本文介绍了Wireshark主界面的各个部分,包括标题栏、菜单栏、工具栏、筛选区域、Packet List和Packet Details面板、Packet Bytes面板及状态栏。重点讲解了Packet List面板中数据包的详细信息,如帧序号、时间间隔、源/目标地址、协议层次结构等。同时,阐述了数据包的三个术语——帧、包、段,并解析了物理层的Frame、数据链路层的Ethernet II、网络层的IP和传输层的TCP协议头信息。最后,介绍了筛选器的基本用法和保存筛选条件的功能,强调了筛选器在大量数据分析中的重要性。
我们在正式利用Wireshark进行数据包分析之前,应当首先了解一下这款软件主 窗口界面中每个部分的功能。Wireshark主窗口界面如下图所示(实验文件Lab1- 1.pcapng):
Alt text
上图中每部分的含义如下:
标题栏:用于显示所分析的抓包文件的名称、捕获的设备名称以及Wireshark的 版本号。
菜单栏:Wireshark的标准菜单栏。
工具栏:常用功能的快捷图标按钮。
筛选区域:我们在实际的数据包分析中,可能在很短的时间内就能够捕获到成 千上万的数据包信息。这个时候就需要使用这里的筛选器,加上一定的条件,筛 选掉我们并不关心的数据包,从而更好地进行分析。我们在接下来的实际分析课程 中,会多次使用筛选功能。
Packet List面板:显示每个数据帧的摘要。需要强调的是,其实这里所捕获 的其实就是数据帧,但是出于表达的习惯,本系列的课程中的大部分时候,我会 以“数据包”的叫法来代替“数据帧”以及“分段”。这里采用表格的形式列出了 当前捕获文件中的所有数据包,其中包括了数据包序号、数据包捕获的相对时 间、数据包的源地址和目标地址、数据包的协议以及在数据包中找到的概 况信息等。
Packet Details面板:分析数据包的详细信息。这个面板分层次地显示了一个 数据包中的内容,并且可以通过展开或是收缩来显示这个数据包中所捕获的全部内 容。在我们的课程中,Packet List面板以及Packet Details面板是我们重点 关注的对象。
Packet Bytes面板:以十六进制和ASCII码的形式显示数据包的内容。这里显 示了一个数据包未经处理的原始样子,也就是在链路上传播时的样子。
状态栏:包含有专家信息、注释、包的数量和Profile。
步骤3:认识数据包
一旦我们开始利用Wireshark进行数据包的捕获,那么所获得的二进制数据就会 依照不同的协议的结构进行规范,并且显示在Packet Details面板中。这里我 给大家简单介绍一下识别数据包的方法。
在Wireshark中,关于数据包的叫法主要有3个术语,也就是帧、包、段。数据帧 的起始点和目的点都是数据链路层;数据包的起始和目的地是网络层;段通常是 指起始点和目的地都是传输层的信息单元。这里我们通过以下捕获的数据包来分析 一下这三种术语(以下展示的是通过筛选器显示HTTP协议,并查看3934号数据 包的情况):
Alt text
这里面主要展示了以下五种协议的信息:
Frame:物理层数据帧的情况。
Ethernet II:数据链路层以太网帧头部的信息。
Internet P
最低0.47元/天 解锁文章
1721
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
