Wireshark 数据分析(一)

最新推荐文章于 2024-05-26 21:17:11 发布
最新推荐文章于 2024-05-26 21:17:11 发布
阅读量2.8k 收藏 11
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011414200/article/details/47903961
版权

pcap包的结构

pcap数据包由 pcap文件头packet包头packet数据 组成如图所示(其中packet数据包也就是一帧以太帧):

这里写图片描述

Pcap文件头24 byte, 各字段说明:

  • Magic (标识位)
    4 byte:这个标识位的值是16进制的 0xa1,0xb2,0xc3,0xd4 (正序)用来标示文件的开始。若为逆序(0xd4,0xc3, 0xb2, 0xa1)则需要将后面的Packet Header进行逆序处理

  • Major(主版本号):2 byte, 默认值 0x02, 0x00

  • Minor(副版本号):2 byte,默认值0x04, 0x00

  • ThisZone(区域时间):4 byte当地的标准时间;全零

  • SigFigs(精确时间戳): 4 byte时间戳的精度;全零1

  • SnapLen(精确时间戳)
    4 byte, 最大的存储长度, 该值设置所抓获的数据包的最大长度,如果所有数据包都要抓获,将该值设置为65535;例如:想获取数据包的前64字节,可将该

最低0.47元/天 解锁文章
该昵称已经被占用
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wireshark数据包分析实战
AndrewYZWang的博客
10-06 2778
wireshark应用 github地址: github wireshark使用 wireshark视图以及各个字段说明 分析包的详细信息 后期会通过到处文本的方式进行注释,前期先使用图片,这样容易用颜色区分 在包的详细信息界面一般如下: Frame 物理层的数据帧概况,如果图片太小可以去github上下载对应的图片查看 Ethernet II 数据链路层以太网帧头部信息 Internet Protocol Version 4 互联网层IP头部信息 Transmission Control Prot
wireshark抓包数据简单处理便于分析
weixin_44832804的博客
04-12 207
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、获取wireshark数据二、UE删除部分列总结 前言 `wireshark抓包数据提取 一、获取wireshark数据 二、UE删除部分列 总结 ...
Wireshark 的抓包和分析,看这篇就够了!
weixin_71807218的博客
05-13 3816
WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在网络封包和领域有着十分强大功能的工具,深受各类网络工程师和网络分析师的喜爱。本文主要内容包括:1、Wireshark主界面介绍。2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。3、使用。通过过滤器可以筛选出想要分析的内容。
wireshark 使用及分析
daydayup3stones的专栏
06-12 4432
wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。 点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。然后点击"Start"按钮, 开始抓包 窗口: WireShark 主要分为这几个界面 1. Display Filter(显示过滤器),  用于过滤 2. Packet List Pane(封包列
深入解析Wireshark1:从捕获到分析,一网打尽数据包之旅
Thanks_ks的IT探秘之旅
05-15 1650
Wireshark是一款功能强大的网络分析工具,它能帮助我们深入探索网络通信的奥秘。从选择网卡到捕获数据包,再到详细解析数据包在不同网络层次的结构,Wireshark为我们提供了丰富的功能。通过本博客,你将学习Wireshark的基本操作,了解数据包捕获、过滤和解析的技巧。我们还将通过案例分析,展示如何利用Wireshark分析网络通信中的问题。无论你是专业人士还是网络爱好者,都能从中获得有价值的知识和经验。
wireshark抓包分析过程
05-06
通过wireshark抓包分析http数据包 解析帐号密码通
WireShark抓包的pcap文件格式分析
热门推荐
vyCode
02-22 2万+
在拆包的过程中,我们必须要对WireShark截获的数据包的格式(即.pcap后缀的文件)有很清楚的了解,所以就把今天所学记录下来,以飨后来者。 一、结构体说明 pcap.h里定义了文件头的格式 struct pcap_file_header {         bpf_u_int32 magic;         u_short version_major;         u_
wireshark数据分析
04-04
Wireshark是一款强大的网络封包分析软件,常用于数据分析、测试工具和数据挖掘等领域。它能够捕获网络上的数据包并深入解析,帮助用户理解网络通信的细节,排查网络问题,进行安全审计以及性能优化。在本教程中,...
wireshark数据包分析.pdf
01-25
wireshark数据包分析
Wireshark分析协议数据包
10-11
