Wireshark数据包分析教程

Wireshark数据包分析教程

本教程将基于Wireshark工具捕获的数据包,逐步讲解网络数据帧中的各项信息,帮助你了解每个字段的含义及其作用。我们将从最基础的帧(Frame)信息开始,逐层解释包括以太网、IP、TCP、HTTP和JSON数据结构。

1. 捕获的帧信息

在Wireshark中,每一个数据包称为一个“帧”(Frame)。每个帧的基本信息包括帧号、帧长度、捕获接口等。我们来看一个实际捕获的数据包的结构:

Frame 307: 881 bytes on wire (7048 bits), 881 bytes captured (7048 bits) on interface en0, id 0Section number: 1Interface id: 0 (en0)Interface name: en0Interface description: Wi-FiEncapsulation type: Ethernet (1)Arrival Time: Oct 10, 2024 14:55:11.336319000 CST[Time shift for this packet: 0.000000000 seconds]Epoch Time: 1728543311.336319000 seconds[Time delta from previous captured frame: 0.001562000 seconds][Time delta from previous displayed frame: 0.001562000 seconds][Time since reference or first frame: 5.208361000 seconds]Frame Number: 307Frame Length: 881 bytes (7048 bits)Capture Length: 881 bytes (7048 bits)[Frame is marked: False][Frame is ignored: False][Protocols in frame: eth:ethertype:ip:tcp:http:json][Coloring Rule Name: HTTP][Coloring Rule String: http || tcp.port == 80 || http2]
1.1. 基本信息
  • Frame 307:数据包的序号是307。
  • 881 bytes on wire (7048 bits):该帧在网络中传输的实际大小是881字节,合7048比特。
  • 881 bytes captured:Wireshark捕获的帧长度也是881字节。
  • on interface en0:该帧通过接口en0(Wi-Fi接口)捕获。
  • Encapsulation type:该帧的封装类型是以太网(Ethernet),编号为1。
1.2. 时间信息
  • Arrival Time:数据包到达时间是2024年10月10日14:55:11.336 CST。
  • Epoch Time:Unix时间戳,表示自1970年1月1日以来的秒数。
  • Time delta:显示该帧与上一帧之间的时间间隔。
  • Time since reference or first frame:自捕获的第一个帧以来的时间。
1.3. 帧长信息
  • Frame Length:该帧的实际大小是881字节。
  • Capture Length:捕获的字节数也是881字节。
1.4. 协议信息
  • Protocols in frame:该帧中包含的协议层依次为以太网(eth)、以太网类型(ethertype)、IP(ip)、TCP(tcp)、HTTP(http)、JSON(json)。

2. 以太网层信息 (Ethernet II)

以太网是数据链路层协议,用于在局域网中传输数据。以下是该数据包的以太网层信息:

Ethernet II, Src: VMware_a5:21:6f (00:0c:29:a5:21:6f), Dst: Apple_17:27:a4 (a4:83:e7:17:27:a4)Destination: Apple_17:27:a4 (a4:83:e7:17:27:a4)Address: Apple_17:27:a4 (a4:83:e7:17:27:a4).... ..0. .... .... .... .... = LG bit: Globally unique address (factory default).... ...0 .... .... .... .... = IG bit: Individual address (unicast)Source: VMware_a5:21:6f (00:0c:29:a5:21:6f)Address: VMware_a5:21:6f (00:0c:29:a5:21:6f).... ..0. .... .... .... .... = LG bit: Globally unique address (factory default).... ...0 .... .... .... .... = IG bit: Individual address (unicast)Type: IPv4 (0x0800)
2.1. 源地址和目的地址
  • Src:源MAC地址是VMware_a5:21:6f,表示数据包来自一台VMware虚拟机。
  • Dst:目的MAC地址是Apple_17:27:a4,可能是一台Apple设备。
2.2. 地址类型
  • LG bit:表示地址是全球唯一的出厂地址(未经过本地修改)。
  • IG bit:表示这是一个单播地址。
2.3. 协议类型
  • Type:协议类型为IPv4(0x0800),表示该帧封装的是IPv4协议数据。

