WireShark抓包分析
簡述:本文介紹了抓包資料含義,有TCP報文、Http報文、DNS報文。如有錯誤,歡迎指正。
1、TCP報文
TCP:(TCP是面向連線的通訊協議,通過三次握手建立連線,通訊完成時要拆除連線,由於TCP 是面向連線的所以只能用於點對點的通訊)源IP地址:傳送包的IP地址;目的IP地址:接收包的IP地址;源埠:源系統上的連線的埠;目的埠:目的系統上的連線的埠。 TCP是因特網中的傳輸層協議,使用三次握手協議建立連線。當主動方發出SYN連線請求後,等待對方回答SYN,ACK。這種建立連線的方法可以防止產生錯誤的連線,TCP使用的流量控制協議是可變大小的滑動視窗協議。第一次握手:建立連線時,客戶端傳送SYN包(SEQ=x)
到伺服器,並進入SYN_SEND狀態,等待伺服器確認。第二次握手:伺服器收到SYN包,必須確認客戶的SYN(ACK=x+1),同時自己也送一個SYN包(SEQ=y),即SYN+ACK包,此時伺服器進入SYN_RECV狀態。第三次握手:客戶端收到伺服器的SYN+ACK包,向伺服器傳送確認包ACK(ACK=y+1),此包傳送完畢,客戶端和伺服器進入Established狀態,完成三次握手。1> 封包詳細資訊
A. 第一行,幀Frame 36838 指的是要傳送的資料塊,其中,所抓幀的序號為36838,捕獲位元組數等於傳送位元組數:70位元組;
B. 第二行,乙太網,有線區域網技術,是資料鏈路層
。源Mac地址為88:5d:90:00:00:25;目標Mac地址為00:25:22:b5:b9:92;C. 第三行,IPV4協議,也稱網際協議,是網路層;源IP地址為192.168.21.175;目標IP地址為192.168.21.156;
D. 第四行,TCP協議,也稱傳輸控制協議,是傳輸層;源埠(10086);目標埠(50132);序列號(1361);ACK是TCP資料包首部中的確認標誌,對已接收到的TCP報文進行確認,值為1表示確認號有效;長度為16;
E. 第五行,資料共有16位元組
2> Frame資訊分析
A. Arrival Time:到達時間,值為Jan 14, 2017 08:52:56.239204000
B. EPoch Time:資訊出現時間,值為1484355176.239204000秒
C. [ Time delta from previous captured frame: 0.001472000 seconds] :與之前捕獲的資料幀時間差:0.001472000秒;
[Time delta from previous displayed frame: 0.001472000 seconds]:與之前顯示的幀時間差: 0.001472000秒;
[Time since reference or first frame: 1278.276505000 seconds]:距參考幀或第一幀的時間差:1278.276505000秒;
D. Frame Number: 36838,幀編號為36838;
E. Frame Length: 70 bytes (560 bits),幀長度為70位元組;
Capture Length: 70 bytes (560 bits),捕獲到的長度為70位元組;
F. [Frame is marked: False],幀標記:無;
[Frame is ignored: False],幀被忽略:無;
G. [Protocols in frame: eth:ip:tcp:data],協議幀:eth(乙太網)、IP、tcp、data
H. [Coloring Rule Name: TCP],色彩規則名稱:TCP;
[Coloring Rule String: tcp],色彩規則字串:TCP;
3> EthernetⅡ資訊分析
A. Destination: AsrockIn_b5:b9:92 (00:25:22:b5:b9:92),目標Mac地址為00:25:22:b5:b9:92
B. Source: 88:5d:90:00:00:25 (88:5d:90:00:00:25),源Mac地址為88:5d:90:00:00:25
C. Type: IP (0x0800),型別是IP資料包
4> IPv4 協議資訊分析
A. Version: 4,IP協議版本為IPv4;
Header length: 20 bytes,頭部資料長度為20位元組;
B. Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport)),區分的服務領域:0x00 (預設的是DSCP:0x00);
C. Flags: 0x02 (Don't Fragment),不支援分組;
Fragment offset: 0,分組偏移量為0;
D. Time to live: 64,TTL,生存時間為64,TTL通常表示包在被丟棄前最多能經過的路由器個數,當資料包傳輸到一個路由器之後,TTL就自動減1,如果減到0了還沒有傳送到目標主機,那麼就自動丟失。
E. Header checksum: 0xcebd [correct],頭部校驗和
F. Source: 192.168.21.175 (192.168.21.175),源IP地址為192.168.21.175;
Destination: 192.168.21.156 (192.168.21.156),目標IP地址為192.168.21.156;
5> Trasmission Control Protocol資訊分析
其中,對應的TCP首部的資料資訊
A. 埠號,資料傳輸的16位源埠號和16位目標埠號(用於尋找發端和收端應用程序);
B. 相對序列號,該資料包的相對序列號為1361(此序列號用來確定傳送資料的正確位置,且序列號用來偵測丟失的包);下一個資料包的序列號是1377;
C. Acknowledgment number是32位確認序列號,值等於1表示資料包收到,確認有效;
D. 手動的資料包的頭位元組長度是20位元組;
E. Flags,含6種標誌;ACK:確認序號有效;SYN:同步序號用來發起一個連線;FIN:發端完成傳送任務;RST:重新連線;PSH:接收方應該儘快將這個報文段交給應用層;URG:緊急指標(urgentpointer)有效;
F. window,TCP的流量控制由連線的每一端通過宣告的視窗大小來提供。視窗大小為位元組數,起始於確認序號欄位指明的值,這個值是接收端正期望接收的位元組。視窗大小是一個16bit欄位,因而視窗大小最大為65536位元組,上面顯示視窗大小為1825位元組;
G. Checksum,16位校驗和,檢驗和覆蓋了整個的TCP報文段,由發端計算和儲存,並由收端進行驗證;
6> Data資訊分析
A. TCP 報文段中的資料(該部分是可選的),長度為16位元組;
2、Http報文
鏈路層的資訊上是以幀的形式進行傳輸的,幀封裝了應用層、傳輸層、網路層的資料。而Wireshark抓到的就是鏈路層的一幀;
1> 封裝包詳細資訊
A. 第一行,幀Frame 12411 指的是要傳送的資料塊,其中,所抓幀的序號為12411,捕獲位元組數等於傳送位元組數:233位元組;
B. 第二行,乙太網,有線區域網技術,是資料鏈路層。源Mac地址為24:69:68:6b:78:96;目標Mac地址為00:25:22:b5:b9:92;
C. 第三行,IPV4協議,也稱網際協議,是網路層;源IP地址為220.181.57.234;目標IP地址為192.168.21.156;
D. 第四行,TCP協議,也稱傳輸控制協議,是傳輸層;源埠(80);目標埠(53985);序列號(1);ACK是TCP資料包首部中的確認標誌,對已接收到的TCP報文進行確認,值為1表示確認號有效;長度為179;
E. 第五行,Http協議,也稱超文字傳輸協議,是應用層。
2> Http請求報文分析
報文分析:
在抓包分析過程中還發現了另外一些http請求報文中所特有的首部欄位名,比如下面http請求報文中橙黃色首部欄位名:
3> Http響應報文分析
報文分析:
3、 DNS報文
1> 封包詳細資訊
A. 第一行,幀Frame 12237 指的是要傳送的資料塊,其中,所抓幀的序號為12237,捕獲位元組數等於傳送位元組數:133位元組;
B. 第二行,乙太網,有線區域網技術,是資料鏈路層。源Mac地址為24:69:68:6b:78:96;目標Mac地址為00:25:22:b5:b9:92;
C. 第三行,IPV4協議,也稱網際協議,是網路層;源IP地址為192.168.211.254;目標IP地址為192.168.211.84;
D. 第四行,UDP協議,是傳輸層;源埠domain(53);目標埠(65219);
E. 第五行,DNS協議,是應用層。
2> DNS 查詢報文
報文分析:
3> DNS響應報文
報文分析:
4、Ping
