使用 Wireshark 选择需要抓包的网络方式,并设置过滤器条件,当有数据通信后即可抓到对应的数据包,这里将分析其每一帧数据包的结构。

以HTTP协议为例,一帧数据包一般包括以下几个部分:

  • Frame:物理层的数据帧情况。
  • Ethernet II :数据链路层以太网帧头部信息。
  • Internet Protocol Version 4:以太网协议层。
  • Transmission Control Protocol:传输控制协议。
  • HyperText Transfer Protocol:超文本传输协议。

对于各种协议而言,前三层基本一样,第四层开始就可以出现TCP, UDP 协议,第五层就有HTTP 应用层协议等。

第一层:Frame:(物理层)

 // 第8056帧,有507个字节在线,共4056位,实际在接口0上捕获到507个字节

 Frame :  bytes on wire ( bits),  bytes captured ( bits) on interface

     // 接口ID:0

     Interface id:  (\Device\NPF_{7920DB7B-B8DB-417F-8C85-72E6DCCD61C5})

     // 封装类型

     Encapsulation type: Ethernet ()

     // 到达时间

     Arrival Time: Aug  ,  ::00.750794000 中国标准时间

     // 包偏移量

     [Time shift for this packet: 0.000000000 seconds]

     // 新纪元时间

     Epoch Time: 1565250300.750794000 seconds

     // 两帧之间的时间间隔

     [Time delta from previous captured frame: 0.000326000 seconds]

     // 捕获到显示的时间间隔

     [Time delta from previous displayed frame: 0.126423000 seconds]

     // 此帧与第一帧的时间间隔

     [Time since reference or first frame: 197.144051000 seconds]

     // 帧号

     Frame Number:

     // 帧长度

     Frame Length:  bytes ( bits)

     // 捕获的帧长度

     Capture Length:  bytes ( bits)

     // 帧是否标记

     [Frame is marked: False]

     // 帧是否忽略

     [Frame is ignored: False]

     // 帧内封装的协议层次结构

     [Protocols in frame: eth:ethertype:ip:tcp:http]

     // 着色标记的协议

     [Coloring Rule Name: HTTP]

     // 着色规则显示的字符串

     [Coloring Rule String: http || tcp.port ==  || http2]

第二层:Ethernet II (数据链路层以太网帧头部信息)

 // 源MAC地址:TexasIns_ce:a9:4b (68:c9:0b:ce:a9:4b)

 // 目标MAC地址:AplexTec_0d:4e (40:d8:55:16:ad:4e)

 Ethernet II, Src: AsustekC_4d:bc:f2 (:8b:cd:4d:bc:f2), Dst: Hangzhou_91:be:b8 (d4::fe::be:b8)

     // 目标MAC地址

     Destination: Hangzhou_91:be:b8 (d4::fe::be:b8)

     // 源MAC地址

     Source: AsustekC_4d:bc:f2 (:8b:cd:4d:bc:f2)

     // IP类型

     Type: IPv4 (0x0800)

第三层:Internet Protocol Version 4(以太网协议层)

 // IPv4 协议,源IP:192.168.1.50, 目的IP:111.202.102.36

 Internet Protocol Version , Src: 192.168.1.50, Dst: 111.202.102.36

     // 版本4

      .... = Version:

     // 头长度20字节

     ....  = Header Length:  bytes ()

     // 差分服务字段

     Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)

     // 总长度

     Total Length:

     // 鉴别

     Identification: 0x90c2 ()

     // 标志

     Flags: 0x4000, Don't fragment

     // 生存期

     Time to live:

     // 协议名称

     Protocol: TCP ()

     // 头部校验和

     Header checksum: 0x0000 [validation disabled]

     // 头部校验和检测状态

     [Header checksum status: Unverified]

     // 源IP

     Source: 192.168.1.50

     // 目标IP

     Destination: 111.202.102.36

第四层:Transmission Control Protocol(传输控制协议)

