Wireshark 数据分析(一)

最新推荐文章于 2025-03-11 18:44:54 发布
最新推荐文章于 2025-03-11 18:44:54 发布
阅读量673 收藏 3
点赞数
分类专栏: wifi CC3200_TI

pcap包的结构

pcap数据包由 pcap文件头packet包头 和 packet数据 组成如图所示(其中packet数据包也就是一帧以太帧):

这里写图片描述

 

Pcap文件头24 byte, 各字段说明:

  • Magic (标识位) 
    4 byte:这个标识位的值是16进制的 0xa1,0xb2,0xc3,0xd4 (正序)用来标示文件的开始。若为逆序(0xd4,0xc3, 0xb2, 0xa1)则需要将后面的Packet Header进行逆序处理

  • Major(主版本号):2 byte, 默认值 0x02, 0x00

  • Minor(副版本号):2 byte,默认值0x04, 0x00

  • ThisZone(区域时间):4 byte当地的标准时间;全零

  • SigFigs(精确时间戳): 4 byte时间戳的精度;全零1

  • SnapLen(精确时间戳) 
    4 byte, 最大的存储长度, 该值设置所抓获的数据包的最大长度,如果所有数据包都要抓获,将该值设置为65535;例如:想获取数据包的前64字节,可将该值设置为64

  • LinkType(链路层类型):4 byte链路类型, 数据包的链路层包头决定了链路层的类型

 

Packet包头(16 byte)各字段说明

这里写图片描述

  • Timestamp: 时间戳高位,精确到seconds , 4 byte , 32位。 秒计时,一个UNIX格式的精确到秒时间值,用来记录数据包抓获的时间,记录方式是记录从格林尼治时间的1970年1月1日 00:00:00 到抓包时经过的秒数

  • Timestamp:4 byte , 时间戳低位,精确到microseconds 微秒值

  • Caplen:4 byte,当前数据区的长度,所抓获的数据包保存在pcap文件中的实际数据帧长度,由此可以得到下一个数据帧的位置

  • Len: 4 byte,离线数据长度:网络中实际数据帧的长度,一般不大于caplen,多数情况下和Caplen数值相等。如果文件中保存不是完整的数据包,那么这个值可能要比前面的数据包长度的值大。(note: 
    编程未采用)

 

Packet数据(不定长)

即 Packet(通常就是链路层的数据帧去掉前面用于同步的前导码和标识帧开始8字节的帧开始符和最后用于CRC校验4字节的帧校验序列)具体内容,长度就是Caplen,这个长度的后面,就是当前PCAP文件中存放的下一个Packet数据包,可以确定下一组数据在文件中的起始位置

这里写图片描述 
这里写图片描述 
这里写图片描述

关于以太帧数据包中Frame、Ethernet层、IP层的分析请见Wireshark 数据分析(二)

关于以太帧数据包中 TCP 分析请见Wireshark 数据分析(三)

