hou09tian的博客

1 TCP SACK重传简介基于TCP的通信是可靠通信，这种可靠通信是通过重传机制实现的。即如果接收端没有收到发送端发送的数据，则发送端会重新发送。在《基于Wirshark的TCP三次握手介绍》中提到，接收端会通过向发送端发送ACK数据包来向发送端确认已收到的数据包。当发送端同时向接收端发送多个数据包，例如发送了数据包1-5，而接收端接收到了数据包1、数据包3、数据包4和数据包5，没有接收到数据包2，此时接收端会向发送端发送ACK数据包来提示客户端从数据包2开始发送。而客户端是怎么知道是只发送数

在《基于Wirshark的TCP三次握手介绍》中提到，TCP在建立连接之前，要经历三次握手，而在关闭TCP连接时，通信双方要经历四次挥手，如图1所示。图1 关闭TCP时的四次挥手1 第一次挥手客户端和服务端进行TCP通信时，一般是客户端主动断开TCP连接。因此，第一次挥手一般是客户端向服务端发送FIN+ACK数据包，实际上就是客户端通知服务端，自己（客户端）要关闭本端的TCP连接了。图2是通过Wireshark捕获到的第一次挥手时的数据。图2 第一次挥手从图2中可以看到，..

1.2.6 保留位和标志位图2中可以看到，保留位是6bit，标志位是6bit。从图3中可以看出，保留位的值是0b000000；而标志位的值是0b000010，根据图2的标志位示意图可以看出，SYN标志是1，说明该数据包是SYN数据包。相关链接2 URG是紧急标志位，该标志位是1时，通知接收端应当优先处理；ACK标志是1时表示确认数据包；PSH是推标志位，该标志位是1时，发送端不是将该数据放入缓冲区而是立即向对端发送；而接收端也不是将该数据放入缓冲区而是立即处理；RST是复位标志，该标志是1时，表示是

TCP通信是可靠通信，因此在建立TCP连接时，需要客户端和服务端之间总共发送三个包以确认连接的建立，我们将发送这三个数据包的过程叫做三次握手，该过程如图1所示。图1 TCP三次握手客户端与服务端发送的握手数据包，其包头格式如图2所示。图2 TCP包头部结构1 第一次握手从图1可以看出，客户端与服务端的第一次握手，实际上就是客户端向服务端发送SYN数据包。1.1 SYN数据包SYN是Synchronize Sequence Numbers即同步序列编号的简称。客户端随机..

3DSCP概述DSCP是Differentiated Services Code Point的简称，即差分服务代码点。DS（差分服务）是网络QoS能力的一种模型，DSCP是DS模型中包含的bit值。DSCP将QoS的8bit分为三部分，其中1-3bit为第一部分，表示类选择器；4-6bit为第二部分，表示包丢弃概率；7-8bit为第三部分，表示是否支持ECN。3.1 类选择器DSCP的类选择器（CS，Class Selector）与“2.1 IP重要性”中提到的重要性相似，也就是说DSCP是I.

1 ToS简介IP数据包头结构如图1所示。图1 IP数据包头部结构从图1中可以看出，ToS是Type of Sevices的简称，即服务类型。ToS长度是8bit，其含义可以是IP优先级或者DSCP（Differentiated Services Code Point），即差分服务代码点。服务器或交换机根据网络数据包中的ToS的值来提供相应的QoS。相关链接1 QoS，是Quality of Sevice即服务质量的简称，网络的服务质量包括传输的带宽、传输的延时和数据的丢包率等。2.

6 分组注释从图1中可以看出，“编辑菜单”的第六部分主要是分组注释。该项的作用是设置指定数据包的注释。点击该选项，会弹出如图8所示的对话框。图8 分组注释对话框在对话框中可以添加对该数据包的注释，通过再次点击“分组注释”选项会显示该数据包的注释。“删除所有分组注释”选项的作用是删除所有数据包的分组注释。7 配置从图1中可以看出，“编辑菜单”的第七部分主要是配置，包括了两个个选项，分别是“Configuration Profiles”和“首选项”。7.1 Configuratio.

