一個(gè)完整的三次握手就是：請(qǐng)求（SYN） — 應(yīng)答（SYN+ACK） — 再次確認(rèn)（SYN）。完成三次握手，客戶(hù)端與服務(wù)器開(kāi)始傳送數(shù)據(jù)。

實(shí)驗(yàn)流程：

1、首先我們打開(kāi)wireshark軟件的主界面，在主界面上選擇網(wǎng)卡，然后右鍵點(diǎn)擊start。wireshark即進(jìn)入抓包分析過(guò)程。在本篇我們選擇以太網(wǎng)，進(jìn)行抓包。

2、接下來(lái)再界面我們可以看到wireshark抓到的實(shí)時(shí)數(shù)據(jù)包。我們對(duì)數(shù)據(jù)包的各個(gè)字段進(jìn)行解釋。

1）No:代表數(shù)據(jù)包標(biāo)號(hào)。

2）Time：在軟件啟動(dòng)的多長(zhǎng)時(shí)間內(nèi)抓到。

3）Source：來(lái)源ip。

4）Destination: 目的ip。

5）Protocol：協(xié)議。

6）Length:數(shù)據(jù)包長(zhǎng)度。

7）.info：數(shù)據(jù)包信息。

3、接下來(lái)我們點(diǎn)擊解析后的某一條數(shù)據(jù)可以查看數(shù)據(jù)包的詳細(xì)信息。

4、在抓包過(guò)程中，我們可以點(diǎn)擊圖標(biāo)啟動(dòng)或者停止。來(lái)啟動(dòng)或者停止抓取數(shù)據(jù)包。

5、接下來(lái)我們將簡(jiǎn)單介紹Filter處，對(duì)來(lái)源Ip以及目的Ip的過(guò)濾表達(dá)式的寫(xiě)法。首先我們?cè)贔ilter處填寫(xiě)ip.addr eq 192.168.2.101。表示獲取來(lái)源ip以及目的ip都是192.168.2.101的數(shù)據(jù)包。（此處解釋 eq 換成==同樣的效果）

6、在Filter處填寫(xiě)：ip.src == 192.168.2.101。表示獲取來(lái)源地址為192.168.2.101的數(shù)據(jù)包

7、在Filter處填寫(xiě):ip.dst == 119.167.140.103。表示獲取目的地址為119.167.140.103的數(shù)據(jù)包

8、在Filter處填寫(xiě):ip.dst == 119.167.140.103 or ip.dst == 192.168.2.45。表示獲取目的地址為119.167.140.103或者192.168.2.45的數(shù)據(jù)包。（此方法舉例主要說(shuō)明or的用法。在or前后可以跟不同的表達(dá)式。）

9、在Filter處填寫(xiě):ip.dst == 119.167.140.103 and ip.src == 192.168.2.101。表示獲取目的地址為119.167.140.103且來(lái)源地址為192.168.2.101的數(shù)據(jù)包。（此方法舉例主要說(shuō)明and 的用法）

數(shù)據(jù)包分析

二、使用wireshark抓包工具抓包后進(jìn)行分析

1、物理層的數(shù)據(jù)情況

• 該例Frame 1：--? 1號(hào)幀，接口0上傳輸66個(gè)字節(jié)，實(shí)際捕獲66字節(jié)
• interface id：0? #接口id 0 ；用來(lái)標(biāo)識(shí)特定節(jié)點(diǎn)的接口。接口 ID 必須在子網(wǎng)內(nèi)唯一??
• 接口標(biāo)識(shí)符(Interface ID) ? ?這是三級(jí)地址，占64位，指明主機(jī)或路由器單個(gè)的網(wǎng)絡(luò)接口。實(shí)際上這就相當(dāng)于分類(lèi)的IPv4地址中的主機(jī)號(hào)字段。? ?
• Encapsulation type: Ethernet (1)? #封裝類(lèi)型采用Ethernet (1)；
• Arrival Time #捕獲日期和時(shí)間；?
• [Time shift for this packet: 0.000000000 seconds]? #此數(shù)據(jù)包的偏移時(shí)間
• Epoch Time: 3140.331000000 seconds? #周期時(shí)長(zhǎng)
• [Time delta from previous captured frame: 0.025257000 seconds]? #此包與前一包的捕獲時(shí)間間隔；
• [Time delta from previous displayed frame: 0.000000000 seconds] #此包與前一個(gè)包的顯示時(shí)間間隔；
• [Time since reference or first frame: 0.537138000 seconds]? #此包與前一幀的時(shí)間間隔；?
• Frame Number: 1 #?幀序號(hào)為1；
• Frame Length #幀長(zhǎng)；?
• Capture Length #捕獲幀長(zhǎng)；?
• [Frame is marked: False]? #此幀是否做了標(biāo)記：否；
• [Frame is ignored: False]? #此幀是否被忽略：否；?
• [Protocols in frame: eth:ethertype:ip:udp:rip]? #幀內(nèi)封裝的協(xié)議層次結(jié)構(gòu)；?
• [Coloring Rule Name: TTL low or unexpected]? #著色標(biāo)記的協(xié)議名稱(chēng) ；
• [Coloring Rule String: --]? #著色規(guī)則顯示的字符串

