一個完整的三次握手就是：請求（SYN） — 應(yīng)答（SYN+ACK） — 再次確認(rèn)（SYN）。完成三次握手，客戶端與服務(wù)器開始傳送數(shù)據(jù)。

實(shí)驗(yàn)流程：

1、首先我們打開wireshark軟件的主界面，在主界面上選擇網(wǎng)卡，然后右鍵點(diǎn)擊start。wireshark即進(jìn)入抓包分析過程。在本篇我們選擇以太網(wǎng)，進(jìn)行抓包。

2、接下來再界面我們可以看到wireshark抓到的實(shí)時數(shù)據(jù)包。我們對數(shù)據(jù)包的各個字段進(jìn)行解釋。

1）No:代表數(shù)據(jù)包標(biāo)號。

2）Time：在軟件啟動的多長時間內(nèi)抓到。

3）Source：來源ip。

4）Destination: 目的ip。

5）Protocol：協(xié)議。

6）Length:數(shù)據(jù)包長度。

7）.info：數(shù)據(jù)包信息。

3、接下來我們點(diǎn)擊解析后的某一條數(shù)據(jù)可以查看數(shù)據(jù)包的詳細(xì)信息。

4、在抓包過程中，我們可以點(diǎn)擊圖標(biāo)啟動或者停止。來啟動或者停止抓取數(shù)據(jù)包。

5、接下來我們將簡單介紹Filter處，對來源Ip以及目的Ip的過濾表達(dá)式的寫法。首先我們在Filter處填寫ip.addr eq 192.168.2.101。表示獲取來源ip以及目的ip都是192.168.2.101的數(shù)據(jù)包。（此處解釋 eq 換成==同樣的效果）

6、在Filter處填寫：ip.src == 192.168.2.101。表示獲取來源地址為192.168.2.101的數(shù)據(jù)包

7、在Filter處填寫:ip.dst == 119.167.140.103。表示獲取目的地址為119.167.140.103的數(shù)據(jù)包

8、在Filter處填寫:ip.dst == 119.167.140.103 or ip.dst == 192.168.2.45。表示獲取目的地址為119.167.140.103或者192.168.2.45的數(shù)據(jù)包。（此方法舉例主要說明or的用法。在or前后可以跟不同的表達(dá)式。）

9、在Filter處填寫:ip.dst == 119.167.140.103 and ip.src == 192.168.2.101。表示獲取目的地址為119.167.140.103且來源地址為192.168.2.101的數(shù)據(jù)包。（此方法舉例主要說明and 的用法）

數(shù)據(jù)包分析

二、使用wireshark抓包工具抓包后進(jìn)行分析

1、物理層的數(shù)據(jù)情況

• 該例Frame 1：--? 1號幀，接口0上傳輸66個字節(jié)，實(shí)際捕獲66字節(jié)
• interface id：0? #接口id 0 ；用來標(biāo)識特定節(jié)點(diǎn)的接口。接口 ID 必須在子網(wǎng)內(nèi)唯一??
• 接口標(biāo)識符(Interface ID) ? ?這是三級地址，占64位，指明主機(jī)或路由器單個的網(wǎng)絡(luò)接口。實(shí)際上這就相當(dāng)于分類的IPv4地址中的主機(jī)號字段。? ?
• Encapsulation type: Ethernet (1)? #封裝類型采用Ethernet (1)；
• Arrival Time #捕獲日期和時間；?
• [Time shift for this packet: 0.000000000 seconds]? #此數(shù)據(jù)包的偏移時間
• Epoch Time: 3140.331000000 seconds? #周期時長
• [Time delta from previous captured frame: 0.025257000 seconds]? #此包與前一包的捕獲時間間隔；
• [Time delta from previous displayed frame: 0.000000000 seconds] #此包與前一個包的顯示時間間隔；
• [Time since reference or first frame: 0.537138000 seconds]? #此包與前一幀的時間間隔；?
• Frame Number: 1 #?幀序號為1；
• Frame Length #幀長；?
• Capture Length #捕獲幀長；?
• [Frame is marked: False]? #此幀是否做了標(biāo)記：否；
• [Frame is ignored: False]? #此幀是否被忽略：否；?
• [Protocols in frame: eth:ethertype:ip:udp:rip]? #幀內(nèi)封裝的協(xié)議層次結(jié)構(gòu)；?
• [Coloring Rule Name: TTL low or unexpected]? #著色標(biāo)記的協(xié)議名稱 ；
• [Coloring Rule String: --]? #著色規(guī)則顯示的字符串

