WireShark抓取数据后(TCP、数据链路层、IP层)UDP层分析

最新推荐文章于 2024-05-29 14:57:31 发布
最新推荐文章于 2024-05-29 14:57:31 发布
阅读量3.2k 收藏 13
点赞数 1
文章标签: 参考 文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44448942/article/details/103309355
版权

数据的获取与分析利用————WireShark抓取数据后(TCP、数据链路层、IP层)UDP层分析

WinShark抓取数据后(TCP、数据链路层、IP层)UDP层分析

1、安装WireShark
2、访问网站主页,并使用工具获取数据包。
在这里插入图片描述

图1. 图中256 及·260为:TCP第一次握手的PDU和HTTP协议向网站请求时的PDU

访问网站放时产生的HTTP协议数据报;
在这里插入图片描述
找到上述HTTP访问过程中的TCP连接过程(三次握手)
在这里插入图片描述
图2 第一次握手时的数据包(图中256-259处可以看到“三次握手”过程)

 客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接

在这里插入图片描述
图3 第二次握手时的数据包

服务器发回确认包, 标志位为 SYN,ACK. 将确认序号设置为客户的I S N加1以.即1

在这里插入图片描述
图4 第三次握手时的数据包

客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1,

关闭连接 (四次挥手)
在这里插入图片描述
图5 四次挥手

TCP UDP分析在这里插入图片描述

图6 TCP报文描述

Transmission Control Protocol, Src Port: 80, Dst Port: 56130, Seq: 1, Ack: 524, Len: 0 Source Port: 80 Destination Port: 56130
[Stream index: 40]
数据序号:40

[TCP Segment Len: 0]
#TCP段长度

Sequence number: 1 (relative sequence number)
Sequence number (raw): 3344445676
#报文段中的的第一个数据字节在数据流中的序号;

[Next sequence number: 1 (relative sequence number)]
#下一个数据字节序号

Acknowledgment number: 524 (relative ack number)
Acknowledgment number (raw): 1987028714
#确认序列号包含发送确认的一端所期望收到的下一个序号

0101 … = Header Length: 20 bytes (5)
#头部长度:4位,20字节

Flags: 0x010 (ACK)
#ACK-确认序号有效

Window size value: 123
#TCP窗口尺寸

[Calculated window size: 15744]
[Window size scaling factor: 128]
#校验和:源机器基于数据内容计算一个数值,收信息机要与源机器数值 结果完全一样,从而证明数据的有效性

Checksum: 0x483b [unverified]
[Checksum Status: Unverified]
#检验和

数据链路层UDP
在这里插入图片描述
Frame 601: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interface \Device\NPF_{CFDEE561-1FC4-4504-81E7-D68B7D8698B6}, id 0
#601号帧,线路432字节,实际捕获432字节 接口id

Interface id: 0 (\Device\NPF_{CFDEE561-1FC4-4504-81E7-D68B7D8698B6})
#接口id
Interface name: \Device\NPF_{CFDEE561-1FC4-4504-81E7-D68B7D8698B6}
Interface description: WLAN
#接口名 、接口描述
Encapsulation type: Ethernet (1)
#封装类型
Arrival Time: Nov 29, 2019 11:15:52.603491000中国标准时间
#捕获日期和时间

[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1574997352.603491000 seconds
[Time delta from previous captured frame: 0.025257000 seconds]
[Time delta from previous displayed frame: 0.032047000 seconds]
#此包与前一包的时间间隔

[Time since reference or first frame: 7.447963000 seconds]
#此包与第一帧的时间间隔

Frame Number: 601 #帧序号

Frame Length: 54 bytes (432 bits) #帧长度

Capture Length: 554 bytes (432 bits) #捕获长度

[Frame is marked: False] #此帧是否做了标记:否

[Frame is ignored: False] #此帧是否被忽略:否

[Protocols in frame: eth:ehertype:ip:tcp] #帧内封装的协议层次结构

[Coloring Rule Name: HTTP] #着色标记的协议名称

[Coloring Rule String: http || tcp.port == 80|| http2] #着色规则显示的字符串

IP层UDP

在这里插入图片描述

Internet Protocol Version 4, Src: 111.7.68.182, Dst: 192.168.1.135
#IPV4 源地址IP 目标地址IP
0100 … = Version: 4
#IPV版本
… 0101 = Header Length: 20 bytes (5)
#IP数据报 头部长度20字节=5*4
Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
。 # DS:区分服务 代码点
Total Length: 40
#总长度 40
Identification: 0x1515 (5397)
#标识 16位
Flags: 0x4000, Don’t fragment
…0 0000 0000 0000 = Fragment offset: 0
Time to live: 50
#生存期TTL
Protocol: TCP (6)
#协议
Header checksum: 0xbdce [validation disabled]
[Header checksum status: Unverified]
#头部校验和
Source: 111.7.68.182
Destination: 192.168.1.135
.# 源地址 目标地址

