wireshark抓包:报文信息

已于 2022-07-14 17:34:03 修改
阅读量1w 收藏 55
点赞数 4
分类专栏: F5学习笔记 文章标签: wireshark tcp/ip
于 2021-09-01 22:22:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43148894/article/details/120038136
版权

使用wires hark抓包

  • 色彩规则:

在这里插入图片描述

黑色:报文错误(TCP解析错误、重传、乱序、丢包、重复响应)
在这里插入图片描述

TCP dup ack:重复应答
TCP Retransmission:TCP重传,TCP有超时重传机制
TCP Otu-of-Order:乱序,网络拥塞导致包到达时间不同,时延长,导致包丢失

参考:https://my.oschina.net/hex2016/blog/833097

TCP Previous segment not captured:前一段未捕获,丢失
TCP Dup ACK:TCP重复应答,#前表示丢失序号,后表示丢失次数
TCP Retransmission:TCP重传
TCP ACKed unseen segment:报文没抓全,此报文是ACK报文
TCP ZeroWindow与TCP Window Full:
TCP ZeroWindow:告诉对方,我的接收窗口的大小,即出现时告诉对方不要在发送数据
TCP Window Full:当待发送数据为0,出现Full,表示我不能再发送数据了

参考:https://www.cnblogs.com/nzbbody/p/8622497.html

HSRP State Change:HSRP(热备份协议),表示状态非active和standby
Spanning Tree Topology Change:生成树协议状态为0x80,拓扑发生变化
OSPF State Chang:OSPF的msg类型不是hello
ICMP errors:ICMP协议错误,协议type字段值错误

红色:各类异常

TCP RST:TCP流被RESET,出现原因:1、端口未打开2、请求超时3、提前关闭连接4、在一个已关闭的socket上收数据。断开连接,远端服务器尝试打开链接但无结果时,也会初心RST信号,这是防火墙阻隔连接的情况,每个SYN都返回一个RST

参考:
https://blog.csdn.net/pj1258/article/details/17009517?utm_source=app&app_version=4.14.0&code=app_1562916241&uLinkId=usr1mkqgl919blen

SCTP ABORT:串流控制协议的chunk_type为ABORT
TTL low or unexpected:TTL异常
Checksum Errors:条件中的各类checksum异常,在PC上抓包时网卡的一些设置经常会使Wireskark显示此错误

其他:正常

SMB:Server Message Block类协议
IPX:互联网数据包交换类协议
TCP SYN/FIN:TCP连接的起始和关闭
TCP/ARP/ICMP/UDP/HTTP/Routing/Broadcast:TCP/ARP/ICMP/UDP/HTTP/路由协议/广播数据

通过TCP三次握手:SYN-SYN ACK-ACK,建立连接
以抓取443为例(加密,端口不一定为443):
先:DNS请求
在这里插入图片描述
DNS请求:
在这里插入图片描述
DNS response:
在这里插入图片描述
客户端发起TCP三次握手:
在这里插入图片描述
第一次:SYN=1,ACK=0,端口61020–443
在这里插入图片描述
第二次:SYN=1,ACK=0+1,端口443-61020,确认序号=序列号+1
在这里插入图片描述
第三次:ACK=1,端口61020–443
在这里插入图片描述
Client发送hello包:
在这里插入图片描述
Random:随机生成数,用于生成最终密钥
Session ID:会话标识符
Cipher Suites:加密套件
Compression Merhods:压缩方法
Server hello:
在这里插入图片描述
服务器也生成了一个随机数发送给客户端,双方同时拥有两个随机数
服务器返回证书,客户端收到后根据证书链辨别真伪,服务器中有公钥,用于加密后面生成的Prenaster secret(会话密钥)
安全连接建立,发送数据:Application Data
TLS传输过程:
在这里插入图片描述
①-④:握手阶段
⑤:握手后双方使用协商好的密钥进行通讯
②中有多个类型,是因为它是一个多握手信息,一次性发送多个握手协议包
SNI:TLS的扩展,用来解决一个服务器拥有多个域名的情况
TLS握手信息中并不携带客户端要访问的目标地址,若一台服务器用多个虚拟主机,且域名不同,使用了不一样的证书,TLS使用添加host的方法识别访问那台虚拟主机,在握手第一阶段ClientHello的报文中添加
SNI中包含 Server NAME,即Host内容

WireShark错误分析可参考:

https://blog.csdn.net/qq_43148894/article/details/125638706?spm=1001.2014.3001.5501

