wireshark 抓取的tcp 数据报文

最新推荐文章于 2025-05-08 16:47:15 发布
最新推荐文章于 2025-05-08 16:47:15 发布
阅读量1.4w 收藏 29
点赞数 4
分类专栏: wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangzhen_csdn/article/details/76301958
版权
本文详细解析了Wireshark抓取的TCP数据报文,包括以太网头部、IP头部和TCP头部的各项字段,如源端口、目的端口、序号、确认号、紧急比特、确认比特、复位比特、同步比特、终止比特、窗口字段、检验和等,并解释了其作用和意义。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

图1:wireshark 抓取的tcp 数据报文
0000 34 17 eb a9 73 88 58 69 6c 27 77 16 08 00 45 00
0010 00 34 00 00 40 00 3d 06 56 72 c0 a8 3d df c0 a8
0020 28 22 1f 98 ca 50 a3 e6 0a c4 74 47 e4 f7 80 12
0030 39 08 5c d4 00 00 02 04 05 b4 01 01 04 02 01 03
0040 03 07

TCP 报文 = 以太网头部(14字节) +IP 头部(20个字节)+TCP 头部(20字节)+TCP数据部分

源端口和目的端口字段 —— 各占 2 字节。端口是传输层与应用层的服务接口。传输层的复用和分用功
能都要通过端口才能实现。
序号字段 —— 占 4 字节。 TCP 连接中传送的数据流中的每一个字节都编上一个序号。序号字段的值
则指的是本报文段所发送的数据的第一个字节的序号。
确认号字段 —— 占 4 字节,是期望收到对方的下一个报文段的数据的第一个字节的序号。
数据偏移 —— 占 4bit ,它指出 TCP 报文段的数据起始处距离 CP 报文段的起始处有多远。“数据偏
移 ”的单位不是字节而是 32bit 字( 4 字节为计算单位)。
保留字段 —— 占 6bit ,保留为今后使用,但目前应置为 0。
紧急比特 URG —— 当 URG =1 时,表明紧急指针字段有效。它告诉系统此报文段中有紧急数据,应
尽快传送 (相当于高优先级的数据 )。
确认比特 ACK—— 只有当 ACK=1 时确认号字段才有效。当 ACK=0 时,确认号无效。
复位比特 RST(Reset) —— 当 RST =1 时,表明 TCP 连接中出现严重差错(如由于主机崩溃或其他
原因),必须释放连接,然后再重新建立运输连接。
同步比特 SYN—— 同步比特 SYN 置为 1,就表示这是一个连接请求或连接接受报文。
终止比特 FIN(FINal) —— 用来释放一个连接。 当 FIN=1 时,表明此报文段的发送端的数据已发送完
毕,并要求释放运输连接。
窗口字段 —— 占 2 字节。窗口字段用来控制对方发送的数据量,单位为字节。 TCP 连接的一端根据
设置的缓存空间大
最低0.47元/天 解锁文章
WireSharktcp通信数据的抓包
2301_77164542的博客
05-06 5211
这样,原本的第二次挥手(ACK)和第三次挥手(FIN)就合并在了一个TCP文中,因此抓包工具只会抓取到这个合并后的FIN+ACK文以及后续的客户端ACK文,总共是三个包。此时就可以进行数据传输了。[Protocols in frame: eth:ethertype:ip:tcp:data](帧内封装层次协议结构,eth:ethertype:ip:tcp,以太网,以太网协议,ip,tcp)Destination: 00:00:00_00:00:00 (00:00:00:00:00:00)(目标地址)
使用wireshark抓取Tcp三次握手
weixin_47792933的博客
05-23 9700
文章目录wireshak的下载安装TCP协议段格式简单介绍 wireshak的下载安装 软件的下载可以直接去官方下载 wireshark,选择自己电脑适合的版本就行。 ,但是不咋推荐,原因是国外网站访问速度太慢,写博文的时候我去官方下载安装包还下不下来,之后去搜狗下载了一个安装包,进行安装,点击安装包一路next进行安装,其中安装过程中需要注意的我会单独说明下。 阅读许可: 勾选下面几个选项,有些默认没有勾选: TCP协议段格式简单介绍 TCP,即Transmission Control Protoc
wireshark tcp抓包分析_使用wireshark分析tcp
weixin_39534149的博客
12-12 2534
TCP协议在网络过程中,是一个最常见不过的协议了。在分析tcp网络协议文时,借助当前强力的工具wireshark可以起到很好的辅助作用。首先抓取了一个简单的http请求文,选取其中的一次完整请求,追踪tcp流:可以在文中看到tcp的3次握手,以及http 的request 和 response ,还有tcp的4次断开。另外整个封包列表的面板中也有显示,编号,时间戳,源地址,目标地址,协议,长...
