使用 Wireshark 选择需要抓包的网络方式,并设置过滤器条件,当有数据通信后即可抓到对应的数据包,这里将分析其每一帧数据包的结构。

以HTTP协议为例,一帧数据包一般包括以下几个部分:

  • Frame:物理层的数据帧情况。
  • Ethernet II :数据链路层以太网帧头部信息。
  • Internet Protocol Version 4:以太网协议层。
  • Transmission Control Protocol:传输控制协议。
  • HyperText Transfer Protocol:超文本传输协议。

对于各种协议而言,前三层基本一样,第四层开始就可以出现TCP, UDP 协议,第五层就有HTTP 应用层协议等。

第一层:Frame:(物理层)

 // 第8056帧,有507个字节在线,共4056位,实际在接口0上捕获到507个字节

 Frame :  bytes on wire ( bits),  bytes captured ( bits) on interface

     // 接口ID:0

     Interface id:  (\Device\NPF_{7920DB7B-B8DB-417F-8C85-72E6DCCD61C5})

     // 封装类型

     Encapsulation type: Ethernet ()

     // 到达时间

     Arrival Time: Aug  ,  ::00.750794000 中国标准时间

     // 包偏移量

     [Time shift for this packet: 0.000000000 seconds]

     // 新纪元时间

     Epoch Time: 1565250300.750794000 seconds

     // 两帧之间的时间间隔

     [Time delta from previous captured frame: 0.000326000 seconds]

     // 捕获到显示的时间间隔

     [Time delta from previous displayed frame: 0.126423000 seconds]

     // 此帧与第一帧的时间间隔

     [Time since reference or first frame: 197.144051000 seconds]

     // 帧号

     Frame Number:

     // 帧长度

     Frame Length:  bytes ( bits)

     // 捕获的帧长度

     Capture Length:  bytes ( bits)

     // 帧是否标记

     [Frame is marked: False]

     // 帧是否忽略

     [Frame is ignored: False]

     // 帧内封装的协议层次结构

     [Protocols in frame: eth:ethertype:ip:tcp:http]

     // 着色标记的协议

     [Coloring Rule Name: HTTP]

     // 着色规则显示的字符串

     [Coloring Rule String: http || tcp.port ==  || http2]

第二层:Ethernet II (数据链路层以太网帧头部信息)

 // 源MAC地址:TexasIns_ce:a9:4b (68:c9:0b:ce:a9:4b)

 // 目标MAC地址:AplexTec_0d:4e (40:d8:55:16:ad:4e)

 Ethernet II, Src: AsustekC_4d:bc:f2 (:8b:cd:4d:bc:f2), Dst: Hangzhou_91:be:b8 (d4::fe::be:b8)

     // 目标MAC地址

     Destination: Hangzhou_91:be:b8 (d4::fe::be:b8)

     // 源MAC地址

     Source: AsustekC_4d:bc:f2 (:8b:cd:4d:bc:f2)

     // IP类型

     Type: IPv4 (0x0800)

第三层:Internet Protocol Version 4(以太网协议层)

 // IPv4 协议,源IP:192.168.1.50, 目的IP:111.202.102.36

 Internet Protocol Version , Src: 192.168.1.50, Dst: 111.202.102.36

     // 版本4

      .... = Version:

     // 头长度20字节

     ....  = Header Length:  bytes ()

     // 差分服务字段

     Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)

     // 总长度

     Total Length:

     // 鉴别

     Identification: 0x90c2 ()

     // 标志

     Flags: 0x4000, Don't fragment

     // 生存期

     Time to live:

     // 协议名称

     Protocol: TCP ()

     // 头部校验和

     Header checksum: 0x0000 [validation disabled]

     // 头部校验和检测状态

     [Header checksum status: Unverified]

     // 源IP

     Source: 192.168.1.50

     // 目标IP

     Destination: 111.202.102.36

第四层:Transmission Control Protocol(传输控制协议)

