抓包工具 - Wireshark(详细介绍与TCP三次握手数据分析)

功能使用的详细介绍

  wireshark(官方下载网站: http://www.wireshark.org/),是用来获取网络数据封包,可以截取各种网络封包,显示网络封包的详细信息,包括http,TCP,UDP,等网络协议包。注:wireshark只能查看封包,而不能修改封包的内容,或者发送封包。

一、开始界面

  开始界面,如图1所示:

图1(wireshark开始界面)

  点击Caputre->Interfaces,出现图2所示对话框,选择需要捕获网络包的网卡,点击start按钮开始抓包。

注:如果点击interfaces时弹出提示如下:“There are no interfaces on which a capture can be done.”        ->解决方法:用管理员身份运行即可

图2(capture interfaces)

二、窗口界面介绍

  如图3所示,是抓包后的窗口界面及自己所添加的界面描述:

图3(wireshark窗口)

1、Filter(过滤规则介绍)

  使用过滤是非常重要的,在捕获的数据中会有大量的冗余信息,所以过滤功能会帮我们过滤掉不符合条件的包,提高我们的分析效率。

  过滤器有两种:

1)显示过滤器,就是图3中的Filter,用来过滤在捕获的记录中找到所需要的记录,过滤后,可以点击save按钮,然后在filter栏上就多了个刚刚保存的数据按钮;

比如:

    tcp->只显示TCP协议的记录;

    http->只看HTTP协议的记录;

    ip.src ==192.168.1.102 ->显示源地址为192.168.1.102的记录;

    ip.dst==192.168.1.102 ->目标地址为192.168.1.10的记录;

    ip.addr == 42.121.252.58 ->只显示与某主机的通信;

    tcp.port ==80->端口为80的;

    tcp.srcport == 80 ->只显示TCP协议的源端口为80的;

    http.request.method=="GET"  ->只显示HTTP GET方法的;

    eth.type == 0x806->只显示ARP报文,这个字段的值表示是ARP报文,如果是ip报文此值为0x8000

    注:Type后面的值记不住的话,可以在Expression中选择,如图4所示:

图4(expression设置)

2)捕获过滤器(Capture -> Capture Filters),用来过滤捕获的封包,以免捕获太多的记录。

2、封包列表(Packet List Pane)

  封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。 可以看到不同的协议用了不同的颜色显示,当然也可以在View ->Coloring Rules中修改显示颜色的规则。

3、封包详细信息(Packet Details Pane)

  这是最重要的信息,用来查看协议中的每一个字段。而OSI七层模型分别为:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。

在封包信息中,每行对应的含义及在OSI模型中的对应关系如下:

  Frame:   物理层的数据帧概况  ->对应OSI七层模型中的【物理层】

  Ethernet II: 数据链路层以太网帧头部信息  ->对应OSI七层模型中的【数据链路层】

  Internet Protocol Version 4: 互联网层IP包头部信息  ->对应OSI七层模型中的【网络层】

  Transmission Control Protocol:  传输层T的数据段头部信息,此处是TCP  ->对应OSI七层模型中的【传输层】

  Hypertext Transfer Protocol:  应用层的信息,此处是HTTP协议  ->对应OSI七层模型中的【应用层】

每层的封包详细含义如下:

下面的封包数据解析来源于博客:https://my.oschina.net/u/1585857/blog/479306

(1物理层的数据帧概况

  • Frame 5: 268 bytes on wire (2144 bits), 268 bytes captured (2144 bits) on interface 0               #5号帧,线路268字节,实际捕获268字节

  • Interface id: 0                                                                                                  #接口id

  • Encapsulation type: Ethernet (1)                                                                          #封装类型

  • Arrival Time: Jun 11, 2015 05:12:18.469086000 中国标准时间          #捕获日期和时间

  • [Time shift for this packet: 0.000000000 seconds]

  • Epoch Time: 1402449138.469086000 seconds

  • [Time delta from previous captured frame: 0.025257000 seconds]   #此包与前一包的时间间隔

  • [Time since reference or first frame: 0.537138000 seconds]              #此包与第一帧的时间间隔

  • Frame Number: 5                                                                                          #帧序号

  • Frame Length: 268 bytes (2144 bits)                                                         #帧长度

  • Capture Length: 268 bytes (2144 bits)                                                      #捕获长度

  • [Frame is marked: False]                                                                              #此帧是否做了标记:否

  • [Frame is ignored: False]                                                                              #此帧是否被忽略:否

  • [Protocols in frame: eth:ip:tcp:http]                                                             #帧内封装的协议层次结构

  • [Number of per-protocol-data: 2]                                                                          #

  • [Hypertext Transfer Protocol, key 0]

  • [Transmission Control Protocol, key 0]

  • [Coloring Rule Name: HTTP]                                                                       #着色标记的协议名称

  • [Coloring Rule String: http || tcp.port == 80]                                                        #着色规则显示的字符串

