Wireshark 数据分析(一)

最新推荐文章于 2024-05-26 21:17:11 发布
最新推荐文章于 2024-05-26 21:17:11 发布
阅读量573 收藏 3
点赞数
分类专栏: wifi CC3200_TI

pcap包的结构

pcap数据包由 pcap文件头packet包头 和 packet数据 组成如图所示(其中packet数据包也就是一帧以太帧):

这里写图片描述

 

Pcap文件头24 byte, 各字段说明:

  • Magic (标识位) 
    4 byte:这个标识位的值是16进制的 0xa1,0xb2,0xc3,0xd4 (正序)用来标示文件的开始。若为逆序(0xd4,0xc3, 0xb2, 0xa1)则需要将后面的Packet Header进行逆序处理

  • Major(主版本号):2 byte, 默认值 0x02, 0x00

  • Minor(副版本号):2 byte,默认值0x04, 0x00

  • ThisZone(区域时间):4 byte当地的标准时间;全零

  • SigFigs(精确时间戳): 4 byte时间戳的精度;全零1

  • SnapLen(精确时间戳) 
    4 byte, 最大的存储长度, 该值设置所抓获的数据包的最大长度,如果所有数据包都要抓获,将该值设置为65535;例如:想获取数据包的前64字节,可将该值设置为64

  • LinkType(链路层类型):4 byte链路类型, 数据包的链路层包头决定了链路层的类型

 

Packet包头(16 byte)各字段说明

这里写图片描述

  • Timestamp: 时间戳高位,精确到seconds , 4 byte , 32位。 秒计时,一个UNIX格式的精确到秒时间值,用来记录数据包抓获的时间,记录方式是记录从格林尼治时间的1970年1月1日 00:00:00 到抓包时经过的秒数

  • Timestamp:4 byte , 时间戳低位,精确到microseconds 微秒值

  • Caplen:4 byte,当前数据区的长度,所抓获的数据包保存在pcap文件中的实际数据帧长度,由此可以得到下一个数据帧的位置

  • Len: 4 byte,离线数据长度:网络中实际数据帧的长度,一般不大于caplen,多数情况下和Caplen数值相等。如果文件中保存不是完整的数据包,那么这个值可能要比前面的数据包长度的值大。(note: 
    编程未采用)

 

Packet数据(不定长)

即 Packet(通常就是链路层的数据帧去掉前面用于同步的前导码和标识帧开始8字节的帧开始符和最后用于CRC校验4字节的帧校验序列)具体内容,长度就是Caplen,这个长度的后面,就是当前PCAP文件中存放的下一个Packet数据包,可以确定下一组数据在文件中的起始位置

这里写图片描述 
这里写图片描述 
这里写图片描述

关于以太帧数据包中Frame、Ethernet层、IP层的分析请见Wireshark 数据分析(二)

关于以太帧数据包中 TCP 分析请见Wireshark 数据分析(三)

