使用 Wireshark 选取你要抓包的网络接口,并设置你的过滤器之后,当有数据通信后即可抓到对应的数据包,这里将分析其每一帧数据包的结构。

  • 每一帧数据都有类似的结构组成,我这里使用抓到一个对应的ping 包进行分析。

  • 这一帧包包含以下四种信息.

    • Frame: 物理层的数据帧情况。
    • Ethernet II , Src: 数据链路层以太网帧头部信息。
    • Internet Protocol Version 4, Src: 互联网层IP包头信息。
    • Internet Control Message Protocol: 互联网控制信息协议。ping 小包所使用的协议。
    • 前三层基本上都是一样的,第四层开始就可以出现TCP, UDP 协议,第五层就可能有HTTP 应用层协议等等。

  • 第一层 : Frame: 物理层的数据帧概况

    Frame 715: 98 bytes on wire (784 bits), 98 bytes captured (784 bits) on interface 0

        //第715帧,有98个字节在线上,共784位,实际捕获到784字节在0接口

        Interface id: 0 (\Device\NPF_{B67BEA54-B193-42D8-9DA9-11312F90107A})    //接口ID:0

        Encapsulation type: Ethernet (1)                                    //封装类型

        Arrival Time: Mar 22, 2017 13:30:44.053763000 中国标准时间          //到达时间

        Time shift for this packet: 0.000000000 seconds          //包偏移时间,不懂。。.

        Epoch Time: 1490160644.053763000 seconds             //有可能是1990 到现在的时间

        Time delta from previous captured frame: 0.000349000 seconds//两帧之间的时间间隔

        Time delta from previous displayed frame: 0.000000000 seconds//捕获到显示的间隔时间

        Time since reference or first frame: 274.038861000 seconds //此包和第一帧的时间间隔

        Frame Number: 715                                                   //帧号

        Frame Length: 98 bytes (784 bits)                                   //帧长度

        Capture Length: 98 bytes (784 bits)                                 //捕获的帧长度

        Frame is marked: False                                              //帧显著标志

        Frame is ignored: False                                             //帧忽略标志

        Protocols in frame: eth:ethertype:ip:icmp:data            //帧内封装的协议层次结构

        Coloring Rule Name: ICMP                                   //着色标记的协议

        Coloring Rule String: icmp || icmpv6                      //着色规则显示的字符串
  • 第二层: Ethernet II , Src: 数据链路层以太网帧头部信息。
    Ethernet II, Src: TexasIns_ce:a9:4b (68:c9:0b:ce:a9:4b), Dst: AplexTec_0d:4e (40:d8:55:16:ad:4e)

           //     源MAC地址:TexasIns_ce:a9:4b (68:c9:0b:ce:a9:4b)

            //目标MAC地址:AplexTec_0d:4e (40:d8:55:16:ad:4e)

    Destination: AplexTec_0d:4e (40:d8:55:16:ad:4e)   //目的MAC地址

    Source: TexasIns_ce:a9:4b (68:c9:0b:ce:a9:4b)     //源MAC地址
  • 第三层: Internet Protocol Version 4, Src: 以太网协议层
    Internet Protocol Version 4, Src: 192.168.0.199, Dst: 192.168.0.192

    // IPv4 协议                    源IP:192.168.0.199, 目的IP:192.168.0.192

            0100 .... = Version: 4     // 版本4

            .... 0101 = Header Length: 20 bytes (5)    // 头长度20字节

        Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)  //差分服务区域

            0000 00.. = Differentiated Services Codepoint: Default (0) // 差分服务字段

            .... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)

                                                                //明确的阻塞指示

            Total Length: 84                                        // 总长度

            Identification: 0x0000 (0)                              // 鉴别

        Flags: 0x02 (Don't Fragment)                                // 标志

            0... .... = Reserved bit: Not set                       // 保留位

            .1.. .... = Don't fragment: Set                         // 不要分离碎片

            ..0. .... = More fragments: Not set                     // 分离

        Fragment offset: 0  // 分的偏移量

        Time to live: 64    // 生存期

        Protocol: ICMP (1)  // 协议名称

        Header checksum: 0xb7d1 [validation disabled]   // 头部校验和

        Header checksum status: Unverified             // 头部校验和检验状态:

        Source: 192.168.0.199        // 源IP

        Destination: 192.168.0.192    // 目的地IP

        Source GeoIP: Unknown     // 源的 基于IP 查询地理位置   Geo IP: Geolocation IP

        Destination GeoIP: Unknown
  • 第四层: UDP, TCP, ICMP, 等等协议层
    // 这里面描述了这些协议独有的东西:

    //  ping 小包一般所使用的就是这种协议进行传输数据

    Internet Control Message Protocol   // 因特网控制信息协议

        Type: 8 (Echo (ping) request)   //  类型,ping 请求

        Code: 0

        Checksum: 0x6eb9 [correct]       // 和校验

        Checksum Status: Good            // 和检验状态

        Identifier (BE): 59906 (0xea02)  // 标识符

        Identifier (LE): 746 (0x02ea)    // 标识符

        Sequence number (BE): 5 (0x0005)    // BE 序列号

        Sequence number (LE): 1280 (0x0500)  //LE 序列号

        Data (56 bytes)                // 数据

          // ... ...