 // 传输控制协议,源端口:4434,目标端口:80,序号1,确认号:1,长度:453

 Transmission Control Protocol, Src Port: , Dst Port: , Seq: , Ack: , Len:

     // 源端口:4434

     Source Port:

     // 目标端口:80

     Destination Port:

     // 流索引

     [Stream index: ]

     // TCP段长度

     [TCP Segment Len: ]

     // 序号

     Sequence number:     (relative sequence number)

     // 下一个序号

     [Next sequence number:     (relative sequence number)]

     // 确认号

     Acknowledgment number:     (relative ack number)

     // 头部长度

      .... = Header Length:  bytes ()

     // 标记

     Flags: 0x018 (PSH, ACK)

     // 窗口大小

     Window size value:

     // 计算窗口大小

     [Calculated window size: ]

     // 窗口大小乘积因子

     [Window size scaling factor: ]

     // 校验和

     Checksum: 0x99a8 [unverified]

     // 校验和监测状态

     [Checksum Status: Unverified]

     // 紧急指针

     Urgent pointer:

     [SEQ/ACK analysis]

     [Timestamps]

     // TCP负载

     TCP payload ( bytes)

第五层:HyperText Transfer Protocol(超文本传输协议)

 // 超文本传输协议(HTML)

 Hypertext Transfer Protocol

     // POST请求

     POST /q HTTP/1.1\r\n

     // 缓存控制

     Cache-Control: no-cache\r\n

     // 连接类型

     Connection: Keep-Alive\r\n

     // 编辑注解

     Pragma: no-cache\r\n

     // 用户代理

     User-Agent: SESC\r\n

     // 内容长度

     Content-Length: \r\n

         [Content length: ]

     // 主机

     Host: get.sogou.com\r\n

     \r\n

     // 完整请求地址

     [Full request URI: http://get.sogou.com/q]

     [HTTP request /]

     // 前一请求所在帧

     [Prev request in frame: ]

     // 响应帧

     [Response in frame: ]

     // 下一请求帧

     [Next request in frame: ]

     // 文件数据

     File Data:  bytes

     // 数据

     Data ( bytes)

HTTP协议的内容根据请求情况会有所不同,需要具体情况具体分析。

Wireshark教程之二:Wireshark捕获数据分析的更多相关文章

  1. RabbitMQ系列教程之二:工作队列(Work Queues)(转载)

    RabbitMQ系列教程之二:工作队列(Work Queues)     今天开始RabbitMQ教程的第二讲,废话不多说,直接进入话题.   (使用.NET 客户端 进行事例演示)          ...

  2. C++入门教程之二:变量

    C++入门教程之二:变量 变量,顾名思义,意思是变化的量.变量的定义是计算机语言中能储存计算结果或能表示值的抽象概念.一个基本的程序需要变量,因此变量是程序设计中的一大重点. 变量基本结构 var_t ...

  3. 微信小程序入门教程之二:页面样式

    这个系列的上一篇教程,教大家写了一个最简单的 Hello world 微信小程序. 但是,那只是一个裸页面,并不好看.今天接着往下讲,如何为这个页面添加样式,使它看上去更美观,教大家写出实际可以使用的 ...

  4. Apache Shiro系列教程之二:十分钟上手Shiro

    在本教程中,我们会写一个简单的.仅仅输出一些内容命令行程序,从而对Shiro有一个大体的感觉. 一.准备工作 本教程需要Java1.5+,并且我们用Maven生成项目,当然Maven不是必须的,你也可 ...

  5. Zabbix3.0基础教程之二:item、trigger、action、graph配置

    一.Zabbix监控报警过程 在一次完整的Zabbix配置中,需要涉及到的术语有以下几项: 1.host groups:主机组,按生产需求将功能类别相近或相同的主机进行分组,便于管理. 2.host: ...