lbaihao
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wireshark数据包分析实验报告(1).doc
12-23
西安郵電學院 计算机网络技术及应用实验 报 告 书 "系部名称 ": "管理工程学院 " "学生姓名 ": "*** " "专业名称 ": "********* " "班 级 ": "**** " "学号 ": "******** " "时间 ": "2012年04月01日 " 实验题目 Wireshark抓包分析实验 1. 实验目的 1.了解并会初步使用Wireshark,能在所用电脑上进行抓包 2.了解IP数据包格式,能应用该软件分析数据包格式 3.查看一个抓到的包的内容,并分析对应的IP数据包格式 二.实验内容 1.安装Wireshark,简单描述安装步骤。 安装过程:点击安装图标 接着出现如图所示: 点击next后按如下步骤: 在"License Agreement"窗口下点击'I Agree',弹出"Choose Components"窗口,点'next' 后弹出"Select Additional Tasks"窗口,点'next'又弹出"Choose Install Location"窗口后再点'next',弹出"Install Winpcap"窗口(选'Install Winpcap4.12')点击'Install',接着弹出"Installing"窗口(在运行时弹出"Winpcap4 .12 Set up"窗口,点击'确定',且在接下来弹出的窗口下按如下步骤点击:next—next—I Agree—Install—finsh),接着点击'next'弹出如下窗口: 并选择'Run Wireshork1.6.3(32bit)'并点击'Finsh': 2.打开wireshark,选择接口选项列表。或单击"Capture",配置"option"选项。 3.设置完成后,点击"start"开始抓包. 显示结果: 4.选择某一行抓包结果,双击查看此数据包具体结构如下: 三.捕捉IP数据包。 数据包信息: 1. 写出IP数据包的格式如下: 2. 将捕捉的IP数据包的分析得出格式图例如下: 3. 针对每一个域所代表的含义进行解释。 IP数据报首部各部分含义: 版本 占4位,指IP协议的版本。通信双方使用的IP协议版本必须一致。目前广泛使用的 IP协议版本号为4(即IPv4)。 首部长度 占4位,可表示的最大十进制数值是15。请注意,这个字段所表示数的单位是 32位字长(1个32位字长是4字节),因此,当IP的首部长度为1111时(即十进制的15) ,首部长度就达到60字节。当IP分组的首部长度不是4字节的整数倍时,必须利用最后的 填充字段加以填充。因此数据部分永远在4字节的整数倍开始,这样在实现IP协议时较为 方便。首部长度限制为60 字节的缺点是有时可能不够用。但这样做是希望用户尽量减少开销。最常用的首部 区分服务 占8位,用来获得更好的服务。这个字段在旧标准中叫做服务类型,但实际上 一直没有被使用过。1998年IETF把这个字段改名为区分服务DS(Differentiated Services)。只有在使用区分服务时,这个字段才起作用。 总长度 总长度指首部和数据之和的长度,单位为字节。总长度字段为16位,因此数据 报的最大长度为216- 1=65535字节。长度就是20字节(即首部长度为0101),这时不使用任何选项。 标识(identification) 占16位。IP软件在存储器中维持一个计数器,每产生一个数据 报,计数器就加1,并将此值赋给标识字段。但这个"标识"并不是序号,因为IP是无连接 服务,数据报不存在按序接收的问题。当数据报由于长度超过网络的MTU而必须分片时, 这个标识字段的值就被复制到所有的数据报的标识字段中。相同的标识字段的值使分片 后的各数据报片最后能正确地重装成为原来的数据报。 标志(flag) 占3位,但目前只有2位有意义。标志字段中的最低位记为MF(More Fragment)。MF=1即表示后面"还有分片"的数据报。MF=0表示这已是若干数据报片中的最 后一个。标志字段中间的一位记为DF(Don't Fragment),意思是"不能分片"。只有当DF=0时才允许分片。 片偏移 占13位。片偏移指出:较长的分组在分片后,某片在原分组中的相对位置。也 就是说,相对用户数据字段的起点,该片从何处开始。片偏移以8个字节为偏移单位。这 就是说,每个分片的长度一定是8字节(64位)的整数倍。 生存时间 占8位,生存时间字段常用的的英文缩写是TTL(Time To Live),表明是数据报在网络中的寿命。由发出数据报的源点设置这个字段。其目的是防 止无法交付的数据报无限制地在因特网中兜圈子,因而白白消耗网络资源。最初的设计 是以秒作为TTL的单位。每经过一个路由器时,就把TTL减去数据报在路由器消耗掉的一