(2数据链路层以太网帧头部信息

  • Ethernet II, Src: Giga-Byt_c8:4c:89 (1c:6f:65:c8:4c:89), Dst: Tp-LinkT_f9:3c:c0 (6c:e8:73:f9:3c:c0)

  • Destination: Tp-LinkT_f9:3c:c0 (6c:e8:73:f9:3c:c0)                                         #目标MAC地址

  • Source: Giga-Byt_c8:4c:89 (1c:6f:65:c8:4c:89)                                        #源MAC地址

  • Type: IP (0x0800)

(3互联网层IP包头部信息

  • Internet Protocol Version 4, Src: 192.168.0.104 (192.168.0.104), Dst: 61.182.140.146 (61.182.140.146)

  • Version: 4                                                                                                                          #互联网协议IPv4

  • Header length: 20 bytes                                                                               #IP包头部长度

  • Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport))                                                                                                                                   #差分服务字段

  • Total Length: 254                                                                                           #IP包的总长度

  • Identification: 0x5bb5 (23477)                                                                    #标志字段

  • Flags: 0x02 (Don't Fragment)                                                                      #标记字段

  • Fragment offset: 0                                                                                         #分的偏移量

  • Time to live: 64                                                                                               #生存期TTL

  • Protocol: TCP (6)                                                                                            #此包内封装的上层协议为TCP

  • Header checksum: 0x52ec [validation disabled]                                              #头部数据的校验和

  • Source: 192.168.0.104 (192.168.0.104)                                                   #源IP地址

  • Destination: 61.182.140.146 (61.182.140.146)                                       #目标IP地址

(4传输层TCP数据段头部信息

  • Transmission Control Protocol, Src Port: 51833 (51833), Dst Port: http (80), Seq: 1, Ack: 1, Len: 214

  • Source port: 51833 (51833)                                                                                 #源端口号

  • Destination port: http (80)                                                                             #目标端口号

  • Sequence number: 1    (relative sequence number)                                   #序列号(相对序列号)

  • [Next sequence number: 215    (relative sequence number)]           #下一个序列号

  • Acknowledgment number: 1    (relative ack number)                         #确认序列号

  • Header length: 20 bytes                                                                               #头部长度

  • Flags: 0x018 (PSH, ACK)                                                                             #TCP标记字段

  • Window size value: 64800                                                                                    #流量控制的窗口大小

  • Checksum: 0x677e [validation disabled]                                                  #TCP数据段的校验和

结合抓包数据分析TCP三次握手过程

  1、首先要清楚TCP三次握手过程,如图5所示:

图5(TCP三次握手过程)

百度百科解释TCP三次握手过程如下:

第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN SENT状态,等待服务器确认;SYN:即是同步序列编号(Synchronize Sequence Numbers);

第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN RECV状态;

第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED(TCP连接成功)状态,完成三次握手。
  
  2、要清楚TCP包中的具体内容如图6所示:(TCP包的具体内容图来源于博客:http://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html)

图6(TCP包的具体内容)

  3、下面用实例讲下wireshark中的tcp三次握手过程:

  1)打开wireshark后,在浏览器输入访问地址:http://www.cnblogs.com/Chilam007/,wireshark自动捕获数据包,然后过滤自己需要分析的数据,这里是过滤与主机通信的记录,

过滤规则为:ip.addr == 116.211.169.93  ,过滤后的数据如图7所示

图7(过滤后的数据包显示,注:这里不知道为什么数据包是重复的)

  • 574帧是客户端向服务器发送TCP请求建立连接。标识为SYN。

  • 619帧是服务器得到请求后向客户端回应确认包的过程。标识为SYN,ACK。
  • 620帧是客户端回应服务器发送确认包的过程,将于服务器建立连接。标识为ACK。

  • 663帧是客户端向服务器发送HTTP请求内容的过程。标识为GET。

  • 667帧是服务器相应客户端请求的过程,收到请求。标识为ACK。

  • 674帧是服务器向客户端回应内容的过程。

  2)TCP三次握手分析:

 第一次握手数据包,客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接,如图8所示

图8(第一次握手)

 第二次握手的数据包,服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1,如图9所示

图9(第二次握手)

 第三次握手的数据包,客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1,如图10所示

图10(第三次握手)

以上就是 wireshark中的tcp三次握手过程。

 
分类: 网络协议

Wireshark抓包TCP三次握手数据的更多相关文章

  1. 网络知识===wireshark抓包,三次握手分析

    TCP需要三次握手建立连接: 网上的三次握手讲解的太复杂抽象,尝试着使用wireshark抓包分析,得到如下数据: 整个过程分析如下: step1 client给server发送:[SYN] Seq ...

  2. 使用Fiddler抓包、wireshark抓包分析(三次握手、四次挥手深入理解)

    ==================Fiddler抓包================== Fiddler支持代理的功能,也就是说你所有的http请求都可以通过它来转发,Fiddler代理默认使用端口 ...