  6. Fiddler 教程之:Fiddler捕获会话

    1 Fiddler的工作原理 Fiddler 是以代理web服务器的形式工作的,它使用代理地址:127.0.0.1,端口:8888.当Fiddler退出的时候它会自动注销,这样就不会影响别的程序.不过 ...

  7. RabbitMQ系列教程之二:工作队列(Work Queues)

        今天开始RabbitMQ教程的第二讲,废话不多说,直接进入话题.   (使用.NET 客户端 进行事例演示)          在第一个教程中,我们编写了一个从命名队列中发送和接收消息的程序. ...

  8. 使用VS Code开发.Net Core 2.0 MVC Web应用程序教程之二

    好了,废话也不多说,咱们直接来看看这款MVC的造型——你可能会大吼:“这……这特么的都是些什么鬼?” 靠,告诉你吧,我也不知道这都是些什么鬼,反正以前我是没有见过这样的MVC.咦,老纸的config文 ...

  9. SQLAlchemy ORM教程之二:Query

    from:https://www.jianshu.com/p/8d085e2f2657 这是继SQLAlchemy ORM教程之一:Create后的第二篇教程.在上一篇中我们主要是解决了如何配置ORM ...

随机推荐

  1. Odoo甘特图

    转载请注明原文地址:https://www.cnblogs.com/ygj0930/p/10826366.html 甘特图(注意:社区版不支持甘特图!所以不会显示) 水平条状的甘特图通常用于显示项目计 ...

  2. linux函数深入探索——open函数打开文件是否将文件内容加载到内存空间

    转自:https://blog.csdn.net/qq_17019203/article/details/85051627 问题:open(2)函数打开文件是否将文件内容加载到内存空间 首先,文件打开 ...

  3. Fluter基础巩固之Dart语言详解<二>

    继续学习枯燥的Dart语言语法,目前的耐得住寂寞是为了将来学得“爽”做准备的!!! 异常: Dart 提供了 Exception 和 Error 类型, 以及一些子类型.还可以定义自己的异常类型.但是 ...

  4. 【视频技术】FFMPEG应用(转)

    https://blog.csdn.net/kaikai136412162/article/details/80746961 https://blog.csdn.net/weixin_37897683 ...

  5. cookies , sessionStorage 及 localStorage 的初步的区别

    cookies  保存在浏览器中,关闭浏览器后再次打开,任然存在,当然可能存在一定的有效期.(仅限存在同一台电脑,同一个浏览器中)  Session依赖Cookie!! sessionStorage  ...

  6. Qt :编译警告 LNK4042对象被多次指定,已忽略多余的指定 ....segmentLayout.obj

    解决办法: 步骤: 1.将segmentLayout.h .segmentLayout.cpp 从工程中删除(no  permanently delete),并清理工程 2.在代码文件目录重命名seg ...

  7. 让sentinel-dashboard支持nacos

    以sentinel-1.7.0为例 下载源码,idea打开. 找到sentinel-dashboard这个项目 在该项目下的pom.xml文件中找到: <!-- for Nacos rule p ...

  8. 【神经网络与深度学习】生成式对抗网络GAN研究进展(五)——Deep Convolutional Generative Adversarial Nerworks,DCGAN

    [前言]      本文首先介绍生成式模型,然后着重梳理生成式模型(Generative Models)中生成对抗网络(Generative Adversarial Network)的研究与发展.作者 ...

  9. Linux 就该这么学 CH05 用户的身份和文件权限

    1 用户权限与能力 超级用户root拥有最高的系统所有权,能够管理系统的各项功能,如添加.删除用户:启动或关闭服务进程:开启或禁用硬件设备等. 用户身份分类: 系统管理员root :UID = 0; ...

  10. TRex,一个基于DPDK的数据包发生器,测试仪

    1. introduction TRex是cisco基于Intel dpdk开发的软件程序.推荐在CentOS/RHEL 7.6, 64bits中运行,否则connectx-4网卡不可使用. 笔者在U ...