2. 程式人生 > >wireshark網路抓取資料包分析

wireshark網路抓取資料包分析

阿新 發佈:2019-01-17

第一次總結的文件不知到被我放到哪裡去了,找了很久沒有總結出來,於是只能再總結一次,之前也是一直在學習協議資料包的分析對於瞭解網路,尤其是理解協議來說很重要。我只是分析了TCP/IP協議族的部分常見協議,自己記上一筆,防止放在電腦上又被我給弄沒了。。。

IP資料報格式

4

版本

4

首部

8

服務型別

16

總長度(位元組數)

16

標識

3

標誌

13

片偏移

8

生存時間(TTL

8

協議

16

首部檢驗和

32位源IP地址

32位目的IP地址

選項

資料

Ip資料報結構分析,這是在wireshark下抓取的資料包分析

欄位名

位元組數

備註

Version

½

IP版本(4表示IPv4

Headerlength

½

首部長度(20-60位元組)

DifferentiatedServices Field

1

不同服務域(服務型別)

TotalLength

2

IP資料報的全長

Identification

2

識別IP資料報的編號

Flags

3/8

1位為0表示有分片,2位為0表示是最後的分片,為1表示接收中

FragmentOffset

13/8

分片在原分組中的位置

Timeto live

1

資料報壽命

Protocol

1

上層協議(1-ICMP6-TCP17-UDP

Headerchecksum

2

報頭校驗碼

SourceAddress

4

傳送端IP地址

Destination

4

接收端IP地址

OptionsAnd Padding

4

選項及填充位

ARP/RARP資料報格式

48

乙太網目的地址

48

乙太網源地址

16

幀型別

16

硬體型別

16

硬體型別

16

協議型別

8

硬體地址長度

8

協議地址長度

16

OP操作型別

48

傳送端乙太網地址

32

傳送端IP地址

48

目的乙太網地址

32

目的IP地址

ARP資料包分析

欄位名

位元組數

備註

Hardware type

2

硬體型別(乙太網位1

Protocoltype

2

上層協議型別(IP800

Hardwaresize

1

查詢實體地址的位元組長度(乙太網為6

Protocolsize

1

查詢上層協議的位元組長度(IPv4時為4

Opcode

2

1-ARP請求,2-響應,3-RARP請求,4-響應

SenderMAC address

6

傳送端硬體地址

SenderIP address

4

傳送端IP地址

TargetMAC address

6

查詢物件硬體地址

TargetIP address

4

查詢物件IP地址

ICMP報文格式

ICMP協議是IP協議的補充,用於IP層的差錯報告、擁塞控制、路徑控制以及路由器或主機資訊的獲取。ICMPIP協議位於同一層次(IP層),但ICMP報文是封裝在IP資料報的資料部分進行傳輸的。

8

型別

8

程式碼

16

檢驗和

不同型別和程式碼有不同的內容

ICMP報文結構分析

欄位名

位元組數

備註

Type

1

型別(差錯報告、控制報文和請求應答報文)

Code

1

程式碼

Checksum

2

校驗和

Identifier

2

鑑別

Sequencenumber

2

序列號

Tcp報文段格式

16

源埠號

16

目的埠號

32

序號

32

確認序號

4

首部

6

保留

URG

ACK

PSH

RST

SYN

FIN

16

視窗大小

16

檢驗和

16

緊急指標

選項

資料

TCP報文段分析

欄位名

位元組數

備註

Sourceport

2

傳送端埠號

Destinationport

2

接收端埠號

Sequencenumber

4

本報文段所傳送的第一個位元組的序號

Acknowledgementnumber

4

期望收到的下一個報文段的序號

Headerlength

½

首部長度

Reserved

¾

保留今後用

Flags

¾

控制位

Windowsize value

2

滑動視窗的大小

Checksum

2

校驗和

UrgentPointer

2

緊急指標

Options

4

可選,填充

乙太網幀格式

48

目的MAC地址

48

MAC地址

16

協議型別

乙太網幀資料負載

乙太網幀結構

欄位名

位元組數

備註

Destination

6

目的MAC地址

Source

6

MAC地址

Type

2

協議型別

0x0800:IP協議資料包

0x0806:ARP協議資料包

0x0835:RARP協議資料包

物理層資料幀分析

Frame47:66bytes on wire(528bits),66bytes captured(528bits)

