wireshark的使用与分析(以TCP和UDP为例)

使用 wireshark 软件对协议进行还原

需要一些计算机网络的基础,还是比较容易分析的

实验基本信息:

实验环境:Windows10 x64 , WireShark3.6.2
先进行抓包,抓包过程在此不赘述,参考链接:https://blog.csdn.net/qq_44275213/article/details/118873256

(1) TCP协议分析

在这里插入图片描述

源IP: 172.20.120.252目的IP:167.71.198.221
源端口:59267目的端口:443(https默认端口)
源MAC:dc:71:96:5e:8a:e4目的MAC:44:ec:ce:d2:ff:c3

一共四层:

层名作用
Frame:物理层数据包概述
Ethernet:链路层双方的mac地址
Internet Protocol:网络层双方的IP地址
Transmission Control Protocol:传输层TCP/UDP层,双方的端口

以太网帧结构:
在这里插入图片描述

链路层抓包(以太网头部):

其中,目的MAC(44:ec:ce:d2:ff:c3)六字节,源MAC(dc:71:96:5e:8a:e4)六字节,类型(0x0800)两字节,0x0800 表示 IPv4 协议
在这里插入图片描述

我们可以得到应该以IPv4的格式分析下面的数据
Ipv4数据报格式:
在这里插入图片描述

网络层抓包(IP数据头部):

结构名称解释在实例中的体现
IP版本,首部长度版本为4,头部长度为20字节(以4字节为一单位,故写5)0x45
区分服务默认为0x000x00
总长度总长度为520x0034
Id509720xc71c
三个标志位3bits+片位移13bits其中不得分片有效0x40
生存时间TTL1280x80
上层协议6代表tcp协议0x06
首部校验和在此失效0x0000
源IP172.20.120.2520xac1478fc
目的IP167.71.198.2210xa74c6dd

在这里插入图片描述

下面分析TCP报文段结构:
在这里插入图片描述

传输层抓包(TCP报文头部):

结构名称解释在实例中的体现
源端口592670xe783
目的端口443(https默认端口)0x01bb
序列号4360078300x19fcf396
确认号00x00000000
TCP首部长度二进制10000x80
首部长度+保留+八个标志位(图中只有六个标志位)------0x8002
窗口大小642400xfaf0
检验和0x935c0x935c
紧急指针00x0000
选项------0x020405b40103030801010402

在这里插入图片描述

到此,TCP头部结束

(2) UDP协议分析

随机抓取一个UDP包,物理层、链路层、网络层基本不变,除了蓝框里由TCP(06)变成了UDP(17)
在这里插入图片描述

下面分析不同的传输层
UDP报文段结构:
在这里插入图片描述

结构名称解释在实例中的体现
源端口80000x1f40
目的端口40160x0fb0
长度3110x0137
校验和----0x5f05

在这里插入图片描述

后面全都是数据:
在这里插入图片描述

  • 12
    点赞
  • 61
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吾酥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值