Wireshark是一款图形界面的网络嗅探器,支持多种平台,是网络流量分析的利器。在日常工作中抓包分析往往是解决根本问题的最有效手段。最近刚把《Wireshark网络分析就是这么简单》看完,写的很有意思,把一些心得和技巧分享一下。
IP TCP协议
在正式开始抓包分析前先简单介绍下我们抓包中最常碰到的IP、TCP协议的头部信息。
IP头部
• 版本号(4位):v4、v6
• 首部长度(4位):4比特是15,每1位代表4个字节32位一行,所以IP头部最长60个字节,固定长度20字节,选项最多40字节
• TOS位(8位):前三位IP优先级中间四位表示TOS最后一位保留。中间四位各位被置1的意思:最小的延时、最大的吞吐量、最高的可靠性、最小的开销
• 总长度(16位):211=65535字节
• 标识(16位):标识一个数据包。
• 标志(3位):第一位DF第二位第三位保留。DF(Don't Fragment)置1表示中间路由器遇到要分片的数据包直接丢掉发送一个ICMP消息(这个消息在源端会显示一个M),MF(More Fragment)置1表示被分片数据包不是最后一个分片。