使用Wireshark抓包分析
我们打开抓包工具Wireshark,点击鲨鱼鳍图标开始捕捉数据,在过滤器中输入TCP,回车后就可以看到如下界面。简单的看一下Wireshark的界面,这里抓到的是HTTP协议的相关数据,图片中显示的5层结构比较全面的,实际上也有很多抓取到的数据是4层结构
五层结构
对照上面的图片来看,解释一下5层的各个协议:
- Frame:物理层数据帧的概况
- Ethernet II:数据链路层以太网帧头部信息
- Internet Protocol Version 4:互联网曾(IPV4)IP数据报头部信息
- Transmission Control Protocol:传输层数据段头部信息
- Hypertext Transfer Protocol:应用层信息
具体分析各个层
【一】物理层Frame
物理层
#99号帧,发送274字节,实际接收274字节
Frame 94: 274 bytes on wire (2192 bits), 274 bytes captured (2192 bits)
#接口id:1
Encapsulation type: Ethernet (1)
#捕获日期
Arrival Time: Jun 4, 2021 19:00:47.649571000 中国标准时间
[Time shift for this packet: 0.000000000 seconds]
#距离1970年的时间(单位:秒)
Epoch Time: 1622804447.649571000 seconds
#距离上一个数据报的时间间隔:
[Time delta from previous captured frame: 0.000095000 seconds]
[Time delta from previous displayed frame: 0.000095000 seconds]
#此包距第一帧的时间间隔:
[Time since reference or first frame: 9.856575000 seconds]
#帧序号
Frame Number: 94
#帧长度
Frame Length: 274 bytes (2192 bits)
#捕获长度
Capture Length: 274 bytes (2192 bits)
#是否被标记
[Frame is marked: False]
#是否被忽略
[Frame is ignored: False]
#帧内封装的全部协议层次结构
[Protocols in frame: eth:ethertype:ip:tcp:http:data]
#着色协议名称
[Coloring Rule Name: HTTP]
#着色协议规则显示的符号
[Coloring Rule String: http || tcp.port == 80 || http2]
【二】数据链路层以太网帧头部信息
数据链路层
#目的MAC地址
Destination: D-Link_ce:5e:5f (00:50:ba:ce:5e:5f)
#源MAC地址
Source: Chongqin_a4:41:c7 (28:cd:c4:a4:41:c7)
#0x0800表示使用IP协议
Type: IPv4 (0x0800)
【三】网络层(互联网层)IP包头部信息
网络层
Internet Protocol Version 4, Src: 192.168.1.115, Dst: 101.89.38.28
#IPV4:
0100 .... = Version: 4
#首部长度:
.... 0101 = Header Length: 20 bytes (5)
#差分服务字段
Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
#IP包总长度
Total Length: 260
#标志字段
Identification: 0x5144 (20804)
#标记字段
Flags: 0x40, Don't fragment
#片偏移:
Fragment Offset: 0
#TTL生存期
Time to Live: 128
#此包封装的上层协议为TCP
Protocol: TCP (6)
#头部数据校验状态
Header Checksum: 0x5b1f [validation disabled]
[Header checksum status: Unverified]
#源IP地址
Source Address: 192.168.1.115
#目的IP地址
Destination Address: 101.89.38.28
IP数据报完整格式参考《计算机网络(第七版) · 谢希仁》P128页
IP数据报完整格式
【四】传输层:TCP数据段
TCP数据段
Transmission Control Protocol, Src Port: 10587, Dst Port: 443, Seq: 318, Ack: 4097, Len: 0
#源端口号:
Source Port: 10587
#目的端口号:
Destination Port: 443
[Stream index: 20]
[TCP Segment Len: 0]
#相对序列号(4字节)
Sequence Number: 318 (relative sequence number)
Sequence Number (raw): 247543097
[Next Sequence Number: 318 (relative sequence number)]
#ACK确认号
Acknowledgment Number: 4097 (relative ack number)
Acknowledgment number (raw): 2742326800
#头部长度
0101 .... = Header Length: 20 bytes (5)
#TCP标记字段
Flags: 0x010 (ACK)
#流量控制窗口的大小
Window: 32768
[Calculated window size: 65536]
[Window size scaling factor: 2]
#数据段的校验和
Checksum: 0xae56 [unverified]
[Checksum Status: Unverified]
#紧急指针
Urgent Pointer: 0
[SEQ/ACK analysis]
[Timestamps]
TCP报文数据完整格式参考《计算机网络(第七版) · 谢希仁》P217页
TCP报文段数据格式
【四】传输层:UDP数据段
抓取UDP数据段
#源端口号[f2 8c]
Source Port: 62092
#目的端口号[1f 40]
Destination Port: 8000
#长度[00 37]
Length: 55
#校验和[5c 56]
Checksum: 0x5c56 [unverified]
[Checksum Status: Unverified]
[Stream index: 0]
[Timestamps]
UDP payload (47 bytes)
TCP报文数据完整格式参考《计算机网络(第七版) · 谢希仁》P209页
UDP数据段格式
博客声明:本人是大二在校学生,计算机网络课程使用的书籍是《计算机网络(第七版) · 谢希仁》,非本校读者可选购阅读。
网友评论