2、數(shù)據(jù)鏈路層以太網(wǎng)頭部信息

• Destination? 目的MAC地址：? ? ff::ff
• Source? 源MAC地址：? ? ?54:89:98:be:27:ca? ? ? ? ? ? ?? ? ? ? ?
• Type? 使用協(xié)議：0X0800? ?IPV4協(xié)議

3、網(wǎng)絡(luò)層IP包信息

• Version: 4? ?#高四位展示版本? ?使用互聯(lián)網(wǎng)協(xié)議IPv4
• Header Length： #低四位展示IP包頭部長度，長度為20字節(jié)；指數(shù)據(jù)報協(xié)議頭長度，表示協(xié)議頭具有32位字長的數(shù)量。指向數(shù)據(jù)起點(diǎn)。正確協(xié)議頭最小值為5。
• Differentiated Services Field: 0xc0 (DSCP: CS6, ECN: Not-ECT) ： #差分服務(wù)字段
• Total Length：52? #IP包的總長度為52字節(jié)；指定整個 IP 數(shù)據(jù)包的字節(jié)長度，包括數(shù)據(jù)和協(xié)議頭。其最大值為65,535字節(jié)
• Identification：0x0024(36)? #標(biāo)志字段；包含一個整數(shù)，用于識別當(dāng)前數(shù)據(jù)報。該字段由發(fā)送端分配幫助接收端集中數(shù)據(jù)報分片。
• Flags: 0x00? #標(biāo)記字段；由3位字段構(gòu)成，其中最低位（MF）控制分片，存在下一個分片置為1，否則置0代表結(jié)束分片。中間位（DF）指出數(shù)據(jù)包是否可進(jìn)行分片。第三位即最高位保留不使用，但是必須為0
• Fragment offset: 0 （0x0000） #分的偏移量為0；13位字段，指出與源數(shù)據(jù)報的起始端相關(guān)的分片數(shù)據(jù)位置，支持目標(biāo)IP適當(dāng)重建源數(shù)據(jù)報
• Time-to-Live：1 （0x01） #生存周期，是一種計數(shù)器，在丟棄數(shù)據(jù)報的每個點(diǎn)值依次減1直至減少為0。這樣確保數(shù)據(jù)包無止境的環(huán)路過程（即TTL）
• ?Protocol: UDP (17)? #此包內(nèi)封裝的上層協(xié)議為UDP；指出在 IP 處理過程完成之后，有哪種上層協(xié)議接收導(dǎo)入數(shù)據(jù)包
• Header checksum: 0xa9d0 [validation disabled] #頭部數(shù)據(jù)檢驗(yàn)和；?幫助確保 IP 協(xié)議頭的完整性。由于某些協(xié)議頭字段的改變，如生存期（Time to Live），這就需要對每個點(diǎn)重新計算和檢驗(yàn)。Internet 協(xié)議頭需要進(jìn)行處理
• Source: 15.0.0.6? #源主機(jī)IP地址
• Destination: 255.255.255.255? ?#目標(biāo)主機(jī)IP地址
• Source GeoIP? #源IP的地理信息
• [Destination GeoIP: Unknown]?? #目標(biāo)IP的地理信息

4、傳輸層的數(shù)據(jù)概況 (該例中傳輸層使用了UDP包)

• Source Port: 520? #源端口為520
• Destination Port: 520? #目的端口為520
• Length: 32? #UDP報文長度
• Checksum: 0x29ec [unverified]? ?#UDP報文校驗(yàn)和

5、會話層數(shù)據(jù)概況 （該文使用RIP協(xié)議：Routing Information Protocol）

• Command: Response (2)? #命令：1為RIP請求信息；2為RIP響應(yīng)信息
• Version: RIPv1 (1)? #版本：使用RIPv1版本
• Address Family: IP (2)? #協(xié)議簇，該字段長度為4字節(jié)。對于TCP/IP協(xié)議簇，該字段的取值為2
• IP Address: 192.168.0.0? #路由項(xiàng)的目的網(wǎng)絡(luò)地址
• Metric: 1? #跳數(shù)

總結(jié)

以上是生活随笔為你收集整理的计算机网络【wireshark抓包分析】的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。