4 设置时间参考从图1中可以看出，“编辑菜单”的第四部分主要是设置时间参考，包括了四个选项，分别是“设置/取消设置时间参考”、“取消设置所有时间参考”、“下一时间参考”和“前一时间参考”。4.1 设置/取消设置时间参考将某一数据包设置为时间参考，其含义是将该数据包之后的“时间”值都是以该数据包的“时间”值为起点的。在ireshark主界面的数据包列表窗格中选中要设置时间参考的数据包，之后点击“设置/取消设置时间参考”选项，就可以设置时间参考。如图6所示。图6 设置时间参考从图6中可.

1.2 查找分组当选中该选项时，在Wireshark主界面的工具栏和“包列表窗格”之间会显示“查找包工具栏”，如图4所示。图4 查找包工具栏在图4“查找包工具栏”的文本输入框中输入过滤语句。之后点击右侧的“查找”按键，完成对数据包的查找。过滤语句的类型如图5所示。图5 过滤语句的类型1.2.1 显示过滤器选中“显示过滤器”，在文本输入框中输入过滤语句，如果要查找与61.128.151.234进行TCP三次握手的数据包，可以在文本输入框中输入“tcp.flags.syn==..

Wireshar菜单栏中的编辑菜单如图1所示。图1 编辑菜单1 复制与查找从图1中可以看出，“编辑菜单”的第一部分主要是复制与查找，包括了四个选项，分别是“复制”、“查找分组”、“查找下一个”和“查找上一个”。1.1 复制复制选项的子菜单如图2所示。图2 复制选项的子菜单复制选项的主要功能是将指定的数据拷贝到剪贴板中。1.1.1指定复制格式其中“As Plain Text”将选中的数据拷贝为“纯文本”格式；“As CSV”将选中的数据拷贝为“CSV”格式；“A..

9 内部数据结构图1中第九部分的主要功能是显示Wireshark内部的数据结构，其子菜单如图15所示。图15 内部数据结构9.1 Conversation Hash Tables“Conversation Hash Tables”表示“会话哈希表”，选中该项后，会弹出“对话哈希表”对话框，如图16所示。图16 对话哈希表在Wireshark中，Conversation是“会话”的意思，表示两台主机之间进行的通信。因此，可以用源/目的地址和源/目的端口来表示这个会话，也就是..

7 数据包颜色设置图1中第七部分的主要功能是对数据包列表中项的颜色进行设置，即不同类型的数据包使用不同颜色的前景和背景，这样可以更容易找出你所需要的数据包。7.1 着色分组列表“着色分组列表”选项的作用是打开或者关闭数据包列表中项的颜色。7.2 着色规则“着色规则”选项的作用是设置数据包列表中项的颜色。点击该项会显示如图9所示的“Wireshark着色规则Default”对话框。图9 “Wireshark着色规则Default”对话框图9中列表中的项即为不同的数据包和过滤器.

4.2 名字解析“Name Resolution”即名字解析的作用是将数字形式的地址转换成可读地址。其子菜单如图5所示。图5 名字解析子菜单4.2.1 编辑解析的名字该项的作用是对要接卸的名称进行编辑。当选中该项后，在“工具栏”和“包列表窗格”中间会显示解析名字编辑栏，如图6所示。图6 解析名字编辑栏该栏的左侧是“名称解析首选项”按键，点击该按键会弹出“Wireshark首选项”对话框，如图7所示。图7 Wireshark首选项在该对话框的左侧选择“...

Wireshark菜单栏中的视图子菜单如图1所示。图1 视图子菜单1 隐藏或显示指定工具栏或状态栏图1中第一部分的主要功能是隐藏或显示指定工具栏或状态栏。当选中“主工具栏”时表示显示工具栏，当取消“主工具栏”选择时，表示隐藏主工具栏。“过滤器工具栏”选项和“状态栏”选项的功能类似。2 全屏功能图1中第二部分的主要功能是全屏Wireshark界面，选中“全屏”时，Wireshark界面全屏，取消选中时，Wireshark界面退出全屏。也可以通过快捷键F11实现全屏或退出全屏功能。.

