Wireshark抓取ping包

TCP：传输控制协议（TCP，Transmission Control Protocol）是一种面向连接的、可靠的、基于字节流的传输层通信协议，由IETF的RFC 793 [1]  定义。

TCP旨在适应支持多网络应用的分层协议层次结构。 连接到不同但互连的计算机通信网络的主计算机中的成对进程之间依靠TCP提供可靠的通信服务。TCP假设它可以从较低级别的协议获得简单的，可能不可靠的数据报服务。 原则上，TCP应该能够在从硬线连接到分组交换或电路交换网络的各种通信系统之上操作.

首先抓取数据包

首先用管理员权限打开WireShark，并在条件过滤栏输入“icmp”。打开cmd，输入:ping www.baidu.com。

这样我们在命令行中，得到如下的一个显示结果：

 之后会在WireShark出现下列结果：

1. 封包详细信息

icmp数据包的结构如下：

解释：

A. 第一行，帧Frame 1 指的是要发送的数据块，数据在网络上是以很小的称为帧（Frame）的单位传输的，帧由几部分组成，不同的部分执行不同的功能。其中，所抓帧的序号为4568，捕获字节数等于传送字节数：571字节；

B. 第二行，以太网，以太网是一种计算机局域网技术，是数据链路层。源Mac地址为d8:c0:a6:03:fb:1f；目标Mac地址为48:8e:ef:c3:bc:42；

C. 第三行，IPV4协议，IPv4是一种无连接的协议，操作在使用分组交换的链路层（如以太网）上，是网络层；源IP地址为10.34.122.76；目标IP地址为112.34.111.235；

D. 第四行，TCP协议，也称传输控制协议，是传输层；源端口(51280)；目标端口(443)；序列号(1)；ACK是TCP数据包首部中的确认标志，对已接收到的TCP报文进行确认，值为1表示确认号有效；长度为517；

2. Frame信息分析

A. Arrival Time：到达时间，值为oct 12, 2021 21:41:49.161069000

B. EPoch Time：信息出现时间，值为1634046109.161069000秒

C. [ Time delta from previous captured frame: 0.001472000 seconds] ：与之前捕获的数据帧时间差：0.000000000秒；

    [Time delta from previous displayed frame: 0.001472000 seconds]：与之前显示的帧时间差： 0.00000000秒；

    [Time since reference or first frame: 1278.276505000 seconds]：距参考帧或第一帧的时间差：0.00000000秒；

D. Frame Number: 1，帧编号为1；

E. Frame Length: 571 bytes (4568 bits)，帧长度为571字节；

Capture Length: 571 bytes (4568 bits)，捕获到的长度为571字节；

F. [Frame is marked: False]，帧标记：无；

    [Frame is ignored: False]，帧被忽略：无；

G. [Protocols in frame: eth:ip:tcp:data]，协议帧：eth(以太网)、IP、tcp、data

H. [Coloring Rule Name: TCP]，色彩规则名称：TCP；

    [Coloring Rule String: tcp]，色彩规则字符串：TCP；

3EthernetⅡ信息分析

A. Destination: Huawei_c5:bc:42 (48:8e:ef:c3:bc:42)，目标Mac地址为48:8e:ef:c3:bc:42

B. Source: AzureWav_03:fb:1f (d8:c0:a6:03:fb:1f)，源Mac地址为d8:c0:a6:03:fb:1f

C. Type: IPv4 (0x0800)，类型是IP数据包

4. IPv4 协议信息分析(传输层)

A. Version: 4，IP协议版本为IPv4；

     Header length: 20 bytes，头部数据长度为20字节；

B. Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport))，区分的服务领域：0x00 (默认的是DSCP：0x00)；

C. Flags: 0x02 (Don't Fragment)，不支持分组；

     Fragment offset: 0，分组偏移量为0；

D. Time to live: 64，TTL，生存时间为64，TTL通常表示包在被丢弃前最多能经过的路由器个数，当数据包传输到一个路由器之后，TTL就自动减1，如果减到0了还没有传送到目标主机，那么就自动丢失。

E. Header checksum: 0xcebd [correct]，头部校验和

F. Source: 10.34.122.76 (10.34.122.76)，源IP地址为10.34.122.76；

     Destination: 112.34.111.235 (112.34.111.235)，目标IP地址为112.34.111.23

下面是IP数据包的格式，它包括IP手部和数据部分，数据部分在本例中就是ICMP数据包。

 

5.Trasmission Control Protocol信息分析

其中，对应的TCP首部的数据信息

A. 端口号，数据传输的16位源端口号和16位目标端口号(用于寻找发端和收端应用进程)；

B. 相对序列号，该数据包的相对序列号为517(此序列号用来确定传送数据的正确位置，且序列号用来侦测丢失的包)；下一个数据包的序列号是518；

C. Acknowledgment number是32位确认序列号，值等于1表示数据包收到，确认有效；

D. 手动的数据包的头字节长度是20字节；

E. Flags，含6种标志；ACK：确认序号有效；SYN：同步序号用来发起一个连接；FIN：发端完成发送任务；RST：重新连接；PSH：接收方应该尽快将这个报文段交给应用层；URG：紧急指针(urgentpointer)有效；

F. window，TCP的流量控制由连接的每一端通过声明的窗口大小来提供。窗口大小为字节数，起始于确认序号字段指明的值，这个值是接收端正期望接收的字节。窗口大小是一个16bit字段，因而窗口大小最大为65536字节，上面显示窗口大小为1825字节；

G. Checksum，16位校验和，检验和覆盖了整个的TCP报文段，由发端计算和存储，并由收端进行验证；

6. Data信息分析

 

A.  TCP 报文段中的数据(该部分是可选的)，长度为512字节；

参考链接：https://blog.csdn.net/hebbely/article/details/54424823