wireshark:捕获数据

最新推荐文章于 2024-07-25 08:50:21 发布
最新推荐文章于 2024-07-25 08:50:21 发布
阅读量1.1k 收藏 4
点赞数 1
分类专栏: 工具软件 文章标签: wireshark
原文链接:https://www.zhihu.com/topic/20135157/hot
版权

捕获原理

  • 当用户的计算机连接到一个网络时,它依赖一个网络适配器(比如以太网卡)和链路层驱动(网卡驱动)来发送和接收数据。
  • wireshark为了捕获和分析数据包,也是依赖网络适配器和网卡驱动来传递数据。

wireshark的系统结构如下图:

  • GTK:图形窗口工具,操纵所有的用户输入/输出界面
  • 核心引擎:将其他模块连接起来,起到综合调度的作用
  • 捕获引擎:依赖底层库Libpcap/WinPcap(Libpcap是linux的版本,WinPcap用于windows版本),进行数据捕获
  • Wiretap是用来读取和保存来自于WinPcap的捕获文件和一些其他的文件格式。

在这里插入图片描述

认识数据包

wireshark将从网络中捕获到的二进制数据按照不同的协议包格式规范,显示在Packet List面板中。

在wireshark中关于数据包的叫法有三个术语:帧、包、段
在这里插入图片描述
从该界面可以看出显示了5行信息,默认这些信息是没有被展开的。各行信息如下图所示:

  • Frame: 物理层的数据帧概况
  • Ethernet II:数据链路层以太网帧头部信息
  • Internet Protocol Version 4:互联网层IP包头部信息
  • Transmission Control Protocal:传输层的数据段头部信息,这里是TCP协议
  • Hypetext Transfer Protocol:应用层的信息,此处是HTTP协议

物理层的数据帧概况

Frame 242: 74 bytes on wire (592 bits), 74 bytes captured (592 bits) on interface \Device\NPF_{008F262F-B566-4C3A-AC15-288D82D3513E}, id 0  # 第242号帧,线路74字节,实际捕获268字节
    Interface id: 0 (\Device\NPF_{008F262F-B566-4C3A-AC15-288D82D3513E})  # 接口id
    Encapsulation type: Ethernet (1)                                   # 封装类型
    Arrival Time: Nov 24, 2021 15:33:26.120758000 中国标准时间     # 捕获日期和时间
    [Time shift for this packet: 0.000000000 seconds]   
    Epoch Time: 1637739206.120758000 seconds
    [Time delta from previous captured frame: 0.000005000 seconds]  # 此包与前一包的时间间隔
    [Time delta from previous displayed frame: 0.000005000 seconds]  # 此包与第一帧的时间间隔
    [Time since reference or first frame: 0.543203000 seconds]
    Frame Number: 242                         # 帧序号
    Frame Length: 74 bytes (592 bits)         # 帧长度
    Capture Length: 74 bytes (592 bits)       # 捕获长度
    [Frame is marked: False]                  # 此帧是否做了标记:否
    [Frame is ignored: False]                 # 此帧是否被忽略,否
    [Protocols in frame: eth:ethertype:ip:udp:data]   # 帧内封装的协议层次结构
    [Coloring Rule Name: UDP]                   # 着色标记的协议名称
    [Coloring Rule String: udp]		            # 着色规则显示的字符串

数据链路层以太网帧头部信息

Ethernet II, Src: Micro-St_1c:a1:ce (30:9c:23:1c:a1:ce), Dst: NewH3CTe_25:a3:e6 (f0:10:90:25:a3:e6)
    Destination: NewH3CTe_25:a3:e6 (f0:10:90:25:a3:e6)   # 目标MAC地址
    Source: Micro-St_1c:a1:ce (30:9c:23:1c:a1:ce)    # 源MAC地址
    Type: IPv4 (0x0800)

互联网层IP包头部信息

Internet Protocol Version 4, Src: 192.168.0.60, Dst: 108.159.5.134
    0100 .... = Version: 4                       # 互联网协议 IPv4
    .... 0101 = Header Length: 20 bytes (5)     # IP包头部长度
    Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT) # 差分服务字段
    Total Length: 283                 # IP包的总长度
    Identification: 0xd87d (55421)    # 标记字段
    Flags: 0x40, Don't fragment   # 标记指端
    Fragment Offset: 0  # 分的偏移量
    Time to Live: 128   # 生存期TTL
    Protocol: TCP (6)  # 此包内封装的上层协议为TCP
    Header Checksum: 0xee55 [validation disabled]  # 头部数据的校验和
    [Header checksum status: Unverified]   
    Source Address: 192.168.0.60         # 源IP地址
    Destination Address: 108.159.5.134   # 目标IP地址

