使用 Wireshark 选取你要抓包的网络接口,并设置你的过滤器之后,当有数据通信后即可抓到对应的数据包,这里将分析其每一帧数据包的结构。

  • 每一帧数据都有类似的结构组成,我这里使用抓到一个对应的ping 包进行分析。

  • 这一帧包包含以下四种信息.

    • Frame: 物理层的数据帧情况。
    • Ethernet II , Src: 数据链路层以太网帧头部信息。
    • Internet Protocol Version 4, Src: 互联网层IP包头信息。
    • Internet Control Message Protocol: 互联网控制信息协议。ping 小包所使用的协议。
    • 前三层基本上都是一样的,第四层开始就可以出现TCP, UDP 协议,第五层就可能有HTTP 应用层协议等等。

  • 第一层 : Frame: 物理层的数据帧概况

    Frame 715: 98 bytes on wire (784 bits), 98 bytes captured (784 bits) on interface 0

        //第715帧,有98个字节在线上,共784位,实际捕获到784字节在0接口

        Interface id: 0 (\Device\NPF_{B67BEA54-B193-42D8-9DA9-11312F90107A})    //接口ID:0

        Encapsulation type: Ethernet (1)                                    //封装类型

        Arrival Time: Mar 22, 2017 13:30:44.053763000 中国标准时间          //到达时间

        Time shift for this packet: 0.000000000 seconds          //包偏移时间,不懂。。.

        Epoch Time: 1490160644.053763000 seconds             //有可能是1990 到现在的时间

        Time delta from previous captured frame: 0.000349000 seconds//两帧之间的时间间隔

        Time delta from previous displayed frame: 0.000000000 seconds//捕获到显示的间隔时间

        Time since reference or first frame: 274.038861000 seconds //此包和第一帧的时间间隔

        Frame Number: 715                                                   //帧号

        Frame Length: 98 bytes (784 bits)                                   //帧长度

        Capture Length: 98 bytes (784 bits)                                 //捕获的帧长度

        Frame is marked: False                                              //帧显著标志

        Frame is ignored: False                                             //帧忽略标志

        Protocols in frame: eth:ethertype:ip:icmp:data            //帧内封装的协议层次结构

        Coloring Rule Name: ICMP                                   //着色标记的协议

        Coloring Rule String: icmp || icmpv6                      //着色规则显示的字符串
  • 第二层: Ethernet II , Src: 数据链路层以太网帧头部信息。
    Ethernet II, Src: TexasIns_ce:a9:4b (68:c9:0b:ce:a9:4b), Dst: AplexTec_0d:4e (40:d8:55:16:ad:4e)

           //     源MAC地址:TexasIns_ce:a9:4b (68:c9:0b:ce:a9:4b)

            //目标MAC地址:AplexTec_0d:4e (40:d8:55:16:ad:4e)

    Destination: AplexTec_0d:4e (40:d8:55:16:ad:4e)   //目的MAC地址

    Source: TexasIns_ce:a9:4b (68:c9:0b:ce:a9:4b)     //源MAC地址
  • 第三层: Internet Protocol Version 4, Src: 以太网协议层
    Internet Protocol Version 4, Src: 192.168.0.199, Dst: 192.168.0.192

    // IPv4 协议                    源IP:192.168.0.199, 目的IP:192.168.0.192

            0100 .... = Version: 4     // 版本4

            .... 0101 = Header Length: 20 bytes (5)    // 头长度20字节

        Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)  //差分服务区域

            0000 00.. = Differentiated Services Codepoint: Default (0) // 差分服务字段

            .... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)

                                                                //明确的阻塞指示

            Total Length: 84                                        // 总长度

            Identification: 0x0000 (0)                              // 鉴别

        Flags: 0x02 (Don't Fragment)                                // 标志

            0... .... = Reserved bit: Not set                       // 保留位

            .1.. .... = Don't fragment: Set                         // 不要分离碎片

            ..0. .... = More fragments: Not set                     // 分离

        Fragment offset: 0  // 分的偏移量

        Time to live: 64    // 生存期

        Protocol: ICMP (1)  // 协议名称

        Header checksum: 0xb7d1 [validation disabled]   // 头部校验和

        Header checksum status: Unverified             // 头部校验和检验状态:

        Source: 192.168.0.199        // 源IP

        Destination: 192.168.0.192    // 目的地IP

        Source GeoIP: Unknown     // 源的 基于IP 查询地理位置   Geo IP: Geolocation IP

        Destination GeoIP: Unknown
  • 第四层: UDP, TCP, ICMP, 等等协议层
    // 这里面描述了这些协议独有的东西:

    //  ping 小包一般所使用的就是这种协议进行传输数据

    Internet Control Message Protocol   // 因特网控制信息协议

        Type: 8 (Echo (ping) request)   //  类型,ping 请求

        Code: 0

        Checksum: 0x6eb9 [correct]       // 和校验

        Checksum Status: Good            // 和检验状态

        Identifier (BE): 59906 (0xea02)  // 标识符

        Identifier (LE): 746 (0x02ea)    // 标识符

        Sequence number (BE): 5 (0x0005)    // BE 序列号

        Sequence number (LE): 1280 (0x0500)  //LE 序列号

        Data (56 bytes)                // 数据

          // ... ...