小哥12138
关注
wireshark捕捉的数据包,对数据帧头部IP数据头部、ICMP头部进行分析
sparrow_fly_2021的博客
11-13 4494
数据帧IP数据包、ICMP协议分析
网络系列一 结合wireshark学习TCP/IP协议中帧,IP包,TCP包的包结构及字意义
不积跬步无以至千里; 不积小流无以成江海
01-04 5598
1. 概述 TCP/IP应该是程序员的基本功,但是之前对这个印象总是模模糊糊,花了一些时间对相关的东西进行了整理。本文介绍网络传输中的基本元素,主要包括如下内容 帧的分类、结构及字意义 结合wireshark学习TCP/IP协议中帧,IP包,TCP包的包结构及字意义 序列号和确认号 TCP的窗口机制和可用窗口大小协商机制 2. 帧 网络上,单次传输的数据量是有限。在传输数据时,...
TCP UDP (转)
weixin_30699955的博客
07-04 176
互连网早期的时候,主机间的互连使用的是NCP协议。这种协议本身有很多缺陷,如:不能互连不同的主机,不能互连不同的操作系统,没有纠错功能。为了改善这种缺点,大牛弄出了TCP/IP协议。现在几乎所有的操作系统都实现了TCP/IP协议栈。 TCP/IP协议栈主要分为四:应用、传输、网络数据链路层,每都有相应的协议,如下图 所谓的协议就是双方进行数据传输的一种格式。整个网络中使用...
Wireshark实验——了解PDU
Harriet的博客
11-22 4310
文章目录数据链路层Ethernet 帧结构了解子网内/外通信时的 MAC 地址掌握 ARP 解析过程网络熟悉 IP 包结构IP 包的分与重组考察 TTL 事件传输熟悉 TCPUDP 结构分析 TCP 建立和释放连接应用了解 DNS 解析了解 HTTP 的请求和应答 数据链路层 Ethernet 帧结构 Ethernet帧格式包含目的MAC,源MAC,类型,数据,校验字。从图中可以看到该帧的目的MAC,源MAC分别是什么。数据的类型是IPv4,其中Padding表示的填充数据,当数据不足
应用截包方案与实现
11-15 1339
关键字:截包 应用 中间 NDIS Windows作者:Fang(fangguicheng@21cn.com)为什么要在应用截包 引言截包的需求一般来自于过滤、转换协议、截取分析等。过滤型的应用比较多,典型为包过滤型防火墙。转换协议的应用局限于一些特定环境。比如第三方开发网络协议软件,不能够与原有操作系统软件融合,只好采取“嵌入协议栈的块”(BITS)方式实施。比如IPSEC在Windo
C#使用TCP/UDP协议通信并用Wireshark抓包分析数据
02-24
本文章主要讲述使用VS2019编写C#程序,并通过UDP/TCP进行通信,使用Wireshark抓包软件抓取发送的包并分析数据结构,由于涉及到客户端和通信端,可以使用两台电脑,一台电脑编写客户端代码,一台电脑编写服务器端代码...
WIREshark抓取流量数据TCP三次握手四次挥手建立连接过程分析
最新发布
m0_59580677的博客
05-29 1086
3. Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包,在数据包详细信息中会显示数据包的所有详细信息内容。Ack = 1 : 表示当前端成功接收的数据位数,虽然服务端没有发送任何有效数据,确认号还是被加1,因为包含SYN或FIN标志位(并不会对有效数据的计数产生影响,因为含有SYN或FIN标志位的包并不携带有效数据)。2. Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。
Wireshark数据抓包分析之传输协议TCP协议
ChuMeng1999的博客
07-29 5670
从上面可以很容易的看出,70,73,74帧是tcp的三次握手,428,429,430,431帧是四次断开的数据。分为两部分,即TCP三次握手,四次断开的数据。启动Wireshark,在Filter中输入tcp,点击Apply会看到很多的数据包,这是因为测试环境中,有很多的应用程序,与其服务器连接,使用TCP协议。1024~65535是临时端口组(尽管一些操作对此有着不同的定义),当一个服务想在任意时间使用端口进行通信的时候,操作系统都会随机选择这个源端口,让这个通信使用唯一的源端口。...
使用TCP/UDP协议通信并用Wireshark抓包分析数据
hh444565的博客
11-24 3643
一.Socket、TCPUDP 1. Socket 我们知道两个进程如果需要进行通讯最基本的一个前提能能够唯一的标示一个进程,在本地进程通讯中我们可以使用PID来唯一标示一个进程,但PID只在本地唯一,网络中的两个进程PID冲突几率很大,这时候我们需要另辟它径了,我们知道IPip地址可以唯一标示主机,而TCP协议和端口号可以唯一标示主机的一个进程,这样我们可以利用ip地址+协议+端口号唯一标示网络中的一个进程。 能够唯一标示网络中的进程后,它们就可以利用socket进行通信了,什么是socket呢
TCP/IP协议数据在每中的长度
beilingshan的专栏
08-28 3614
1、概述 首先要看TCP/IP协议,涉及到四:链路,网络,传输,应用。    其中以太网(Ethernet)的数据帧在链路    IP包在网络    TCPUDP包在传输    TCPUDP中的数据(Data)在应用    它们的关系是 数据帧IP包{TCPUDP包{Data}}}        不同的协议数据包有不同的称谓,在传输叫做(se