1.3 “选项”标签点击图2“捕获选项”对话框中的“选项”标签，会显示如图10所示的对话框。图10 “选项”标签1.3.1 显示选项图10中，“Display Options”表示显示选项，包含了三个显示选项，分别是“Update list of packets in real-time”，表示实时更新数据包列表中的数据，如果没有选中该选项，则Wireshark只会在结束捕获数据包之后，才会在数据包列表窗格中显示这些数据包；“Automatically scroll during liv

1.1.4 设置指定网卡接口的捕获过滤语句在“Enable promiscuous mode on all interfaces”选项的下面，是“Capture filter for seleted interfaces:”输入框，在该输入框中可以设置指定网卡接口的捕获过滤语句，如图7所示。图7 设置指定网卡的捕获过滤语句从图7中可以看到，首先在网卡接口列表中选中要设置的网卡接口，之后输入捕获过滤语句“tcp port 80”，点击“开始”按键之后，在WLAN上只捕获在80端口上的TCP数据

1.1.2 “Manage Interfaces”按键点击“Manage Interfaces”按键会弹出“管理接口”对话框，如图3所示。在该对话框中，可以实现本地接口的扫描和隐藏、定义管道以及添加远程接口等功能。图3 管理接口对话框从图3中可以看到，管理接口对话框主要包含了“本地接口”、“管道”和“远程接口”三个标签。（1）本地接口“本地接口”标签是管理接口对话框的默认标签，在该标签中包含了本地接口列表，如图3所示。其中，列表中的“显示”列指定了是否在Wiresharek程序启

Wireshark菜单栏中的“捕获”菜单如图1所示。图1 “捕获”菜单1 选项当点击“选项”后，会弹出“捕获选项”对话框，通过该对话框可以实现网卡配置和数据捕获选项，如图2所示。图2 “捕获选项”对话框从图2中可以看出，“捕获选项”对话框包含“Input”、“Output”和“选项”三个标签，每个标签中的内容不同。1.1 Input标签Input的意思是数据，指的是数据输入的设备，也就是网卡接口（Interface）。因此，Input标签中包含了网卡接口列表，如图2所示。

Wireshark跳转菜单如图1所示。图1 跳转菜单1 跳转到指定数据包的位置图1中的第一部分选项“转至分组”和“Go To Linked Packet”的作用是在Wireshark主界面的数据包列表窗格中的光标跳转到指定数据包的位置。1.1 “转至分组”当选中“转至分组”选项，在主工具栏和数据包列表窗格的中间会显示“转至分组”栏，如图2所示。图2 “转至分组”栏在“分组”中输入要跳转的数据包的序号，点击“转到分组”按键，即可将数据包列表窗格中的光标跳转到指定..

14 导出对象通过该项，将捕获到的数据以DICOM、HTTP、IMF、SMB或者TFT的形式保存到文件中。如图19所示。图19 导出对象相关链接14 DICOM是Digital Imaging and Communications in Medicine即医学数字图像与通信的简称，是一种国内外医疗机构用来管理、传输医疗影像资料和相关数据的通用协议，也是国际上通用的电子影像信息格式，就像PDF、TXT和JPG等。相关链接15 IMF是Internet Message Format即互联网.

12 导出PDU到文件该项的作用是过滤捕获到的PDU并且将其导入到文件中。相关链接9 PDU是Protocol Data Units的简写，即协议数据单元。是网络分层中，对等层次之间传递的数据单位。例如物理层之间的PDU是位（bit）；数据链路层之间的PDU是帧（frame）；网络层之间的PDU是包（package）；传输层之间的PDU是段（segment）；其他更高层的PDU是数据（data）。选择该项之后，弹出如图16所示的对话框。图16 保存PDU对话框其中，“显示过滤器”中.

