wireshark tcp报文深度解析

已于 2023-05-13 17:11:02 修改
阅读量942 收藏 5
点赞数
分类专栏: 交换芯片 文章标签: 网络 服务器 tcp/ip
于 2023-05-10 18:20:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40008325/article/details/130604148
版权

封包详细信息是用来查看协议中的每一个字段。各行信息分别对应TCP/IP协议的不同层级。以下图为例,分别表示:传输层、网络层、数据链路层、物理层,一共四层。如果有应用层数据会显示第五层,即一共会出现五层。

4e61913d0ce0417599e4c63147baeace.png

 

就举例查看一个tcp报文

cefe8e7a187e4bb8aceffce028a96ff8.png

 

物理层->mac层->数据链路层->传输层的数据结构如下: 

#ifndef LITTLE_ENDIAN  
#define LITTLE_ENDIAN   (1)   //BYTE ORDER  
#else  
#error Redefine LITTLE_ORDER  
#endif  

//Mac头部,总长度14字节  
typedef struct _eth_hdr  
{  
    unsigned char dstmac[6]; //目标mac地址  
    unsigned char srcmac[6]; //源mac地址  
    unsigned short eth_type; //以太网类型  
}eth_hdr;  

//IP头部,总长度20字节  
typedef struct _ip_hdr  
{  
    #if LITTLE_ENDIAN  
    unsigned char ihl:4;     //首部长度  
    unsigned char version:4, //版本   
    #else  
    unsigned char version:4, //版本  
    unsigned char ihl:4;     //首部长度  
    #endif  
    unsigned char tos;       //服务类型  
    unsigned short tot_len;  //总长度  
    unsigned short id;       //标志  
    unsigned short frag_off; //分片偏移  
    unsigned char ttl;       //生存时间  
    unsigned char protocol;  //协议  
    unsigned short chk_sum;  //检验和  
    struct in_addr srcaddr;  //源IP地址  
    struct in_addr dstaddr;  //目的IP地址  
}ip_hdr;
  
//TCP头部,总长度20字节  
typedef struct _tcp_hdr  
{  
    unsigned short src_port;    //源端口号  
    unsigned short dst_port;    //目的端口号  
    unsigned int seq_no;        //序列号  
    unsigned int ack_no;        //确认号  
    #if LITTLE_ENDIAN  
    unsigned char reserved_1:4; //保留6位中的4位首部长度  
    unsigned char thl:4;        //tcp头部长度  
    unsigned char flag:6;       //6位标志  
    unsigned char reseverd_2:2; //保留6位中的2位  
    #else  
    unsigned char thl:4;        //tcp头部长度  
    unsigned char reserved_1:4; //保留6位中的4位首部长度  
    unsigned char reseverd_2:2; //保留6位中的2位  
    unsigned char flag:6;       //6位标志   
    #endif  
    unsigned short wnd_size;    //16位窗口大小  
    unsigned short chk_sum;     //16位TCP检验和  
    unsigned short urgt_p;      //16为紧急指针  
}tcp_hdr;  

//UDP头部,总长度8字节  
typedef struct _udp_hdr  
{  
    unsigned short src_port; //远端口号  
    unsigned short dst_port; //目的端口号  
    unsigned short uhl;      //udp头部长度  
    unsigned short chk_sum;  //16位udp检验和  
}udp_hdr; 
 
//ICMP头部,总长度4字节  
typedef struct _icmp_hdr  
{  
    unsigned char icmp_type;   //类型  
    unsigned char code;        //代码  
    unsigned short chk_sum;    //16位检验和  
}icmp_hdr;

每层数据分析:

网络层

eb9c7ac574f64e19b6131281d53a0d00.png

 

936729650f404a94ab68b78da059f548.png

//Mac/以太网首部,总长度14字节  
typedef struct _eth_hdr  
{  
    unsigned char dstmac[6]; //目标mac地址  
    unsigned char srcmac[6]; //源mac地址  
    unsigned short eth_type; //以太网类型  
}eth_hdr;

 数据链路层:

1a7a8b0427eb4be3874bba9a1a9d47bd.png

aa857d3de6af4fc6be8131211d400f86.png

 //IP首部,总长度20字节  
typedef struct _ip_hdr  
{  
    #if LITTLE_ENDIAN  
    unsigned char ihl:4;     //首部长度  
    unsigned char version:4, //版本   
    #else  
    unsigned char version:4, //版本  
    unsigned char ihl:4;     //首部长度  
    #endif  
    unsigned char tos;       //服务类型  
    unsigned short tot_len;  //总长度  
    unsigned short id;       //标志  
    unsigned short frag_off; //分片偏移  
    unsigned char ttl;       //生存时间  
    unsigned char protocol;  //协议  
    unsigned short chk_sum;  //检验和  
    struct in_addr srcaddr;  //源IP地址  
    struct in_addr dstaddr;  //目的IP地址  
}ip_hdr;

 传输层:

