Wireshark数据抓包教程之认识捕获分析数据包
认识Wireshark捕获数据包
当我们对Wireshark主窗口各部分作用了解了,学会捕获数据了,接下来就该去认识这些捕获的数据包了。Wireshark将从网络中捕获到的二进制数据按照不同的协议包结构规范,显示在Packet Details面板中。为了帮助用户能够清楚的分析数据,本节将介绍识别数据包的方法。
在Wireshark中关于数据包的叫法有三个术语,分别是帧、包、段。下面通过分析一个数据包,来介绍这三个术语。在Wireshark中捕获的一个数据包,如图1.45所示。每个帧中的内容展开后,与图1.48显示的信息类似。
图1.48 数据包详细信息
从该界面可以看出显示了五行信息,默认这些信息是没有被展开的。各行信息如下所示:
q Frame:物理层的数据帧概况。
q Ethernet II:数据链路层以太网帧头部信息。
q Internet Protocol Version 4:互联网层IP包头部信息。
q Transmission Control Protocol:传输层的数据段头部信息,此处是TCP协议。
q Hypertext Transfer Protocol:应用层的信息,此处是HTTP协议。
下面分别介绍下在图1.48中,帧、包和段内展开的内容。如下所示:
(1)物理层的数据帧概况
Frame 5: 268 bytes on wire (2144 bits), 268 bytes captured (2144 bits) on interface 0 #5号帧,线路268字节,实际捕获268字节
Interface id: 0 #接口id
Encapsulation type: Ethernet (1) #封装类型
Arrival Time: Jun 11, 2015 05:12:18.469086000 中国标准时间 #捕获日期和时间
[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1402449138.469086000 seconds
[Time delta from previous captured frame: 0.025257000 se