Wireshark 数据分析(三)

最新推荐文章于 2024-06-10 09:47:04 发布
最新推荐文章于 2024-06-10 09:47:04 发布
阅读量2.5w 收藏 86
点赞数 22
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011414200/article/details/47948401
版权

TCP层分析

传输控制协议,为数据提供可靠的端到端传输,处理数据的顺序和错误恢复,保证数据能够到达其应到达的地方

这里写图片描述

1. Transmission Control Protocol, Src Port: 52745 (52745), Dst Port: 80 (80), Seq: 1, Ack: 1, Len: 202
总信息,源端口52745, 目的端口80 ( HTTP ) , 序号1, ACK 设置1,长度为202

2. Source Port: 52745 (52745) —— 用来传输数据包的端口

3. Destination Port: http (80) —— 数据包将要被发送到的端口

  • 1~1023:标准端口组,特定服务会用到标准端口
  • 1024~65535:临时端口组,操作系统会随机地选择一个源端口让某个通信单独使用
  • 传输层的复用和分用功能都要通过端口才能实现

4. Stream index: 0
流端口号为0根据src.ip src.port dst.ip dst.port生成的一个索引号 Sequence number: 0

5. TCP Segment Len: 202 ( Next sequence – Sequence ) number
显示(0x50)TCP 携带数据的长度

6. Sequence number: 2186017225 显示为该包序列号的空际值

  • Sequence number: 1 (relative sequence number),显示为该包序列号的相对值,这个数字用来表示一个TCP片段。这个域用来保证数据流中的部分没有流失(随机生成)

7. Next sequence number: 2186017427

  • Next sequence number: 203 (relative sequence number)
    分析同上,下一个序列号(在实际传输中并未有此数据,是Wireshark 提供的,= Sequence number + TCP Segment Len)

8. Acknowledgment number: 1090536281

  • Acknowledgment number: 1 (relative ack number)
  • 确认号为1: 这个数字式通信中希望从另外一个设备得到的下一个数据包的序号

9. Header Length: 20 bytes

  • 数据偏移(即首部长度)显示(0x50)但实际为 (0x50 && 0XF0) / 4 = 20 ,剩下的0x50中的0 用于下面的
    Reserverd 和Nonce. 它指出 TCP 报文段的数据起始处距离 TCP 报文段的起始处有多远

10. …. 0000 0001 1000 = Flags: 0x018 (PSH, ACK)

很重要,根据括号里的标志值(URG, ACK, PSH. RST, SYN, FIN)判断不同的TCP数据包的类型

这里写图片描述

  • Reserved: Not set —— 保留字段——占 6 位,保留为今后使用

  • Nonce: Not set 设置为0
    随机数(Nonce)是任意的或非重复的值,它包括在经过一个协议的数据交换中,通常为保证活跃度以及避免受重复攻击

  • Congestion Window Reduced (CWR): Not set —— 没啥用

  • ECN-Echo: Not set

  • Urgent: Not set —— (基本此处无设置)
    当 URG=1 时,表明紧急指针字段有效。它告诉系统此报文段中有紧急数据,应尽快传送(相当于高优先级的数据)

  • Acknowledgment: Set 1
    (确认序号有效位)只有当 ACK=1 时确认号字段才有效。当ACK=0 时,确认号无效

  • Push: Set 1 ——(通知接收端立即将数据提交上层,释放内存)
    接收 TCP 收到 PSH=1 的报文段,就尽快地交付接收应用进程,而不再等到整个缓存都填满了后再向上交付

  • Reset: Not set
    请求重新建立TCP连接,当 RST=1 时,表明 TCP 连接中出现严重差错(如由于主机崩溃或其他原因),必须释放连接,然后再重新建立运输连接

