WireShark抓取数据后(TCP、数据链路层、IP层)UDP层分析

最新推荐文章于 2025-03-21 15:30:43 发布
最新推荐文章于 2025-03-21 15:30:43 发布
阅读量3.4k 收藏 14
点赞数 1
文章标签: 参考 文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44448942/article/details/103309355
版权
本文详细介绍了如何使用WireShark抓取并分析网络数据包,包括TCP三次握手、四次挥手的过程解析,以及UDP层的数据分析。通过具体实例,深入理解数据链路层、IP层和传输层的工作原理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

数据的获取与分析利用————WireShark抓取数据后(TCP、数据链路层、IP层)UDP层分析

WinShark抓取数据后(TCP、数据链路层、IP层)UDP层分析

1、安装WireShark
2、访问网站主页,并使用工具获取数据包。
在这里插入图片描述

图1. 图中256 及·260为:TCP第一次握手的PDU和HTTP协议向网站请求时的PDU

访问网站放时产生的HTTP协议数据报;
在这里插入图片描述
找到上述HTTP访问过程中的TCP连接过程(三次握手)
在这里插入图片描述
图2 第一次握手时的数据包(图中256-259处可以看到“三次握手”过程)

 客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接

在这里插入图片描述
图3 第二次握手时的数据包

服务器发回确认包, 标志位为 SYN,ACK. 将确认序号设置为客户的I S N加1以.即1

在这里插入图片描述
图4 第三次握手时的数据包

客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1,

关闭连接 (四次挥手)
在这里插入图片描述
图5 四次挥手

TCP UDP分析在这里插入图片描述

图6 TCP报文描述

Transmission Control Protocol, Src Port: 80, Dst Port: 56130, Seq: 1, Ack: 524, Len: 0 Source Port: 80 Destination Port: 56130
[Stream index: 40]
数据序号:40

[TCP Segment Len: 0]
#TCP段长度

Sequence number: 1 (relative sequence number)
Sequence number (raw): 3344445676
#报文段中的的第一个数据字节在数据流中的序号;

[Next sequence number: 1 (relative sequence number)]
#下一个数据字节序号

Acknowledgment number: 524 (relative ack number)
Acknowledgment number (raw): 1987028714
#确认序列号包含发送确认的一端所期望收到的下一个序号

0101 … = Header Length: 20 bytes (5)
#头部长度:4位,20字节

Flags: 0x010 (ACK)
#ACK-确认序号有效

Window size value: 123
#TCP窗口尺寸

[Calculated window size: 15744]
[Window size scaling factor: 128]
#校验和:源机器基于数据内容计算一个数值,收信息机要与源机器数值 结果完全一样,从而证明数据的有效性

Checksum: 0x483b [unverified]
[Checksum Status: Unverified]
#检验和

数据链路层UDP
在这里插入图片描述
Frame 601: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interface \Device\NPF_{CFDEE561-1FC4-4504-81E7-D68B7D8698B6}, id 0
#601号帧,线路432字节,实际捕获432字节 接口id

Interface id: 0 (\Device\NPF_{CFDEE561-1FC4-4504-81E7-D68B7D8698B6})
#接口id
Interface name: \Device\NPF_{CFDEE561-1FC4-4504-81E7-D68B7D8698B6}
Interface description: WLAN
#接口名 、接口描述
Encapsulation type: Ethernet (1)
#封装类型
Arrival Time: Nov 29, 2019 11:15:52.603491000中国标准时间
#捕获日期和时间

[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1574997352.603491000 seconds
[Time delta from previous captured frame: 0.025257000 seconds]
[Time delta from previous displayed frame: 0.032047000 seconds]
#此包与前一包的时间间隔

[Time since reference or first frame: 7.447963000 seconds]
#此包与第一帧的时间间隔

Frame Number: 601 #帧序号

Frame Length: 54 bytes (432 bits) #帧长度

Capture Length: 554 bytes (432 bits) #捕获长度

[Frame is marked: False] #此帧是否做了标记:否

[Frame is ignored: False] #此帧是否被忽略:否

[Protocols in frame: eth:ehertype:ip:tcp] #帧内封装的协议层次结构

[Coloring Rule Name: HTTP] #着色标记的协议名称

[Coloring Rule String: http || tcp.port == 80|| http2] #着色规则显示的字符串

IP层UDP

在这里插入图片描述

Internet Protocol Version 4, Src: 111.7.68.182, Dst: 192.168.1.135
#IPV4 源地址IP 目标地址IP
0100 … = Version: 4
#IPV版本
… 0101 = Header Length: 20 bytes (5)
#IP数据报 头部长度20字节=5*4
Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
。 # DS:区分服务 代码点
Total Length: 40
#总长度 40
Identification: 0x1515 (5397)
#标识 16位
Flags: 0x4000, Don’t fragment
…0 0000 0000 0000 = Fragment offset: 0
Time to live: 50
#生存期TTL
Protocol: TCP (6)
#协议
Header checksum: 0xbdce [validation disabled]
[Header checksum status: Unverified]
#头部校验和
Source: 111.7.68.182
Destination: 192.168.1.135
.# 源地址 目标地址

