wireshark-tcp报文

于 2024-08-26 00:37:37 发布
阅读量580 收藏 4
点赞数 5
分类专栏: 网络知识 文章标签: wireshark tcp/ip 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40073415/article/details/141536889
版权

1.分层介绍

用wireshark查看客户端跟服务器之间的报文,了解其业务流程。

  1. 分层介绍
    OSI体系结构,对应wireshark报文,如下图。
    图片:分层对应

  2. 物理层

  3. 数据链路层
    相邻两个设备的MAC地址。

  4. 网络层
    本层主要负责将TCP层传输下来的数据加上目标地址和源地址

  5. 传输层
    主要关注传输层中内容,flag。

2.TCP3次握手

图片: Alt
第一次握手:客户端向服务器发送一个SYN段(表示发起连接请求),并且包含客户端的一个初始序列号seq=0

第二次握手:服务端返回一个ACK(对客户端连接请求的应答)+SYN(表示服务端发起连接请求),并且包含服务端的一个初始序列号seq=0,同时返回一个确认号ack=1

第三次握手:客户端给服务端返回一个ACK(对服务端连接请求的应答),并更新自己的序列号seq=1,返回一个确认号ack=1

3.TCP传输过程分析

  1. 常说TCP是可靠性的传输协议,那么它是如何实现可靠性的数据传输呢,就是通过序列号和确认应答提高可靠性
  1. wireshark报文指令
    1. 过滤3次握手指令
      (tcp.flags.syn == 1) or (tcp.seq == 1 && tcp.ack == 1 && tcp.len == 0 && tcp.analysis.initial_rtt)
    2. 过滤IP,如来源IP或者目标IP等于某个IP
      ip.src eq 地址 or ip.dst eq 地址
      或者 ip.addr eq 地址
    3. 过滤端口
      tcp.port == 80 // 不管端口是来源的还是目标的都显示
      tcp.srcport == 80// 只显tcp协议的来源端口80
      tcp.dstport == 80// 只显tcp协议的目标端口80
    4. 包长过滤
      udp.length == 26 这个长度是指udp本身固定长度8 加上udp下面那块数据包之和
      tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
      ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后。