 TCP包首部如下:

d975b2277b2b499ea6ef9567611cf0d2.png

4da1f8ceeec44095b48e073c9b6ba62c.png

 //TCP首部,总长度20字节  
typedef struct _tcp_hdr  
{  
    unsigned short src_port;    //源端口号  
    unsigned short dst_port;    //目的端口号  
    unsigned int seq_no;        //序列号  
    unsigned int ack_no;        //确认号  
    #if LITTLE_ENDIAN  
    unsigned char reserved_1:4; //保留6位中的4位首部长度  
    unsigned char thl:4;        //tcp头部长度  
    unsigned char flag:6;       //6位标志  
    unsigned char reseverd_2:2; //保留6位中的2位  
    #else  
    unsigned char thl:4;        //tcp头部长度  
    unsigned char reserved_1:4; //保留6位中的4位首部长度  
    unsigned char reseverd_2:2; //保留6位中的2位  
    unsigned char flag:6;       //6位标志   
    #endif  
    unsigned short wnd_size;    //16位窗口大小  
    unsigned short chk_sum;     //16位TCP检验和  
    unsigned short urgt_p;      //16为紧急指针  
}tcp_hdr;  

 

 

陌上花开缓缓归以
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Wireshark基本介绍以及三次握手的学习_http 三次握手 wireshark 着色规则
2401_84138785的博客
04-26 288
Display Filter(显示过滤器), 用于过滤Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。颜色不同,代表Packet Details Pane(封包详细信息), 显示封包中的字段Dissector Pane(16进制数据)Miscellanous(地址栏,杂项)
TCP 协议内容分析><1>基于Wireshark分析TCP交互数据包
TJ的博客
11-16 5456
基于Wireshark & TCP协议的双端通信的数据包分析
Wireshark抓包:详解TCP三次握手报文内容_tcp三次握手抓包(1)
最新发布
2401_84715513的博客
05-17 427
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上软件测试知识点,真正体系化!由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新需要这份系统化的资料的朋友,可以戳这里获取由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新**需要这份系统化的资料的朋友,可以戳这里获取。
Wireshark抓包:详解TCP三次握手报文内容
清菡的博客
03-28 1万+
一、抓包通过Wireshark这个抓包工具演示下正常能抓到tcp三次握手,能看到的内容是不是和上篇文章tcp三次握手中用图画出来的内容是一样的呢?现在就抓个包详细得讲解下。先选择我上网的网卡,然后点击这个蓝色的小鲨鱼,开始抓包了。现在它在开始抓包,我去访问一个页面。这是个https的连接,肯定是基于tcp的。点击红色按钮暂停。抓的是tcp协议,过滤下tcp协议的包。按下回...
如何使用wireshark分析报文
m0_63902994的博客
07-19 3812
Wireshark的专家信息是非常强大的一个分析模块,分别对错误、警告、注意、聊天等数据信息做出分类和注释,对网络故障分析提供了强有力的信息依据,让你准确快速地判断出故障点,并进行下一步处理。当选择列表选中“错误”,专家信息窗口就只显示错误数据信息,可以清晰地看到错误数据包的概述摘要,分组,协议类型和包的数量等各类型的注释。同样,在选择“警告”会单独显示其数据信息,左边的数字是数据包的序列号,协议类型和数据包的数量等,不在做过多解释。
如何使用Wireshark软件分析TCP协议
HXYDJ的博客
05-14 4491
在学习网络相关知识的时候,需要对网络协议进行分析。网络协议分析软件用的最多的就是 Wireshark 这个软件,今天就简单总结一下如何使用这个软件进行TCP三次握手和四次挥手的查看。
wireshark抓包分析数据怎么看 wireshark使用教程
lyw851230的专栏
12-06 1万+
快速熟悉wireshark
lab_mastering_tcp_analysis_wireshark
04-07
6. **解码应用层协议**:结合TCP分析HTTP、FTP等上层协议,了解应用层数据如何封装在TCP报文中。 此外,你还将学习如何利用Wireshark的高级功能,如颜色编码、时间线视图、统计报告等,以提高分析效率。通过实际...
wireshark-win32-1.3.3.rar
03-01
通过Wireshark,用户可以捕获这些报文解析出其中的各种网络协议信息,如TCP、UDP、HTTP、FTP等,帮助开发者、网络管理员和安全专家理解网络流量,诊断网络问题,甚至进行网络安全分析。 关于标签,“网络”是指...
好用的tcp调试工具
12-20
5. **报文构造与发送**:高级工具还支持手动构造和发送TCP报文,这对于测试特定网络行为或模拟异常情况非常方便。 除了TCP Assist,还有其他一些知名的TCP调试工具,如Wireshark、Microsoft Network Monitor、TCP...
TCP-IP详解卷2:实现[874页].rar
