2. 程式人生 > >Wireshark 分析捕獲的資料記錄

Wireshark 分析捕獲的資料記錄

阿新 發佈:2019-01-02

轉載自:Wireshark 分析捕獲的資料記錄

  • 每一幀資料都有類似的結構組成,我這裡使用抓到一個對應的ping 包進行分析。

  • 這一幀包包含以下四種資訊.
    • Frame: 物理層的資料幀情況。
    • Ethernet II , Src: 資料鏈路層乙太網幀頭部資訊。
    • Internet Protocol Version 4, Src: 網際網路層IP包頭資訊。
    • Internet Control Message Protocol: 網際網路控制資訊協議。ping 小包所使用的協議。
    • 前三層基本上都是一樣的,第四層開始就可以出現TCP, UDP 協議,第五層就可能有HTTP 應用層協議等等。

  • 第一層 : Frame: 物理層的資料幀概況

    Frame 715: 98 bytes on wire (784 bits), 98 bytes captured (784 bits) on interface 0
        //第715幀,有98個位元組在線上,共784位,實際捕獲到784位元組在0介面
        Interface id: 0 (\Device\NPF_{B67BEA54-B193-42D8-9DA9-11312F90107A})    //介面ID:0
        Encapsulation type: Ethernet (1)                                    //封裝型別
 

        Arrival Time: Mar 22, 2017 13:30:44.053763000 中國標準時間          //到達時間
        Time shift for this packet: 0.000000000 seconds          //包偏移時間,不懂。。.
        Epoch Time: 1490160644.053763000 seconds             //有可能是1990 到現在的時間
        Time delta from previous captured frame: 0.000349000 seconds//兩幀之間的時間間隔
        Time delta from previous displayed frame: 0.000000000 seconds//捕獲到顯示的間隔時間
 

        Time since reference or first frame: 274.038861000 seconds //此包和第一幀的時間間隔
        Frame Number: 715                                                   //幀號
        Frame Length: 98 bytes (784 bits)                                   //幀長度
        Capture Length: 98 bytes (784 bits)                                 //捕獲的幀長度
        Frame is marked: False                                              //幀顯著標志
        Frame is ignored: False                                             //幀忽略標誌
        Protocols in frame: eth:ethertype:ip:icmp:data            //幀內封裝的協議層次結構
        Coloring Rule Name: ICMP                                   //著色標記的協議
        Coloring Rule String: icmp || icmpv6                      //著色規則顯示的字串
  • 第二層: Ethernet II , Src: 資料鏈路層乙太網幀頭部資訊。
    Ethernet II, Src: TexasIns_ce:a9:4b (68:c9:0b:ce:a9:4b), Dst: AplexTec_0d:4e (40:d8:55:16:ad:4e)
           //     源MAC地址:TexasIns_ce:a9:4b (68:c9:0b:ce:a9:4b)  
            //目標MAC地址:AplexTec_0d:4e (40:d8:55:16:ad:4e)
    Destination: AplexTec_0d:4e (40:d8:55:16:ad:4e)   //目的MAC地址
    Source: TexasIns_ce:a9:4b (68:c9:0b:ce:a9:4b)     //源MAC地址
  • 第三層: Internet Protocol Version 4, Src: 乙太網協議層
    Internet Protocol Version 4, Src: 192.168.0.199, Dst: 192.168.0.192
    // IPv4 協議                    源IP:192.168.0.199, 目的IP:192.168.0.192
            0100 .... = Version: 4     // 版本4
            .... 0101 = Header Length: 20 bytes (5)    // 頭長度20位元組
        Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)  //差分服務區域
            0000 00.. = Differentiated Services Codepoint: Default (0) // 差分服務欄位
            .... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0) 
                                                                //明確的阻塞指示
            Total Length: 84                                        // 總長度
            Identification: 0x0000 (0)                              // 鑑別
        Flags: 0x02 (Don't Fragment)                                // 標誌
            0... .... = Reserved bit: Not set                       // 保留位
            .1.. .... = Don't fragment: Set                         // 不要分離碎片   
            ..0. .... = More fragments: Not set                     // 分離
        Fragment offset: 0  // 分的偏移量
        Time to live: 64    // 生存期
        Protocol: ICMP (1)  // 協議名稱
        Header checksum: 0xb7d1 [validation disabled]   // 頭部校驗和
        Header checksum status: Unverified             // 頭部校驗和檢驗狀態:
        Source: 192.168.0.199        // 源IP
        Destination: 192.168.0.192    // 目的地IP
        Source GeoIP: Unknown     // 源的 基於IP 查詢地理位置   Geo IP: Geolocation IP
        Destination GeoIP: Unknown
  • 第四層: UDP, TCP, ICMP, 等等協議層
    // 這裡面描述了這些協議獨有的東西:
    //  ping 小包一般所使用的就是這種協議進行傳輸資料
    Internet Control Message Protocol   // 因特網控制資訊協議
        Type: 8 (Echo (ping) request)   //  型別,ping 請求
        Code: 0
        Checksum: 0x6eb9 [correct]       // 和校驗
        Checksum Status: Good            // 和檢驗狀態
        Identifier (BE): 59906 (0xea02)  // 識別符號
        Identifier (LE): 746 (0x02ea)    // 識別符號
        Sequence number (BE): 5 (0x0005)    // BE 序列號
        Sequence number (LE): 1280 (0x0500)  //LE 序列號
        Data (56 bytes)                // 資料
          // ... ...