  • Syn: Not set
    同步 SYN = 1 表示这是一个连接请求或连接接受报文

  • Fin: Not set
    请求断开连接,用来释放一个连接。FIN 1 表明此报文段的发送端的数据已发送完毕,并要求释放运输连接。

11. Window size value: 64800

最低0.47元/天 解锁文章
该昵称已经被占用
关注
  • 22
    点赞
  • 86
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
TCP滑动窗口(发送窗口和接受窗口)
weixin_30900589的博客
07-11 1542
TCP窗口机制 TCP header中有一个Window Size字段,它其实是指接收端的窗口,即接收窗口。用来告知发送端自己所能接收的数据量,从而达到一部分流控的目的。 其实TCP在整个发送过程中,也在度量当前的网络状态,目的是为了维持一个健康稳定的发送过程,比如拥塞控制。因此,数据是在某些机制的控制下进行传输的,就是窗口机制。 窗口缩放因子(Window Scaling) 以前,window...
Wiresharkwindow size value和calculated window size
weixin_34051201的博客
08-04 9379
为什么80%的码农都做不了架构师?>>> ...
Wireshark——抓包分析
qq_45951891的博客
11-04 1万+
ICMP (Internet Control Message Protocol,网际报文控制协议)是Internet 协议族的核心协议之一,它主要用在网络计算机的操作系统中发送出错信息。TCP (Transmission Control Protocol,传输控制协议)是一种面向连接的、可靠的、基于P的传输层协议。在这层上工作的不止一个协议,但是最普遍的就是互联网协议(IP)。该协议用来支撑那些需要在计算机之间传输数据的网络应用,包括网络视频会议系统在内的众多客户/服务器模式的网络应用。
TCP的Window Size和Scale参数对传输效率的影响
最新发布
Java程序员的知识博客
06-10 1264
TCP协议是可靠的通信协议,数据发送方发送给数据接收方的每一个包必须需要数据接收方返回对应的ACK,否则数据发送方就需要重传这个包。这个模式就有点像我和你面对面聊天,你一句我一句。但这种方式的缺点是效率比较低的。如果你说完一句话,我在处理其他事情,没有及时回复你,那你不是要干等着我做完其他事情后,我回复你,你才能说下一句话,很显然这不现实。这样的传输方式有一个缺点:数据包的往返时间越长,通信的效率就越低。为解决这个问题,TCP 引入了滑动窗口这个概念。
抓包与分析
YQ15161839467的博客
11-14 1万+
(一)作业目的 (1)了解网络通信的分层实现过程,了解不同层次 PDU 的逐层封装与解封过程; (2)了解数据通信的过程,进一步认知协议的构成与通信过程,进而对 TCP/IP 分层体系结构有更深刻的了解。 (二)作业内容 1. 在局域网范围内从协议层面分析 ping 命令的执行过程,包括所使用协议, 以及不同层级的数据包封装与解封的过程。 2. 访问 www.ujs.edu.cn 网站,分析其中所使用的协议,以及数据包的逐层封 装与解封过程。 3. 思考在数据
wireshark抓包,基于RIP报文进行解析
无缘世家的博客
11-08 1万+
测试目的:了解RIP协议的工作原理,及使用wireshark进行报文分析 测试软件:华为ENSP、wireshark抓包工具 环境搭建:基于华为ENSP网络模拟软件搭建如下测试环境,使用抓包工具抓取R4路由器的GE0/0/1接口网络数据 一、ensp软件配置及数据查看: 1、进入系统视图模式,执行命令rip [process-id],已启动RIP进程 [默认进程ID为1] 2、通过n...
wireshark中学网络分析(二)
NK_test的博客
03-02 3658
在上一篇文章中提到了TCP的延迟确认,延迟确认并不一定能提高性能,在某些场景下,开启延迟确认甚至会严重降低网络传输性能。(一)下面列出几个开启延迟确认降低网络性能的场景:场景一:想象这样一个场景,服务端开启了延迟确认,客户端在同一时刻发送了9个TCP包,其中3、4、5号因为拥塞丢失了。那么传输过程中发生了以下事件: 到达服务器的6、7、8、9号包触发了4个“Ack 3”,于是客户端快速重传
wireshark数据分析
04-04
Wireshark是一款强大的网络封包分析软件,常用于数据分析、测试工具和数据挖掘等领域。它能够捕获网络上的数据包并深入解析,帮助用户理解网络通信的细节,排查网络问题,进行安全审计以及性能优化。在本教程中,...
wireshark数据包分析.pdf
01-25
wireshark数据包分析
Wireshark数据包分析实战数据包(第版).rar
08-18
在《Wireshark数据包分析实战数据包(第版)》中,通过一系列的实战案例,我们可以深入理解网络通信的细节。以下是这些案例中涉及的一些关键知识点: 1. **PCAPNG文件格式**:0004-download-fast.pcapng、0005-...
Wireshark分析协议数据包
10-11
Wireshark是一款强大的网络协议分析工具,用于捕获和显示网络封包的详细信息,它可以帮助网络管理员、开发者以及安全专家深入理解网络通信的过程。在Wireshark中,我们可以分析多种协议的数据包,包括IP、UDP、TCP、...
Wireshark数据包分析实战(笔记) pdf .zip
