Wireshark網絡抓包(一)——數據包、着色規則和提示

1、數據包詳細信息

Packet Details面板內容以下,主要用於分析封包的詳細信息。html

幀:物理層、鏈路層網絡

包:網絡層學習

段:傳輸層、應用層spa

1)Frame操作系統

物理層數據幀概況.net

2)Ethernet II3d

數據鏈路層以太網幀頭部信息htm

3)Internet Protocol Version 4blog

互聯網層IP包頭部信息教程

IP包頭:

4)Transmission Control Protocol

傳輸層數據段頭部信息,此處是TCP協議

TCP包頭:

5)Hypertext Transfer Protocol

應用層信息,此處是HTTP協議

 

2、着色規則

Wireshark默認有一組着色規則,能夠在Packet Details面板中展開包的幀部分,查看着色規則。

在View | Coloring Rules中,打開着色規則窗口,能夠本身建立、刪除、選中、去除。

 

3、Wireshark提示

1)Packet size limited during capture

說明被標記的那個包沒有抓全。通常是由抓包方式引發,有些操做系統中默認只抓每一個幀的前96個字節。

4號包全長171字節,但只有96字節被抓到。

2)TCP Previous segment not captured

若是Wireshark發現後一個包的Seq大於Seq+Len,就知道中間缺失了一段。

若是缺失的那段在整個網絡包中找不到(排除了亂序),就會提示。

6號包的Seq是1449大於5號包的Seq+Len=1+1=1,說明中間有個1448字節的包沒被抓到,就是「Seq=1,Len=1448」。

3)TCP ACKed unseen segment

當Wireshark發現被Ack的那個包沒被抓到,就會提示。

32號包的Seq+Len=6889+1448=8337,說明下一個包Seq=8337。

而咱們看到的是35號包的Seq=11233,意味着8337~11232這段數據沒抓到。

4)TCP Out-of-Order

當Wireshark發現後一個包的Seq號小於前一個包的Seq+Len時,就會認爲亂序,發出提示。

3362號包的Seq小於3360包的Seq,因此就是亂序。

5)TCP Dup ACK

當亂序或丟包發生時,接收方會收到一些Seq號比指望值大的包。沒收到一個這種包就會Ack一次指望的Seq值,提現發送方。

7號包指望的下一個Seq=30763,但8號包Seq=32223,說明Seq=30763包丟失,9號包發了Ack=30763,表示「我要的是Seq=30763」。

10號、12號、14號也都是大於30763的,所以沒收到一個就回復一次Ack。

6)TCP Fast Retransmission

當發送方收到3個或以上的【TCP Dup ACK】,就意識到以前發的包可能丟了,因而快速重傳它。

7)TCP Retransmission

若是一個包真的丟了,又沒有後續包能夠在接收方觸發【Dup Ack】就不會快速重傳。

這種狀況下發送方只好等到超時了再重傳。

1053號包發出後,一直沒有等到相應的Ack,只能在100多毫秒以後重傳了。

8)TCP zerowindow

包種的「win」表明接收窗口的大小,當Wireshark在一個包中發現「win=0」時,就會發提示。

9)TCP window Full

此提示表示這個包的發送方已經把對方所聲明的接收窗口耗盡了。

當Wireshark計算出Middle East已經有65535字節未被確認,就會發出此提示。

【TCP window Full】表示發送方暫時沒辦法再發送數據

【TCP zerowindow】表示發送方暫時沒辦法再接收數據

10)TCP segment of a reassembled PDU

Wireshark能夠把屬於同一個應用層的PDU的TCP包虛擬地集中起來。

TCP層收到上層大塊報文後分解成段後發出去,主機響應一個查詢或者命令時若是要回應不少數據(信息)而這些數據超出了TCP的最大MSS時,

主機會經過發送多個數據包來傳送這些數據(注意:這些包並未被分片)。

11)Time-to-live exceeded(Fragment reassembly time exceeded)

表示這個包的發送方以前收到了一些分片,但因爲某些緣由遲遲沒法組裝起來。

 

參考資料:

Wireshark網絡分析的藝術

Wireshark數據包分析實戰詳解

一站式學習Wireshark

wireshark怎麼抓包、wireshark抓包詳細圖文教程

Wireshark入門教程及破解

Wireshark抓包iOS入門教程

相關文章
相關標籤/搜索