WireShark抓包分析

簡述：本文介紹了抓包數據含義，有TCP報文、Http報文、DNS報文。若有錯誤，歡迎指正。

一、TCP報文

TCP：（TCP是面向鏈接的通訊協議，經過三次握手創建鏈接，通信完成時要拆除鏈接，因爲TCP 是面向鏈接的因此只能用於點對點的通信）源IP地址：發送包的IP地址；目的IP地址：接收包的IP地址；源端口：源系統上的鏈接的端口；目的端口：目的系統上的鏈接的端口。  TCP是因特網中的傳輸層協議，使用三次握手協議創建鏈接。當主動方發出SYN鏈接請求後，等待對方回答SYN，ACK。這種創建鏈接的方法能夠防止產生錯誤的鏈接，TCP使用的流量控制協議是可變大小的滑動窗口協議。第一次握手：創建鏈接時，客戶端發送SYN包(SEQ=x)到服務器，並進入SYN_SEND狀態，等待服務器確認。第二次握手：服務器收到SYN包，必須確認客戶的SYN(ACK=x+1),同時本身也送一個SYN包(SEQ=y),即SYN+ACK包，此時服務器進入SYN_RECV狀態。第三次握手：客戶端收到服務器的SYN+ACK包，向服務器發送確認包ACK(ACK=y+1),此包發送完畢，客戶端和服務器進入Established狀態，完成三次握手。

1> 封包詳細信息

A. 第一行，幀Frame 36838 指的是要發送的數據塊，其中，所抓幀的序號爲36838，捕獲字節數等於傳送字節數：70字節；

B. 第二行，以太網，有線局域網技術，是數據鏈路層。源Mac地址爲88:5d:90:00:00:25；目標Mac地址爲00:25:22:b5:b9:92；

C. 第三行，IPV4協議，也稱網際協議，是網絡層；源IP地址爲192.168.21.175；目標IP地址爲192.168.21.156；

D. 第四行，TCP協議，也稱傳輸控制協議，是傳輸層；源端口(10086)；目標端口(50132)；序列號(1361)；ACK是TCP數據包首部中的確認標誌，對已接收到的TCP報文進行確認，值爲1表示確認號有效；長度爲16；

E. 第五行，數據共有16字節

2> Frame信息分析

A. Arrival Time：到達時間，值爲Jan 14, 2017 08:52:56.239204000

B. EPoch Time：信息出現時間，值爲1484355176.239204000秒

C. [ Time delta from previous captured frame: 0.001472000 seconds] ：與以前捕獲的數據幀時間差：0.001472000秒；

     [Time delta from previous displayed frame: 0.001472000 seconds]：與以前顯示的幀時間差： 0.001472000秒；

     [Time since reference or first frame: 1278.276505000 seconds]：距參考幀或第一幀的時間差：1278.276505000秒；

D. Frame Number: 36838，幀編號爲36838；

E. Frame Length: 70 bytes (560 bits)，幀長度爲70字節；

     Capture Length: 70 bytes (560 bits)，捕獲到的長度爲70字節；

F. [Frame is marked: False]，幀標記：無；

     [Frame is ignored: False]，幀被忽略：無；

G. [Protocols in frame: eth:ip:tcp:data]，協議幀：eth(以太網)、IP、tcp、data

H. [Coloring Rule Name: TCP]，色彩規則名稱：TCP；

     [Coloring Rule String: tcp]，色彩規則字符串：TCP；

3> EthernetⅡ信息分析

A. Destination: AsrockIn_b5:b9:92 (00:25:22:b5:b9:92)，目標Mac地址爲00:25:22:b5:b9:92

B. Source: 88:5d:90:00:00:25 (88:5d:90:00:00:25)，源Mac地址爲88:5d:90:00:00:25

C. Type: IP (0x0800)，類型是IP數據包

4> IPv4 協議信息分析

A. Version: 4，IP協議版本爲IPv4；

     Header length: 20 bytes，頭部數據長度爲20字節；

B. Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport))，區分的服務領域：0x00 (默認的是DSCP：0x00)；

