Wireshark数据包分析

最新推荐文章于 2024-01-14 16:20:41 发布
最新推荐文章于 2024-01-14 16:20:41 发布
阅读量3.8w 收藏 251
点赞数 43
分类专栏: wireshark

wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。
为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。

wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark.

这里写图片描述

随便打开一个包
这里写图片描述

  • Frame:物理层的数据帧概况。
  • Ethernet II:数据链路层以太网帧头部信息。
  • Internet Protocol Version 4:互联网层IP包头部信息。
  • Transmission Control Protocol:传输层的数据段头部信息,此处是TCP协议。
    User Datagram Protocol:UDP协议
  • Hypertext Transfer Protocol:应用层的信息,此处是HTTP协议

各层分析

一、物理层Frame

-Frame 5: 66 bytes on wire (528 bits), 66 bytes captured(捕获) (528 bits) on interface 0   //5号帧,对方发送66字节,实际收到66字节

-Interface id: 0 (\Device\NPF_{37239901-4A63-419C-9693-97957A8232CD})     //接口id为0 

-Encapsulation type: Ethernet (1)  //封装类型

-Arrival Time: Jul  5, 2017 15:14:31.865685000 //捕获日期和时间(中国标准时间)

-[Time shift for this packet: 0.000000000 seconds]
-Epoch Time: 1499238871.865685000 seconds
-[Time delta from previous captured frame: 0.006861000 seconds]  //与前一包时间间隔
-[Time delta from previous displayed frame: 0.006861000 seconds]
-[Time since reference or first frame: 0.613985000 seconds] //#此包与第一帧的时间间隔

-Frame Number: 5                      //帧序号
-Frame Length: 66 bytes (528 bits)    //帧长度
-Capture Length: 66 bytes (528 bits)  //捕获字节长度 
-[Frame is marked: False]             //是否做了标记
-[Frame is ignored: False]            //是否被忽略
-[Protocols in frame: eth:ethertype:ip:tcp] //帧内封装的协议层次结构
-[Coloring Rule Name: HTTP]  //着色标记的协议名称
-[Coloring Rule String: http || tcp.port == 80 || http2] //着色规则显示的字符串

二、数据链路层以太网帧头部信息

-Ethernet II, Src: Tp-LinkT_f5:3e:62 (c0:61:18:f5:3e:62), Dst: IntelCor_09:65:a5 (58:fb:84:09:65:a5)

- Destination: IntelCor_09:65:a5 (58:fb:84:09:65:a5) //目的MAC地址   
- Source: Tp-LinkT_f5:3e:62 (c0:61:18:f5:3e:62) //源MAC地址(就是我电脑的MAC地址)
- Type: IPv4 (0x0800)   //0x0800表示使用IP协议

这里写图片描述

三、互联网层IP包头部信息

Internet Protocol Version 4, Src: 192.168.2.112, Dst: 116.211.185.142
    0100 .... = Version: 4                   //IPV4协议
    .... 0101 = Header Length: 20 bytes (5)  //包头长度

-Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)                               //差分服务字段
-Total Length: 52                      //IP包总长度
-Identification: 0x3849 (14409)        //标识字段
-Flags: 0x02 (Don't Fragment)          //标记字段
-Fragment offset: 0                    //分段偏移量
-Time to live: 128                     //生存期TTL
-Protocol: TCP (6)                     //此包内封装的上层协议为TCP
-Header checksum: 0xd100 [validation disabled] //头部数据的校验和
-[Header checksum status: Unverified] //头部数据校验状态
-Source: 192.168.2.112                //源IP地址
-Destination: 116.211.185.142         //目的IP地址
-[Source GeoIP: Unknown]              //基于地理位置的IP
-[Destination GeoIP: Unknown]

四、传输层TCP数据段头部信息

Transmission Control Protocol, Src Port: 60606, Dst Port: 80, Seq: 0, Len: 0

-Source Port: 60606       //源端口号(ecbe)
-Destination Port: 80     //目的端口号(0050)
-[Stream index: 0]        
-[TCP Segment Len: 0]
-Sequence number: 0    (relative sequence number)  //序列号(相对序列号)(四个字节fd 3e dd a2)
-Acknowledgment number: 0   //确认号(四个字节00 00 00 00)
-Header Length: 32 bytes    //头部长度(0x80)
-Flags: 0x002 (SYN)         //TCP标记字段
-Window size value: 8192    //流量控制的窗口大小(20 00)
-[Calculated window size: 8192] 
-Checksum: 0x97ad [unverified]   //数据段的校验和(97 ad)
-[Checksum Status: Unverified]
-Urgent pointer: 0      //紧急指针(00 00)
-Options: (12 bytes), Maximum segment size, No-Operation (NOP), Window scale, No-Operation (NOP), No-Operation (NOP), SACK permitted  //选项(可变长度