06-23
总之,《TCP/IP详解卷2:实现》是一本深度解析TCP/IP协议实现的宝典,适合网络工程师、系统管理员、软件开发者等相关专业人士阅读,也可作为高校计算机网络课程的参考教材。通过学习这本书,读者能够对TCP/IP协议有...
l7-netpdlclassifier.7z
06-10
综上所述,"l7-netpdlclassifier.7z" 包含的组件似乎构建了一个全面的网络分析平台,能够从CAP格式的报文捕获文件中解析数据,进行报文分类,重组TCP会话,并且能与其他工具(如Wireshark)协同工作,进行深度网络...
使用Wireshark软件抓包(分析报文
weixin_43399489的博客
09-08 2856
报文分析软件的工作原理主要是。网卡有四种模式:广播、组播、直接、混杂。网卡通常的缺省工作模式是。
Wireshark 让你看见 TCP 到底是什么样!
BASK2311的博客
11-29 2494
本文为掘金社区首发签约文章,14天内禁止转载,14天后未获授权禁止转载,侵权必究!当你看到这篇文章时,你只能看到已经渲染好的文字和图像,而网络数据的交互对我们来说,却是看不见的,所以学习计算机网络原理的时候就会觉得非常的抽象,这一度让我苦恼。而且网络数据交换真实的模样,到底是不是真的如大多数文章所描绘的一样?这些疑问让我早就想干这件事了。所以不如就去看看离我们最近的协议 到底长什么样?为了能“看见”,我们需要借助 Wireshark 分析网络的利器。Wireshark 是 Windows 最常用的网络抓包
Wireshark——抓包分析
热门推荐
qq_45951891的博客
11-04 1万+
ICMP (Internet Control Message Protocol,网际报文控制协议)是Internet 协议族的核心协议之一,它主要用在网络计算机的操作系统中发送出错信息。TCP (Transmission Control Protocol,传输控制协议)是一种面向连接的、可靠的、基于P的传输层协议。在这层上工作的不止一个协议,但是最普遍的就是互联网协议(IP)。该协议用来支撑那些需要在计算机之间传输数据的网络应用,包括网络视频会议系统在内的众多客户/服务器模式的网络应用。
IPsec加密报文wireshark查看方法
04-19 9949
IPsec加密报文wireshark查看方法一、抓取并打开ipsec报文二、获取esp配置三、wireshark上配置esp1. "Encapsulating Security Payload"右键-->"协议首选项"-->"ESP SAs ..."2. ESP SAs界面操作3. 解密后的报文 IPsec 封装安全负载(IPsec ESP)报文,因为是加密封装报文wireshark打开后无法查看封装内容。 有时候我们需要查看封装的报文内容,以定位一些问题。wireshark支持对ESP的
wireshark 过滤条件查看报文
陌上花开缓缓归以的博客
02-24 388
报文长度过滤:udp.length > NUM(tcp.len > NUM)3, not 或者!
Wireshark抓包:详解Http协议--响应报文
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
05-17 1773
1.响应报文的构成 响应报文:响应行+响应头部+空一行(表示响应头部结束了)+响应正文(服务器要真正给你返回的一个页面内容)。 抓取了这个请求 2.详解该请求的响应报文 HTTP/1.1 200 OK --响应行:HTTP版本+HTTP状态码+原因描述 Server: nginx/1.9.9 Date: Mon, 16 May 2022 09:03:31 GMT Content-Type: application/xml Transfer-Encoding: chunked Connection: k
wireshark工具详解、数据包抓取分析、使用教程
睡不醒的每天
11-21 1万+
显示该数据包的具体数据内容,最左侧的“0000、0010…"为该行数据在整个数据包中的整体偏移量,所有数据以 16 进制显示。数据包概要信息窗口:描述每个数据包的基本信息。如图,点击某行数据,即可在下方显示该数据包的信息。的信息,可以点击每层信息的左侧的三角形的下拉选项,打开每层信息的详细解析。"为该行数据在整个数据包中的整体偏移量,每层信息的左侧的三角形的下拉选项,打开每层信息的详细解析。原地址(请求本机ip) 和目标地址(响应主机ip)查询。:显示被选中的数据包的解析信息,包含每个数据包的。
wireshark TCP报文分析
07-28
你好!关于WiresharkTCP报文分析,我可以为您提供一些基本的指导。首先,Wireshark是一款流行的网络协议分析工具,可以用于捕获和分析网络数据包。下面是一些您可能感兴趣的步骤: 1. 捕获数据包:打开Wireshark并选择要捕获的网络接口。点击“开始”按钮开始捕获数据包。 2. 过滤TCP流量:在过滤器栏中输入“tcp”以仅显示TCP协议的数据包。 3. 选择一个TCP数据包:从捕获的数据包列表中选择一个TCP数据包以查看其详细信息。 4. 查看TCP头部信息:在数据包详细信息窗口中,展开“Transmission Control Protocol”部分以查看TCP头部信息,例如源端口、目标端口、序列号、确认号等。 5. 分析TCP流:右键点击TCP数据包,选择“Follow”和“TCP Stream”以查看完整的TCP流。 6. 查看数据包负载:在TCP流窗口中,您可以查看TCP数据包的负载信息。这对于分析应用层协议(如HTTP)非常有用。 7. 分析TCP标志位:在TCP头部信息中,查看各个标志位(如SYN、ACK、FIN等)的状态,以了解TCP连接的状态和行为。 这只是Wireshark TCP报文分析的基本步骤,您还可以进一步探索Wireshark的其他功能和过滤器来进行更深入的分析。希望这些信息能对您有所帮助!如果有任何问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

陌上花开缓缓归以

你的鼓励将是我创作的最大动力,

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值