您好,欢迎访问三七文档
数据包详细分析当我们对Wireshark主窗口各部分作用了解了,学会捕获数据了,接下来就该去认识这些捕获的数据包了。Wireshark将从网络中捕获到的二进制数据按照不同的协议包结构规范,显示在PacketDetails面板中。为了帮助用户能够清楚的分析数据,本节将介绍识别数据包的方法。在Wireshark中关于数据包的叫法有三个术语,分别是帧、包、段。下面通过分析一个数据包,来介绍这三个术语。在Wireshark中捕获的一个数据包,如图1.45所示。每个帧中的内容展开后,与图1.48显示的信息类似。图1.48数据包详细信息从该界面可以看出显示了五行信息,默认这些信息是没有被展开的。各行信息如下所示:qFrame:物理层的数据帧概况。qEthernetII:数据链路层以太网帧头部信息。qInternetProtocolVersion4:互联网层IP包头部信息。qTransmissionControlProtocol:传输层的数据段头部信息,此处是TCP协议。qHypertextTransferProtocol:应用层的信息,此处是HTTP协议。下面分别介绍下在图1.48中,帧、包和段内展开的内容。如下所示:(1)物理层的数据帧概况Frame5:268bytesonwire(2144bits),268bytescaptured(2144bits)oninterface0#5号帧,线路268字节,实际捕获268字节Interfaceid:0#接口idEncapsulationtype:Ethernet(1)#封装类型ArrivalTime:Jun11,201505:12:18.469086000中国标准时间#捕获日期和时间[Timeshiftforthispacket:0.000000000seconds]EpochTime:1402449138.469086000seconds[Timedeltafrompreviouscapturedframe:0.025257000seconds]#此包与前一包的时间间隔[Timesincereferenceorfirstframe:0.537138000seconds]#此包与第一帧的时间间隔FrameNumber:5#帧序号FrameLength:268bytes(2144bits)#帧长度CaptureLength:268bytes(2144bits)#捕获长度[Frameismarked:False]#此帧是否做了标记:否[Frameisignored:False]#此帧是否被忽略:否[Protocolsinframe:eth:ip:tcp:http]#帧内封装的协议层次结构[Numberofper-protocol-data:2]#[HypertextTransferProtocol,key0][TransmissionControlProtocol,key0][ColoringRuleName:HTTP]#着色标记的协议名称[ColoringRuleString:http||tcp.port==80]#着色规则显示的字符串(2)数据链路层以太网帧头部信息EthernetII,Src:Giga-Byt_c8:4c:89(1c:6f:65:c8:4c:89),Dst:Tp-LinkT_f9:3c:c0(6c:e8:73:f9:3c:c0)Destination:Tp-LinkT_f9:3c:c0(6c:e8:73:f9:3c:c0)#目标MAC地址Source:Giga-Byt_c8:4c:89(1c:6f:65:c8:4c:89)#源MAC地址Type:IP(0x0800)(3)互联网层IP包头部信息InternetProtocolVersion4,Src:192.168.0.104(192.168.0.104),Dst:61.182.140.146(61.182.140.146)Version:4#互联网协议IPv4Headerlength:20bytes#IP包头部长度DifferentiatedServicesField:0x00(DSCP0x00:Default;ECN:0x00:Not-ECT(NotECN-CapableTransport))#差分服务字段TotalLength:254#IP包的总长度Identification:0x5bb5(23477)#标志字段Flags:0x02(Don'tFragment)#标记字段Fragmentoffset:0#分的偏移量Timetolive:64#生存期TTLProtocol:TCP(6)#此包内封装的上层协议为TCPHeaderchecksum:0x52ec[validationdisabled]#头部数据的校验和Source:192.168.0.104(192.168.0.104)#源IP地址Destination:61.182.140.146(61.182.140.146)#目标IP地址(4)传输层TCP数据段头部信息TransmissionControlProtocol,SrcPort:51833(51833),DstPort:http(80),Seq:1,Ack:1,Len:214Sourceport:51833(51833)#源端口号Destinationport:http(80)#目标端口号Sequencenumber:1(relativesequencenumber)#序列号(相对序列号)[Nextsequencenumber:215(relativesequencenumber)]#下一个序列号Acknowledgmentnumber:1(relativeacknumber)#确认序列号Headerlength:20bytes#头部长度Flags:0x018(PSH,ACK)#TCP标记字段Windowsizevalue:64800#流量控制的窗口大小Checksum:0x677e[validationdisabled]#TCP数据段的校验和Wireshark分析数据包在Wireshark中的数据包都可以称为是网络数据。每个网络都有许多不同的应用程序和不同的网络涉及。但是一些常见的包中,通常都会包括一些登录程序和网络浏览会话。本节以访问Web浏览器为例将介绍分析网络数据的方法。通常在访问Web服务器过程中,会涉及到DNS、TCP、HTTP三种协议。由于此过程中来回发送的数据包较为复杂,所以下面将介绍分析Web浏览数据。【实例1-3】分析访问Web浏览数据。具体操作步骤如下所示:(1)捕获访问网站的数据包,并保存该文件名为http-wireshar.pcapng。本例中捕获的文件如图1.49所示。图1.49http-wireshar.pcapng捕获文件(2)接下来通过该捕获文件中的数据,分析访问Web的整个过程。在该捕获过程中,将包含DNS请求、响应、TCP三次握手等数据。如图1.50所示,在该界面显示了在访问网站之间DNS解析过程。图1.50DNS解析(3)在该界面31帧,是DNS将地址的数据包(被称为一个“A”记录)。32帧表示返回一个与主机名相关的IP地址的DNS响应包。如果客户端支持IPv4和IPv6,在该界面将会看到查找一个IPv6地址(被称为“AAAA”记录)。此时,DNS服务器将响应一个IPv6地址或混杂的信息。说明:31帧是客户端请求百度,通过DNS服务器解析IP地址的过程。标识为“A”记录。32帧是DNS服务器回应客户端请求的过程。标识为response.(4)如图1.51所示,在该界面看客户端和服务器之间TCP三次握手(33、34、35帧)和客户端请求的GET主页面(36帧)。然后服务器收到请求(37帧)并发送响应包(38帧)。说明:33帧是客户端向服务器发送TCP请求建立连接。标识为SYN。34帧是服务器得到请求后向客户端回应确认包的过程。标识为SYN,ACK。35帧是客户端回应服务器发送确认包的过程,将于服务器建立连接。标识为ACK。36帧是客户端向服务器发送HTTP请求内容的过程。标识为GET。37帧是服务器相应客户端请求的过程,收到请求。标识为ACK。38帧是服务器向客户端回应内容的过程。图1.51TCP三次握手(5)当客户端从相同的服务器上再次请求访问另一个链接时,将会再次看到一个GET数据包(1909帧),如图1.52所示。图1.52请求另一个元素此外,如果链接另一个Web站点时,客户端将再次对下一个站点进行DNS查询(156、157帧),TCP三次握手(158、159、160帧)。如图1.53所示。图1.53请求下一个站点
本文标题:数据包详细分析
链接地址:https://www.777doc.com/doc-5738982 .html