Wireshark 数据分析(一)

最新推荐文章于 2024-05-13 20:00:00 发布
最新推荐文章于 2024-05-13 20:00:00 发布
阅读量2.8k 收藏 11
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011414200/article/details/47903961
版权

pcap包的结构

pcap数据包由 pcap文件头packet包头packet数据 组成如图所示(其中packet数据包也就是一帧以太帧):

这里写图片描述

Pcap文件头24 byte, 各字段说明:

  • Magic (标识位)
    4 byte:这个标识位的值是16进制的 0xa1,0xb2,0xc3,0xd4 (正序)用来标示文件的开始。若为逆序(0xd4,0xc3, 0xb2, 0xa1)则需要将后面的Packet Header进行逆序处理

  • Major(主版本号):2 byte, 默认值 0x02, 0x00

  • Minor(副版本号):2 byte,默认值0x04, 0x00

  • ThisZone(区域时间):4 byte当地的标准时间;全零

  • SigFigs(精确时间戳): 4 byte时间戳的精度;全零1

  • SnapLen(精确时间戳)
    4 byte, 最大的存储长度, 该值设置所抓获的数据包的最大长度,如果所有数据包都要抓获,将该值设置为65535;例如:想获取数据包的前64字节,可将该

最低0.47元/天 解锁文章
该昵称已经被占用
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wireshark数据包分析实战
AndrewYZWang的博客
10-06 2773
wireshark应用 github地址: github wireshark使用 wireshark视图以及各个字段说明 分析包的详细信息 后期会通过到处文本的方式进行注释,前期先使用图片,这样容易用颜色区分 在包的详细信息界面一般如下: Frame 物理层的数据帧概况,如果图片太小可以去github上下载对应的图片查看 Ethernet II 数据链路层以太网帧头部信息 Internet Protocol Version 4 互联网层IP头部信息 Transmission Control Prot
wireshark数据包分析实验报告(1).doc
12-23
西安郵電學院 计算机网络技术及应用实验 报 告 书 "系部名称 ": "管理工程学院 " "学生姓名 ": "*** " "专业名称 ": "********* " "班 级 ": "**** " "学号 ": "******** " "时间 ": "2012年04月01日 " 实验题目 Wireshark抓包分析实验 1. 实验目的 1.了解并会初步使用Wireshark,能在所用电脑上进行抓包 2.了解IP数据包格式,能应用该软件分析数据包格式 3.查看一个抓到的包的内容,并分析对应的IP数据包格式 二.实验内容 1.安装Wireshark,简单描述安装步骤。 安装过程:点击安装图标 接着出现如图所示: 点击next后按如下步骤: 在"License Agreement"窗口下点击'I Agree',弹出"Choose Components"窗口,点'next' 后弹出"Select Additional Tasks"窗口,点'next'又弹出"Choose Install Location"窗口后再点'next',弹出"Install Winpcap"窗口(选'Install Winpcap4.12')点击'Install',接着弹出"Installing"窗口(在运行时弹出"Winpcap4 .12 Set up"窗口,点击'确定',且在接下来弹出的窗口下按如下步骤点击:next—next—I Agree—Install—finsh),接着点击'next'弹出如下窗口: 并选择'Run Wireshork1.6.3(32bit)'并点击'Finsh': 2.打开wireshark,选择接口选项列表。或单击"Capture",配置"option"选项。 3.设置完成后,点击"start"开始抓包. 显示结果: 4.选择某一行抓包结果,双击查看此数据包具体结构如下: 三.捕捉IP数据包数据包信息: 1. 写出IP数据包的格式如下: 2. 将捕捉的IP数据包分析得出格式图例如下: 3. 针对每一个域所代表的含义进行解释。 IP数据报首部各部分含义: 版本 占4位,指IP协议的版本。通信双方使用的IP协议版本必须一致。