传输层TCP数据段头部信息

Transmission Control Protocol, Src Port: 49537, Dst Port: 80, Seq: 1, Ack: 1, Len: 243
    Source Port: 49537     # 源端口号
    Destination Port: 80   # 目标端口号
    [Stream index: 2]
    [TCP Segment Len: 243]
    Sequence Number: 1    (relative sequence number)  # 序列号(相对序列号)
    Sequence Number (raw): 1925677966                  # 下一个序列号
    [Next Sequence Number: 244    (relative sequence number)]  
    Acknowledgment Number: 1    (relative ack number)    # 确认序列号
    Acknowledgment number (raw): 2488148386           
    0101 .... = Header Length: 20 bytes (5)   # 头部长度
    Flags: 0x018 (PSH, ACK)               # TCP标记字段
    Window: 1029                         # 流量控制的窗口大小
    [Calculated window size: 263424]    
    [Window size scaling factor: 256]
    Checksum: 0x7bd1 [unverified]   # TCP数据段的校验和
    [Checksum Status: Unverified]
    Urgent Pointer: 0
    [SEQ/ACK analysis]
    [Timestamps]
    TCP payload (243 bytes)
OceanStar的学习笔记
关注
专栏目录
Wireshark数据抓包教程之Wireshark捕获数据
aoe41606的博客
02-06 1224
Wireshark数据抓包教程之Wireshark捕获数据 Wireshark抓包方法 在使用Wireshark捕获以太网数据,能够捕获分析到自己的数据包,也能够去捕获同一局域网内,在知道对方IP地址的情况下,捕获到对方的数据包。 Wireshark捕获自己的数据包 假...
深入解析Wireshark1:从捕获到分析,一网打尽数据包之旅
Thanks_ks的IT探秘之旅
05-15 2651
Wireshark是一款功能强大的网络分析工具,它能帮助我们深入探索网络通信的奥秘。从选择网卡到捕获数据包,再到详细解析数据包在不同网络层次的结构,Wireshark为我们提供了丰富的功能。通过本博客,你将学习Wireshark的基本操作,了解数据捕获、过滤和解析的技巧。我们还将通过案例分析,展示如何利用Wireshark分析网络通信中的问题。无论你是专业人士还是网络爱好者,都能从中获得有价值的知识和经验。
使用Wireshark抓取数据
ytangdigl的博客
08-02 4645
1、通过wireshark官网下载:https://www.wireshark.org/ 2、设置捕获过滤器 打开wireshark,菜单–>捕获–>捕获过滤器(F),如图1 在捕获过滤器设置页面(如图2),新增,如图2左边是捕获过滤器名称,右边是捕获过滤器规则,常用的规则如: 1、根据端口号去过滤:port 360 2、根据ip去过滤:host 192.168.2.117 3、使...
wireshark10个抓包技巧(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Python_0011的博客
07-25 3187
w 保存的文件路径及文件名称;强大的Wireshark还是有招应对的,“统计”→“会话”,分别按数据包个数和字节大小统计,很快可以看到是哪些ip地址之间的流量是最大的,后续重点排查这些ip即可,如下图,10.63.16.77和10.88.14.119流量是最大的。Wireshark中流量图工具,就可以帮助完成这个画图标注过程,打开抓包文件后,“统计”→“流量图”,“显示”选“显示的分组”,如下图,对比标准radius协议交互过程就能清晰看出哪个过程有问题。@网 络 工 程 师 俱 乐 部。
wireshark抓包分析数据怎么看 wireshark使用教程_wireshark怎么看(1)
2401_83974370的博客
04-18 2341
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
Wireshark的抓包和分析,看这篇就够了!
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
11-10 1万+
WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交...
wireshark数据捕获实验简述
weixin_42185241的博客
03-19 2149
wireshark数据捕获实验简述
Wireshark:Wireshark进行流量审核
04-19
它能够实时捕获网络流量,并深入解析多种协议,帮助用户理解数据在网络中的传输过程。 1. **Wireshark的基本操作** - **安装与启动**:Wireshark适用于多个操作系统,包括Windows、Linux和macOS。用户可以通过官方...
深入探索Wireshark:揭秘TCP流跟踪的高级分析技巧
06-21