 // 传输控制协议,源端口:4434,目标端口:80,序号1,确认号:1,长度:453

 Transmission Control Protocol, Src Port: , Dst Port: , Seq: , Ack: , Len:

     // 源端口:4434

     Source Port:

     // 目标端口:80

     Destination Port:

     // 流索引

     [Stream index: ]

     // TCP段长度

     [TCP Segment Len: ]

     // 序号

     Sequence number:     (relative sequence number)

     // 下一个序号

     [Next sequence number:     (relative sequence number)]

     // 确认号

     Acknowledgment number:     (relative ack number)

     // 头部长度

      .... = Header Length:  bytes ()

     // 标记

     Flags: 0x018 (PSH, ACK)

     // 窗口大小

     Window size value:

     // 计算窗口大小

     [Calculated window size: ]

     // 窗口大小乘积因子

     [Window size scaling factor: ]

     // 校验和

     Checksum: 0x99a8 [unverified]

     // 校验和监测状态

     [Checksum Status: Unverified]

     // 紧急指针

     Urgent pointer:

     [SEQ/ACK analysis]

     [Timestamps]

     // TCP负载

     TCP payload ( bytes)

第五层:HyperText Transfer Protocol(超文本传输协议)

 // 超文本传输协议(HTML)

 Hypertext Transfer Protocol

     // POST请求

     POST /q HTTP/1.1\r\n

     // 缓存控制

     Cache-Control: no-cache\r\n

     // 连接类型

     Connection: Keep-Alive\r\n

     // 编辑注解

     Pragma: no-cache\r\n

     // 用户代理

     User-Agent: SESC\r\n

     // 内容长度

     Content-Length: \r\n

         [Content length: ]

     // 主机

     Host: get.sogou.com\r\n

     \r\n

     // 完整请求地址

     [Full request URI: http://get.sogou.com/q]

     [HTTP request /]

     // 前一请求所在帧

     [Prev request in frame: ]

     // 响应帧

     [Response in frame: ]

     // 下一请求帧

     [Next request in frame: ]

     // 文件数据

     File Data:  bytes

     // 数据

     Data ( bytes)

HTTP协议的内容根据请求情况会有所不同,需要具体情况具体分析。

Wireshark教程之二:Wireshark捕获数据分析的更多相关文章

  1. RabbitMQ系列教程之二:工作队列(Work Queues)(转载)

    RabbitMQ系列教程之二:工作队列(Work Queues)     今天开始RabbitMQ教程的第二讲,废话不多说,直接进入话题.   (使用.NET 客户端 进行事例演示)          ...

  2. C++入门教程之二:变量

    C++入门教程之二:变量 变量,顾名思义,意思是变化的量.变量的定义是计算机语言中能储存计算结果或能表示值的抽象概念.一个基本的程序需要变量,因此变量是程序设计中的一大重点. 变量基本结构 var_t ...

  3. 微信小程序入门教程之二:页面样式

    这个系列的上一篇教程,教大家写了一个最简单的 Hello world 微信小程序. 但是,那只是一个裸页面,并不好看.今天接着往下讲,如何为这个页面添加样式,使它看上去更美观,教大家写出实际可以使用的 ...

  4. Apache Shiro系列教程之二:十分钟上手Shiro

    在本教程中,我们会写一个简单的.仅仅输出一些内容命令行程序,从而对Shiro有一个大体的感觉. 一.准备工作 本教程需要Java1.5+,并且我们用Maven生成项目,当然Maven不是必须的,你也可 ...

  5. Zabbix3.0基础教程之二:item、trigger、action、graph配置

    一.Zabbix监控报警过程 在一次完整的Zabbix配置中,需要涉及到的术语有以下几项: 1.host groups:主机组,按生产需求将功能类别相近或相同的主机进行分组,便于管理. 2.host: ...