小哥12138
关注
wireshark捕捉的数据包,对数据帧头部IP数据头部、ICMP头部进行分析
sparrow_fly_2021的博客
11-13 4723
数据帧IP数据包、ICMP协议分析
WIREshark抓取流量数据TCP三次握手四次挥手建立连接过程分析
m0_59580677的博客
05-29 1336
3. Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包,在数据包详细信息中会显示数据包的所有详细信息内容。Ack = 1 : 表示当前端成功接收的数据位数,虽然服务端没有发送任何有效数据,确认号还是被加1,因为包含SYN或FIN标志位(并不会对有效数据的计数产生影响,因为含有SYN或FIN标志位的包并不携带有效数据)。2. Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。
TCP UDP (转)
weixin_30699955的博客
07-04 211
互连网早期的时候,主机间的互连使用的是NCP协议。这种协议本身有很多缺陷,如:不能互连不同的主机,不能互连不同的操作系统,没有纠错功能。为了改善这种缺点,大牛弄出了TCP/IP协议。现在几乎所有的操作系统都实现了TCP/IP协议栈。 TCP/IP协议栈主要分为四:应用、传输、网络数据链路层,每都有相应的协议,如下图 所谓的协议就是双方进行数据传输的一种格式。整个网络中使用...
Wireshark网络抓包分析使用详解
最新发布
2501_91093988的博客
03-21 2605
是 Hyper-V 虚拟化环境创建的默认交换机接口,IP 地址 172.19.176.1,通常是 Hyper-V 虚拟网络的默认子网,用于捕获 Hyper-V 虚拟机与主机或网络之间的通信流量。”是 WSL 创建的虚拟网络接口,用于连接 WSL 环境与主机网络并监控 WSL 应用产生的流量,IP 地址为 172.17.128.1,这通常是 WSL 的虚拟网络子网范围。使用的环境大致分为两种,一种是电脑直连网络的单机环境,另外一种就是应用比较多的即连接交换机的网络环境。
计算机网络实验 ——wireshark抓包简要分析TCPUDP协议
weixin_47826078的博客
04-29 9227
【计算机网络实验 ——wireshark抓包简要分析TCPUDP协议】 (1)分析 TCPheader: Source Port:16bit源端口,数据发起者的端口号; Destination Port:16bit目的端口,数据接收方的端口号; Sequence Number:32bit的序列号,由发送方使用; Acknowledgment Number:32bit的确认号,接收数据方返回给发送方的通知,会在确认号的基础上加1; Data Length:4bit头部长度,TCP头部长度一般为20字节,若
wireshark的使用与分析(以TCPUDP为例)
weixin_45937957的博客
03-17 4817
使用 wireshark 软件对协议进行还原 需要一些计算机网络的基础,还是比较容易分析的 实验基本信息: 实验环境:Windows10 x64 , WireShark3.6.2 先进行抓包,抓包过程在此不赘述,参考链接:https://blog.youkuaiyun.com/qq_44275213/article/details/118873256 (1) TCP协议分析IP: 172.20.120.252 目的IP:167.71.198.221 源端口:59267 目的端口:443(https
Wireshark抓包(TCP/UDP/ARP/DNS/DHCP/HTTP)
2302_80585579的博客
02-02 8622
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。在任何时候,一台主机有IP数据报文发送给另一台主机,它都要知道接收方的逻辑(IP)地址。但是IP地址必须封装成帧才能通过物理网络。这就意味着发送方必须有接收方的物理(MAC)地址,因此需要完成逻辑地址到物理地址的映射。而ARP协议可以接收来自IP协议的逻辑地址,将其映射为相应的物理地址,然后把物理地址递交给数据链路层
C#使用TCP/UDP协议通信并用Wireshark抓包分析数据
02-24
本文章主要讲述使用VS2019编写C#程序,并通过UDP/TCP进行通信,使用Wireshark抓包软件抓取发送的包并分析数据结构,由于涉及到客户端通信端,可以使用两台电脑,一台电脑编写客户端代码,一台电脑编写服务器端代码...
使用WireShark抓包分析TCP_IP协议_wiresharkip协议分析
2401_87555661的博客
11-12 1732