03-26
Wireshark 基础用法 四、流量分析和图形化功能 五、通用底层网络协议 六、常见高层网络协议 七、基础的现实世界场景 八、让网络不再卡 九、安全领域的数据包分析 十、无线网络数据包分析 附录 A:其他数据包分析...
Wireshark(四):网络性能排查之TCP重传与重复ACK
diaohubie5623的博客
07-09 3112
原文出处: EMC中文支持论坛 作为网络管理员,很多时间必然会耗费在修复慢速服务器和其他终端。但用户感到网络运行缓慢并不意味着就是网络问题。 解决网络性能问题,首先从TCP错误恢复功能(TCP重传与重复ACK)和流控功能说起。之后阐述如何发现网络慢速之源。最后,对网络各组成部分上的数据流进行概况分析。这几张内容将会帮助读者识别,诊断,以及排查慢速网络。 更多信息 接下来的内...
Wireshark数据包分析之TCP协议包解读
weixin_33860528的博客
06-06 3380
*此篇博客仅作为个人笔记和学习参考 次握手建立连接(SYN标志) 客户端发送链接请求,此时处于等待确认状态;服务端收到请求,回应确认请求;最后客户端确认;建立完毕,开始传输数据! 四次握手断开连接(FIN标志) 客户端发送断开请求,此时处于等待确认状态;服务端收到请求,回应确认请求,并再次确认是否断开;客户端最后确认;断开链接! TCP协议包首部格式 次握手建立连接---分析 ...
windows 网络编程大汇总
baidu_16370559的博客
03-10 5821
使用winsock.h 文件 ,他是个接口,而不是协议,应用在tcp/ip协议中。 流程 WSAStartup函数用于加载 winsock dll 版本。一般使用 2.2 就可以了。 WSACleanup函数用于释放资源。 ...
Wireshark抓包语句、抓包分析及校验和计算
Chenhui的博客
12-23 9765
文章目录一. Wireshark下载二. Wireshark抓取数据包1.抓取数据包2.常见的抓包过滤语句1. 过滤IP2.过滤端口3.过滤协议4.过滤MAC地址5.http模式过滤.对数据包分析1. 物理层数据帧的分析2.数据链路层以太网帧头部信息3.网络层IP数据包头部信息4.传输层TCP数据段头部信息四. IP校验和计算 一. Wireshark下载 WireShark官网链接:https://www.wireshark.org/ 在官网的下载页面选择相应的下载文件进行下载,然后安装。  
网络包分析--tcp数据发送不出去
chinaclock的专栏
12-15 3796
wireshark又好久没用了,分析抓包又给忘得差不多了。 简单记录下, 基本: 1.注意记录窗口中,source字段和Destination字段,标示的发和收。 2.选中记录后,看详细报文信息窗口中, 倒数第二层的TCP报文的信息, 源端口和目的端口:是否匹配和预期。 flags显示:发送还是建立连接或者是回的ack报文 windows size value:显示目前发送报文
Wireshark数据包分析(详细解析)
热门推荐
weixin_51957047的博客
04-01 3万+
wireshark数据包分析 Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 数据包分析器又名嗅探(Sniffers),是一种网络流量数据分析的手段,常见于网络安全领域使用,也有用于业务分析领域,一般是指使用嗅探器对数据流的数据截获与分组分析(Packet analysis)。 wireshark下载地址 https://www.wires
Wireshark 基础 | 显示过滤篇
7ACE的博客
04-05 7212
Wireshark 基础 | 显示过滤篇
怎么使用wireshark数据分析
07-16
使用Wireshark进行数据分析的步骤如下: 1. 下载和安装Wireshark:访问Wireshark官方网站(https://www.wireshark.org/)并下载适用于您操作系统的最新版本。 2. 启动Wireshark:安装完成后,启动Wireshark应用程序。 3. 选择网络接口:选择要进行数据分析的网络接口。您可以选择实际的网络接口,例如无线网卡或以太网卡,或者选择“Loopback”接口来捕获本地回环流量。 4. 开始捕获数据包:点击“开始”按钮开始捕获数据包。Wireshark将开始监听选定的网络接口并显示捕获到的数据包。 5. 过滤数据包:使用Wireshark的过滤功能,可以根据不同的协议、IP地址、端口等条件来筛选和过滤数据包。在过滤框中输入适当的过滤条件,然后按下Enter键应用过滤。 6. 分析数据包:Wireshark将显示捕获到的数据包列表。您可以查看每个数据包的详细信息,例如源地址、目标地址、协议类型、数据长度等。双击特定的数据包以查看其详细内容。 7. 使用统计功能:Wireshark提供了各种统计功能,可用于分析捕获到的数据包。例如,您可以查看流量统计、协议分布、源/目标IP地址分布等。在Wireshark菜单栏中,选择“统计”>“协议”或“流量”等选项来访问这些功能。 8. 导出数据包:如果需要将分析结果保存或与他人共享,您可以将数据包导出为不同的格式,例如PCAP文件、CSV文件等。在Wireshark菜单栏中,选择“文件”>“导出指定的数据包”来执行此操作。 这些步骤将帮助您开始使用Wireshark进行数据包分析。请注意,数据包分析需要一定的网络知识和技能,以正确理解和解释捕获到的数据。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值