Breve descripción: este artículo presenta el significado de los datos capturados, incluidos los paquetes TCP, los paquetes Http y los paquetes DNS. Si hay algún error, corrígeme.
1. Paquetes TCP
TCP: (TCP es un protocolo de comunicación orientado a la conexión. La conexión se establece mediante un protocolo de enlace de tres vías . Cuando se completa la comunicación, la conexión debe desconectarse. Debido a que TCP está orientado a la conexión, solo se puede utilizar para puntos comunicación al punto ) Dirección IP de origen: dirección IP del paquete de envío; dirección IP: la dirección IP del paquete recibido; puerto de origen: el puerto conectado en el sistema de origen; puerto de destino: el puerto conectado en el sistema de destino. TCP es el protocolo de la capa de transporte en Internet y utiliza un protocolo de reconocimiento de tres vías para establecer una conexión. Cuando la parte activa envía una solicitud de conexión SYN , espera a que la otra parte responda SYN, ACK . Este método de conexión puede establecerse para evitar la generación de errores de conexión , TCP utiliza un protocolo de control de flujo que es un protocolo de ventana deslizante de tamaño variable. El primer apretón de manos: al establecer una conexión, el cliente envía un paquete SYN (SEQ = x) al servidor y entra en el estado SYN_SEND , esperando que el servidor confirme. El segundo handshake: el servidor recibe el paquete SYN, debe confirmar el SYN del cliente (ACK = x + 1) , y al mismo tiempo también envía un paquete SYN (SEQ = y) , es decir, el paquete SYN + ACK y el servidor entra en el estado SYN_RECV . El tercer apretón de manos: el cliente recibe el paquete SYN + ACK del servidor y lo envía al servidorReconozca el ACK del paquete (ACK = y + 1) . Después de que el paquete se envía, el cliente y el servidor entran en el estado establecido y completan el protocolo de enlace de tres vías.
1> Detalles del paquete
A. Primera línea, trama La trama 36838 se refiere a un bloque de datos a transmitir, en el que la trama que captura el número de serie 36838, el número de bytes es igual al número de bytes transferidos capturados: 70 bytes;
B. La segunda línea, Ethernet , tecnología LAN cableada, es la capa de enlace de datos . La dirección Mac de origen es 88: 5d: 90: 00: 00: 25; la dirección Mac de destino es 00: 25: 22: b5: b9: 92;
C. La tercera línea, el protocolo IPV4 , también conocido como Protocolo de Internet, es la capa de red , la dirección IP de origen es 192.168.21.175, la dirección IP de destino es 192.168.21.156;
D. La cuarta línea, el protocolo TCP , también conocido como protocolo de control de transmisión, es la capa de transporte ; puerto de origen (10086); puerto de destino (50132); número de secuencia (1361); ACK es la bandera de confirmación en el encabezado del TCP paquete El mensaje TCP recibido está confirmado, el valor es 1 significa que el número de confirmación es válido, la longitud es 16;
E. La quinta línea contiene 16 bytes de datos
2> Análisis de información del marco
A. Hora de llegada: hora de llegada, el valor es el 14 de enero de 2017 08: 52: 56.239204000
B. EPoch Time: el momento en que aparece la información, el valor es 1484355176.239204000 segundos
C. [ Delta de tiempo del fotograma capturado anterior: 0,001472000 segundos]: La diferencia de tiempo del fotograma capturado anterior: 0,001472000 segundos ;
[Delta de tiempo del cuadro visualizado anterior: 0,001472000 segundos]: La diferencia de tiempo del cuadro visualizado anterior: 0,001472000 segundos ;
[Tiempo desde la referencia o primer cuadro: 1278.276505000 segundos]: La diferencia de tiempo desde la referencia o primer cuadro: 1278.276505000 segundos;
D. Número de cuadro: 36838, el número de cuadro es 36838;
E. Longitud de la trama: 70 bytes (560 bits), la longitud de la trama es de 70 bytes;
Longitud de captura: 70 bytes (560 bits), la longitud capturada es de 70 bytes;
F. [El marco está marcado: Falso], el marco está marcado: ninguno;
[El marco se ignora: falso], el marco se ignora: ninguno;
G. [Protocolos en marco: eth: ip: tcp: datos], marco de protocolo: eth (Ethernet), IP, tcp, datos
H. [Nombre de la regla de color: TCP], nombre de la regla de color: TCP;
[Cadena de regla de color: tcp], cadena de regla de color: TCP;
3> Análisis de información EthernetⅡ
A. Destino: AsrockIn_b5: b9: 92 (00: 25: 22: b5: b9: 92), la dirección Mac de destino es 00: 25: 22: b5: b9: 92
B. Fuente: 88: 5d: 90: 00: 00: 25 (88: 5d: 90: 00: 00: 25), la dirección Mac de origen es 88: 5d: 90: 00: 00: 25
C.Tipo: IP (0x0800), el tipo es paquete IP
4> análisis de información del protocolo IPv4
A. Versión: 4, la versión del protocolo IP es IPv4;
Longitud del encabezado: 20 bytes, la longitud de los datos del encabezado es de 20 bytes;
B. Campo de servicios diferenciados: 0x00 (DSCP 0x00: predeterminado; ECN: 0x00: No ECT (Transporte no compatible con ECN)), campo de servicio diferenciado: 0x00 (el valor predeterminado es DSCP: 0x00);
C. Banderas: 0x02 (No fragmentar), no admite agrupación;
Desplazamiento del fragmento: 0, el desplazamiento del paquete es 0;
D. Tiempo de vida: 64, TTL, el tiempo de vida es 64, TTL generalmente indica el número máximo de enrutadores que puede atravesar un paquete antes de ser descartado. Cuando un paquete se transmite a un enrutador, TTL se reduce automáticamente en 1, si se reduce a 0 Si no se ha transmitido al host de destino, se pierde automáticamente.