五、UDP数据段首部

User Datagram Protocol, Src Port: 7273, Dst Port: 15030
-Source Port: 7273               //源端口(1c 69)
-Destination Port: 15030         //目的端口(3a 6b)
-Length: 1410                    //长度(05 82)
-Checksum: 0xd729 [unverified]   //校验和(d7 29)
-[Checksum Status: Unverified]
-[Stream index: 6335]

参考博客:https://my.oschina.net/u/1585857/blog/479306
Wireshark的常见几种过滤方法

swpu_ocean
关注
  • 43
    点赞
  • 251
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
2024年最新超详细的wireshark使用教程_抓工具wireshark
2301_82257383的博客
05-01 2692
从下图可以看到wireshark捕获到的TCP中的每个字段。4. Dissector Pane(数据包字节区)。
使用Wireshark分析
08-19
使用Wireshark,捕获、分析数据帧和IP数据包
【学习笔记】DTMF相关的学习-三种方式
BLOCKGOLD.E的博客
09-05 3335
DTMF
wireshark协议解析器 源码分析 封装调用
whatday的专栏
04-22 7410
源码分析 Wireshark启动时,所有解析器进行初始化和注册。要注册的信息括协议名称、各个字段的信息、过滤用的关键字、要关联的下层协议与端口(handoff)等。在解析过程,每个解析器负责解析自己的协议部分, 然后把上层封装数据传递给后续协议解析器,这样就构成一个完整的协议解析链条。 解析链条的最上端是Frame解析器,它负责解析pcap帧头。后续该调用哪个解析器,是通过上层协议注册han...
wireshark中的rtp inband dtmf频谱分析.doc
04-22
wireshark中的rtp inband dtmf频谱分析.doc
android音频波形抓,dtmf inband频谱分析
weixin_39751391的博客
05-28 561
导语inband为带内检测方式,即将对应的按键与普通RTP混在一起发送。频谱分析检测inband dtmf的方法为提取rtp数据包进行频谱分析,得到波形峰值的高频和低频频率,根据频谱对照表得到对应的按键。如下是频谱对照表 具体步骤如下:1. 设置inband模式并且建立通话后,按数字键如3,42. 使用wireshark,过滤rtp,点击Telephony-》RTP-》Stream Anal...
wireshark分析数据怎么看 wireshark使用教程
lyw851230的专栏
12-06 1万+
快速熟悉wireshark
Wireshark数据包分析实战
02-23
本书是Wireshark数据包分析实战(第二版) 的PDF版 【美】Chris Sanders 著 诸葛建伟 陈霖 许伟林 译 人名邮电出版社 目录:1.数据包分析技术与网络基础 2.监听网络线路 3.Wireshark入门 。
Wireshark数据包分析实战数据包(第三版).rar
08-18
在《Wireshark数据包分析实战数据包(第三版)》中,通过一系列的实战案例,我们可以深入理解网络通信的细节。以下是这些案例中涉及的一些关键知识点: 1. **PCAPNG文件格式**:0004-download-fast.pcapng、0005-...
Wireshark数据包分析实战(第三版)抓资源文件.tar.gz
06-24
Wireshark数据包分析实战(第三版)》是一本专门讲解如何有效利用Wireshark进行数据包分析的书籍,其中含了丰富的实例和实践指导。 本书的抓资源文件是配合书中的案例和练习而提供的,这些文件可以在实际操作中...
Wireshark数据包分析实战(笔记) pdf .zip
03-26
一、数据包分析基础 二、监听网络线路 三、Wireshark 基础用法 四、流量分析和图形化功能 五、通用底层网络协议 六、常见高层网络协议 七、基础的现实世界场景 八、让网络不再卡 九、安全领域的数据包分析 十、无线...
wireshark数据包分析实战(第二版)+源码.rar
05-14
Practical Packet Analysis will teach you to make sense of your packet captures so that you can better troubleshoot network problems. You’ll find added coverage of IPv6 and SMTP, a new chapter on the ...
wireshark工具详解、数据包抓取分析、使用教程