47號幀,線路上有66位元組,實際捕獲66位元組

ArrivalTime:Dec 29,2012 11:38:13.636183000 CST

捕獲時間為20121229113813

EpochTime:1356752293.636183000 seconds

測試時間為1356752293.636183000

[Timedelta from previous captured frame:0.84780800 seconds]

[Timedelta from previous display frame:0.84780800 seconds]

[Timesince reference or first frame:12.353576 senconds]

此包與前一捕獲幀的時間間隔為0.84780800秒,與前一個顯示幀時間間隔為0.84780800秒,與第一幀的時間間隔為 12.353576秒。

FrameNumber:47

FrameLength:66bytes(528bits)

CaptureLength:66bytes(528bits)

幀號為47,幀長為66位元組,捕獲到的幀長位66位元組。

[Frameis marked:False]

[Frameis ignored:False]

[Protocolsin frame:eth:ip:tcp]

[ColoringRule Name:HTTP]

[ColoringRule String:http||tcp.port==80]

此幀沒有被標記且沒有被忽略,幀內封裝的協議的層次結構為幀-ip-tcp,用不同顏色染色標記的協議名位HTTP,染色顯示規則字串位http.

相關推薦

wireshark網路資料分析

第一次總結的文件不知到被我放到哪裡去了,找了很久沒有總結出來,於是只能再總結一次,之前也是一直在學習協議。資料包的分析對於瞭解網路,尤其是理解協議來說很重要。我只是分析了TCP/IP協議族的部分常見協議,自己記上一筆,防止放在電腦上又被我給弄沒了。。。 IP資料報格式

Fiddler4資料分析(完整的配置教程)

    個人分類: 【軟體】   一、Fiddler 現在的移動應用程式幾乎都會和網路打交道,所以在

Android系統匯入burp證書實現資料

Burpsuit設定代理 瀏覽器設定代理   瀏覽器訪問IP下載burp證書   匯出的證書後綴名為.der,這裡我們更改字尾名為.crt 匯入手機中 複製貼上在我們能記住的目錄 後

ros如何資料及如何解析資料

從小車抓資料包 小車自動作業後或執行後,先source 環境 A: source cleaner/workspace_a/app_pkg/setup.bash B: rosbag record –o bagwang /scan 這個將topic scan中的所有內容都存

黑客-資料,並破解加密密碼

本文目的:抓取區域網內所有資料包,並獲取資料包內密碼,針對一些加密了的密碼,進行解密工作,以此獲取對方密碼。 但是這個方法有點複雜,不易掌握,而且可能影響對方網速。這裡有一個巧妙的方式。 我是以寢室網作為實驗場地 第一步。開啟360wifi,將密碼賬號

Fiddler資料分析(完整的配置教程)

一、Fiddler 現在的移動應用程式幾乎都會和網路打交道,所以在分析一個 app 的時候,如果可以抓取出其發出的資料包,將對分析程式的流程和邏輯有極大的幫助。對於HTTP包來說,已經有很多種分析的方法了,但是現在越來越多的應用已經使用HTTPS協議來和伺服器

網頁資料分析,特別包括分頁資料

[csharp]  包括8個按鈕,每個按鈕下的程式碼都可執行(第5、6個可能需要除錯一下)。   [csharp]  有基本的頁面抓取,不含分頁資料的;   [csharp  有含分頁資料,且【下一頁】的連結是網址的;   [csharp]  有含分頁資料,且【下一頁】的連

java資料查詢12306餘票資訊

最近專案比較閒,閒來無事,參照網上的程式碼實現了一下抓取12306資料包查詢餘票的程式碼, 需要的jar包需要全部包含到專案下,程式碼測試OK,具體程式碼如下: import java.io.IOException; import java.io.InputStream