pcap文件详解
热门推荐
天行健,君子以自强不息
04-27 10万+
一.简介 pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是乱码,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wiresh...
pcap文件理解
最新发布
qq_54122067的博客
05-26 1394
Pcap文件中是二进制,使用winhex软件,打开是十六进制数,winhex是只有十六进制数,而wireshake自动将pcap中的数据包按照时间顺序将分开并赋予一个No.标号(标号是时间顺序)。:32位,一个UNIX格式的精确到秒时间值,用来记录数据包抓获的时间,记录方式是记录从格林尼治时间的1970年1月1日 00:00:00 到抓包时经过的秒数;ttl: 占据一个字节(8位),表示生存时间(Time to Live),用于限制数据包在网络中的生存时间,每经过一个路由器,TTL减1,直到为0时被丢弃。
Wireshark使用技巧
Fly_鹏程万里
04-16 4893
前言Wireshark是一款图形界面的网络嗅探器,支持多种平台,是网络流量分析的利器。它的创始人是Gerald Combs,前身是Ethereal,作为开源项目经过众多开发者的完善它已经成为使用量最大的安全工具之一。最近刚把《Wireshark网络分析就是这么简单》看完,写的很有意思,把一些心得和技巧分享一下,部分内容也也源自个人总结。本文所使用的Wireshark是2.4.0版,可以到官网下载:...
Pcap 数据包捕获格式详解
人人都懂物联网
05-24 1万+
Pcap 是 Packet Capture 的英文缩写,是一种行业标准的网络数据包捕获格式。如果你是网络开发人员,那么通常会使用 Wireshark、Tcpdump 或 WinDump 等网络分析器捕获 TCP/IP 数据包,而抓包后存盘的文件格式就是 .pcap 文件。 文件格式 Pcap 文件格式是一种二进制格式,支持纳秒级精度的时间戳。虽然这种格式在不同的实现中有所不同,但是所有的 pcap 文件都具有如下图所示的一般结构。 全局报头 全局报头(Global Header)包含魔数(Magic nu
pcap包解析
txb0504的博客
04-02 1万+
pacp包解析 在接触激光雷达的时候,不可避免的第一步就是看硬件说明书以及调试厂商发的样例数据。一般情况下,厂商在存储硬件的数据包的时候,都是通过存储pacp包实现的,所以如何读取pacp包,并从中解析出真正有用的数据就变得很重要,接下来我们一步步讲。 1.pacp包结构 一个Pcap文件包括“Pcap报头”,“数据区”两个部分,其中数据区又分成多个数据包,每个包有报头和数据两个部分,总体结构可见...
wireshark数据分析
04-04
Wireshark是一款强大的网络封包分析软件,常用于数据分析、测试工具和数据挖掘等领域。它能够捕获网络上的数据包并深入解析,帮助用户理解网络通信的细节,排查网络问题,进行安全审计以及性能优化。在本教程中,...
wireshark数据包分析.pdf
01-25
### Wireshark 数据包分析知识点 #### Wireshark概述 Wireshark是一款极其强大的网络数据包嗅探工具,被广泛应用于网络运行管理、故障诊断、应用开发与测试、网络安全及电子取证等领域。它具备以下特点: - **丰富...
Wireshark分析协议数据包
10-11
Wireshark是一款强大的网络协议分析工具,用于捕获和显示网络封包的详细信息,它可以帮助网络管理员、开发者以及安全专家深入理解网络通信的过程。在Wireshark中,我们可以分析多种协议的数据包,包括IP、UDP、TCP、...
Wireshark数据包分析实战(笔记) pdf .zip
03-26
一、数据包分析基础 二、监听网络线路 三、Wireshark 基础用法 四、流量分析和图形化功能 五、通用底层网络协议 六、常见高层网络协议 七、基础的现实世界场景 八、让网络不再卡 九、安全领域的数据包分析 十、无线...
RTSP wireshark抓包分析
03-09
RTSP wireshark抓包分析
PCAP详解
qq_61636702的博客
04-10 2322
即 Packet(通常就是链路层的数据帧去掉前面用于同步和标识帧开始的8字节和最后用于CRC校验的4字节)具体内容,长度就是Caplen,这个长度的 后面,就是当前PCAP文件中存放的下一个Packet数据包,也就是说:PCAP文件里面并没有规定捕获的Packet数据包之间有什么间隔字符串,我 们需要靠第一个Packet包确定下一组数据在文件中的起始位置,向后以此类推。4字节 保存下来的包长度(最多是snaplen,比如68字节),即抓取到的数据帧长度,由此可以得到下一个数据帧的位置。4B 时间戳的精度;