E. Suma de comprobación del encabezado: 0xcebd [correcto], suma de comprobación del encabezado
F. Fuente: 192.168.21.175 (192.168.21.175), la dirección IP de origen es 192.168.21.175;
Destino: 192.168.21.156 (192.168.21.156), la dirección IP de destino es 192.168.21.156;
5> Trasmission Control Protocol信息分析
其中,对应的TCP首部的数据信息
A. 端口号,数据传输的16位源端口号和16位目标端口号(用于寻找发端和收端应用进程);
B. 相对序列号,该数据包的相对序列号为1361(此序列号用来确定传送数据的正确位置,且序列号用来侦测丢失的包);下一个数据包的序列号是1377;
C. Acknowledgment number是32位确认序列号,值等于1表示数据包收到,确认有效;
D. 手动的数据包的头字节长度是20字节;
E. Flags,含6种标志;ACK:确认序号有效;SYN:同步序号用来发起一个连接;FIN:发端完成发送任务;RST:重新连接;PSH:接收方应该尽快将这个报文段交给应用层;URG:紧急指针(urgentpointer)有效;
F. window,TCP的流量控制由连接的每一端通过声明的窗口大小来提供。窗口大小为字节数,起始于确认序号字段指明的值,这个值是接收端正期望接收的字节。窗口大小是一个16bit字段,因而窗口大小最大为65536字节,上面显示窗口大小为1825字节;
G. Checksum,16位校验和,检验和覆盖了整个的TCP报文段,由发端计算和存储,并由收端进行验证;
6> Data信息分析
A. TCP 报文段中的数据(该部分是可选的),长度为16字节;
2、Http报文
链路层的信息上是以帧的形式进行传输的,帧封装了应用层、传输层、网络层的数据。而Wireshark抓到的就是链路层的一帧;
1> 封装包详细信息
A. 第一行,帧Frame 12411 指的是要发送的数据块,其中,所抓帧的序号为12411,捕获字节数等于传送字节数:233字节;
B. 第二行,以太网,有线局域网技术,是数据链路层。源Mac地址为24:69:68:6b:78:96;目标Mac地址为00:25:22:b5:b9:92;
C. 第三行,IPV4协议,也称网际协议,是网络层;源IP地址为220.181.57.234;目标IP地址为192.168.21.156;
D. 第四行,TCP协议,也称传输控制协议,是传输层;源端口(80);目标端口(53985);序列号(1);ACK是TCP数据包首部中的确认标志,对已接收到的TCP报文进行确认,值为1表示确认号有效;长度为179;
E. 第五行,Http协议,也称超文本传输协议,是应用层。
2> Http请求报文分析
报文分析:
在抓包分析过程中还发现了另外一些http请求报文中所特有的首部字段名,比如下面http请求报文中橙黄色首部字段名:
3> Http响应报文分析
报文分析:
3、 DNS报文
1> 封包详细信息
A. 第一行,帧Frame 12237 指的是要发送的数据块,其中,所抓帧的序号为12237,捕获字节数等于传送字节数:133字节;
B. 第二行,以太网,有线局域网技术,是数据链路层。源Mac地址为24:69:68:6b:78:96;目标Mac地址为00:25:22:b5:b9:92;
C. 第三行,IPV4协议,也称网际协议,是网络层;源IP地址为192.168.211.254;目标IP地址为192.168.211.84;
D. 第四行,UDP协议,是传输层;源端口domain(53);目标端口(65219);
E. 第五行,DNS协议,是应用层。
2> DNS 查询报文
报文分析:
3> DNS响应报文
报文分析:
4、Ping
---------------------
作者:hebbely
来源:CSDN
原文:https://blog.csdn.net/hebbely/article/details/54424823?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522160162949919724835838331%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=160162949919724835838331&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-7-54424823.first_rank_ecpm_v3_pc_rank_v2&utm_term=wireshark&spm=1018.2118.3001.4187
版权声明:本文为作者原创文章,转载请附上博文链接!