C. Flags: 0x02 (Don't Fragment)，不支持分組；

     Fragment offset: 0，分組偏移量爲0； 

D. Time to live: 64，TTL，生存時間爲64，TTL一般表示包在被丟棄前最多能通過的路由器個數，當數據包傳輸到一個路由器以後，TTL就自動減1，若是減到0了尚未傳送到目標主機，那麼就自動丟失。

E. Header checksum: 0xcebd [correct]，頭部校驗和

F. Source: 192.168.21.175 (192.168.21.175)，源IP地址爲192.168.21.175；

     Destination: 192.168.21.156 (192.168.21.156)，目標IP地址爲192.168.21.156；

5> Trasmission Control Protocol信息分析

其中，對應的TCP首部的數據信息

A. 端口號，數據傳輸的16位源端口號和16位目標端口號(用於尋找發端和收端應用進程)；

B. 相對序列號，該數據包的相對序列號爲1361(此序列號用來肯定傳送數據的正確位置，且序列號用來偵測丟失的包)；下一個數據包的序列號是1377；

C. Acknowledgment number是32位確認序列號，值等於1表示數據包收到，確認有效；

D. 手動的數據包的頭字節長度是20字節；

E. Flags，含6種標誌；ACK：確認序號有效；SYN：同步序號用來發起一個鏈接；FIN：發端完成發送任務；RST：從新鏈接；PSH：接收方應該儘快將這個報文段交給應用層；URG：緊急指針(urgentpointer)有效；

F. window，TCP的流量控制由鏈接的每一端經過聲明的窗口大小來提供。窗口大小爲字節數，起始於確認序號字段指明的值，這個值是接收端正指望接收的字節。窗口大小是一個16bit字段，於是窗口大小最大爲65536字節，上面顯示窗口大小爲1825字節；

G. Checksum，16位校驗和，檢驗和覆蓋了整個的TCP報文段，由發端計算和存儲，並由收端進行驗證；

6> Data信息分析

A.  TCP 報文段中的數據(該部分是可選的)，長度爲16字節；

二、Http報文

鏈路層的信息上是以幀的形式進行傳輸的，幀封裝了應用層、傳輸層、網絡層的數據。而Wireshark抓到的就是鏈路層的一幀；

1> 封裝包詳細信息

A. 第一行，幀Frame 12411 指的是要發送的數據塊，其中，所抓幀的序號爲12411，捕獲字節數等於傳送字節數：233字節；

B. 第二行，以太網，有線局域網技術，是數據鏈路層。源Mac地址爲24:69:68:6b:78:96；目標Mac地址爲00:25:22:b5:b9:92；

C. 第三行，IPV4協議，也稱網際協議，是網絡層；源IP地址爲220.181.57.234；目標IP地址爲192.168.21.156；

D. 第四行，TCP協議，也稱傳輸控制協議，是傳輸層；源端口(80)；目標端口(53985)；序列號(1)；ACK是TCP數據包首部中的確認標誌，對已接收到的TCP報文進行確認，值爲1表示確認號有效；長度爲179；

E. 第五行，Http協議，也稱超文本傳輸協議，是應用層。

2> Http請求報文分析

報文分析：

在抓包分析過程當中還發現了另一些http請求報文中所特有的首部字段名，好比下面http請求報文中橙黃色首部字段名：

3> Http響應報文分析

報文分析：

三、 DNS報文

1> 封包詳細信息

A. 第一行，幀Frame 12237 指的是要發送的數據塊，其中，所抓幀的序號爲12237，捕獲字節數等於傳送字節數：133字節；

B. 第二行，以太網，有線局域網技術，是數據鏈路層。源Mac地址爲24:69:68:6b:78:96；目標Mac地址爲00:25:22:b5:b9:92；

C. 第三行，IPV4協議，也稱網際協議，是網絡層；源IP地址爲192.168.211.254；目標IP地址爲192.168.211.84；

D. 第四行，UDP協議，是傳輸層；源端口domain(53)；目標端口(65219)；

E. 第五行，DNS協議，是應用層。

2> DNS 查詢報文

報文分析：

3> DNS響應報文

報文分析：

四、Ping

 

 

wireshark抓包分析：https://blog.51cto.com/yttitan?type=3

HTTP協議分析推薦博客：https://blog.51cto.com/yttitan?type=3