相關推薦

Wireshark 分析捕獲資料記錄

轉載自:Wireshark 分析捕獲的資料記錄 每一幀資料都有類似的結構組成,我這裡使用抓到一個對應的ping 包進行分析。 這一幀包包含以下四種資訊. Frame: 物理層的資料幀情況。 Ethernet II , Src:

wireshark分析ICMP資料

1、理解ICMP資料包的內容 (1)型別:8位欄位,ICMP報文型別 (2)程式碼:8位欄位,記錄傳送特定型別的ICMP報文的原因 (3)檢驗和:16位欄位 (4)首部其餘部分:32位欄位 (5)資料部分:包括差錯報文的資料部分攜帶的資訊可以找出引起差錯的原始報文,

使用WireShark分析DICOM資料

WireShark要比DVT裡面的 Network analysis好用的多,下面介紹下怎樣使用WireShark分析DICOM包: 1.首先開啟WireShark抓包 ,抓到資料包後,在某個資料包上右擊,彈出右鍵選單,選中Decode AS選單項,如下圖所示: 2.選擇

通過tcpdump抓取 指定 ip 埠 的網路資料,並通過wireshark分析網路資料,很實用

抓取來源ip port 埠的資料,tcp協議,並儲存到檔案 tcpdump -w dataSrc.pcap -i bond0 src net ip and port port 抓取目的ip port 

wireshark分析TCP資料

在虛擬機器執行ubuntu,通過windows下的cuteftp連線ubuntu,利用wireshark進行抓包分析。出現如下資料幀(注意wireshark如何過濾訊息): 其中47,48,49分別是三次握手對應的幀資訊。 三次握手 47幀/握

wireshark分析UDP資料

這裡利用wireshark抓捕QQ登陸時候的UDP資料包,分析其中的協議,僅僅分析眾多資料包中的一幀。因為不是為了破譯啥,僅僅是為了抓包看看具體的UDP協議而已。 其中上面QICQ就是其中一條

Wireshark 認識捕獲分析資料包(及各個分層協議的介紹)

綜述:認識Wireshark捕獲資料包 當我們對Wireshark主視窗各部分作用瞭解了,學會捕獲資料了,接下來就該去認識這些捕獲的資料包了。Wireshark將從網路中捕獲到的二進位制資料按照不同的協議包結構規範,顯示在Packet Details面板中。為了幫助使用者能

《利用Python進行資料分析》學習記錄

第8章249頁 原語句:party_counts = pd.crosstab(tips.day, tips.size) 現在的pandas似乎有個size屬性,就是計算資料的大小,而不會返回那一列具體的資料,比如這裡tips這個csv資料,其裡面包含一列size資料,現在來執行這句語句的話,

