Wireshark分析器分析數據流過程

Wireshark分析器分析數據流過程

分析包是Wireshark最強大的功能之一。分析數據流過程就是將數據轉換爲能夠理解的請求、應答、拒絕和重發等。幀包括了從捕獲引擎或監聽庫到核心引擎的信息。Wireshark中的格式由成千上萬的協議和應用程序使用，它能夠調用各類各樣的分析器，以可讀的格式將字段分開並顯示它們的含義。下面將介紹詳細分析Wireshark的包信息。

例如，一個以太網網絡中的主機向Web網站發送HTTP GET請求時，這個包將由五個處理器進行處理。分別以下所示：

1.幀分析器

幀分析器用來檢測和顯示捕獲文件的基本信息，如每一個幀的時間戳，如圖2.14所示。而後幀分析器傳遞幀給以太網分析器。

圖2.14  幀分析器

從該界面能夠看到第5幀中的一些基本信息。例如，幀的編號爲5（捕獲時的編號），幀的大小爲268個字節，幀被捕獲的日期和時間，該幀和前一個幀的捕獲時間差以及和第一個幀的捕獲時間差等。

2.以太網分析器

以太網分析器用來解碼、顯示以太網幀（Ethernet II）頭部的字段、字段類型的內容等。而後傳遞給下一個分析器，也就是IPv4分析器。如圖2.15所示，該字段類型值爲0x0806，0x0806表示是一個IP頭部。

圖2.15  以太網分析器

從該界面能夠看到在以太網幀頭部中封裝的信息，包括髮送方的源MAC地址和目標MAC地址。

3.IPv4分析器

IPv4分析器用來解碼IPv4頭部的字段，並基於協議字段的內容傳遞包到下一個分析器。如圖2.16所示，該界面顯示了IPv4分析器中的內容。

圖2.16  IPv4分析器

從該界面能夠看到TCP協議字段的值爲6。

4.TCP分析器接管

TCP分析器用於解碼TCP頭部的字段，並基於端口字段的內容，將幀傳遞給下一個分析器。如圖2.17所示，該界面顯示了TCP分析器中的內容。

圖2.17  TCP分析器

從該界面能夠看到，目標端口爲HTTP協議的80端口。在下一節，將介紹Wireshark如何處理運行在非標準端口上的流量。

5.HTTP分析器接管

在本例中，HTTP分析器解碼HTTP包的字段。在該包中沒有嵌入式的協議或應用程序，因此這是幀中應用的最後一個分析器，如圖2.18所示。

圖2.18  HTTP分析器

從該界面能夠看到，客戶端口請求了xxxxxxxxxxxxxx網站。