数据包详细分析

数据包详细分析当我们对Wireshark主窗口各部分作用了解了，学会捕获数据了，接下来就该去认识这些捕获的数据包了。Wireshark将从网络中捕获到的二进制数据按照不同的协议包结构规范，显示在PacketDetails面板中。为了帮助用户能够清楚的分析数据，本节将介绍识别数据包的方法。在Wireshark中关于数据包的叫法有三个术语，分别是帧、包、段。下面通过分析一个数据包，来介绍这三个术语。在Wireshark中捕获的一个数据包，如图1.45所示。每个帧中的内容展开后，与图1.48显示的信息类似。图1.48数据包详细信息从该界面可以看出显示了五行信息，默认这些信息是没有被展开的。各行信息如下所示：qFrame：物理层的数据帧概况。qEthernetII：数据链路层以太网帧头部信息。qInternetProtocolVersion4：互联网层IP包头部信息。qTransmissionControlProtocol：传输层的数据段头部信息，此处是TCP协议。qHypertextTransferProtocol：应用层的信息，此处是HTTP协议。下面分别介绍下在图1.48中，帧、包和段内展开的内容。如下所示：（1）物理层的数据帧概况Frame5:268bytesonwire(2144bits),268bytescaptured(2144bits)oninterface0#5号帧，线路268字节，实际捕获268字节Interfaceid:0#接口idEncapsulationtype:Ethernet(1)#封装类型ArrivalTime:Jun11,201505:12:18.469086000中国标准时间#捕获日期和时间[Timeshiftforthispacket:0.000000000seconds]EpochTime:1402449138.469086000seconds[Timedeltafrompreviouscapturedframe:0.025257000seconds]#此包与前一包的时间间隔[Timesincereferenceorfirstframe:0.537138000seconds]#此包与第一帧的时间间隔FrameNumber:5#帧序号FrameLength:268bytes(2144bits)#帧长度CaptureLength:268bytes(2144bits)#捕获长度[Frameismarked:False]#此帧是否做了标记：否[Frameisignored:False]#此帧是否被忽略：否[Protocolsinframe:eth:ip:tcp:http]#帧内封装的协议层次结构[Numberofper-protocol-data:2]#[HypertextTransferProtocol,key0][TransmissionControlProtocol,key0][ColoringRuleName:HTTP]#着色标记的协议名称[ColoringRuleString:http||tcp.port==80]#着色规则显示的字符串（2）数据链路层以太网帧头部信息EthernetII,Src:Giga-Byt_c8:4c:89(1c:6f:65:c8:4c:89),Dst:Tp-LinkT_f9:3c:c0(6c:e8:73:f9:3c:c0)Destination:Tp-LinkT_f9:3c:c0(6c:e8:73:f9:3c:c0)#目标MAC地址Source:Giga-Byt_c8:4c:89(1c:6f:65:c8:4c:89)#源MAC地址Type:IP(0x0800)（3）互联网层IP包头部信息InternetProtocolVersion4,Src:192.168.0.104(192.168.0.104),Dst:61.182.140.146(61.182.140.146)Version:4#互联网协议IPv4Headerlength:20bytes#IP包头部长度DifferentiatedServicesField:0x00(DSCP0x00:Default;ECN:0x00:Not-ECT(NotECN-CapableTransport))#差分服务字段TotalLength:254#IP包的总长度Identification:0x5bb5(23477)#标志字段Flags:0x02(Don'tFragment)#标记字段Fragmentoffset:0#分的偏移量Timetolive:64#生存期TTLProtocol:TCP(6)#此包内封装的上层协议为TCPHeaderchecksum:0x52ec[validationdisabled]#头部数据的校验和Source:192.168.0.104(192.168.0.104)#源IP地址Destination:61.182.140.146(61.182.140.146)#目标IP地址（4）传输层TCP数据段头部信息TransmissionControlProtocol,SrcPort:51833(51833),DstPort:http(80),Seq:1,Ack:1,Len:214Sourceport:51833(51833)#源端口号Destinationport:http(80)#目标端口号Sequencenumber:1(relativesequencenumber)#序列号（相对序列号）[Nextsequencenumber:215(relativesequencenumber)]#下一个序列号Acknowledgmentnumber:1(relativeacknumber)#确认序列号Headerlength:20bytes#头部长度Flags:0x018(PSH,ACK)#TCP标记字段Windowsizevalue:64800#流量控制的窗口大小Checksum:0x677e[validationdisabled]#TCP数据段的校验和Wireshark分析数据包在Wireshark中的数据包都可以称为是网络数据。每个网络都有许多不同的应用程序和不同的网络涉及。但是一些常见的包中，通常都会包括一些登录程序和网络浏览会话。本节以访问Web浏览器为例将介绍分析网络数据的方法。通常在访问Web服务器过程中，会涉及到DNS、TCP、HTTP三种协议。由于此过程中来回发送的数据包较为复杂，所以下面将介绍分析Web浏览数据。【实例1-3】分析访问Web浏览数据。具体操作步骤如下所示：（1）捕获访问网站的数据包，并保存该文件名为http-wireshar.pcapng。本例中捕获的文件如图1.49所示。图1.49http-wireshar.pcapng捕获文件（2）接下来通过该捕获文件中的数据，分析访问Web的整个过程。在该捕获过程中，将包含DNS请求、响应、TCP三次握手等数据。如图1.50所示，在该界面显示了在访问网站之间DNS解析过程。图1.50DNS解析（3）在该界面31帧，是DNS将地址的数据包（被称为一个“A”记录）。32帧表示返回一个与主机名相关的IP地址的DNS响应包。如果客户端支持IPv4和IPv6，在该界面将会看到查找一个IPv6地址（被称为“AAAA”记录）。此时，DNS服务器将响应一个IPv6地址或混杂的信息。说明：31帧是客户端请求百度，通过DNS服务器解析IP地址的过程。标识为“A”记录。32帧是DNS服务器回应客户端请求的过程。标识为response.（4）如图1.51所示，在该界面看客户端和服务器之间TCP三次握手（33、34、35帧）和客户端请求的GET主页面（36帧）。然后服务器收到请求（37帧）并发送响应包（38帧）。说明：33帧是客户端向服务器发送TCP请求建立连接。标识为SYN。34帧是服务器得到请求后向客户端回应确认包的过程。标识为SYN，ACK。35帧是客户端回应服务器发送确认包的过程，将于服务器建立连接。标识为ACK。36帧是客户端向服务器发送HTTP请求内容的过程。标识为GET。37帧是服务器相应客户端请求的过程，收到请求。标识为ACK。38帧是服务器向客户端回应内容的过程。图1.51TCP三次握手（5）当客户端从相同的服务器上再次请求访问另一个链接时，将会再次看到一个GET数据包（1909帧），如图1.52所示。图1.52请求另一个元素此外，如果链接另一个Web站点时，客户端将再次对下一个站点进行DNS查询（156、157帧），TCP三次握手（158、159、160帧）。如图1.53所示。图1.53请求下一个站点