Wireshark基本使用
最新发布
m0_56620669的博客
05-08 1252
本文会对Wireshark做简单介绍,带大家熟悉一下Wireshark的界面,以及如何使用过滤器。 接着会带大家查看TCP五层模型下,带大家回顾各层首部的格式。 最后会演示 Wireshark 如何抓取三次握手和四次挥手包的过程。
WireShark抓取TCP四次挥手文实战
morris
07-03 2万+
TCP四次挥手 四次挥手的流程 挥手的过程可以由任何一方发起,这里以服务器端发起为例说明: 第一次挥手:服务器端发出FIN,用来断开服务器端到客户端的数据传送,进入FIN-WAIT-1状态 第二次挥手:客户端收到服务器端的FIN后,发送ACK确认文,进入CLOSE-WAIT状态 第三次挥手:客户端发出FIN,用来断开客户端到服务器端的数据传送,进入LAST-ACK状态 第四次挥手:服务器端收到客户端的FIN后,发送ACK确认文,进入TIME-WAIT状态,服务器端等待2个最长文段寿命后进入Close
利用wiresharkTCP抓包分析
qq_42567607的博客
07-23 6471
TCP本身没有分段的概念,它的sequencenumber和acknowledgenumber是使TCP是基于流的协议的支撑,TCPsegmentofareassembledPDU的出现是因为Wireshark分析了其上层的HTTP协议而给出的摘要,如果配置Wireshark不支持HTTP协议解析。第一行因为这个包是在主机上抓的,所以最外层的是通过数据链路层封装的,数据链路层会将数据包封装陈帧(Frame),帧的序号就是这个包的序号,该包共64字节。...............
wireshark 抓包分析TCP(学习内容记录)
weixin_74239923的博客
03-29 463
客户端收到了服务端的FIN信令后,进入TIMED_WAIT状态,并发送ACK确认消息。客户端在TIMED_WAIT状态下,等待2MSL一段时间,没有数据到来的,就认为对面已经收到了自己发送的ACK并正确关闭了进入CLOSE状态,自己也断开了到服务端的TCP连接,释放所有资源。第二次挥手:服务端收到FIN后,知道不会再有数据从客户端传来,发送ACK进行确认,确认序号为收到序号+1(与SYN相同,一个FIN占用一个序号),服务端进入CLOSE_WAIT状态。ACK - 确认接收到的数据)TCP四次挥手示意图。
wireshark抓取app的
04-14
本文将详细介绍如何使用Wireshark抓取手机应用程序的网络文,具体案例涉及抖音、高德地图、拼多多、今日头条等热门应用。 首先,Wireshark抓取网络文的过程可以分为以下几个步骤: 1. 准备工作:确保Wireshark...