Wireshark 分析捕获的数据记录的更多相关文章

  1. 从零开始学安全(四十二)●利用Wireshark分析ARP协议数据包

    wireshark:是一个网络封包分析软件.网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料.Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换,是目前 ...

  2. Wireshark入门与进阶---数据包捕获与保存的最基本流程

    Wireshark入门与进阶系列(一) "君子生非异也.善假于物也"---荀子 本文由CSDN-蚍蜉撼青松 [主页:http://blog.csdn.net/howeverpf]原 ...

  3. 如何用Wireshark捕获USB数据?

    现在越来越多的电子设备采用USB接口进行通讯,通讯标准也在逐步提高.那么,我们就会好奇这些设备是如何工作的?而无论你是一个硬件黑客,业余爱好者或者只是对它有一点兴趣的,USB对我们都是具有挑战性的. ...

  4. 捕获网络数据包并进行分析的开源库-WinPcap

    什么是WinPcap WinPcap是一个基于Win32平台的,用于捕获网络数据包并进行分析的开源库. 大多数网络应用程序通过被广泛使用的操作系统元件来访问网络,比如sockets.  这是一种简单的 ...

  5. Wireshark 如何捕获网络流量数据包

    转自:http://www.4hou.com/web/7465.html?hmsr=toutiao.io&utm_medium=toutiao.io&utm_source=toutia ...

  6. wireshark分析https数据包解密前后的特点

    wireshark分析https数据包解密前后的特点 (一)https解密前 1.协议种类:2种(1)TCP(第四层,传输层)(2)SSL/TLS(第五层,应用层,加解密)2.应用层数据所在数据包特点 ...

  7. 8.HBase In Action 第一章-HBase简介(1.2.2 捕获增量数据)

    Data often trickles in and is added to an existing data store for further usage, such as analytics, ...

  8. [Wireshark]_002_玩转数据包

    通过前一篇文章,我们大概了解了Wireshark,现在可以准备好进行数据包的捕获和分析了.这一片我们将讲到如何使用捕获文件,分析数据包以及时间格式显示等. 1.使用捕获文件 进行数据包分析时,其实很大 ...

  9. MySQL单表百万数据记录分页性能优化

    背景: 自己的一个网站,由于单表的数据记录高达了一百万条,造成数据访问很慢,Google分析的后台经常报告超时,尤其是页码大的页面更是慢的不行. 测试环境: 先让我们熟悉下基本的sql语句,来查看下我 ...

随机推荐

  1. java内存泄露问题

    内存泄露是指一个不再被程序使用的对象或变量还在内存中占用存储空间. 在Java语言中,判断一个内存空间是否符合垃圾回收的标准有两个: ①给对象赋予了空值null,以后再没有使用过: ②给对象赋予了新值 ...

  2. windows添加开机启动项

    http://www.cnblogs.com/jokey/archive/2010/06/17/1759370.html添加开机启动项(通过注册表) 例子:增加QQ开机启动项 第一步:找到注册表的启动 ...

  3. C# 获取当前打开的文件夹2

    这一个则比较投机,准确性不能保证,可以参考:   这个类获取当前进程的句柄:  public class MyProcess     {         private bool haveMainWi ...

  4. DataGridView合并单元格(多行多列合并)

    一.点击在拖入的显示控件(TreeList)右上方的箭头,在Treelist任务中选择数据源,添加项目数据源,依次选择数据库.数据集,新建连接,浏览选择数据库(*.mdb),依次点击 下一步,选择“表 ...

  5. 摘:VC开发数据库基础之ADO篇

    一.ADO简介ADO(ActiveX Data Object)是Microsoft数据库应用程序开发的新接口,是建立在OLE DB之上的高层数据库访问技术,请不必为此担心,即使你对OLE DB,COM ...

  6. OAF_OAF控件系列10 - Key Flexfield键值弹性域的实现(案例)

    2014-06-17 Created By BaoXinjian

  7. HDU 3849 By Recognizing These Guys, We Find Social Networks Useful(双连通)

    HDU 3849 By Recognizing These Guys, We Find Social Networks Useful pid=3849" target="_blan ...

  8. nginx实战五

    nginx用户认证 https://coding.net/u/aminglinux/p/nginx/git/blob/master/access/auth.md 当访问一些私密资源时,最好配置用户认证 ...

  9. 详细介绍Java中的堆和栈

    栈与堆都是Java用来在RAM中寄存数据的中央.与C++不同,Java自动管理栈和堆,程序员不能直接地设置栈或堆. Java的堆是一个运转时数据区,类的对象从中分配空间.这些对象经过new.newar ...

  10. IP和java.net.InetAddress类的使用

    一.IP 1.地址格式 互联网上每一台计算机都有一个唯一标示自己的标记,这个标记就是IP地址.IP 地址使用32 位长度二进制数据标示,一般在实际中看到的大部分IP地址都是以十进制的数据形式标示的,如 ...