使用tcpdump+wireshark抓包分析網路資料

最近和學弟在除錯一個GPRS通訊模組,需求是通過GPRS模組通過http協議傳送資料到伺服器,但是http協議一直失敗,伺服器返回400,通過查詢http狀態碼得知,http400錯誤是請求無效,因為GPRS模組沒有實現http協議的封裝,需要在TCP協議的基礎上,手動拼裝http格式的報文.所以初步猜測是h

一站式學習Wireshark(十):應用Wireshark顯示過濾器分析特定資料流(下)

在這個資訊爆炸的時代,人們已然被大量、快速並且簡短的資訊所包圍。然而,我們相信:過多“快餐”式的閱讀只會令人“虛胖”,缺乏實質的內涵。伯樂線上內容團隊正試圖以我們微薄的力量,把優秀的原創文章和譯文分享給讀者,為“快餐”新增一些“營養”元素。

一站式學習Wireshark(九):應用Wireshark顯示過濾器分析特定資料流(上)

介紹 掌握顯示過濾器對於網路分析者來說是一項必備的技能。這是一項大海撈針的技巧。學會構建,編輯,儲存關鍵的顯示過濾器能夠節省數小時的時間。 與捕捉過濾器使用的BPF語法不同,顯示過濾器使用的是Wireshark特定的格式。除了某些特例之外,Wireshark顯示過濾

WireShark對於WIFI資料幀的分析

1 【No.】0.000000000【Time】 HonHaiPr_0f:a4:ed (18:4f:32:0f:a4:ed) (TA)【Source】 10:0e:0e:20:6a:f4 (10:0e:0e:20:6a:f4) (RA)【Destination】802.1

WireShark學習之抓取和分析HTTP資料

1. 設定過濾條件 - 指定網路協議http 2. 開啟Chrome瀏覽器輸入網址 - 在瀏覽器輸入https://sspai.com/post/30292 3. 在抓獲得包中得到兩個資料包,分別是HTTP請求以及HTTP響應

使用Wireshark捕獲資料幀和IP資料包教程

About Wireshark   Wireshark is one of the world's foremost network protocol analyzers, and is the standard in many parts of the in

Linux網絡編程--wireshark分析TCP包頭的格式

一點 linux網絡編程 協議 相關 enter 流控 問題 如果 sum 摘要: 本文簡介了TCP面向連接理論知識,具體講述了TCP報文各個字段含義。並從Wireshark俘獲分組中選取TCP連接建立相關報文段進行分析。 一、概述 TCP是面向連接

WireShark分析TCP HTTP

port 過濾 邏輯 wireshark 邏輯運算符 實例 1.10 模式 get 過濾很關鍵: 1. 協議過濾 比如TCP,只顯示TCP協議。HTTP,只顯示HTTP協議 2. IP 過濾 比如 ip.src ==192.168.1.102 顯示源地址為192.168.1

初次接觸微信公眾號開發,相關資料記錄

demo 公眾賬號 web set blank con js-sdk lin library 1. 自動授權模式,無需寫死AppSecret   到微信第三方開放平臺註冊賬號,申請開發者資質認證,後可使用自動授權   https://open.weixin.qq.com/c

使用 WireShark 分析 TCP/IP 三次握手 和 四次揮手

vertical 客戶端 我們 訪問 out 完成 strong 開始 概覽 TCP 三次握手 示意圖 Wireshark 抓包註意事項 為了演示一個TCP三次握手建立連接的過程,我們通過 Chrome 訪問一個網頁。 已知 HTTP 協議就是建立在TCP鏈接上的

Wireshark分析DHCP

CP 獲得 img http star class 進行 PC 簡介 文章轉載 自 https://blog.csdn.net/qq_24421591/article/details/50936469 (0.0.0.0已經不是一個真正意義上的IP地址了。   它表示

TCP:WireShark分析,序列號Seq和確認號Ack

數據包 作者 fontsize 隨機 釋放 三次握手 資源 2個 不顯示 轉載自 http://blog.csdn.net/a19881029/article/details/38091243 序列號為當前端成功發送的數據位數,確認號為當前端成功接收的數據位數,SY