一個完整的三次握手就是：請求（SYN） — 應答（SYN+ACK） — 再次確認（SYN）。完成三次握手，客戶端與服務器開始傳送數據。

實驗流程：

1、首先我們打開wireshark軟件的主界面，在主界面上選擇網卡，然后右鍵點擊start。wireshark即進入抓包分析過程。在本篇我們選擇以太網，進行抓包。

2、接下來再界面我們可以看到wireshark抓到的實時數據包。我們對數據包的各個字段進行解釋。

1）No:代表數據包標號。

2）Time：在軟件啟動的多長時間內抓到。

3）Source：來源ip。

4）Destination: 目的ip。

5）Protocol：協議。

6）Length:數據包長度。

7）.info：數據包信息。

3、接下來我們點擊解析后的某一條數據可以查看數據包的詳細信息。

4、在抓包過程中，我們可以點擊圖標啟動或者停止。來啟動或者停止抓取數據包。

5、接下來我們將簡單介紹Filter處，對來源Ip以及目的Ip的過濾表達式的寫法。首先我們在Filter處填寫ip.addr eq 192.168.2.101。表示獲取來源ip以及目的ip都是192.168.2.101的數據包。（此處解釋 eq 換成==同樣的效果）

6、在Filter處填寫：ip.src == 192.168.2.101。表示獲取來源地址為192.168.2.101的數據包

7、在Filter處填寫:ip.dst == 119.167.140.103。表示獲取目的地址為119.167.140.103的數據包

8、在Filter處填寫:ip.dst == 119.167.140.103 or ip.dst == 192.168.2.45。表示獲取目的地址為119.167.140.103或者192.168.2.45的數據包。（此方法舉例主要說明or的用法。在or前后可以跟不同的表達式。）

9、在Filter處填寫:ip.dst == 119.167.140.103 and ip.src == 192.168.2.101。表示獲取目的地址為119.167.140.103且來源地址為192.168.2.101的數據包。（此方法舉例主要說明and 的用法）

數據包分析

二、使用wireshark抓包工具抓包后進行分析

1、物理層的數據情況

• 該例Frame 1：--? 1號幀，接口0上傳輸66個字節，實際捕獲66字節
• interface id：0? #接口id 0 ；用來標識特定節點的接口。接口 ID 必須在子網內唯一??
• 接口標識符(Interface ID) ? ?這是三級地址，占64位，指明主機或路由器單個的網絡接口。實際上這就相當于分類的IPv4地址中的主機號字段。? ?
• Encapsulation type: Ethernet (1)? #封裝類型采用Ethernet (1)；
• Arrival Time #捕獲日期和時間；?
• [Time shift for this packet: 0.000000000 seconds]? #此數據包的偏移時間
• Epoch Time: 3140.331000000 seconds? #周期時長
• [Time delta from previous captured frame: 0.025257000 seconds]? #此包與前一包的捕獲時間間隔；
• [Time delta from previous displayed frame: 0.000000000 seconds] #此包與前一個包的顯示時間間隔；
• [Time since reference or first frame: 0.537138000 seconds]? #此包與前一幀的時間間隔；?
• Frame Number: 1 #?幀序號為1；
• Frame Length #幀長；?
• Capture Length #捕獲幀長；?
• [Frame is marked: False]? #此幀是否做了標記：否；
• [Frame is ignored: False]? #此幀是否被忽略：否；?
• [Protocols in frame: eth:ethertype:ip:udp:rip]? #幀內封裝的協議層次結構；?
• [Coloring Rule Name: TTL low or unexpected]? #著色標記的協議名稱 ；
• [Coloring Rule String: --]? #著色規則顯示的字符串

2、數據鏈路層以太網頭部信息

• Destination? 目的MAC地址：? ? ff::ff
• Source? 源MAC地址：? ? ?54:89:98:be:27:ca? ? ? ? ? ? ?? ? ? ? ?
• Type? 使用協議：0X0800? ?IPV4協議

3、網絡層IP包信息

• Version: 4? ?#高四位展示版本? ?使用互聯網協議IPv4
• Header Length： #低四位展示IP包頭部長度，長度為20字節；指數據報協議頭長度，表示協議頭具有32位字長的數量。指向數據起點。正確協議頭最小值為5。
• Differentiated Services Field: 0xc0 (DSCP: CS6, ECN: Not-ECT) ： #差分服務字段
• Total Length：52? #IP包的總長度為52字節；指定整個 IP 數據包的字節長度，包括數據和協議頭。其最大值為65,535字節
• Identification：0x0024(36)? #標志字段；包含一個整數，用于識別當前數據報。該字段由發送端分配幫助接收端集中數據報分片。
• Flags: 0x00? #標記字段；由3位字段構成，其中最低位（MF）控制分片，存在下一個分片置為1，否則置0代表結束分片。中間位（DF）指出數據包是否可進行分片。第三位即最高位保留不使用，但是必須為0
• Fragment offset: 0 （0x0000） #分的偏移量為0；13位字段，指出與源數據報的起始端相關的分片數據位置，支持目標IP適當重建源數據報
• Time-to-Live：1 （0x01） #生存周期，是一種計數器，在丟棄數據報的每個點值依次減1直至減少為0。這樣確保數據包無止境的環路過程（即TTL）
• ?Protocol: UDP (17)? #此包內封裝的上層協議為UDP；指出在 IP 處理過程完成之后，有哪種上層協議接收導入數據包
• Header checksum: 0xa9d0 [validation disabled] #頭部數據檢驗和；?幫助確保 IP 協議頭的完整性。由于某些協議頭字段的改變，如生存期（Time to Live），這就需要對每個點重新計算和檢驗。Internet 協議頭需要進行處理
• Source: 15.0.0.6? #源主機IP地址
• Destination: 255.255.255.255? ?#目標主機IP地址
• Source GeoIP? #源IP的地理信息
• [Destination GeoIP: Unknown]?? #目標IP的地理信息

4、傳輸層的數據概況 (該例中傳輸層使用了UDP包)

• Source Port: 520? #源端口為520
• Destination Port: 520? #目的端口為520
• Length: 32? #UDP報文長度
• Checksum: 0x29ec [unverified]? ?#UDP報文校驗和

5、會話層數據概況 （該文使用RIP協議：Routing Information Protocol）

• Command: Response (2)? #命令：1為RIP請求信息；2為RIP響應信息
• Version: RIPv1 (1)? #版本：使用RIPv1版本
• Address Family: IP (2)? #協議簇，該字段長度為4字節。對于TCP/IP協議簇，該字段的取值為2
• IP Address: 192.168.0.0? #路由項的目的網絡地址
• Metric: 1? #跳數

總結

以上是生活随笔為你收集整理的计算机网络【wireshark抓包分析】的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。