IP协议的一个集成部分。通常不被用户网络程序直接使用,多用于ping和tracert等这样的诊断程序。UDP(User Datagram Protocol)用户数据报协议,提供面向事务的简单不可靠信息传送服务。将网络数据流压缩成数据包的形式。
Wireshark网络抓包(三)——网络协议
weixin_30245867的博客
02-06 1804
一、ARP协议 ARP(Address Resolution Protocol)地址解析协议,将IP地址解析成MAC地址。 IP地址在OSI模型第三层,MAC地址在OSI第二层,彼此不直接通信; 在通过以太网发生IP数据包时,先封装第三层(32位IP地址)和第二层(48位MAC地址)的报头; 但由于发送数据包时只知道目标IP地址,不知道其Mac地址,且不能跨越第二、三层,所以需要...
一站式学习Wireshark(五):TCP窗口与拥塞处理
maimang1001的专栏
03-03 656
(五):TCP窗口与拥塞处理 · 一站式学习Wireshark · 看云看云是一个现代化文档写作、托管及数字出版平台,基于MarkDown语法和Git版本库管理,让你专注于知识创作,可以用于企业知识库、产品手册、项目文档和个人数字出版。https://www.kancloud.cn/digest/wireshark/62474 TCP通过滑动窗口机制检测丢包,并在丢包发生时调整数据传输速率。滑动窗口机制利用数据接收端的接收窗口来控制数据流。 接收窗口值由数据接收端指定,以字节数形式存储于TCP报文头,并
使用wireshark抓包分析 TCP handshake 中 window scale 参数
s493197604的博客
03-13 5914
使用wireshark抓包分析 TCP handshake 中 window scale 参数 TCP 握手 tcp的三次握手过程如下图所示: 先看第一个包,这个是发起方的SYN请求包,这个包 [SYN,ACK] ACK ...
TCP/IP——从wireshark看TCP(二)
www_dong的博客
07-19 1333
1. TCP重复确认和快速重传 当接收方收到乱序数据包时,会发送重复的 ACK,以便告知发送方要重发该数据包,当发送方收到 3 个重复 ACK 时,就会触发快速重传,立刻重发丢失数据包。 TCP 重复确认和快速重传的一个案例,用 Wireshark 分析,显示如下: 数据包 1 期望的下一个数据包 Seq 是 1,但是数据包 2 发送的 Seq 却是 10945,说明收到的是乱序数据包,于是回了数据包 3 ,还是同样的 Seq = 1,Ack = 1,这表明是重复的 ACK; 数据包 4..
利用Wireshark进行协议分析
12-13
以下是利用Wireshark进行协议分析的步骤: 1. 下载并安装Wireshark软件。 2. 打开Wireshark软件,选择需要进行抓包的网络接口。 3. 点击“开始捕获”按钮,开始抓包。 4. 进行需要分析的操作,例如访问网站或发送...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值