(谢希仁编著)这本书中,详细介绍了TCP/IP网络传输涉及的分,及各个比特的含义。在这篇文章中,我们将使用抓包分析 TCP/IP 协议,用实践来验证理论。
Wireshark分析数据链路层、网络UDP/TCP首部解析
该实验报告主要涵盖了计算机网络中的数据链路层、网络以及传输的相关知识,包括以太网封装格式、IP数据报首部、UDP用户数据报首部以及TCP报文段首部格式的学习。学生通过Wireshark软件进行了实际操作,分析了...
Wireshark数据抓包分析之传输协议TCP协议
ChuMeng1999的博客
07-29 5967
从上面可以很容易的看出,70,73,74帧是tcp的三次握手,428,429,430,431帧是四次断开的数据。分为两部分,即TCP三次握手,四次断开的数据。启动Wireshark,在Filter中输入tcp,点击Apply会看到很多的数据包,这是因为测试环境中,有很多的应用程序,与其服务器连接,使用TCP协议。1024~65535是临时端口组(尽管一些操作对此有着不同的定义),当一个服务想在任意时间使用端口进行通信的时候,操作系统都会随机选择这个源端口,让这个通信使用唯一的源端口。...
Wireshark抓包分析TCP连接、发送数据与断开过程
lgc1990的博客
03-12 1万+
准备工具: 1. 两台连接到同个局域网的电脑,或者虚拟机; 2. 在其中一台电脑安装Wireshark; 3. 在两台电脑上面都有TCP&UDP测试工具软件 TCP连接建立过程(三次握手): 抓包分析TCP连接过程: 1.两台主机都分别打开TCP&UDP测试工具 这里设置主机A的IP地址为10.1.13.2, 主机B为10.1.13.3。 主机A作为客户...
Wireshark实验——了解PDU
Harriet的博客
11-22 4808
文章目录数据链路层Ethernet 帧结构了解子网内/外通信时的 MAC 地址掌握 ARP 解析过程网络熟悉 IP 包结构IP 包的分段与重组考察 TTL 事件传输熟悉 TCP UDP 段结构分析 TCP 建立释放连接应用了解 DNS 解析了解 HTTP 的请求应答 数据链路层 Ethernet 帧结构 Ethernet帧格式包含目的MAC,源MAC,类型,数据,校验字段。从图中可以看到该帧的目的MAC,源MAC分别是什么。数据的类型是IPv4,其中Padding表示的填充数据,当数据不足
网络系列一 结合wireshark学习TCP/IP协议中帧,IP包,TCP包的包结构及字段意义
不积跬步无以至千里; 不积小流无以成江海
01-04 5726
1. 概述 TCP/IP应该是程序员的基本功,但是之前对这个印象总是模模糊糊,花了一些时间对相关的东西进行了整理。本文介绍网络传输中的基本元素,主要包括如下内容 帧的分类、结构及字段意义 结合wireshark学习TCP/IP协议中帧,IP包,TCP包的包结构及字段意义 序列号确认号 TCP的窗口机制可用窗口大小协商机制 2. 帧 网络上,单次传输的数据量是有限。在传输数据时,...
应用截包方案与实现
11-15 1378
关键字:截包 应用 中间 NDIS Windows作者:Fang(fangguicheng@21cn.com)为什么要在应用截包 引言截包的需求一般来自于过滤、转换协议、截取报文分析等。过滤型的应用比较多,典型为包过滤型防火墙。转换协议的应用局限于一些特定环境。比如第三方开发网络协议软件,不能够与原有操作系统软件融合,只好采取“嵌入协议栈的块”(BITS)方式实施。比如IPSEC在Windo
wireshark分析udp分片
myWorld001的博客
03-23 5093
wireshark默认会组装分片的包,所以抓不到。需要进行设置 编辑-》首选项-》protocols,取消组装 帧结构 分片 第一包 第二包
使用wireshark分析TCPUDP协议
热门推荐
萧别离(RenH)
02-28 4万+
     最近在工作中涉及到使用一种4G 的DTU 模块与服务器后台通信。因在部分场景下需要在消息中传输文件(通过base64),因此考虑到以下两个问题:        1) TCP连接 是否保证多次send(发送)的数据与接收数据顺序一致?        2)TCP连接 调用一次send中发送数据,在数据比较大的情况下,是否分为多个tcp包发送?      为方便采用wireshark 分析TC...
wireshark分析UDP协议
qq_43938052的博客
12-14 856
wireshark分析UDP协议 1.实验环境 1.manjaro-gnome-20.1.2 2.wireshark-3.4.0 3.VMware-16.0.0 4.ubuntu16.04 (虚拟机192.168.146.100 NAT模式 服务端) 5.ubuntu16.04 (虚拟机192.168.146.101 NAT模式 客户端) 6.python3.8 2.源码 功能: 客户端脚本执行4次,每次向服务端发送‘cao’字符串,服务端收到后向客户端发送一个字符串。 客户端源码 client.py