使用wireshark分析tcp
热门推荐
海渊_haiyuan的博客
05-12 3万+
前言 TCP协议在网络过程中,是一个最常见不过的协议了。在分析tcp网络协议文时,借助当前强力的工具wireshark可以起到很好的辅助作用。 首先抓取了一个简单的http请求文, 选取其中的一次完整请求,追踪tcp流: 可以在文中看到tcp的3次握手,以及http 的request 和 response ,还有tcp的4次断开。 另外整个封包列表的面板中也有显示,编号,时间戳,源地址...
wireshark抓包TCP数据包
will_95的博客
06-09 9401
拆包TCPIP协议实践
2024年【软件测试】探索和学习SDLC与软件测试的关系,顺利通过阿里软件测试岗面试
2401_84563734的博客
05-08 699
Testing is part of every stage in modern SDLC models. (整合:在现代SDLC模型的每个阶段,测试都是一个组成部分。
6个步骤轻松实现 postman 接口压力测试(建议收藏),2024年最新2024阿里软件测试高级面试题总结
2401_84240431的博客
04-15 1069
行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
WireShark抓包分析TCP三次握手过程,TCP文解析
wangyuxiang946的博客
09-20 2万+
使用WireShark工具抓取TCP协议三次握手的数据包,分析TCP三次握手过程,分析TCP文中各个字段的作用。
Wireshark抓包(TCP/UDP/ARP/DNS/DHCP/HTTP)
2302_80585579的博客
02-02 8716
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。在任何时候,一台主机有IP数据报文发送给另一台主机,它都要知道接收方的逻辑(IP)地址。但是IP地址必须封装成帧才能通过物理网络。这就意味着发送方必须有接收方的物理(MAC)地址,因此需要完成逻辑地址到物理地址的映射。而ARP协议可以接收来自IP协议的逻辑地址,将其映射为相应的物理地址,然后把物理地址递交给数据链路层。
TCP协议文讲解,Wireshark抓包,细致分析三次握手和四次挥手
Michelangeshaw的博客
11-02 2541
TCP(Transmission Control Protocol,传输控制协议)是面向连接、可靠的传输层协议。它在网络中通过三次握手建立连接,并确保数据包的可靠传输。TCP广泛应用于需要可靠数据传输的场景,例如HTTP、FTP、SMTP等协议的传输。
wireshark实验之TCP
Gavin Guan的专栏
11-30 7254
计网学完传输层之后虽然书上的东西都差不多理解了,但是纸上学来终觉浅,还是实际感受一下TCP的整个传输过程才能理解得更深 就从最经典的三次握手开始 第一步源地址向目的地址发送一个SYN请求(seq=0),第二步目的地址向源地址发送一个SYN-ACK响应(seq=0,ack=1),第三步源地址向目的地址发送ACK确认(seq=1,ack=1),接下来分析看到的简略参数: seq和ack就
使用wireshark分析TCP ——以HTTP协议为例
czw
06-16 2万+
1. 对以太网帧、ip数据TCP文结构的分析以南邮图书馆网站为例,图书馆网址为:http://lib.njupt.edu.cn,对应的IP地 202.119.224.202。 设置wireshark的过滤条件为”ip.addr == 202.119.224.202”,得到下面结果: 双击第一条,得到详细信息: 从上往下,依次对应tcp/ip五层模型中的数据链路层、网络层和传输层。1.1
使用Wireshark抓包分析TCP协议
new9232的博客
04-17 3万+
wireshark数据包详细栏每个字段对应的分层。 分层介绍 数据链路层 我们点开这个字段,从该字段中可以看到相邻两个设备的MAC地址 网络层 本层主要负责将TCP层传输下来的数据加上目标地址和源地址。 传输层 这一层用到了TCP协议 tcp包头 每个字段对应的TCP包头 TCP握手过程分析 TCP三次握手示意图 第一次握手:客户端向服务器发送一个SYN段(表示发起连接请求),并且包含客户端的一个初始序列号seq。 第二次握手:服务端返回一个SYN(表示
TCP 文格式及TCP Flags
gyunling的专栏
04-16 3万+
(一)前言 TCP 是一个基于连接的四层协议,提供全双工地,可靠地传输系统。它能够保证数据被远程主机接收。并且能够为高层协议提供flow-controlled 服务。 (二)TCP 文格式(rfc793) 各个Field说明: 源端口(Source Port):长度为16 bits(2个字节)。源端口。 目的端口(Destination Port):长...