3. IP层信息 (Internet Protocol Version 4)

IP层负责将数据包从源传送到目的IP地址。以下是该数据包的IP层信息:

Internet Protocol Version 4, Src: 192.168.2.20, Dst: 10.2.4.590100 .... = Version: 4.... 0101 = Header Length: 20 bytes (5)Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)Total Length: 867Identification: 0xdbb1 (56241)010. .... = Flags: 0x2, Don't fragmentTime to Live: 62Protocol: TCP (6)Header Checksum: 0x8cea [validation disabled]Source Address: 192.168.2.20Destination Address: 10.2.4.59
3.1. 版本和头部长度
  • Version:IP协议版本为4(IPv4)。
  • Header Length:IP头部长度为20字节。
3.2. 服务类型
  • Differentiated Services Field:服务类型字段用于QoS(服务质量)管理,但这里的值为0,表示默认服务。
3.3. 标志
  • Flags:该包设置了“Don’t fragment”标志,表示不要对该数据包进行分片。
3.4. TTL和协议
  • Time to Live (TTL):数据包的生存时间为62跳。
  • Protocol:该数据包的传输协议是TCP(协议编号6)。
3.5. 源地址和目的地址
  • Source Address:源IP地址为192.168.2.20
  • Destination Address:目的IP地址为10.2.4.59

4. TCP层信息 (Transmission Control Protocol)

TCP是传输层协议,负责数据包的可靠传输。以下是TCP层的信息:

Transmission Control Protocol, Src Port: 8333, Dst Port: 63678, Seq: 1, Ack: 908, Len: 815Source Port: 8333Destination Port: 63678[TCP Flags: ·······AP···]Window: 241[Calculated window size: 30848]Checksum: 0xc375 [unverified]Urgent Pointer: 0
4.1. 源端口和目的端口
  • Source Port:源端口为8333,可能是服务器端口。
  • Destination Port:目的端口为63678,通常是客户端的临时端口。
4.2. 序列号和确认号
  • Seq (Sequence Number):序列号为1,表示这是该TCP连接中传输的第一个字节。
  • Ack (Acknowledgment Number):确认号为908,表示已经成功接收到的字节数。
4.3. TCP标志
  • TCP Flags:这里设置了PSH(Push)和ACK(Acknowledgment)标志,表示立即发送数据并确认接收到的数据。
4.4. 窗口大小
  • Window:当前接收窗口大小为241字节。

5. 应用层信息 (HTTP 和 JSON)

该帧包含一个HTTP响应和JSON数据:

Hypertext Transfer ProtocolHTTP/1.1 200 OK\r\nServer: nginx/1.21.5\r\nContent-Type: application/json; charset=utf-8\r\n
JavaScript Object Notation: application/jsonMember: code = 200Member: message = successMember: dataArrayObjectMember: id = 11000Member: name = 数据库
5.1. HTTP响应
  • HTTP/1.1 200 OK:这是HTTP协议的响应行,表示请求成功。
  • Content-Type:响应内容类型是application/json,表明响应体是JSON数据。
5.2. JSON数据
  • Member: code = 200:JSON对象中的code字段表示请求状态为200(成功)。
  • Member: message = successmessage字段显示成功信息。
  • Member: datadata字段包含一个数组,其中的对象有idname字段,如id=11000name=数据库

总结

通过逐层解析网络数据包,Wireshark可以帮助我们了解网络通信的详细内容,包括传输的协议、地址信息、时间戳以及具体的应用数据(如HTTP和JSON)。这种分析方法能够有效地诊断网络问题,检测异常流量,并优化网络性能。

Wireshark是一款功能强大的网络分析工具,熟练使用它可以为网络管理与安全带来极大便利。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/55372.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

使用 Docker-compose 部署达梦 DM 数据库

使用 Docker-compose 部署达梦 DM 数据库

目录 1. 获取达梦 DM8 Docker 镜像并上传到 Harbor 服务器 2. Docker-compose 部署达梦 DM8 数据库 3. 配置 dm.ini 文件 4.完整的 dm.ini 文件 最近,将 MySQL 数据库迁移到了达梦 DM8 数据库。本文将分享如何通过 Docker-compose 部署达梦 DM8 数据库的过程&am…
阅读更多...
RAII - 安卓中的智能指针