通过 wireshark 体验 IP 分包
HermanOpenGL的专栏
08-30 1377
不管是 TCP 包还是 UDP 包,如果 size 太大,到了 IP ,都会进行分包处理。 如何才算 size 太大呢?这个跟具体的网络类型有关。 以最常用的以太网为例,允许的最大包 size 为 1500 字节,也就是我们俗称的 MTU(Maximum Transmission Unit)值。 今天我们通过 Wireshark 工具,直观的感受一下 IP 是如何对 TCP 或者 UDP 包进行分包处理的。 实验环境:两台电脑+网络互通 操作系统:Windows 或者 Linux 均可
郑州轻工业大学,计算机网络实验三 捕获分析MAC帧、IP数据报TCP/UDP段、应用PDU
01-04
### 计算机网络实验:捕获分析MAC帧、IP数据报TCP/UDP段以及应用PDU #### 工具准备 为了完成这些实验,通常使用的工具有Wireshark、Windump或Sniffer等抓包工具。安装了TCP/IP协议的Windows系统可以作为实验平台,在此环境中进行各种网络协议数据包捕捉与分析。 #### MAC帧的捕获分析 在以太网中,MAC帧用于在同一物理网络内的设备间传递信息。使用Wireshark启动捕获后,可以通过设置过滤条件来专门查看MAC帧的内容。观察到的字段包括源地址(Source Address)、目的地址(Destination Address),长度(Length)/类型(Type),以及数据载荷(Data Payload)[^1]。 ```bash # Wireshark命令行模式下只显示Ethernet II类型的帧 tshark -Y "eth.type == 0x800" ``` #### IP数据报捕获分析 当涉及到更高次的信息交换时,则需关注IPv4或IPv6版本下的IP数据报。同样地,在Wireshark界面内输入相应的显示过滤器表达式即可筛选出特定类型的流量。重点在于理解头部选项如TTL(Time To Live), Protocol, Source IP address Destination IP address所代表的意义[^2]。 ```bash # 过滤并仅展示IPv4数据包 tshark -Y "ip" ``` #### TCP/UDP段的捕获分析 针对传输的服务质量保障,TCP提供了面向连接且可靠的字节流服务;而UDP则提供无连接不可靠的消息传送功能。两者都封装于IP之上,并各自携带额外的控制信息。例如,TCP首部含有序列号(Seq No.)、确认应答(Acknowledgment Number)等关键属性支持其可靠性机制;相比之下,UDP更为简洁,主要由端口号(Port Numbers)构成基本特征[^4]。 ```python import dpkt def analyze_tcp_udp(pcap_file): with open(pcpa_file,'rb') as f: pcap = dpkt.pcap.Reader(f) for ts,buf in pcap: eth=dpkt.ethernet.Ethernet(buf) ip=getattr(eth,'data',None) tcp_or_udp=getattr(ip,'data',None) if isinstance(tcp_or_udp,(dpkt.tcp.TCP)): print('TCP Segment:') print(f'Source Port:{tcp_or_udp.sport}') print(f'Dest Port:{tcp_or_udp.dport}') elif isinstance(tcp_or_udp,(dpkt.udp.UDP)): print('UDP Datagram:') print(f'Source Port:{tcp_or_udp.sport}') print(f'Dest Port:{tcp_or_udp.dport}') analyze_tcp_udp('example.pcap') ``` #### 应用PDU的捕获分析 最后到达的是应用程序产生的有效负载——即所谓的Protocol Data Unit (PDU)。根据不同应用场景,可能涉及HTTP请求响应消息体、DNS查询回复记录或是SMTP邮件内容等形式多样的具体实例。借助Wireshark内置解码能力或其他辅助插件能够帮助解析复杂的应用级交互细节。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值