9 导出特定分组9.1 简介“导出特定分组”选项的作用是将捕获到的所有或者部分数据进行保存。点击该选项，弹出图13所示的窗口。图13 导出特定分组从图13中可以看出，“导出特定分组”的界面与“保存”的界面类似，只是在界面下部多了“Packet Range”即选择要保存的“包范围”。9.2 Package RangePackage Range部分中的“Captured”指的是捕获的数据包数量，“Displayed”指的是显示的数据包数量，默认选中的是“Displayed”。“Al.

5 关闭该选项的快捷键是“Ctrl+W”，其功能是关闭当前捕捉到的数据。如果当前数据没有保存，会弹出提示框询问是否保存数据，如图9所示。图9 是否保存数据6 保存6.1 相关窗口“保存”选项的快捷键是“Ctrl+S”，保存当前的数据。当选中该选项后，会弹出保存数据的对话框，如图10所示。图10 保存数据对话框在图10所示的对话框中下部的“文件名”中输入保存数据的文件名，在“保存类型”中选择保存数据的文件类型。如果在“文件名”中没有输入文件的扩展名，则Wiresha..

4 从Hex转储导入4.1 十六进制的转储文件该选项可以导入ASCII 十六进制的转储文件，并且还可以将指定的数据写入到从转储文件读取到的数据中。相关链接1 十六进制转储文件，该文件中保存的是计算机数据的十六进制格式。查看十六进制数据转储通常是作为调试或逆向工程的一部分完成的。在十六进制转储中，每个字节表示为两个十六进制数。十六进制转储文件的内容如图4所示。图4 十六进制转储文件从图4中可以看到，每一行的最左侧是两个连在一起的字节，也就是四个十六进制数，表示距离基本地址的位移.

1 Open选项1.1 主窗口打开选项用来打开之前保存的包文件，当选择该选项之后，会弹出“Wireshark打开捕获文件”对话框，选择要打开的文件，如图1所示。图1 “Wireshark打开捕获文件”对话框1.2 显示文件信息和普通的打开文件对话框类似，主要区别在于图1中加红框的部分。其中“Format”、“Size”和“Start/elapsed”表示选中的文件格式、大小以及保存时间和保存时消耗的时间，如图2所示。图2 显示选中文件的信息1.3 过滤文件中的信息...

4.4 Authority段Authority表示权威名称服务器的回复，如图12所示。图12 Authority段4.4.1 Name段其中，Name与“4.3.1 NAME段”提到的含义相同，其值为0xc02d。4.4.2 Type段Type表示记录类型，SOA叫做“起始授权机构”，SOA 资源记录表明此 DNS 名称服务器是为该 DNS 域中的数据的信息的最佳来源，其对应的值是0x0006。4.4.3 Class、Time to live和Data length段

4.3 ANCOUNT（Answer RRs）段ANCOUNT（Answer RRs）段包含了查询到的记录信息，如图9和图10所示。图9 查询到的记录信息图10 查询到的记录信息图9表示查询到的CNAME记录，图10表示查询到的A记录。相关链接5 CNAME记录为要查询的子域名的别名。ANCOUNT（Answer RRs）段的格式如图11所示。图11 ANCOUNT（Answer RRs）段的格式4.3.1 NAME段NAME段的长度是16bit，

3.2 Question段的格式Question段包含的是查询的“问题”，其格式如图5所示。图5 Question段格式3.2.1 QNAMEQNAME中包含了一些列的标签，每个标签由两个十六进制的数（1个字节）和要查询的子域组成，如图6所示，其中的Queries就是Question段。图6 Question段数据本次要查询的子域名是“a.baidu.com”的A记录，因此，在QNAME中将要查询的子域名分为三个部分“a”、“baidu”和“com”。从图6下部的数据

3 查询数据包结构查询数据包的结构主要包含了图1中的“Header”和“Question”两部分。3.1 Header部分Header表示消息头，其具体结构如图4所示。图4 Header结构3.1.1ID图4中的ID是“Transaction ID”即为会话ID，长度是16bit。当DNS服务器返回该查询结果时，会使用相同的ID。从图3中可以看到，此时的会话ID是0x120a。3.1.2 FlagsFlags指的是该数据包的标志，其大小为16bit。Flags的具体.