2、數(shù)據(jù)鏈路層以太網(wǎng)頭部信息

• Destination? 目的MAC地址：? ? ff::ff
• Source? 源MAC地址：? ? ?54:89:98:be:27:ca? ? ? ? ? ? ?? ? ? ? ?
• Type? 使用協(xié)議：0X0800? ?IPV4協(xié)議

3、網(wǎng)絡(luò)層IP包信息

• Version: 4? ?#高四位展示版本? ?使用互聯(lián)網(wǎng)協(xié)議IPv4
• Header Length： #低四位展示IP包頭部長(zhǎng)度，長(zhǎng)度為20字節(jié)；指數(shù)據(jù)報(bào)協(xié)議頭長(zhǎng)度，表示協(xié)議頭具有32位字長(zhǎng)的數(shù)量。指向數(shù)據(jù)起點(diǎn)。正確協(xié)議頭最小值為5。
• Differentiated Services Field: 0xc0 (DSCP: CS6, ECN: Not-ECT) ： #差分服務(wù)字段
• Total Length：52? #IP包的總長(zhǎng)度為52字節(jié)；指定整個(gè) IP 數(shù)據(jù)包的字節(jié)長(zhǎng)度，包括數(shù)據(jù)和協(xié)議頭。其最大值為65,535字節(jié)
• Identification：0x0024(36)? #標(biāo)志字段；包含一個(gè)整數(shù)，用于識(shí)別當(dāng)前數(shù)據(jù)報(bào)。該字段由發(fā)送端分配幫助接收端集中數(shù)據(jù)報(bào)分片。
• Flags: 0x00? #標(biāo)記字段；由3位字段構(gòu)成，其中最低位（MF）控制分片，存在下一個(gè)分片置為1，否則置0代表結(jié)束分片。中間位（DF）指出數(shù)據(jù)包是否可進(jìn)行分片。第三位即最高位保留不使用，但是必須為0
• Fragment offset: 0 （0x0000） #分的偏移量為0；13位字段，指出與源數(shù)據(jù)報(bào)的起始端相關(guān)的分片數(shù)據(jù)位置，支持目標(biāo)IP適當(dāng)重建源數(shù)據(jù)報(bào)
• Time-to-Live：1 （0x01） #生存周期，是一種計(jì)數(shù)器，在丟棄數(shù)據(jù)報(bào)的每個(gè)點(diǎn)值依次減1直至減少為0。這樣確保數(shù)據(jù)包無(wú)止境的環(huán)路過(guò)程（即TTL）
• ?Protocol: UDP (17)? #此包內(nèi)封裝的上層協(xié)議為UDP；指出在 IP 處理過(guò)程完成之后，有哪種上層協(xié)議接收導(dǎo)入數(shù)據(jù)包
• Header checksum: 0xa9d0 [validation disabled] #頭部數(shù)據(jù)檢驗(yàn)和；?幫助確保 IP 協(xié)議頭的完整性。由于某些協(xié)議頭字段的改變，如生存期（Time to Live），這就需要對(duì)每個(gè)點(diǎn)重新計(jì)算和檢驗(yàn)。Internet 協(xié)議頭需要進(jìn)行處理
• Source: 15.0.0.6? #源主機(jī)IP地址
• Destination: 255.255.255.255? ?#目標(biāo)主機(jī)IP地址
• Source GeoIP? #源IP的地理信息
• [Destination GeoIP: Unknown]?? #目標(biāo)IP的地理信息

4、傳輸層的數(shù)據(jù)概況 (該例中傳輸層使用了UDP包)

• Source Port: 520? #源端口為520
• Destination Port: 520? #目的端口為520
• Length: 32? #UDP報(bào)文長(zhǎng)度
• Checksum: 0x29ec [unverified]? ?#UDP報(bào)文校驗(yàn)和

5、會(huì)話層數(shù)據(jù)概況 （該文使用RIP協(xié)議：Routing Information Protocol）

• Command: Response (2)? #命令：1為RIP請(qǐng)求信息；2為RIP響應(yīng)信息
• Version: RIPv1 (1)? #版本：使用RIPv1版本
• Address Family: IP (2)? #協(xié)議簇，該字段長(zhǎng)度為4字節(jié)。對(duì)于TCP/IP協(xié)議簇，該字段的取值為2
• IP Address: 192.168.0.0? #路由項(xiàng)的目的網(wǎng)絡(luò)地址
• Metric: 1? #跳數(shù)

總結(jié)

以上是生活随笔為你收集整理的计算机网络【wireshark抓包分析】的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。