如何使用wireshark抓网络报文(抓包)
- 1、 物理层数据帧
- 2、 数据链路层以太网帧头部信息
- 3、 互联网层 IP 包头部信息
- 4、 传输层 TCP 数据段头部信息
本文包内容分析转载自下午茶的芬芳,感谢作者的分享。
网络下载好wireshark打开软件按下开始捕获进行抓包,如下图:
抓好后如图,筛好只要本机IP的(根据个人要求去筛)。
筛选方法如下,在想筛的内容单击,然后右击,点击作为过滤器应用,点到“选中”
刚开始的数据是未展开的。如下图:
从该界面可以看出只显示了4行信息,但不是代表包的内容只有4层,只是这4层是标准的4层,其他层没什么标准,所以很大可能只会显示这4层。默认这些信息是没有被展开的。各行信息如下所示:
Frame:物理层的数据帧概况。
Ethernet II:数据链路层以太网帧头部信息。
Internet Protocol Version 4:互联网层 IP 包头部信息。
Transmission Control Protocol:传输层的数据段头部信息,此处是 TCP 协议。
有时会出现: Hypertext Transfer Protocol:应用层的信息,此处是 HTTP 协议。
1、 物理层数据帧
Frame 5: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interface 0
//5 号帧,线路 54 字节,实际捕获 54 字节
Interface id: 0 (\Device\NPF_{D98252F7-48A9-4610-9F08-8044426093CF}) //接口 id
Encapsulation type: Ethernet (1) //封装类型
Arrival Time: Mar 9, 2018 15:20:13.149458000 中国标准时间 //捕获日期和时间
[Time delta from previous captured frame: 0.049416000 seconds] //此包与前一个包
间隔时间
[Time delta from previous displayed frame: 0.049416000 seconds] //此包与第一帧间
隔时间
Frame Number: 5 //帧序号
Frame Length: 54 bytes (432 bits) //帧长度
Capture Length: 54 bytes (432 bits) //捕获长度
[Frame is marked: False] //此帧是否被标记:否
[Frame is ignored: False] //此帧是否被忽略:否
[Protocols in frame: eth:ethertype:ip:tcp] //此帧内封装的协议层次结构
[Coloring Rule Name: TCP] //着色标记的协议名称: TCP
[Coloring Rule String: tcp] //着色规则显示的字符串: TCP
2、 数据链路层以太网帧头部信息
Destination: Hangzhou_b4:e0:01 (38:97:d6:b4:e0:01) //目标 MAC 地址
Source: ChiconyE_8f:a0:03 (4c:bb:58:8f:a0:03) //源 MAC 地址
Type: IPv4 (0x0800) //ip 类型 IPv4
3、 互联网层 IP 包头部信息
0100 … = Version: 4 //互联网协议 IPv4
… 0101 = Header Length: 20 bytes (5) //IP 包头部长度 20bytes
Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT) //差分服务字段
Total Length: 40 //IP 包的总长度
Identification: 0x12ea (4842) //标志字段
Flags: 0x02 (Don’t Fragment) //标记字段
Fragment offset: 0 //碎片偏移量
Time to live: 128 //生存周期 TTL
Protocol: TCP (6) //此包内封装的上层协议为 TCP
Header checksum: 0xaa44 [validation disabled] //头部数据的校验和
Source: 10.169.6.40 //源 IP 地址
Destination: 207.148.93.60 //目的 IP 地址
4、 传输层 TCP 数据段头部信息
Source Port: 56361 //源端口号
Destination Port: 443 //目的端口号
Sequence number: 376 (relative sequence number) //序列号: 376
Acknowledgment number: 30 (relative ack number) //确认 ACK: 30
0101 … = Header Length: 20 bytes (5) //头部长度: 20
Flags: 0x010 (ACK) //标记字段
Window size value: 256 //流量控制窗口大小
Checksum: 0x8c74 [unverified] //TCP 数据段的校验和