wireshark 抓取9000端口文,命令行工具
02-28
<think>好的,用户想了解如何使用Wireshark和命令行工具抓取9000端口的文。我需要先回忆一下Wireshark的基本用法以及相关命令行工具,比如tshark和tcpdump。首先,用户可能需要知道如何在图形界面中设置过滤条件,但特别提到了命令行工具,所以重点应该放在tshark和tcpdump上。 接下来,要确认端口号9000是TCP还是UDP,不过通常在过滤器中可以同时指定或分别处理。用户可能是在进行某种特定的网络调试,比如自定义服务或游戏服务器,所以需要明确如何正确过滤端口。 对于Wireshark部分,需要说明如何启动捕获,设置捕获过滤器为port 9000,或者显示过滤器。注意区分捕获过滤器和显示过滤器的不同语法,比如BPF格式和Wireshark自带的显示过滤器。用户可能会混淆这两者,需要明确指出。 然后是关于tshark的使用,作为Wireshark的命令行版本,tshark的命令行参数需要详细说明,比如指定接口、过滤条件、输出文件等。可能需要提醒用户使用-i参数指定网络接口,特别是如果服务器有多个网卡的情况下。 对于tcpdump部分,作为常用的命令行抓包工具,基本命令结构是tcpdump port 9000,但可能需要添加其他参数如-w保存文件,-v详细输出等。这里要确保用户知道如何安装tcpdump(比如在Linux上使用apt或yum),以及可能需要sudo权限。 另外,用户可能对实时监控和保存文件的需求不同,需要分别说明。比如使用-w保存为pcap文件后用Wireshark分析,或者直接实时查看。 还需要考虑用户的操作系统环境,比如是Windows还是Linux,因为tshark和tcpdump在Windows上的可用性不同。可能需要在回答中提到这些工具的安装方式,或者提供相应的下载链接。 最后,常见的应用场景,比如调试API、分析流量等,可以举例说明,帮助用户更好地理解何时使用这些方法。同时,提醒用户注意权限问题,可能需要管理员或root权限才能捕获网络数据包。 总结一下,回答的结构应该分为Wireshark GUI部分、tshark命令行部分、tcpdump部分,每部分给出具体命令和参数,并说明注意事项和常见用例。确保命令准确,语法正确,用户能直接复制使用。</think>以下是通过Wireshark及其命令行工具抓取9000端口文的详细方法: 一、Wireshark图形界面操作 1. 启动Wireshark 2. 选择网卡接口(如eth0/wlan0) 3. 在捕获过滤栏输入: ```bpf port 9000 ``` 4. 开始捕获后,在显示过滤栏使用: ```wireshark tcp.port == 9000 || udp.port == 9000 ``` 二、tshark命令行工具(Wireshark自带) ```bash # 基础抓包 tshark -i eth0 -f "port 9000" # 保存为pcap文件 tshark -i any -w output.pcap -f "port 9000" # 解析已存文件 tshark -r input.pcap -Y "tcp.port == 9000" # 带详细输出(显示TCP序列号) tshark -i eth0 -f "port 9000" -O tcp ``` 三、tcpdump经典工具 ```bash # 实时监控 sudo tcpdump -i any port 9000 -vv # 保存原始数据 sudo tcpdump -i eth0 -w 9000_port.pcap port 9000 # 十六进制输出 tcpdump -XX -nn port 9000 ``` 注意事项: 1. 权限问题:Linux/Mac需sudo执行,Windows需管理员权限 2. 接口选择: - `any` 捕获所有接口 - `eth0` 指定物理网卡 - `lo` 环回接口 3. 协议区分:默认同时捕获TCP/UDP,指定协议可添加`tcp`/
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值