wireshark数据分析实战
AndrewYZWang的博客
10-06 3017
wireshark应用 github地址: github wireshark使用 wireshark视图以及各个字段说明 分析的详细信息 后期会通过到处文本的方式进行注释,前期先使用图片,这样容易用颜色区分 在的详细信息界面般如下: Frame 物理层的数据帧概况,如果图片太小可以去github上下载对应的图片查看 Ethernet II 数据链路层以太网帧头部信息 Internet Protocol Version 4 互联网层IP头部信息 Transmission Control Prot
站式讲解Wireshark网络抓分析的若干场景、过滤条件及分析方法
热门推荐
dvlinker的技术专栏
10-17 4万+
本文详细讲解常用的抓工具、抓分析的网络场景、分析抓时的多种过滤条件以及如何结合常用的协议去分析排查问题,给大家提供个借鉴或参考。
wireshark解析pcap文件结果分析
最新发布
qq_55207368的博客
03-11 823
•。
wireshark数据简单处理便于分析
weixin_44832804的博客
04-12 349
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言、获取wireshark数据二、UE删除部分列总结 前言 `wireshark数据提取 、获取wireshark数据 二、UE删除部分列 总结 ...
wireshark 使用及分析
daydayup3stones的专栏
06-12 4573
wireshark是捕获机器上的某块网卡的网络,当你的机器上有多块网卡的时候,你需要选择个网卡。 点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。然后点击"Start"按钮, 开始抓 窗口: WireShark 主要分为这几个界面 1. Display Filter(显示过滤器),  用于过滤 2. Packet List Pane(
深入解析Wireshark1:从捕获到分析,网打尽数据之旅
Thanks_ks 的嵌入式代码熔炉:炼出 STM32 到 RTOS 的极致效能!
05-15 4673
Wireshark款功能强大的网络分析工具,它能帮助我们深入探索网络通信的奥秘。从选择网卡到捕获数据,再到详细解析数据在不同网络层次的结构,Wireshark为我们提供了丰富的功能。通过本博客,你将学习Wireshark的基本操作,了解数据捕获、过滤和解析的技巧。我们还将通过案例分析,展示如何利用Wireshark分析网络通信中的问题。无论你是专业人士还是网络爱好者,都能从中获得有价值的知识和经验。
wireshark数据分析
04-04
Wireshark款强大的网络封分析软件,常用于数据分析、测试工具和数据挖掘等领域。它能够捕获网络上的数据并深入解析,帮助用户理解网络通信的细节,排查网络问题,进行安全审计以及性能优化。在本教程中,...
计算机网络命令与Wireshark数据分析实战
12-28
内容概要:本文介绍了常见的网络测试命令(如ping、tracert、ipconfig、netstat、route、arp)及其用法,以及如何使用Wireshark进行网络数据的捕获与分析。实验中使用了实际操作步骤来演示各种命令的效果和应用,...
Wireshark数据分析实战(笔记) pdf .zip
03-26
、数据分析基础 二、监听网络线路 三、Wireshark 基础用法 四、流量分析和图形化功能 五、通用底层网络协议 六、常见高层网络协议 七、基础的现实世界场景 八、让网络不再卡 九、安全领域的数据分析 十、无线...
Wireshark网络分析的艺术_wireshark_
09-29
总的来说,《Wireshark网络分析的艺术》是本全面而实用的指南,无论你是网络管理员、开发人员还是网络安全专业人士,都能从中受益匪浅。通过学习,你将不仅掌握Wireshark的使用技巧,还能深入理解网络通信的本质,...
wireshark pcap分析
01-22
wireshark pcap文件详解 wireshark shi pcap文件 格式分解分析进行协议还原
wireshark分析过程
05-06
通过wireshark分析http数据 解析帐号密码通
wirehark数据分析与取证Alpha-1.pcapng
Aluxian_的博客
12-27 5188
什么是wireshark?wiresharekAlpha-1.pcapng数据分析数据已上传资源,有问题请私信博主 wiresharek Wireshark(前称Ethereal)是个网络封分析软件。网络封分析软件的功能是检索取网络封,并同时显示出最详细的网络封数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 wireshark的介绍: 假设您是名网络安全工程师,需要对某公司的公司进行数据分析,分析黑客获取电脑权限进行的操作,我们本章主要以分析案例数据进行分
使用wireshark分析tcpdump出来的pcap文件
zeze_Z的博客
02-27 2万+
个人认为tcpdump+wireshark是很精确的,之前在网上查阅移动端流量测试,大多讲tcpdump这部分很精细,但是没有讲到详细使用wireshark分析tcpdump到的.pcap文件,这里做个详细的讲解,仅供大家参考。
Wireshark分析pcap文件
weixin_30457881的博客
07-29 2815
原文地址 https://www.cnblogs.com/bass6/p/5819928.html [root@ok Desktop]# yum search tcpdump Loaded plugins: fastestmirror, refresh-packagekit, security Loading mirror speeds from cached hostf...
wirehark数据分析与取证B.pcap
Aluxian_的博客
04-15 5572
什么是wiresharkWireshark(前称Ethereal)是个网络封分析软件。网络封分析软件的功能是检索取网络封,并同时显示出最详细的网络封数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 wireshark的介绍: 假设您是名网络安全工程师,需要对某公司的公司进行数据分析,分析黑客获取电脑权限进行的操作,我们本章主要以分析案例数据进行分析关键数据。 1.通过分析虚拟机windows 7桌面上的数据B.pcapng,找到数据库里的flag最后个字
WireSharkpcap文件格式分析
vyCode
02-22 2万+
在拆的过程中,我们必须要对WireShark截获的数据的格式(即.pcap后缀的文件)有很清楚的了解,所以就把今天所学记录下来,以飨后来者。 、结构体说明 pcap.h里定义了文件头的格式 struct pcap_file_header {         bpf_u_int32 magic;         u_short version_major;         u_
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值