wireshark查看报文详细内容
qq_42478602的博客
02-18 1万+
wireshark查看报文详细内容
使用WireShark抓取并分析报文
最新发布
m0_73097474的博客
04-03 988
(仅供参考)
wireshark lua 插件 解析提取网络报文传输内容(文本,多媒体,等信息
12-14
1. windows 下 安装 wiresshark (2.2.6测试没有问题)版本最好是最新的版本 老版本好像会报一个tshark错误 2. 安装好wiresshark后的目录(**/**/Wireshark)下创建一个 lua 文件夹。把root3.0放在当前文件夹下 并解压 3. 在wiresshark目录下 init.lua 文件目录添加上一行 dofile(DATA_DIR.."lua/robotV3_0/robot.lua") 4. 最好用tshark 命令读包。 tshark.exe -q -r 报文路径 注意: windows 下最好是不用的时候把 init.lua dofile(DATA_DIR.."lua/robotV3_0/robot.lua") 这行注释掉。要不然会产生很多文件拖延文件打开速度 {liunx 下也可以 不过要加上一个环境变量。否则会报找不到文件。具体的太久了忘记了!!}
使用 Wireshark 查找报文内容的实用技巧
u011186532的专栏
12-23 3901
Wireshark 是一款功能强大的网络协议分析工具,但面对海量的网络数据,如何快速找到需要的信息是一个常见的挑战。本文将详细介绍 Wireshark 提供的多种查找功能,从数据包编号到追踪流中的特定内容,帮助你快速定位和分析感兴趣的流量。
wireshark-tcp报文
weixin_40073415的博客
08-26 1084
wireshark查看客户端跟服务器之间的报文,了解其业务流程。分层介绍OSI体系结构,对应wireshark报文,如下图。图片:物理层数据链路层相邻两个设备的MAC地址。网络层本层主要负责将TCP层传输下来的数据加上目标地址和源地址传输层主要关注传输层中内容,flag。
IPsec加密报文wireshark查看方法
04-19 1万+
IPsec加密报文wireshark查看方法一、抓取并打开ipsec报文二、获取esp配置三、wireshark上配置esp1. "Encapsulating Security Payload"右键-->"协议首选项"-->"ESP SAs ..."2. ESP SAs界面操作3. 解密后的报文 IPsec 封装安全负载(IPsec ESP)报文,因为是加密封装报文wireshark打开后无法查看封装内容。 有时候我们需要查看封装的报文内容,以定位一些问题。wireshark支持对ESP的
如何使用wireshark分析报文
m0_63902994的博客
07-19 5851
Wireshark的专家信息是非常强大的一个分析模块,分别对错误、警告、注意、聊天等数据信息做出分类和注释,对网络故障分析提供了强有力的信息依据,让你准确快速地判断出故障点,并进行下一步处理。当选择列表选中“错误”,专家信息窗口就只显示错误数据信息,可以清晰地看到错误数据包的概述摘要,分组,协议类型和包的数量等各类型的注释。同样,在选择“警告”会单独显示其数据信息,左边的数字是数据包的序列号,协议类型和数据包的数量等,不在做过多解释。
ubuntu安装wireshark抓空口报文
05-17
"ubuntu安装wireshark抓空口报文" 本文主要介绍了在ubuntu系统中安装wireshark并抓取空口报文的过程。wireshark是一款功能强大的网络协议分析工具,可以捕获和显示网络数据包,以便进行网络故障排除和安全检查。...
wireshark抓包:错误分析
qq_43148894的博客
07-14 1万+
WireShark抓包:错误分析
Wireshark抓包:详解TCP四次挥手报文内容
清菡的博客
03-30 3317
文章总览图这个是别人抓的包,可以看到全过程。这个是重点。目录一、详解tcp四次挥手1.客户端发的第一个释放连接的请求2.服务器给客户端回应确认消息3.服务器发给客户端释放连接的请求4.客户端发确认消息二、完整看到全过程三、提示一、详解tcp四次挥手刚才用图解释了tcp四次挥手的过程。用wireshark抓一个包,进行详细的分析。1.客户端发的第一个释放连接的请求这是抓的包...
wireshark报文
12-16
http://topic.csdn.net/u/20111216/00/84a8dcbe-c241-4595-82cf-1e05b20abb26.html 帖子的相关报文
wireshark报文打包下载
10-31
本打包下载包含常见的所以报文,可帮助实际学习中使用
Wireshark - 使用WireShark进行报文分析简明教程
04-23
Wireshark - 使用WireShark进行报文分析简明教程,根据实际的项目过程操作过程,实际操作例子。
Wireshark抓包全集(85种协议、类别的抓包文件).zip
11-30
本资源"Wireshark抓包全集(85种协议、类别的抓包文件).zip"包含了85种不同协议和类别的抓包文件,对于学习和理解各种网络协议有极大的帮助。 首先,让我们了解Wireshark的基本操作和功能。Wireshark提供了图形化...
一站式讲解Wireshark网络抓包分析的若干场景、过滤条件及分析方法
热门推荐
dvlinker的技术专栏
10-17 4万+
本文详细讲解常用的抓包工具、抓包分析的网络场景、分析抓包时的多种过滤条件以及如何结合常用的协议去分析排查问题,给大家提供一个借鉴或参考。
【006】 Wireshark抓包内容:中文名为“.....“及如何查看真实的报文内容
Postgres 数据库内核开发工程师
04-18 7741
1.本次项目中,进程服务是放到容器环境里,当webserver模块向存储模块发起一个请求的时候,发现存储响应的报文内容不正确。所谓“不正确”,即抓包看到的响应报文中,其所有的中文名都显示不出来,为:“name”:"…"等形式,而且后面该中文名后面的报文也给忽略掉了。但是我发出去的报文中,log日志打印,是没有问题的。如下: 而抓包看到的报文内容却是这样的,如下图所示: Wirshark抓包报文...
【网络学习笔记】使用Wireshark抓取HTTP报文.md
weixin_33976072的博客
09-10 1911
前言 最近在学习计算机网络知识,学习过程中使用抓包工具Wireshark抓取网络数据包,来辅助理解网络协议。 Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 目录 基本使用 下载地址:www.wireshark.org/ 支持系统:Windows、ma...
Web:使用wireshark抓取网络报文并分析
江南好
03-23 4104
使用wireshark抓取网络报文并分析 参考 https://blog.csdn.net/budding0828/article/details/86560467?depth_1-utm_source=distribute.pc_relevant.none-task&utm_source=distribute.pc_relevant.none-task https://www.cnbl...
Wireshark抓包实战:ARP协议报文分析与理解
总结来说,本实验着重于让学生掌握Wireshark抓包工具的使用,了解ARP协议在实际网络环境中的运作过程,包括报文的发送和接收,以及通过分析报文数据理解协议的工作原理。这对于理解和管理网络流量、故障排查和网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

今天学了点儿啥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值