wireshark分析udp分片
myWorld001的博客
03-23 4689
wireshark默认会组装分片的包,所以抓不到。需要进行设置 编辑-》首选项-》protocols,取消组装 帧结构 分片 第一包 第二包
使用wireshark分析TCPUDP协议
热门推荐
萧别离(RenH)
02-28 4万+
     最近在工作中涉及到使用一种4G 的DTU 模块与服务器后台通信。因在部分场景下需要在消息中传输文件(通过base64),因此考虑到以下两个问题:        1) TCP连接 是否保证多次send(发送)的数据与接收数据顺序一致?        2)TCP连接 调用一次send中发送数据,在数据比较大的情况下,是否分为多个tcp包发送?      为方便采用wireshark 分析TC...
wireshark分析UDP协议
qq_43938052的博客
12-14 792
wireshark分析UDP协议 1.实验环境 1.manjaro-gnome-20.1.2 2.wireshark-3.4.0 3.VMware-16.0.0 4.ubuntu16.04 (虚拟机192.168.146.100 NAT模式 服务端) 5.ubuntu16.04 (虚拟机192.168.146.101 NAT模式 客户端) 6.python3.8 2.源码 功能: 客户端脚本执行4次,每次向服务端发送‘cao’字符串,服务端收到后向客户端发送一个字符串。 客户端源码 client.py
通过 wireshark 体验 IP 分包
HermanOpenGL的专栏
08-30 1259
不管是 TCP 包还是 UDP 包,如果 size 太大,到了 IP ,都会进行分包处理。 如何才算 size 太大呢?这个跟具体的网络类型有关。 以最常用的以太网为例,允许的最大包 size 为 1500 字节,也就是我们俗称的 MTU(Maximum Transmission Unit)值。 今天我们通过 Wireshark 工具,直观的感受一下 IP 是如何对 TCP 或者 UDP 包进行分包处理的。 实验环境:两台电脑+网络互通 操作系统:Windows 或者 Linux 均可
http&https ---抓包工具 Fiddler&wireshark
学习笔记
02-25 1664
一、http和https协议差别 http默认采用80作为通讯端口,对于传输采用不加密的方式 https默认采用443,对于传输的数据进行加密传输。http协议明文传输;https是集对称加密(通信)和非对称加密(协商行为)为一体的加密过程 前提: 服务器端向证书颁发机构(CA)申请一个证书,CA记录下证书的相关信息; 客户端浏览器已经内置了可信任CA的列表; 流程: 客户端使...
以太网,IP,TCP,UDP数据分析
qq_44850340的博客
01-29 1481
以太网,IP,TCP,UDP数据分析 http://www.cnblogs.com/feitian629/archive/2012/11/16/2774065.html 1、ISO开放系统有以下几: 7 应用 6 表示 5 会话 4 传输 3 网络 2 数据链路层 1 物理 2、TCP/...
MAC捕获协议分析 实验
QENGFENG的博客
11-05 3434
利用抓包工具(Wireshark/Windump/Sniffer)抓取分析实际以太网MAC数据帧,以进一步熟悉和理解MAC帧格式规范与MAC协议的工作原理。接下来6字节为源地址:74 40 bb ae 6e 13(LG = 0表示该地址为全球管理地址;前6字节为目的地址:00 74 9c 96 71 8d(LG = 0表示该地址为全球管理地址;(1)提前学习以太网的ACM有关的理论知识,知道ACM地址以及ACM帧的格式;(2)选取一个实际的以太网文,对其ACM数据帧进行深入分析,熟悉其工作原理。
[已解决] wireshark能抓到包但是UDP recvfrom收不到
qq_36257015的博客
02-10 5590
有时候在Ubuntu上编程时,会遇到UDP的recvfrom函数收不到包,但是在wireshark上来看是可以抓得到这个包的情况。解决方案如下...
Wireshark抓包语句、抓包分析及校验和计算
Chenhui的博客
12-23 1万+
文章目录一. Wireshark下载二. Wireshark抓取数据包1.抓取数据包2.常见的抓包过滤语句1. 过滤IP2.过滤端口3.过滤协议4.过滤MAC地址5.http模式过滤三.对数据分析1. 物理数据帧分析2.数据链路层以太网帧头部信息3.网络IP数据头部信息4.传输TCP数据头部信息四. IP校验和计算 一. Wireshark下载 WireShark官网链接:https://www.wireshark.org/ 在官网的下载页面选择相应的下载文件进行下载,然后安装。  
Wireshark分析数据链路层:Ethernet与IEEE 802.11帧结构
实验体会部分则强调了通过实践学习Wireshark数据链路层帧结构的重要性,以及这些知识对未来学习TCP/IP协议栈其他次的支撑作用。 这个实验不仅提供了实际操作的机会,还促进了对网络底协议的理论理解,使学生...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值