Wireshark分析器分析数据流过程

Wireshark分析器分析数据流过程

分析包是Wireshark最强大的功能之一。分析数据流过程就是将数据转换为可以理解的请求、应答、拒绝和重发等。帧包括了从捕获引擎或监听库到核心引擎的信息。Wireshark中的格式由成千上万的协议和应用程序使用，它可以调用各种各样的分析器，以可读的格式将字段分开并显示它们的含义。下面将介绍详细分析Wireshark的包信息。

例如，一个以太网网络中的主机向Web网站发送HTTP GET请求时，这个包将由五个处理器进行处理。分别如下所示：

1.帧分析器

帧分析器用来检测和显示捕获文件的基本信息，如每个帧的时间戳，如图2.14所示。然后帧分析器传递帧给以太网分析器。

图2.14  帧分析器

从该界面可以看到第5帧中的一些基本信息。例如，帧的编号为5（捕获时的编号），帧的大小为268个字节，帧被捕获的日期和时间，该帧和前一个帧的捕获时间差以及和第一个帧的捕获时间差等。

2.以太网分析器

以太网分析器用来解码、显示以太网帧（Ethernet II）头部的字段、字段类型的内容等。然后传递给下一个分析器，也就是IPv4分析器。如图2.15所示，该字段类型值为0x0806，0x0806表示是一个IP头部。

图2.15  以太网分析器

从该界面可以看到在以太网帧头部中封装的信息，包括发送方的源MAC地址和目标MAC地址。

3.IPv4分析器

IPv4分析器用来解码IPv4头部的字段，并基于协议字段的内容传递包到下一个分析器。如图2.16所示，该界面显示了IPv4分析器中的内容。

图2.16  IPv4分析器

从该界面可以看到TCP协议字段的值为6。

4.TCP分析器接管

TCP分析器用于解码TCP头部的字段，并基于端口字段的内容，将帧传递给下一个分析器。如图2.17所示，该界面显示了TCP分析器中的内容。

图2.17  TCP分析器

从该界面可以看到，目标端口为HTTP协议的80端口。在下一节，将介绍Wireshark如何处理运行在非标准端口上的流量。

5.HTTP分析器接管

在本例中，HTTP分析器解码HTTP包的字段。在该包中没有嵌入式的协议或应用程序，所以这是帧中应用的最后一个分析器，如图2.18所示。

图2.18  HTTP分析器

从该界面可以看到，客户端口请求了xxxxxxxxxxxxxx网站。