Wireshark抓包工具使用以及數據包分析

Wireshark抓包工具使用以及數據包分析

多年之后，愿你有清風與烈酒，也有人是你的歸途。

打開Wireshark抓包工具開始抓包會看到如下展開內容： 
這里我是對wlan進行抓包，192.168.2.112是我當前wifi的ip地址。

點擊某個包，可以查看具體內容，差不多剛好對于五層協議：

• Frame：物理層的數據幀概況。

• Ethernet II：數據鏈路層以太網幀頭部信息。

• Internet Protocol Version 4：互聯網層IP包頭部信息。

• Transmission Control Protocol：傳輸層的數據段頭部信息，此處是TCP協議。 
  User Datagram Protocol：UDP協議

• Hypertext Transfer Protocol：應用層的信息，此處是HTTP協議。

一、各層分析：

將上訴Frame ，Ethernet || 等展開可看到具體傳輸信息：

1、物理層Frame

-Frame 5: 66 bytes on wire (528 bits), 66 bytes captured(捕獲) (528 bits) on interface 0   //5號幀，對方發送66字節，實際收到66字節-Interface id: 0 (\Device\NPF_{37239901-4A63-419C-9693-97957A8232CD})     //接口id為0 
-Encapsulation type: Ethernet (1)  //封裝類型-Arrival Time: Jul  5, 2017 15:14:31.865685000 //捕獲日期和時間（中國標準時間）-[Time shift for this packet: 0.000000000 seconds]-Epoch Time: 1499238871.865685000 seconds-[Time delta from previous captured frame: 0.006861000 seconds]  //與前一包時間間隔-[Time delta from previous displayed frame: 0.006861000 seconds]-[Time since reference or first frame: 0.613985000 seconds] //#此包與第一幀的時間間隔-Frame Number: 5                      //幀序號-Frame Length: 66 bytes (528 bits)    //幀長度-Capture Length: 66 bytes (528 bits)  //捕獲字節長度 
-[Frame is marked: False]             //是否做了標記-[Frame is ignored: False]            //是否被忽略-[Protocols in frame: eth:ethertype:ip:tcp] //幀內封裝的協議層次結構-[Coloring Rule Name: HTTP]  //著色標記的協議名稱-[Coloring Rule String: http || tcp.port == 80 || http2] //著色規則顯示的字符串1234567891011121314151617181920212223

2、數據鏈路層以太網幀頭部信息：

-Ethernet II, Src: Tp-LinkT_f5:3e:62 (c0:61:18:f5:3e:62), Dst: IntelCor_09:65:a5 (58:fb:84:09:65:a5)- Destination: IntelCor_09:65:a5 (58:fb:84:09:65:a5) //目的MAC地址   
- Source: Tp-LinkT_f5:3e:62 (c0:61:18:f5:3e:62) //源MAC地址（就是我電腦的MAC地址）- Type: IPv4 (0x0800)   //0x0800表示使用IP協議123456

3、互聯網層IP包頭部信息:

Internet Protocol Version 4, Src: 192.168.2.112, Dst: 116.211.185.142
    0100 .... = Version: 4                   //IPV4協議
    .... 0101 = Header Length: 20 bytes (5)  //包頭長度

-Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)                               //差分服務字段-Total Length: 52                      //IP包總長度-Identification: 0x3849 (14409)        //標志字段-Flags: 0x02 (Don't Fragment)          //標記字段-Fragment offset: 0                    //分的偏移量-Time to live: 128                     //生存期TTL-Protocol: TCP (6)                     //此包內封裝的上層協議為TCP-Header checksum: 0xd100 [validation disabled] //頭部數據的校驗和-[Header checksum status: Unverified] //頭部數據校驗狀態-Source: 192.168.2.112                //源IP地址-Destination: 116.211.185.142         //目的IP地址-[Source GeoIP: Unknown]              //基于地理位置的IP-[Destination GeoIP: Unknown]123456789101112131415161718