RAII - 安卓中的智能指针

RAII - 安卓中的智能指针 概念 sp wp RefBase 是什么 system/core/libutils/RefBase.cpp system/core/libutils/include/utils/RefBase.hsystem/core/libutils/StrongPointer.cpp system/core/libutils/include/utils/StrongPointer.hAndroid在标准库之外,自定义…
阅读更多...
Android Gralde 新版aar依赖问题解决

Android Gralde 新版aar依赖问题解决

问题:direct local .aar file dependencies are not supported when building an aar. 1.mylibrary 下 build.gradle 文件 .aar文件依赖修改: 之前为: dependencies {implementation fileTree(dir: libs, include: [*.jar,*.aar]) } 更改…
阅读更多...
美客多产品没流量?不要只看广告!

美客多产品没流量?不要只看广告!

都说美客多是巴西电商流量的巅峰平台,然而,不少商家却面临店铺无人问津、流量匮乏的困境。问题或许不仅仅是平台的广告投放。本文将深入剖析美客多平台的运营机制,特别是如何有效提升店铺声誉,从而帮助商家在美客多平台上吸引更多…
阅读更多...
ARM(5)内存管理单元MMU

ARM(5)内存管理单元MMU

一、虚拟地址和物理地址 首先,计算机系统的内存被组成一个由M个连续的字节大小组成的数组。每字节都会有一个唯一的物理地址。CPU访问内存最简单的方式就是使用物理地址。如下图: 图 1 物理地址,物理寻址 而现在都是采用的都是虚拟寻址的方法。CPU生成一…
阅读更多...
gitlab保护分支设置

gitlab保护分支设置

版本:gitlab10.2.2 一旦设置master分支被保护,除了管理员之外的任何用户都无法直接向master提交代码,只要提交代码就会报错 # git push -u origin master Total 0 (delta 0), reused 0 (delta 0) remote: GitLab: You are not allowed to pu…
阅读更多...
在CentOS系统下实现准实时SFTP上传指定目录下前2分钟的文件

在CentOS系统下实现准实时SFTP上传指定目录下前2分钟的文件

在CentOS系统下实现准实时SFTP上传指定目录下前2分钟的文件 引言准备工作编写Shell脚本执行脚本定时执行脚本注意事项结论引言 在企业级的文件同步和备份场景中,经常需要将本地目录中最新生成的文件(如前2分钟内生成的文件)快速上传到远程服务器的指定目录。为了实现这一目…
阅读更多...
雷达各个波段

雷达各个波段

毫米波、微波和可见光的频率范围和波段划分如下: 1. 毫米波(Millimeter Waves) 频率范围:30 GHz - 300 GHz波长范围:1 mm - 10 mm波段划分: 低毫米波:30 GHz - 60 GHz (波长 5 mm …
阅读更多...
unity 屏幕波动反馈打击效果(附资源下载)

unity 屏幕波动反馈打击效果(附资源下载)

unity 屏幕波动反馈打击效果 一枪打出去整个屏幕都回波动的效果反馈。 知识点: 1、动画事件 2、屏幕后处理 效果如图:(波动速度浮动都可调整) 附件下载
阅读更多...
回头看以及向后看

回头看以及向后看

回头看 昨天看了 大概一百个新生, 看到一百多个新生来了解python,一百多个人里有的可以根据给的相关教程很快的把ide和python解释器安装上,有的就出现了一堆一堆的问题,甚至有的连U盘都不知道怎么用,对着HDMI接口库库使…
阅读更多...
【互联网业务风控】

【互联网业务风控】

1. 不同场景下的业务风控 1.1 账户业务风控 1.1.1账户安全 • 账号安全是所有强账号体系应用的基础, 强账号体系,如电商、网游、第三方支付、社交网络、即时通讯等;是需要登录后产生数据和交互的应用, 弱账号体, 如搜索、导航、…
阅读更多...
关键词提取技术:TF-IDF 和 TextRank 简介

