数据的获取与分析利用————WireShark抓取数据后(TCP、数据链路层、IP层)UDP层分析

WinShark抓取数据后(TCP、数据链路层、IP层)UDP层分析

1、安装WireShark

2、访问网站主页,并使用工具获取数据包。

wireshark如何只看UDP通讯 用wireshark分析udp_参考

图1. 图中256 及·260为:TCP第一次握手的PDU和HTTP协议向网站请求时的PDU

访问网站放时产生的HTTP协议数据报;

wireshark如何只看UDP通讯 用wireshark分析udp_文档_02


找到上述HTTP访问过程中的TCP连接过程(三次握手)

wireshark如何只看UDP通讯 用wireshark分析udp_TCP_03


图2 第一次握手时的数据包(图中256-259处可以看到“三次握手”过程)

客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接

wireshark如何只看UDP通讯 用wireshark分析udp_TCP_04


图3 第二次握手时的数据包

服务器发回确认包, 标志位为 SYN,ACK. 将确认序号设置为客户的I S N加1以.即1

wireshark如何只看UDP通讯 用wireshark分析udp_数据_05


图4 第三次握手时的数据包

客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1,

关闭连接 (四次挥手)

wireshark如何只看UDP通讯 用wireshark分析udp_参考_06


图5 四次挥手TCP UDP分析

wireshark如何只看UDP通讯 用wireshark分析udp_文档_07

图6 TCP报文描述

Transmission Control Protocol, Src Port: 80, Dst Port: 56130, Seq: 1, Ack: 524, Len: 0 Source Port: 80 Destination Port: 56130
 [Stream index: 40]
 数据序号:40[TCP Segment Len: 0]
 #TCP段长度Sequence number: 1 (relative sequence number)
 Sequence number (raw): 3344445676
 #报文段中的的第一个数据字节在数据流中的序号;[Next sequence number: 1 (relative sequence number)]
 #下一个数据字节序号Acknowledgment number: 524 (relative ack number)
 Acknowledgment number (raw): 1987028714
 #确认序列号包含发送确认的一端所期望收到的下一个序号0101 … = Header Length: 20 bytes (5)
 #头部长度:4位,20字节Flags: 0x010 (ACK)
 #ACK-确认序号有效Window size value: 123
 #TCP窗口尺寸[Calculated window size: 15744]
 [Window size scaling factor: 128]
 #校验和:源机器基于数据内容计算一个数值,收信息机要与源机器数值 结果完全一样,从而证明数据的有效性Checksum: 0x483b [unverified]
 [Checksum Status: Unverified]
 #检验和

数据链路层UDP

wireshark如何只看UDP通讯 用wireshark分析udp_文档_08


Frame 601: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interface \Device\NPF_{CFDEE561-1FC4-4504-81E7-D68B7D8698B6}, id 0
 #601号帧,线路432字节,实际捕获432字节 接口id
Interface id: 0 (\Device\NPF_{CFDEE561-1FC4-4504-81E7-D68B7D8698B6})
 #接口id
 Interface name: \Device\NPF_{CFDEE561-1FC4-4504-81E7-D68B7D8698B6}
 Interface description: WLAN
 #接口名 、接口描述
 Encapsulation type: Ethernet (1)
 #封装类型
 Arrival Time: Nov 29, 2019 11:15:52.603491000中国标准时间
 #捕获日期和时间[Time shift for this packet: 0.000000000 seconds]
 Epoch Time: 1574997352.603491000 seconds
 [Time delta from previous captured frame: 0.025257000 seconds]
 [Time delta from previous displayed frame: 0.032047000 seconds]
 #此包与前一包的时间间隔[Time since reference or first frame: 7.447963000 seconds]
 #此包与第一帧的时间间隔Frame Number: 601 #帧序号
Frame Length: 54 bytes (432 bits) #帧长度
Capture Length: 554 bytes (432 bits) #捕获长度
[Frame is marked: False] #此帧是否做了标记:否
[Frame is ignored: False] #此帧是否被忽略:否
[Protocols in frame: eth:ehertype:ip:tcp] #帧内封装的协议层次结构
[Coloring Rule Name: HTTP] #着色标记的协议名称
[Coloring Rule String: http || tcp.port == 80|| http2] #着色规则显示的字符串

IP层UDP

wireshark如何只看UDP通讯 用wireshark分析udp_wireshark如何只看UDP通讯_09

Internet Protocol Version 4, Src: 111.7.68.182, Dst: 192.168.1.135
 #IPV4 源地址IP 目标地址IP
 0100 … = Version: 4
 #IPV版本
 … 0101 = Header Length: 20 bytes (5)
 #IP数据报 头部长度20字节=5*4
 Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
 。 # DS:区分服务 代码点
 Total Length: 40
 #总长度 40
 Identification: 0x1515 (5397)
 #标识 16位
 Flags: 0x4000, Don’t fragment
 …0 0000 0000 0000 = Fragment offset: 0
 Time to live: 50
 #生存期TTL
 Protocol: TCP (6)
 #协议
 Header checksum: 0xbdce [validation disabled]
 [Header checksum status: Unverified]
 #头部校验和
 Source: 111.7.68.182
 Destination: 192.168.1.135
 .# 源地址 目标地址