4、傳輸層TCP數據段頭部信息：

Transmission Control Protocol, Src Port: 60606, Dst Port: 80, Seq: 0, Len: 0

-Source Port: 60606       //源端口號（ecbe）-Destination Port: 80     //目的端口號（0050）-[Stream index: 0]        
-[TCP Segment Len: 0]-Sequence number: 0    (relative sequence number)  //序列號（相對序列號）（四個字節fd 3e dd a2）-Acknowledgment number: 0   //確認號（四個字節00 00 00 00）-Header Length: 32 bytes    //頭部長度(0x80)-Flags: 0x002 (SYN)         //TCP標記字段-Window size value: 8192    //流量控制的窗口大小（20 00）-[Calculated window size: 8192] 
-Checksum: 0x97ad [unverified]   //數據段的校驗和(97 ad)-[Checksum Status: Unverified]-Urgent pointer: 0      //緊急指針(00 00)-Options: (12 bytes), Maximum segment size, No-Operation (NOP), Window scale, No-Operation (NOP), No-Operation (NOP), SACK permitted  //選項（可變長度）1234567891011121314151617

UDP數據段首部：

User Datagram Protocol, Src Port: 7273, Dst Port: 15030
-Source Port: 7273               //源端口（1c 69）-Destination Port: 15030         //目的端口(3a 6b)-Length: 1410                    //長度（05 82）-Checksum: 0xd729 [unverified]   //校驗和(d7 29)-[Checksum Status: Unverified]-[Stream index: 6335]12345678

二、Wireshark分析數據包：

1、在過濾器中添加過濾器獲得訪問百度時的相關信息：

Protocol（協議）: 
可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 
如果沒有特別指明是什么協議，則默認使用所有支持的協議。

Direction（方向）: 
可能的值: src, dst, src and dst, src or dst 
如果沒有特別指明來源或目的地，則默認使用 “src or dst” 作為關鍵字。 
例如，”host 10.2.2.2”與”src or dst host 10.2.2.2”是一樣的。 
Host(s): 
可能的值： net, port, host, portrange. 
如果沒有指定此值，則默認使用”host”關鍵字。 
例如，”src 10.1.1.1”與”src host 10.1.1.1”相同。

Logical Operations（邏輯運算）: 
可能的值：not, and, or. 
否(“not”)具有最高的優先級。或(“or”)和與(“and”)具有相同的優先級，運算時從左至右進行。 
例如： 
“not tcp port 3128 and tcp port 23”與”(not tcp port 3128) and tcp port 23”相同。 
“not tcp port 3128 and tcp port 23”與”not (tcp port 3128 and tcp port 23)”不同。

格式為：

ip.addr == www.baidu.com

Wireshark的常見幾種過濾方法

 
然后可以獲得百度的IP地址等信息。

2、過濾出dns信息

在顯示過濾框輸入dns，過濾出所有dns信息： 

在該界面220,234幀，是DNS將www.baidu.com解析為一個IP地址的數據包（被稱為一個“A”記錄）。238幀表示返回一個與主機名相關的IP地址的DNS響應包。如果客戶端支持IPv4和IPv6，在該界面將會看到查找一個IPv6地址（被稱為“AAAA”記錄）。此時，DNS服務器將響應一個IPv6地址或混雜的信息。

說明：238幀是客戶端請求百度，通過DNS服務器解析IP地址的過程。標識為“A”記錄。

3、過濾出tcp包分析：

在顯示過濾框輸入：ip.dst==180.97.33.108 or ip.src==180.97.33.108

TCP通信流程大致如下： 
客戶端和服務器之間TCP三次握手（4941、4942、4943幀）—->客戶端請求的GET主頁面（4944幀）—>服務器收到請求（4945幀）—>發送響應包（4946幀）。

說明：

• 客戶端向服務器發送TCP請求建立連接。標識為SYN。

• 服務器得到請求后向客戶端回應確認包的過程。標識為SYN，ACK。

• 客戶端回應服務器發送確認包的過程，將于服務器建立連接。標識為ACK。

• 客戶端向服務器發送HTTP請求內容的過程。標識為GET。

• 服務器相應客戶端請求的過程，收到請求。標識為ACK。

• 4946幀幀是服務器向客戶端回應內容的過程。

參考博客：https://my.oschina.net/u/1585857/blog/479306