关键词提取技术:TF-IDF 和 TextRank 简介

关键词提取是自然语言处理中的重要任务之一,用于自动提取文档中最能代表其内容的词汇。两种常用的关键词提取技术是 TF-IDF 和 TextRank。它们的工作机制和应用场景有所不同,下面将详细解释这两种技术。 1. TF-IDF(Term Frequency - Inverse…
阅读更多...
Python | Leetcode Python题解之第485题最大连续1的个数

Python | Leetcode Python题解之第485题最大连续1的个数

题目: 题解: class Solution:def findMaxConsecutiveOnes(self, nums: List[int]) -> int:maxCount count 0for i, num in enumerate(nums):if num 1:count 1else:maxCount max(maxCount, count)count 0maxCount max(maxCount, count)return …
阅读更多...
未来智慧建筑:人工智能技术的无限可能

未来智慧建筑:人工智能技术的无限可能

随着科技的不断发展,人工智能技术正逐渐渗透到各行各业,其中,在智能建筑领域的应用备受瞩目。智能建筑结合了传统建筑与先进科技的完美融合,在提高建筑效率、节能环保、增强安全性等方面发挥着重要作用。本文将探讨人工智能技术在…
阅读更多...
鹏哥C语言83-85---结构体声明+初始化+访问+传参

鹏哥C语言83-85---结构体声明+初始化+访问+传参

#define _CRT_SECURE_NO_WARNINGS #include <stdio.h> #include <string.h> //---------------------------------------------------------------------------------------------------BIT-7-结构体 1.结构体的声明 1.1结构的基础知识 1.2结构的声明 …
阅读更多...
MyBatis的占位符(day36)

MyBatis的占位符(day36)

1 学习目标 重点掌握#{}占位符的使用 2 MyBatis的占位符介绍 #{}占位符: 相当于JDBC中的问号(?)占位符&#xff0c;是为SQL语句中的值进行占位&#xff0c;如果参数值是字符串或者日期类型&#xff0c;会进行转义处理 我们使用#{}写的SQL语句: <update id"delete…
阅读更多...
蓝牙资讯|苹果AirPods Pro 2耳机推送开发者Beta固件

蓝牙资讯|苹果AirPods Pro 2耳机推送开发者Beta固件

科技媒体 MacRumors 报道&#xff0c;苹果公司邀请开发者&#xff0c;针对 Lightning 和 USB-C 接口的 AirPods Pro 2 耳机&#xff0c;推送了新的 7B5013d 固件版本&#xff0c;较之前的 7B5013c 有所提升。 苹果未来会向所有 AirPods Pro 2 用户推送本次固件更新&#xff0…
阅读更多...
react18中实现简易增删改查useReducer搭配useContext的高级用法

react18中实现简易增删改查useReducer搭配useContext的高级用法

useReducer和useContext前面有单独介绍过&#xff0c;上手不难&#xff0c;现在我们把这两个api结合起来使用&#xff0c;该怎么用&#xff1f;还是结合之前的简易增删改查的demo&#xff0c;熟悉vue的应该可以看出&#xff0c;useReducer类似于vuex&#xff0c;useContext类似…
阅读更多...
springboot项目通过maven的profile功能实现通过不同文件夹的方式来组织不同环境配置文件

springboot项目通过maven的profile功能实现通过不同文件夹的方式来组织不同环境配置文件

写在前面 本文看下springboot项目如何通过文件夹的方式来组织不同环境配置文件。 1&#xff1a;正文 一般的我们写springboot项目时配置文件是这个样子的&#xff1a; appliction.yaml --> 通过spring.profiles.activexxx来激活某个指定后缀的配置文件 application-evn1…
阅读更多...
使用Python语言结合OpenCV库来处理视频流和条形码/二维码的识别

使用Python语言结合OpenCV库来处理视频流和条形码/二维码的识别

使用Python语言结合OpenCV库来处理视频流和条形码/二维码的识别,并使用PyQt5库来构建GUI界面。 安装必要的库 首先,确保你已经安装了所需的库: pip install opencv-python pyzbar PyQt5import sys import time import cv2 from pyzbar.pyzbar import decode from PyQt5.QtW…
阅读更多...
最新文章

Copyright @ 2022~2023