目前广泛使用的 IP协议版本号为4(即IPv4)。 首部长度 占4位,可表示的最大十进制数值是15。请注意,这个字段所表示数的单位是 32位字长(1个32位字长是4字节),因此,当IP的首部长度为1111时(即十进制的15) ,首部长度就达到60字节。当IP分组的首部长度不是4字节的整数倍时,必须利用最后的 填充字段加以填充。因此数据部分永远在4字节的整数倍开始,这样在实现IP协议时较为 方便。首部长度限制为60 字节的缺点是有时可能不够用。但这样做是希望用户尽量减少开销。最常用的首部 区分服务 占8位,用来获得更好的服务。这个字段在旧标准中叫做服务类型,但实际上 一直没有被使用过。1998年IETF把这个字段改名为区分服务DS(Differentiated Services)。只有在使用区分服务时,这个字段才起作用。 总长度 总长度指首部和数据之和的长度,单位为字节。总长度字段为16位,因此数据 报的最大长度为216- 1=65535字节。长度就是20字节(即首部长度为0101),这时不使用任何选项。 标识(identification) 占16位。IP软件在存储器中维持一个计数器,每产生一个数据 报,计数器就加1,并将此值赋给标识字段。但这个"标识"并不是序号,因为IP是无连接 服务,数据报不存在按序接收的问题。当数据报由于长度超过网络的MTU而必须分片时, 这个标识字段的值就被复制到所有的数据报的标识字段中。相同的标识字段的值使分片 后的各数据报片最后能正确地重装成为原来的数据报。 标志(flag) 占3位,但目前只有2位有意义。标志字段中的最低位记为MF(More Fragment)。MF=1即表示后面"还有分片"的数据报。MF=0表示这已是若干数据报片中的最 后一个。标志字段中间的一位记为DF(Don't Fragment),意思是"不能分片"。只有当DF=0时才允许分片。 片偏移 占13位。片偏移指出:较长的分组在分片后,某片在原分组中的相对位置。也 就是说,相对用户数据字段的起点,该片从何处开始。片偏移以8个字节为偏移单位。这 就是说,每个分片的长度一定是8字节(64位)的整数倍。 生存时间 占8位,生存时间字段常用的的英文缩写是TTL(Time To Live),表明是数据报在网络中的寿命。由发出数据报的源点设置这个字段。其目的是防 止无法交付的数据报无限制地在因特网中兜圈子,因而白白消耗网络资源。最初的设计 是以秒作为TTL的单位。每经过一个路由器时,就把TTL减去数据报在路由器消耗掉的一
Wireshark 的抓包和分析,看这篇就够了!
最新发布
weixin_71807218的博客
05-13 3738
WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在网络封包和领域有着十分强大功能的工具,深受各类网络工程师和网络分析师的喜爱。本文主要内容包括:1、Wireshark主界面介绍。2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。3、使用。通过过滤器可以筛选出想要分析的内容。
Wireshark使用技巧
Fly_鹏程万里
04-16 4890
前言Wireshark是一款图形界面的网络嗅探器,支持多种平台,是网络流量分析的利器。它的创始人是Gerald Combs,前身是Ethereal,作为开源项目经过众多开发者的完善它已经成为使用量最大的安全工具之一。最近刚把《Wireshark网络分析就是这么简单》看完,写的很有意思,把一些心得和技巧分享一下,部分内容也也源自个人总结。本文所使用Wireshark是2.4.0版,可以到官网下载:...
Pcap 数据包捕获格式详解
人人都懂物联网
05-24 1万+
Pcap 是 Packet Capture 的英文缩写,是一种行业标准的网络数据包捕获格式。如果你是网络开发人员,那么通常会使用 Wireshark、Tcpdump 或 WinDump 等网络分析器捕获 TCP/IP 数据包,而抓包后存盘的文件格式就是 .pcap 文件。 文件格式 Pcap 文件格式是一种二进制格式,支持纳秒级精度的时间戳。虽然这种格式在不同的实现中有所不同,但是所有的 pcap 文件都具有如下图所示的一般结构。 全局报头 全局报头(Global Header)包含魔数(Magic nu
pcap包解析
热门推荐
txb0504的博客
04-02 1万+
pacp包解析 在接触激光雷达的时候,不可避免的第一步就是看硬件说明书以及调试厂商发的样例数据。一般情况下,厂商在存储硬件的数据包的时候,都是通过存储pacp包实现的,所以如何读取pacp包,并从中解析出真正有用的数据就变得很重要,接下来我们一步步讲。 1.pacp包结构 一个Pcap文件包括“Pcap报头”,“数据区”两个部分,其中数据区又分成多个数据包,每个包有报头和数据两个部分,总体结构可见...