Wireshark 分析捕获的数据记录的更多相关文章

  1. 从零开始学安全(四十二)●利用Wireshark分析ARP协议数据包

    wireshark:是一个网络封包分析软件.网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料.Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换,是目前 ...

  2. Wireshark入门与进阶---数据包捕获与保存的最基本流程

    Wireshark入门与进阶系列(一) "君子生非异也.善假于物也"---荀子 本文由CSDN-蚍蜉撼青松 [主页:http://blog.csdn.net/howeverpf]原 ...

  3. 如何用Wireshark捕获USB数据?

    现在越来越多的电子设备采用USB接口进行通讯,通讯标准也在逐步提高.那么,我们就会好奇这些设备是如何工作的?而无论你是一个硬件黑客,业余爱好者或者只是对它有一点兴趣的,USB对我们都是具有挑战性的. ...

  4. 捕获网络数据包并进行分析的开源库-WinPcap

    什么是WinPcap WinPcap是一个基于Win32平台的,用于捕获网络数据包并进行分析的开源库. 大多数网络应用程序通过被广泛使用的操作系统元件来访问网络,比如sockets.  这是一种简单的 ...

  5. Wireshark 如何捕获网络流量数据包

    转自:http://www.4hou.com/web/7465.html?hmsr=toutiao.io&utm_medium=toutiao.io&utm_source=toutia ...

  6. wireshark分析https数据包解密前后的特点

    wireshark分析https数据包解密前后的特点 (一)https解密前 1.协议种类:2种(1)TCP(第四层,传输层)(2)SSL/TLS(第五层,应用层,加解密)2.应用层数据所在数据包特点 ...

  7. 8.HBase In Action 第一章-HBase简介(1.2.2 捕获增量数据)

    Data often trickles in and is added to an existing data store for further usage, such as analytics, ...

  8. [Wireshark]_002_玩转数据包

    通过前一篇文章,我们大概了解了Wireshark,现在可以准备好进行数据包的捕获和分析了.这一片我们将讲到如何使用捕获文件,分析数据包以及时间格式显示等. 1.使用捕获文件 进行数据包分析时,其实很大 ...

  9. MySQL单表百万数据记录分页性能优化

    背景: 自己的一个网站,由于单表的数据记录高达了一百万条,造成数据访问很慢,Google分析的后台经常报告超时,尤其是页码大的页面更是慢的不行. 测试环境: 先让我们熟悉下基本的sql语句,来查看下我 ...

随机推荐

  1. vs2010 javascript代码拓展插件支持代码折叠

    参考地址

  2. HDUOJ ---1423 Greatest Common Increasing Subsequence(LCS)

    Greatest Common Increasing Subsequence Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 65536 ...

  3. Android开发:轻松实现图片倒影效果

    效果如下: <ignore_js_op> device_thumb.png (68.26 KB, 下载次数: 41) 下载附件  保存到相册 2011-12-11 09:46 上传   主 ...

  4. pimpl idiom

    pimpl idiom flyfish 2014-9-30 pimpl是Pointer to implementation的缩写 为什么要使用pimpl 1最小化编译依赖 2接口与实现分离 3可移植 ...

  5. Python 字典 clear()方法

    描述 Python 字典 clear() 方法用于删除字典内所有元素. 语法 clear() 方法语法: D.clear() 参数 无. 返回值 该方法没有任何返回值. 实例 以下实例展示了 clea ...

  6. NRF24L01使用外部中断读取数据的问题

    NRF24L01读取数据不能使用中断的方式,原因如下: 首先NRF24L01中断触发时,IRQ引脚会一直保持低电平直到状态寄存器中的中断标志被重新清零. stm32的外部中断触发方式只有上升沿或者下降 ...

  7. php 利用转转法去除重复数组

    w3scool学习地址 http://www.w3school.com.cn/tiy/s.asp?f=demo_php_func_array_flip 利用array键名不能重复的原理,使用两次 ar ...

  8. mysql数据库以加索引方式提高性能

    数据库查询速率慢的情况下可以给对应的表加上对应的索引,能够有效的提高查询效率,mysql数据库添加索引的SQL入下: ALTER TABLE `table_name` ADD INDEX index_ ...

  9. RabbitMQ 远程 IP 访问 解决办法 -摘自网络

    刚刚安装的RabbitMQ-Server-3.3.5,并且也已经开启了Web管理功能,但是现在存在一个问题: 出于安全的考虑,guest这个默认的用户只能通过http://localhost:1567 ...

  10. angular.js ng-repeat动态插入删除dom节点

    既然上面提到 angular.js 下无需用户直接操作dom ,而是在编译间断 dom 与 控制层model 实现了双向绑定,一方做出改变,另一方就会立即改变,那问题来了,我想插入一个文本框和按钮,并 ...