Wireshark網路分析——工具

轉自https://www.cnblogs.com/strick/p/6344486.html 一、基本資訊統計工具 1)捕獲檔案屬性(Summary) File:瞭解抓包檔案的各種屬性,例如抓包檔案的名稱、路徑、檔案所含資料包的規模等資訊 Time:獲

WireShark資料分析實戰》二、讓網路不再卡

TCP的錯誤恢復我是我們定位、診斷、並最終修復網路高延遲的最好工具。1.TCP重傳      重傳資料包是TCP最基本的錯誤恢復特性之一,它被設計用來對付資料包丟失。     資料包丟失可能有很多原因,包括出故障的應用程式、流量負載沉重的路由器,或者臨時性的服務中斷。資料包層

網路工具Wireshark如何本機

       筆者在很久之前用過其他的網路抓包工具,最近想著使用鼎鼎大名的網路抓包工具Wireshark,但是一開始始終無法抓取到本機網路包,telnet localhost 8080這種都沒法抓取,查過資料之後才知道,  windows系統沒有提供本地迴環網路的介面,用

玩轉wireshark系列第四篇-ftp【轉】

https://blog.csdn.net/u011416247/article/details/80872735 (首先宣告一下我也是一名小白,初學wireshark沒多久,我也很願意和大家一起討論wireshark的具體應用。) 本實驗使用的版本是wiresh

Wireshark網路表示式規則(二)

tcp或者udp協議按埠抓包  tcp.port == 80或者udp.port == 80 tcp或者udp按照源埠或者目的埠抓包  UDP:udp.srcport == 80 udp.dstport == 80 TCP:tcp.srcport ==

wireshark 資料分析技巧總結

轉載 http://shayi1983.blog.51cto.com/4681835/1558161 wireshark 過濾表示式的比較運算子一覽 (類 C 形式和對應的英語形式) enighish           C-like          

NS3網路模擬(5): 資料分析

快樂蝦歡迎轉載,但請保留作者資訊在我們生成的xml檔案中,是不包含生成的資料包的資料的,在我們的指令碼中新增下面的語句:pointToPoint.EnablePcapAll("first")再執行fir

Wireshark網路表示式規則(一)

只檢視arp 只檢視UDP或者TCP或者HTTP,直接打入tcp或者udp或者http 源或目的地址帶ip192.168.3.81的 ip.addr == 192.168.3.81 源地址是192.168.3.81 ip.src == 192.168.3.81

網路爬蟲】使用HttpClient4.3.5資料

使用jar——Apache client 程式碼結構: 具體程式碼: 抓取結果封裝 /** * 抓取結果的封裝 * @author tsj-pc * */ public class CrawlResultPojo { pri

WireShark如何本地localhost的

今天將自己的電腦既作為客戶端又作為服務端進行一個程式的測試,想著用WireShark來抓包分析一下問題,但由於WireShark只能抓取經過電腦網絡卡的包,由於我是使用localhost或者127

WiresharkRTP,還原語音

最近在做基於SIP的VoIP通訊研究,使用Wireshark軟體可以對網路流量進行抓包。 VoIP使用RTP協議對語音資料進行傳輸,語音載荷都封裝在RTP包裡面。要對傳輸中的語音進行截獲和還原,需要通過Wireshark對RTP包進行分析和解碼。該過程如下: 1.開啟截獲的

網路爬蟲-模擬手機瀏覽器資料

有些網站的資料在PC端很複雜,引數加密很嚴重,但是移動APP端的就沒那麼多加密,所以在遇到有些瓶頸的情況下,可以考慮從網頁端轉到移動端去抓包,爬取資料。這裡有兩種方法: 一. 使用模擬器下載APP 如果該網站有APP的話,推薦使用逍遙安卓模擬器,可以設定