网络流量pcap包特征提取并保存
weixin_47272625的博客
05-06 3942
新手写博客,写博客主要目的是为了记录自己做项目的一些过程。关于网络流量项目,刚开始做项目一个月左右,所写的博客必然有很多不足的地方,欢迎大家交流和指教。
Wireshark 数据分析(二)
Zephyr's Blog
08-24 9143
数据包概述下图是笔者我实际中用Wireshark 抓到的HTTP的完整数据包,现分析如下: 网络接口层(物理层和数据链路层) IP头(网络层) TCP头(传输层) HTTP协议+data(应用层)1. 在链路层   由以太网的物理特性决定了数据帧的长度为[46+18]-[1500+18],其中的18是数据帧的头和尾,也就是说数据帧的内容最大为1500(不包括帧头和帧尾),即MT
wireshark数据分析
04-04
Wireshark是一款强大的网络封包分析软件,常用于数据分析、测试工具和数据挖掘等领域。它能够捕获网络上的数据包并深入解析,帮助用户理解网络通信的细节,排查网络问题,进行安全审计以及性能优化。在本教程中,...
Wireshark分析协议数据包
10-11
Wireshark是一款强大的网络协议分析工具,用于捕获和显示网络封包的详细信息,它可以帮助网络管理员、开发者以及安全专家深入理解网络通信的过程。在Wireshark中,我们可以分析多种协议的数据包,包括IP、UDP、TCP、...
Wireshark数据包分析实战(笔记) pdf .zip
03-26
一、数据包分析基础 二、监听网络线路 三、Wireshark 基础用法 四、流量分析和图形化功能 五、通用底层网络协议 六、常见高层网络协议 七、基础的现实世界场景 八、让网络不再卡 九、安全领域的数据包分析 十、无线...
RTSP wireshark抓包分析
03-09
RTSP wireshark抓包分析
借助WireShark解析PCAP
阿霖
12-16 9918
本文主要分为以下几点: 1.什么是pcap包? 2.pcap包内容如何查看? 3.在java程序中借助WireShark进行解析,在后台查看 目录 [toc]1.什么是pcap包 什么是pcap抓包 PCAP是一个数据包抓取库, 很多软件都是用它来作为数据包抓取工具的。 WireShark也是用PCAP库来抓取数据包的。PCAP抓取出来的数据包并不是原始的网络字节流,而是对其进行
Pcap文件详解
辞树
11-29 1万+
pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,或者使用sublime打开以十六进制的格式显示。用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生成这种格式的文件。还有一些其他网络分析工具。
pcap文件解析
qq_40878398的博客
08-18 1万+
pcap文件解析 1. pcap简介: pcap文件是一种常用的数据报存储文件,这种文件可以保存我们所抓到的报文。它有这固定的存储格式,通过notepad++中的插件Hex-Editor我们可以观察其中的16进制数据,从而来进行pcap文件的分析。 2. Pcap文件格式: pcap文件格式如图所示: 以24字节的Pcap Header开头: 随后跟上每一个报文的相关信息: Packet Header:记录报文信息 Packet Data:记录报文数据 3. pcap Header // pc
pcap文件分析
weixin_50311553的博客
01-12 7879
pcap文件格式的解析
Pcap包的组成
weixin_43989385的博客
09-17 455
pcap包的组成 Pcap报头|数据报头|数据|数据报头|数据|数据报头|数据…|数据报头|数据 Pcap报头 有24个字节 数据报头 有16个字节 其中前8个字节为时间戳数据, 9-12字节为数据长度 13-16字节为离线数据数据 ...
怎么使用wireshark数据分析
07-16
使用Wireshark进行数据分析的步骤如下: 1. 下载和安装Wireshark:访问Wireshark官方网站(https://www.wireshark.org/)并下载适用于您操作系统的最新版本。 2. 启动Wireshark:安装完成后,启动Wireshark应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值