Wireshark是一款强大的网络协议分析工具,用于捕获和显示网络封包的详细信息,它可以帮助网络管理员、开发者以及安全专家深入理解网络通信的过程。在Wireshark中,我们可以分析多种协议的数据包,包括IP、UDP、TCP、...
Wireshark数据包分析实战(笔记) pdf .zip
03-26
一、数据包分析基础 二、监听网络线路 三、Wireshark 基础用法 四、流量分析和图形化功能 五、通用底层网络协议 六、常见高层网络协议 七、基础的现实世界场景 八、让网络不再卡 九、安全领域的数据包分析 十、无线...
RTSP wireshark抓包分析
03-09
RTSP wireshark抓包分析
网络流量pcap包特征提取并保存
weixin_47272625的博客
05-06 3955
新手写博客,写博客主要目的是为了记录自己做项目的一些过程。关于网络流量项目,刚开始做项目一个月左右,所写的博客必然有很多不足的地方,欢迎大家交流和指教。
PCAP详解
qq_61636702的博客
04-10 2198
即 Packet(通常就是链路层的数据帧去掉前面用于同步和标识帧开始的8字节和最后用于CRC校验的4字节)具体内容,长度就是Caplen,这个长度的 后面,就是当前PCAP文件中存放的下一个Packet数据包,也就是说:PCAP文件里面并没有规定捕获的Packet数据包之间有什么间隔字符串,我 们需要靠第一个Packet包确定下一组数据在文件中的起始位置,向后以此类推。4字节 保存下来的包长度(最多是snaplen,比如68字节),即抓取到的数据帧长度,由此可以得到下一个数据帧的位置。4B 时间戳的精度;
pcap文件解析
qq_40878398的博客
08-18 1万+
pcap文件解析 1. pcap简介: pcap文件是一种常用的数据报存储文件,这种文件可以保存我们所抓到的报文。它有这固定的存储格式,通过notepad++中的插件Hex-Editor我们可以观察其中的16进制数据,从而来进行pcap文件的分析。 2. Pcap文件格式: pcap文件格式如图所示: 以24字节的Pcap Header开头: 随后跟上每一个报文的相关信息: Packet Header:记录报文信息 Packet Data:记录报文数据 3. pcap Header // pc
Pcap包的组成
weixin_43989385的博客
09-17 455
pcap包的组成 Pcap报头|数据报头|数据|数据报头|数据|数据报头|数据…|数据报头|数据 Pcap报头 有24个字节 数据报头 有16个字节 其中前8个字节为时间戳数据, 9-12字节为数据长度 13-16字节为离线数据数据 ...
pcap文件理解
最新发布
qq_54122067的博客
05-26 1275
Pcap文件中是二进制,使用winhex软件,打开是十六进制数,winhex是只有十六进制数,而wireshake自动将pcap中的数据包按照时间顺序将分开并赋予一个No.标号(标号是时间顺序)。:32位,一个UNIX格式的精确到秒时间值,用来记录数据包抓获的时间,记录方式是记录从格林尼治时间的1970年1月1日 00:00:00 到抓包时经过的秒数;ttl: 占据一个字节(8位),表示生存时间(Time to Live),用于限制数据包在网络中的生存时间,每经过一个路由器,TTL减1,直到为0时被丢弃。
Pcap包的包头与负载解析,制作数据集
weixin_45154431的博客
11-24 3416
pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是乱码,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生成这种格式的文件。当然这些工具只是我经常使用的,还有很多其它能够查看pcap文件的工具。
pcap详解
10-01 7001
pcap格式及API详解
怎么使用wireshark数据分析
07-16
使用Wireshark进行数据分析的步骤如下: 1. 下载和安装Wireshark:访问Wireshark官方网站(https://www.wireshark.org/)并下载适用于您操作系统的最新版本。 2. 启动Wireshark:安装完成后,启动Wireshark应用程序。 3. 选择网络接口:选择要进行数据分析的网络接口。您可以选择实际的网络接口,例如无线网卡或以太网卡,或者选择“Loopback”接口来捕获本地回环流量。 4. 开始捕获数据包:点击“开始”按钮开始捕获数据包。Wireshark将开始监听选定的网络接口并显示捕获到的数据包。 5. 过滤数据包:使用Wireshark的过滤功能,可以根据不同的协议、IP地址、端口等条件来筛选和过滤数据包。在过滤框中输入适当的过滤条件,然后按下Enter键应用过滤。 6. 分析数据包:Wireshark将显示捕获到的数据包列表。您可以查看每个数据包的详细信息,例如源地址、目标地址、协议类型、数据长度等。双击特定的数据包以查看其详细内容。 7. 使用统计功能:Wireshark提供了各种统计功能,可用于分析捕获到的数据包。例如,您可以查看流量统计、协议分布、源/目标IP地址分布等。在Wireshark菜单栏中,选择“统计”>“协议”或“流量”等选项来访问这些功能。 8. 导出数据包:如果需要将分析结果保存或与他人共享,您可以将数据包导出为不同的格式,例如PCAP文件、CSV文件等。在Wireshark菜单栏中,选择“文件”>“导出指定的数据包”来执行此操作。 这些步骤将帮助您开始使用Wireshark进行数据包分析。请注意,数据包分析需要一定的网络知识和技能,以正确理解和解释捕获到的数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值