  6. Fiddler 教程之:Fiddler捕获会话

    1 Fiddler的工作原理 Fiddler 是以代理web服务器的形式工作的,它使用代理地址:127.0.0.1,端口:8888.当Fiddler退出的时候它会自动注销,这样就不会影响别的程序.不过 ...

  7. RabbitMQ系列教程之二:工作队列(Work Queues)

        今天开始RabbitMQ教程的第二讲,废话不多说,直接进入话题.   (使用.NET 客户端 进行事例演示)          在第一个教程中,我们编写了一个从命名队列中发送和接收消息的程序. ...

  8. 使用VS Code开发.Net Core 2.0 MVC Web应用程序教程之二

    好了,废话也不多说,咱们直接来看看这款MVC的造型——你可能会大吼:“这……这特么的都是些什么鬼?” 靠,告诉你吧,我也不知道这都是些什么鬼,反正以前我是没有见过这样的MVC.咦,老纸的config文 ...

  9. SQLAlchemy ORM教程之二:Query

    from:https://www.jianshu.com/p/8d085e2f2657 这是继SQLAlchemy ORM教程之一:Create后的第二篇教程.在上一篇中我们主要是解决了如何配置ORM ...

随机推荐

  1. 二、urllib库的使用详解

    一.urllib2库的基本使用 所谓网页抓取,就是把URL地址中指定的网络资源从网络流中读取出来,保存到本地. 在Python中有很多库可以用来抓取网页,我们先学习urllib2. urllib2 是 ...

  2. ThinkPHP5框架引入的css等外部资源文件没有生效

    静态资源文件一般是放在public目录里,不只是css,只要是静态资源文件都没有显示出来. (更好的阅读体验可访问 这里 ) 问题陈述 文件结构 文件内容 三个文件分别为:Index.php.test ...

  3. Rxjava学习笔记

    1.使用Observable.range(int start, int count)创建一个发射特定整数序列的Observable,第一个参数为起始值,第二个为发送的个数,如果为0则不发送,负数则抛异 ...

  4. 使用ARP获取局域网内设备IP和MAC地址

    根据Arp列表数据,查询本地设备在线状态 使用 arp -a 获得所有内网地址,首先看Mod对象 public struct MacIpPair { public string HostName; p ...

  5. No converter found capable of converting from type [java.lang.String] to type [java.util.Map<java.lang.String, org.springframework.boot.logging.LogLevel>]

    java.lang.IllegalStateException: Failed to load ApplicationContext at org.springframework.test.conte ...

  6. mysql解析binlog日志

    binlog日志用于记录所有更新了数据或者已经潜在更新了数据(例如,没有匹配任何行的一个DELETE)的所有语句.语句以“事件”的形式保存,它描述数据更改.因为有了数据更新的binlog,所以可以用于 ...

  7. Python 文件读写操作实例详解

    Python提供了必要的函数和方法进行默认情况下的文件基本操作.你可以用file对象做大部分的文件操作 一.python中对文件.文件夹操作时经常用到的os模块和shutil模块常用方法.1.得到当前 ...

  8. mdk编译器学习笔记(1)——序

    这两天,学习了keil-mdk编译器的特性,这基本上独立于c语言语法,平时基本上都在强调c语言的学习,但是编译器的学习我们也要注重,类似于gcc一样,不也有很多网上的资料,讲述gcc的特性和用法吗.作 ...

  9. Python实现电子词典(图形界面)

    Python实现电子词典(图形界面) 终端电子词典:https://www.cnblogs.com/noonjuan/p/11341375.html 文件一览: .├── client.py├── d ...

  10. 动态规划:数字和为sum的方法数

    题目描述 给定一个有n个正整数的数组A和一个整数sum,求选择数组A中部分数字和为sum的方案数.当两种选取方案有一个数字的下标不一样,我们就认为是不同的组成方案. 输入描述: 输入为两行: 第一行为 ...