主机与DNS通信时，主要包括DNS查询消息和DNS回应消息两种。这两种消息都是出于应用层，使用传输层的UDP协议，通过53端口进行通信。1 DNS消息格式无论是DNS查询消息还是回应消息，其格式如图1所示。图1 DNS消息格式其中，Header表示消息头；Question表示向名称服务器查询的问题；Answer表示名称服务器的回复；Authority表示权威名称服务器的回复；Additional表示附加的信息。2 Kali Linux中抓取DNS数据包在Kali Linux中

1 问题描述打开Wireshark时，都会有一个网卡列表，在该列表中显示了电脑的所有网卡。但是，有时打开Wireshark时，该网卡列表不显示，如图1所示。图1 不显示网卡列表黄色背景的英文为“Local interface are unavailable becausethe packet capture driver isn’t loaded”，其主要意思是Wireshark的包捕获驱动没有导入成功，导致本机网卡不可用。2 解决方法使用net start指令打开NPCAP..

1 Open选项1.1 主窗口打开选项用来打开之前保存的包文件，当选择该选项之后，会弹出“Wireshark打开捕获文件”对话框，选择要打开的文件，如图1所示。图1 “Wireshark打开捕获文件”对话框1.2 显示文件信息和普通的打开文件对话框类似，主要区别在于图1中加红框的部分。其中“Format”、“Size”和“Start/elapsed”表示选中的文件格式、大小以及保存时间和保存时消耗的时间，如图2所示。图2 显示选中文件的信息1.3 过滤文件...

2.3 在包细节区域中移动光标图1所示的第五部分是包细节区域，显示了所选数据包的细节。2.3.1 选择数据包的细节包细节区域中的每个部分就是组成数据包的各个部分，当光标位于该区域时，可以通过↑和↓按键选择数据包的不同组成部分。2.3.2 显示和隐藏选中的细节数据包的各组成部分，也就是数据包细节区域中的各个细节，也是由更详细的部分组成。通过→和←按键显示和隐藏更详细的部分，如图3所示。图2 选中某个细节图3 显示该细节更详细的部分从图2中可以看出，当前选中的..

1 Wireshark主界面Wireshark主界面如图1所示。图1 Wireshark主界面其中，第一部分是菜单栏，用来完成操作；第二部分是主工具栏，在该栏中可以快速实现在工具栏中经常使用的一些操作；第三部分是过滤工具栏，对接收到的数据包进行过滤显示；第四部分是包列表区域，显示了捕捉到的数据包，在该区域中选中某个数据包，就可以在第五部分和第六部分的区域中显示这个包的详细内容；第五部分是包细节区域，会显示在第四部分中选中的数据包的细节；第六部分是包字节区域，以字节的方式显示了选中数据包.

Wireshark的菜单栏如图1所示。图1 Wireshark菜单栏1 “文件”栏“文件”栏的英文名为“File”，该菜单中包含了打开和合并捕获数据文件项、部分或全部保存/打印/导出捕获数据文件项以及退出应用程序选项等。2 “编辑”栏“编辑”栏的英文名为“Edit”，该菜单中包含了查找数据包、设置时间参考、标记数据包、设置配置文件、设置首选项等。需要注意的是，在“编辑”栏中，没有剪切、复制和粘贴等选项。3 “视图”栏“视图”栏的英文是“View”，该菜单主要用来控制捕获.

1 Open选项1.1 主窗口打开选项用来打开之前保存的包文件，当选择该选项之后，会弹出“Wireshark打开捕获文件”对话框，选择要打开的文件，如图1所示。图1 “Wireshark打开捕获文件”对话框1.2 显示文件信息和普通的打开文件对话框类似，主要区别在于图1中加红框的部分。其中“Format”、“Size”和“Start/elapsed”表示选中的文件格式、大小以及保存时间和保存时消耗的时间，如图2所示。图2 显示选中文件的信息1.3 过滤文件中的..