睡不醒的每天
11-21 1万+
显示该数据包的具体数据内容,最左侧的“0000、0010…"为该行数据在整个数据包中的整体偏移量,所有数据以 16 进制显示。数据包概要信息窗口:描述每个数据包的基本信息。如图,点击某行数据,即可在下方显示该数据包的信息。的信息,可以点击每层信息的左侧的三角形的下拉选项,打开每层信息的详细解析。"为该行数据在整个数据包中的整体偏移量,每层信息的左侧的三角形的下拉选项,打开每层信息的详细解析。原地址(请求本机ip) 和目标地址(响应主机ip)查询。:显示被选中的数据包的解析信息,含每个数据包的。
【计算机网络】使用WireShark数据包抓取与分析
Alex_SCY的博客
03-29 1万+
实验目的 学习安装、使用协议分析软件,掌握基本的数据报抓取、 过滤和分析方法,能分析HTTP、TCP、ICMP等协议。 实验环境 使用具有Internet连接的MacOs操作系统; 抓软件Wireshark。 实验内容: 安装学习Wireshark软件 抓分析HTTP协议 分析TCP协议 分析TCP三次握手 分析ICMP协议 实验步骤: 1. 安装学习Wireshark软件 (1) 首先在官网下载wireshark软件 根据系统版本选择macOS Arm 64-bit.dmg并安装 (2) 运行
Wireshark数据包分析(详细解析)
热门推荐
weixin_51957047的博客
04-01 3万+
wireshark数据包分析 Wireshark(前称Ethereal)是一个网络封分析软件。网络封分析软件的功能是截取网络封,并尽可能显示出最为详细的网络封资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 数据包分析器又名嗅探(Sniffers),是一种网络流量数据分析的手段,常见于网络安全领域使用,也有用于业务分析领域,一般是指使用嗅探器对数据流的数据截获与分组分析(Packet analysis)。 wireshark下载地址 https://www.wires
pjsip 实现 DTMF 数据获取,并解析按键信息
Twpra的笔记
09-27 2306
背景: 业务需要在 android 设备上添加支持通过网关拨打客户电话,并根据客户按键反馈执行相应的操作 平台: RK3399 + Android 7.1 + pjproject-2.4 步骤: 对 sip 这块小白一枚,接到任务后做了如下操作: 1 了解 pjsip 、DTMF,并编译出所需要的库 这里参考了:《 https://www.cnblogs.com/lijingchen...
数据包分析
难办就别办的博客
04-19 387
利用wireshark工具对已给出的数据包进行分析,找到数据包中的敏感字符,拿到其密文,该密文可能是利用MD5加密的,也可能是利用Base64位加密的,需要把密文利用解密工具解出来,解密出来的明文值就是我们要提交的key值。
Wireshark使用技巧及数据包分析方法
2201_75735270的博客
12-15 1950
Wireshark使用技巧及数据包分析方法
分析数据包
最新发布
2301_77163694的博客
01-14 1018
在使用捕获过滤器之前,首先了解一下它的语法格式以上内容解释:Protocol:这个选项用来指定协议,可选的值有:ether fddi ip arp rarp decnet lat sca moproc moproc mopdl tcp udpDirections :这个用来指定来源或者目的。默认的值有src or dst 作为关键字Hosts:指定主机的地址。如果没有指定,默认使用host关键字。可使用的值有net port host 和portrange。
wireshark数据包分析
05-12
Wireshark是一款开源的网络协议分析工具,它可以捕获网络数据包,并且可以对这些数据包进行分析和解码。以下是一些常见的Wireshark数据包分析技巧: 1. 捕获数据包:在Wireshark中,点击“Capture”菜单,选择适当的网络接口,然后点击“Start”按钮开始捕获数据包。 2. 过滤数据包Wireshark提供了强大的过滤功能,可以根据协议类型、IP地址、端口号等条件对数据包进行过滤,只显示符合条件的数据包。 3. 分析数据包Wireshark可以对捕获到的数据包进行详细分析括各个协议的字段内容、协议层次关系、数据包流量统计等。 4. 解码数据包Wireshark可以自动解码大多数常见的网络协议,如果需要解码特定的协议,可以安装相应的解码器。 5. 统计数据包Wireshark提供了各种统计功能,可以统计捕获到的数据包的数量、协议类型、流量大小等。 6. 导出数据包Wireshark可以将捕获到的数据包导出为不同格式的文件,括PCAP、CSV、XML等。 以上是Wireshark数据包分析的一些基本技巧,如果想要深入学习Wireshark的使用,可以参考官方文档或者相关的网络协议分析书籍。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值