网络流量pcap包特征提取并保存
weixin_47272625的博客
05-06 3971
新手写博客,写博客主要目的是为了记录自己做项目的一些过程。关于网络流量项目,刚开始做项目一个月左右,所写的博客必然有很多不足的地方,欢迎大家交流和指教。
借助WireShark解析PCAP
阿霖
12-16 9938
本文主要分为以下几点: 1.什么是pcap包? 2.pcap包内容如何查看? 3.在java程序中借助WireShark进行解析,在后台查看 目录 [toc]1.什么是pcap包 什么是pcap抓包 PCAP是一个数据包抓取库, 很多软件都是用它来作为数据包抓取工具的。 WireShark也是用PCAP库来抓取数据包的。PCAP抓取出来的数据包并不是原始的网络字节流,而是对其进行
Pcap文件详解
辞树
11-29 1万+
pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,或者使用sublime打开以十六进制的格式显示。用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生成这种格式的文件。还有一些其他网络分析工具。
pcap文件解析
qq_40878398的博客
08-18 1万+
pcap文件解析 1. pcap简介: pcap文件是一种常用的数据报存储文件,这种文件可以保存我们所抓到的报文。它有这固定的存储格式,通过notepad++中的插件Hex-Editor我们可以观察其中的16进制数据,从而来进行pcap文件的分析。 2. Pcap文件格式: pcap文件格式如图所示: 以24字节的Pcap Header开头: 随后跟上每一个报文的相关信息: Packet Header:记录报文信息 Packet Data:记录报文数据 3. pcap Header // pc
流量Ⅰ--一文了解pcap网络数据包的结构?
weixin_40950781的博客
06-08 1万+
一文了解pcap网络数据包如何分析0x00 基础知识1.OSI七层模型每层的作用2.TCP/IP 结构及具有五层协议的结构体系0x01 数据是如何在各层次间传输的1.数据帧的封装2.数据格式(1)以太网帧格式(数据链路层)(2)IP数据包格式(网际层)(3)TCP/UDP数据端格式(传输层)1>TCP数据包格式2>UDP数据包格式0x02 pcap格式1.pcap文件的格式2.Pcap Header3.Packet Header4.Packet Data0x03 pcap文件分析1.整体结构2.
pcap文件分析
weixin_50311553的博客
01-12 7937
pcap文件格式的解析
怎么使用wireshark数据分析
07-16
使用Wireshark进行数据分析的步骤如下: 1. 下载和安装Wireshark:访问Wireshark官方网站(https://www.wireshark.org/)并下载适用于您操作系统的最新版本。 2. 启动Wireshark:安装完成后,启动Wireshark应用程序。 3. 选择网络接口:选择要进行数据分析的网络接口。您可以选择实际的网络接口,例如无线网卡或以太网卡,或者选择“Loopback”接口来捕获本地回环流量。 4. 开始捕获数据包:点击“开始”按钮开始捕获数据包。Wireshark将开始监听选定的网络接口并显示捕获到的数据包。 5. 过滤数据包:使用Wireshark的过滤功能,可以根据不同的协议、IP地址、端口等条件来筛选和过滤数据包。在过滤框中输入适当的过滤条件,然后按下Enter键应用过滤。 6. 分析数据包:Wireshark将显示捕获到的数据包列表。您可以查看每个数据包的详细信息,例如源地址、目标地址、协议类型、数据长度等。双击特定的数据包以查看其详细内容。 7. 使用统计功能:Wireshark提供了各种统计功能,可用于分析捕获到的数据包。例如,您可以查看流量统计、协议分布、源/目标IP地址分布等。在Wireshark菜单栏中,选择“统计”>“协议”或“流量”等选项来访问这些功能。 8. 导出数据包:如果需要将分析结果保存或与他人共享,您可以将数据包导出为不同的格式,例如PCAP文件、CSV文件等。在Wireshark菜单栏中,选择“文件”>“导出指定的数据包”来执行此操作。 这些步骤将帮助您开始使用Wireshark进行数据包分析。请注意,数据包分析需要一定的网络知识和技能,以正确理解和解释捕获到的数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值