  3. 三次握手wireshark抓包分析,成功握手和失败握手

    启动 点击start出现下面的对话框 wireshark是捕获机器上的 某一块网卡的网络包,当机器上有多块网卡的时候,需要选择一个网卡进行捕获操作. 选择网卡 >主页面上,直接点击选中后star ...

  4. 用 Wireshark 图解:TCP 三次握手

    摘要: 原创出处:www.bysocket.com 泥瓦匠BYSocket 希望转载,保留摘要,谢谢! “snow warn throughout the winter” 一.什么是 Wireshar ...

  5. TCP ------ TCP三次握手(建立连接)及其相关内容

    1.TCP客户端要连接到TCP服务器,需要经过三个过程: 以下是通过 Wireshark 抓取的三次握手数据包 → [SYN] Seq= Win= Len= MSS= → [SYN, ACK] Seq ...

  6. 网络知识===wireshark抓包数据分析(一)

    wireshark分析: 上图是我进行一个HTTP协议的下载,文件内容大概是1.7M左右. 抓包数据: https://files.cnblogs.com/files/botoo/wireshark% ...

  7. 抓包工具-Wireshark(详细介绍与TCP三次握手数据分析)

    功能使用的详细介绍 wireshark(官方下载网站: http://www.wireshark.org/),是用来获取网络数据封包,可以截取各种网络封包,显示网络封包的详细信息,包括http,TCP ...

  8. TCP三次握手及TCP连接状态 TCP报文首部格式

    建立TCP连接时的TCP三次握手和断开TCP连接时的4次挥手整体过程如下图: 开个玩笑 ACK: TCP协议规定,只有ACK=1时有效,连接建立后所有发送的报文ACK必须为1 SYN(SYNchron ...

  9. 用wireshark抓包分析TCP三次握手、四次挥手以及TCP实现可靠传输的机制

    关于TCP三次握手和四次挥手大家都在<计算机网络>课程里学过,还记得当时高超老师耐心地讲解.大学里我遇到的最好的老师大概就是这位了,虽然他只给我讲过<java程序设计>和< ...

随机推荐

  1. CentOS上javaweb开发环境搭建

    CentOS上javaweb开发环境搭建 安装jdk yum list java* yum install java-1.7.0-openjdk* -y java -version 安装tomcat ...

  2. 【.net 深呼吸】导出 Office 文档中的图片

    我们常用的 Office 文档其实就三种——Word.Excel.PowerPoint,分别对应的扩展名为:.docx..pptx..xlsx. 许多教程都告诉我们,要提取这些文件中的图片(其实像视频 ...

  3. ArrayList 和 LinkedList的执行效率比较

    一.概念: 一般我们都知道ArrayList* 由一个数组后推得到的 List.作为一个常规用途的对象容器使用,用于替换原先的 Vector.允许我们快速访问元素,但在从列表中部插入和删除元素时,速度 ...

  4. DoNet 高效开发必备开发工具

    工欲善其事,必先利其器,没有好的工具,怎么能高效的开发出高质量的代码呢? 本文为 ASP.NET 开发者介绍一些高效实用的工具,包括 SQL 管理,VS插件,内存管理,诊断工具等,涉及开发过程的各个环 ...

  5. angular学习(二)-- Directive

    1.2 指令:Directive AngularJS 通过被称为 指令 的新属性来扩展 HTML, 具体表现形式一般为带有前缀 ng-xxx 的 HTML 属性. 指令的使用形式 ng-xxx 的属性 ...

  6. fiddler - 测试手机端软件

    在执行"Web测试"的时候,需要在PC配置HOSTS,那么当我们在执行"手机端测试"的时候需要如何配置HOSTS呢? iOS越狱后可以配置HOSTS,不过可能会引入bugs: Android使用ROO ...

  7. java自旋锁

    一 Test-and-Set Lock 所谓测试设置是最基本的锁,每个线程共用一把锁,进入临界区之前看没有有线程在临界区,如果没有,则进入,并上锁,如果有则等待.java实践中利用了原子的设置stat ...

  8. 使用Jetty运行Java Web项目(Maven)

    目前流行的两款IDE: Eclipse和IntelliJ IDEA 2. IntelliJ IDEA

  9. iOS9中关于 NSURLSession/NSURLConnection HTTP load failed 的解决办法

    最近为了新的存管app上线,忙了近一个月,重新过了一段996的日子,今天终于可以喘口气,继续更新博客了.本文记录一下在iOS 9中发送https请求遇到的问题及解决办法,希望通过本文,可以对ATS的配 ...

  10. phpexcel导入excel处理大数据

    先下载对应phpExcel 的包就行了https://github.com/PHPOffice/PHPExcel下载完成 把那个Classes 这个文件夹里面的 文件跟文件夹拿出来就好了.直接写到PH ...