4.TCP4次挥手分析

5.参考连接

链接: link

有招-康禾-曌暖
关注
专栏目录
使用wireshark分析tcp报文
海渊_haiyuan的博客
05-12 3万+
前言 TCP协议在网络过程中,是一个最常见不过的协议了。在分析tcp网络协议报文时,借助当前强力的工具wireshark可以起到很好的辅助作用。 首先抓取了一个简单的http请求报文, 选取其中的一次完整请求,追踪tcp流: 可以在报文中看到tcp的3次握手,以及http 的request 和 response ,还有tcp的4次断开。 另外整个封包列表的面板中也有显示,编号,时间戳,源地址...
WireShark 抓住 TCP
最新发布
2402_85546752的博客
07-17 874
也就是图中最上面的红色框部分。这一次的连接建立和中断一共产生了来回 8 次的请求,每次请求会在列表上列出时间、源端IP、目的端IP、以太网帧长度以及概览信息,包括数据传输方向(源端口->目标端口)、标记情况、序号、确认序号、窗口大小等等。2,接下来要用 Telnet 连接一个外网服务器,所以我选择第一个 WI-FI:en0,这样 Wireshark 就会捕获我连接的 wifi 上的网络传输。第一部分是连接建立的三次握手,第二部分是发了长度为 1个字节的数据,第三步是客户端主动发起的断开连接的四次挥手过程。
wireshark学习系列————6、高级部分
Fly_鹏程万里
04-12 2374
在本节将介绍Wireshark的一些高级特性"Follow TCP Stream"如果你处理TCP协议,想要查看Tcp流中的应用层数据,"Following TCP streams"功能将会很有用。如果你项查看telnet流中的密码,或者你想尝试弄明白一个数据流。或者你仅仅只需要一个显示过滤来显示某个TCP流的包。这些都可以通过Wireshark的"Following TCP streams"功能...
通过tcpdump抓取 指定 ip 端口 的网络数据,并通过wireshark分析网络数据,很实用
热门推荐
三也_攻城狮
12-04 7万+
无意中发现了一个巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,而且非常风趣幽默,像看小说一样!觉得太牛了,所以分享给大家。点这里可以跳转到教程。 抓取来源ip port 端口的数据,tcp协议,并保存到文件 tcpdump -w dataSrc.pcap -i bond0 src net ip and port port 抓取目的ip port端口的数据 t...
结合Wireshark捕获分组深入理解TCP/IP协议栈之TCP协议
laughing_zhu的专栏
01-14 1810
结合Wireshark捕获分组深入理解TCP/IP协议栈之TCP协议 (2013-01-11 14:22) 标签:  的  是  IP协议  客户机  style  分类: 网络 摘要: 本文简单介绍了TCP面向连接理论知识,详细讲述了TCP报文各个字段含义,并从Wireshark俘获分组中选取TCP连接建立相关报文段进行分析。 一、概述
WireShark抓包分析TCP三次握手过程,TCP报文解析
wangyuxiang946的博客
09-20 2万+
使用WireShark工具抓取TCP协议三次握手的数据包,分析TCP三次握手过程,分析TCP报文中各个字段的作用。
wireshark查看TCP
sinat_35705952的博客
04-11 1569
通过实验一的实验结果,我们可以得知,当客户端发起的 TCP 第一次握手 SYN 包,在超时时间内没收到服务端的 ACK,就会在超时重传 SYN 数据包,每次超时重传的 RTO 是翻倍上涨的,直到 SYN 包的重传次数到达 tcp_syn_retries 值后,客户端不再发送 SYN 包。如果不启用 SACK,就必须重传丢失包之后的每个数据包。接收窗口的大小,是在 TCP 三次握手中协商好的,后续数据传输时,接收方发送确认应答 ACK 报文时,会携带当前的接收窗口的大小,以此来告知发送方。
wireshark抓包:报文信息
qq_43148894的博客
09-01 9131
使用wires hark抓包 色彩规则: 黑色:报文错误(TCP解析错误、重传、乱序、丢包、重复响应) Bad TCPTCP解析错误,通常为重传、乱序、丢包、重复响应 HSRP State Change:HSRP(热备份协议),表示状态非active和standby Spanning Tree Topology Change:生成树协议状态为0x80,拓扑发生变化 OSPF State Change:OSPF的msg类型不是hello ICMP errors:ICMP协议错误,协议type字段值错误
wireshark查看报文详细内容
qq_42478602的博客
02-18 1万+
wireshark查看报文详细内容
fins-tcp协议,可用wireshark打开
10-09
FINS tcp协议以太网报文,可以用wireshark软件打开,适用于学习FINS报文解析,学习各种工业以太网协议可参考本人其他下载文件
TCP和MODBUS-TCP通讯调试软件
03-15
4. 使用抓包工具(如Wireshark)分析网络报文,有助于查找通信问题。 5. 如果遇到通信问题,检查TCP连接状态,确认是否有丢包、超时或错误的确认应答。 通过这样的调试软件,我们可以有效地检测和优化TCP和MODBUS-...
Internet协议分析-TCP报文分析
04-23
TCP/IP网络通信中,TCP报文承载了数据传输的控制信息和数据内容,其在源与目标间传输前,需要通过三次握手建立连接,传输完毕后则通过四次挥手断开连接。 一、三次握手过程 1. 第一次握手:客户端向服务器发送一...
Wireshark网络协议分析 - TCP协议
马赛琦的博客
01-30 1676
在阅读本文。
如何使用wireshark分析报文
m0_63902994的博客
07-19 4500
Wireshark的专家信息是非常强大的一个分析模块,分别对错误、警告、注意、聊天等数据信息做出分类和注释,对网络故障分析提供了强有力的信息依据,让你准确快速地判断出故障点,并进行下一步处理。当选择列表选中“错误”,专家信息窗口就只显示错误数据信息,可以清晰地看到错误数据包的概述摘要,分组,协议类型和包的数量等各类型的注释。同样,在选择“警告”会单独显示其数据信息,左边的数字是数据包的序列号,协议类型和数据包的数量等,不在做过多解释。
wireshark视角来看TCP,太会玩了
04-19 1262
WireShark 主要分为这几个界面:1. Display Filter( 显示过滤器 ), 用于过滤2. Packet List Pane(封包列表 ), 显示捕获到的封包, 有源地址和目标地址,端口号。颜色不同,代表3. Packet Details Pane(封包详细信息 ), 显示封包中的字段4. Dissector Pane(16 进制数据 )5. Miscellanous( 地址栏,杂项 )
WireSharkTCP解析
qq_42896037的博客
09-29 3104
文章目录三次握手详解SYN字段ACK字段第一次握手MSSWin和WS(window scale 窗口缩放因子)SACK_PERM第二次第三次握手数据传输过程四次挥手 三次握手详解 利用WireShark抓包,追踪流,抓取到一个会话的数据包。前三个TCP数据包对应了TCP建立连接的三次握手 上图为TCP报文段格式 SYN字段 SYN:同步序列编号(Synchronize Sequence Numbers)。是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时,客户机首
Wireshark抓包:详解TCP四次挥手报文内容
nhb687096的博客
05-10 1959
三次握手后,发起https的一个连接,中间发的都是正常的数据包,直到客户端发完数据包了,客户端发起一个fin,ack包开始四次挥手,直到连接结束了。fin,ack包—>ack包---->fin,ack包---->ack包。tcp报文是一个可靠的协议,它的每一个数据包都要进行确认,每发一个数据包都有一个ack包。这是抓的包,然后过滤出来的,看下最后的阶段,是要开始释放一个链接了。所以第一个fin,ack包,ack被标记了,其实也是对上一个报文数据的确认。fin,ack和ack包的序号、确认号是一样的。
wireshark TCP常见异常报文分析
myvest的专栏
10-19 1万+
流媒体播放中,常常需要借助wiresharkTCP层面对交互过程进行分析,本文记录一些常见的TCP异常报文及其分析。 乱序与丢包 1、[TCP Previous segment not captured] [TCP Previous segment not captured]报文指的是在TCP发送端传输过程中,该Seq前的报文缺失了。一般在网络拥塞的情况下,造成TCP报文乱序、丢包时,会出现该标...
wireshark分析TCP报文具体方法
06-01
Wireshark可以用来分析TCP报文,具体方法如下: 1. 打开Wireshark并选择需要分析的网络接口。 2. 开始捕获数据包,可以通过点击“开始”按钮或使用快捷键Ctrl + E来启动捕获。 3. 过滤TCP数据包,可以使用过滤器功能来仅显示TCP数据包。可以在过滤器栏中输入“tcp”或“tcp.port == [端口号]”来过滤TCP报文。 4. 选择需要分析的TCP数据包,可以通过单击相应的数据包来选择它。 5. 在数据包详细信息区域中,可以查看TCP报文的详细信息。可以展开“Transmission Control Protocol”区域来查看TCP报文的各个字段的值,如源端口、目的端口、序号、确认号、窗口大小等。 6. 可以使用Wireshark的统计功能来分析TCP报文的性能,如TCP流量、RTT等。 7. 分析完毕后,可以保存捕获的数据包以备后续分析或共享给其他人。 注意:在分析TCP报文时,需要确保有足够的理解和经验,以正确解释报文中的各个字段和标志位。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值