Wireshark 通过使用如 WinPCAP 这样的接口直接与网卡进行数据报文交换,能够捕获经过网络接口的数据包,无论它们是否发往本机。 Wireshark 不是入侵侦测系统(Intrusion Detection System, IDS),它不会对网络中的...
Wireshark:wireshark抓包结果的统计程序
05-30
例如,可以利用Wireshark的libpcap库(在Java中通常通过JNetPcap库来调用)进行程序化的数据捕获和分析。这使得开发者可以构建自定义的网络监控和分析系统,集成到Java应用中。 在提供的`Wireshark-master`压缩包...
使用Wireshark捕获数据帧和IP数据包(实例学习).pdf
09-29
首先,我们需要启动Wireshark,然后开始捕获数据。在Windows的命令行中,我们执行ping命令,使用浏览器访问某个网站,使用FTP访问某个FTP服务器,并登录。 在Wireshark的窗口中,我们可以看到捕获数据帧列表、...
Wireshark抓包详解-新手教程】
sunrj_niu的博客
04-16 3677
WireShark 主要分为这几个界面 1. Display Filter(显示过滤器), 用于过滤 2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表 3. Packet Details Pane(封包详细信息), 显示封包中的字段 4. Dissector Pane(16进制数据) 5. Miscellanous(地址栏,杂项) tcp抓包详解
这10个技巧你都会?绝对算网络抓包高手!
01-16 1279
强大的Wireshark还是有招应对的,“统计”→“会话”,分别按数据包个数和字节大小统计,很快可以看到是哪些ip地址之间的流量是最大的,后续重点排查这些ip即可,如下图,10.63.16.77和10.88.14.119流量是最大的。Wireshark中流量图工具,就可以帮助完成这个画图标注过程,打开抓包文件后,“统计”→“流量图”,“显示”选“显示的分组”,如下图,对比标准radius协议交互过程就能清晰看出哪个过程有问题。先画图,再将报文一个一个标注出来,然后对比标准协议交互过程来分析。
wireshark抓包
yiwenrong的博客
12-30 1025
wireshark抓包新手使用教程 Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程各种问题定位。本文主要内容包括: 1、Wireshark软件下载和安装以及Wireshark主界面介绍。 2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。 3、Wireshark过滤器使用。通过过滤器可以筛选出...
Wireshark抓包详解
热门推荐
hebbely的博客
01-06 3万+
简述 wireshark是非常流行的网络封包分析工具,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。   wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshar
Wireshark——抓包分析
qq_45951891的博客
11-04 2万+
ICMP (Internet Control Message Protocol,网际报文控制协议)是Internet 协议族的核心协议之一,它主要用在网络计算机的操作系统中发送出错信息。TCP (Transmission Control Protocol,传输控制协议)是一种面向连接的、可靠的、基于P的传输层协议。在这层上工作的不止一个协议,但是最普遍的就是互联网协议(IP)。该协议用来支撑那些需要在计算机之间传输数据的网络应用,包括网络视频会议系统在内的众多客户/服务器模式的网络应用。
Wireshark抓包iOS入门教程
YLGWHYH的专栏
11-18 1083
Wireshark抓包iOS入门教程   网络抓包是个基础技能,对于网络协议的掌握有一定的要求。iOS上实现网络抓包可以用Charles(针对http和https),tcpdump(快速分析网络包),和Wireshare。之前写过一篇介绍tcpdump抓包的入门文章,和tcpdump相比,Wireshark提供丰富的GUI交互,而且能分析所有的网络协议,关键还是免费的,掌握...
使用wireshark进行抓包分析
安澜公子的博客
02-24 4109
文章目录Client HelloServer HelloCertificate, Server Key Exchange, Certificate Request, Server Hello DoneCertificateServer Key ExchangeCertificate RequestServer Hello DoneCertificate, Client Key Exchange, ...
网络安全最全超详细的wireshark抓包使用教程_抓包工具wireshark,2024最新百度、头条等公司网络安全社招面试题目
2401_84297455的博客
05-09 833
2. Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。观察上述获取的数据包列表,含有大量的无效数据。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
Wireshark实战:捕获与分析数据帧与IP包
教程中通过实际操作展示了如何使用Wireshark捕获数据帧和IP数据包,包括了使用Wireshark启动捕获、执行ping命令、访问网页以及使用FTP的过程,并对捕获数据帧进行了详细解析。 Wireshark是一个强大的网络协议分析...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值