识别wireshark中各个报文所对应的表示含义
我们以第一个SIP包为例子。
该包发送的场景为:IP话机注册到PBX上所发送的第一个报文。我们点开可以看到,该报文一共被封装了五层。我们都知道TCP/IP五层网络模型分别是物理层,数据链路层,网络层,传输层,应用层。这五层分别对应了这一系列报文的情况。
那么我们就可以将这外部五行作用概括为:
Frame:物理层的数据帧概况。
Ethernet II:数据链路层以太网帧头部信息。
Internet Protocol Version 4:互联网层IP包头部信息。
User Datagram Protocol:传输层的数据段头部信息,此处是UDP协议。
Session Initiation Protocol:应用层的信息,此处是SIP协议。
Frame:物理层数据帧的信息
Frame 3462,表示当前帧为第3462号帧,线路537字节,实际捕获4296字节。
Encapsulation type: Ethernet (1) 表示封装类型-以太网
Arrival Time 表示到达时间并使用中国标准时间
Time delta from previous captured frame: xxxx seconds #此包与前一包的时间间隔
Time since reference or first frame: xxxxx seconds #此包与第一帧的时间间隔
Frame is marked: False #此帧是否做了标记:否
Frame is ignored: False #此帧是否被忽略:否
Coloring Rule Name: UDP #着色标记的协议名称
Coloring Rule String: udp #着色规则显示的字符串
Ethernet II:数据链路层以太网帧头部信息
源mac 目的mac 与网络层类型
Internet Protocol Version 4:互联网层IP包头部信息
抓住重点:源ip目的ip
Internet Protocol Version 4, Src: 192.168.0.104 (192.168.0.104), Dst: 61.182.140.146 (61.182.140.146)
Version: 4 #互联网协议IPv4
Header length: 20 bytes #IP包头部长度
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport)) #差分服务字段
Total Length: 254 #IP包的总长度
Identification: 0x5bb5 (23477) #标志字段
Flags: 0x02 (Don’t Fragment) #标记字段
Fragment offset: 0 #分的偏移量
Time to live: 64 #生存期TTL
Protocol: UDP (6) #此包内封装的上层协议为UDP
Header checksum: 0x52ec [validation disabled] #头部数据的校验和
传输层udP数据段头部信息
Session Initiation Protocol:应用层的信息,此处是SIP协议。
全部SIP注册流程
56为话机 119为PBX
话机发送SIP注册报文请求注册到PBX。
PBX回复收到你的请求,但我必须验证你的身份。
话机说好,给你身份,再次发送注册报文此次夹带认证信息。
PBX验证信息,确认这话机是良民,回复200OK。接着发送option信息告诉话机咱俩的暗号
接着又发送notify信息,告诉话机,我能允许你做的事情
最后话机分别回复后面这两个报文,告诉PBX,大哥您放心我乖乖的,此时完成注册流程。