精华内容
下载资源
问答
  • wireshark抓包分析IP数据报

    千次阅读 2020-06-23 15:26:21
    本文将会展示IP数据报格式,并利用wireshark抓包,然后加以分析 话不多说,直接上图 wireshark抓包分析 版本:占4位,Version 4(IPv4),指IP协议的版本 首部:占4位,可表示最大十进制数是15(1111),...

    本文将会展示IP数据报格式,并利用wireshark抓包,然后加以分析

    话不多说,直接上图

    wireshark抓包分析

    版本:占4位,Version 4(IPv4),指IP协议的版本

    首部:占4位,可表示最大十进制数是15(1111),所以首部长度最大为60字节

    区分服务:占8位,只有在使用区分服务时,这个字段才起作用

    总长度:占16位,总长度指首部和数据之和的长度,单位为字节,数据报的最大长度为2^16-1=65535字节

    标识:占16位,IP软件在存储器中维持一个计数器,每产生一个数据报,计数器就加1,并将此值赋给标识字段

    标志:占3位,但只有2位有意义

        标志字段中的最低位记为MF(More Fragment)。MF=1即表示后面“还有分片”的数据报。MF=0表示这已是若干数据报片中的最后一个。

        标志字段中间的一位记为DF(Don’t Fragment),意思是“不能分片”。只有当DF=0时才允许分片。

    片偏移:占13位,片偏移指出:较长的分组在分片后,某片在原分组中的相对位置。也就是说,相对用户数据字段的起点,该片从何处开始。片偏移以8个字节为偏移单位。这就是说,除了最后一个分片,每个分片的长度一定是8字节(64位)的整数倍。

    生存时间:占8位,TTL(Time To Live)是数据报在网络中的寿命,目的是防止无法交付的数据报无限制地在因特网中兜圈子,因而白白消耗网络资源,路由器在转发数据报之前就把TTL值减1,若TTL值减少到零,就丢弃这个数据报,不再转发

    协议:占8位,协议字段指出此数据报携带的数据是使用何种协议,以便使目的主机的IP层知道应将数据部分上交给哪个处理过程

    首部校验和:占16位,这个字段只检验数据报的首部,但不包括数据部分

    源地址:占32位

    目的地址:占32位


     

    展开全文
  • Wireshark抓包——IP协议分析

    万次阅读 多人点赞 2019-06-09 23:12:10
    通过抓包和分析数据包来理解TCP/IP协议,进一步提高理论联系实践的能力。 二.实验内容 1.本次实验重点:利用Wireshark抓IP包及IP包的分析。 2.本次实验难点:分析抓到的IP包。 3.本次实验环境:Windows 7,...

    一. 实验目的

        通过本次实验,掌握使用Wireshark抓取TCP/IP协议数据包的技能,能够深入分析IP帧格式。通过抓包和分析数据包来理解TCP/IP协议,进一步提高理论联系实践的能力。

    二.实验内容

    1.本次实验重点:利用Wireshark抓IP包及IP包的分析。

    2.本次实验难点:分析抓到的IP包

    3.本次实验环境:Windows 7,Wireshark

    4.本次实验内容:

        介绍本次实验的内容,介绍本次实验要抓的包,IP协议是因特网上的中枢。它定义了独立的网络之间以什么样的方式协同工作从而形成一个全球户联网。因特网内的每台主机都有IP地址。数据被称作数据报的分组形式从一台主机发送到另一台。每个数据报标有源IP地址和目的IP地址,然后被发送到网络中。如果源主机和目的主机不在同一个网络中,那么一个被称为路由器的中间机器将接收被传送的数据报,并且将其发送到距离目的端最近的下一个路由器。

     

    三. 实验过程

    1. IP包抓取及分析过程如下:

    第一步,确定使用的协议,使用HTTP服务。选择http://www.sina.com.cn/作为目标地址。

    第二步,启动抓包:点击【start】开始抓包,在浏览器地址栏输入http://www.sina.com.cn。

    第三步,通过显示过滤器得到先关数据包:通过抓包获得大量的数据包,为了对数据包分析的方便,需要使用过滤器,添加本机IP地址和IP协议过滤条件。

    (1)打开命令提示符,通过ipconfig /all来查看本机IP地址。

     

    (2)在工具栏上的Filter对话框中填入过滤条件:ip.addr==192.168.100.132,过滤结果如下:

    结果发现效果不是很好,于是将过滤条件中的IP地址更换为http://www.sina.com.cn的IP地址,操作过程如下:

    (1)打开命令提示符,通过ping www.sina.com.cn来查看目标IP地址。

    (2)打开命在工具栏上的Filter对话框中填入过滤条件: ip.addr==59.175.132.126,过滤结果如下:

    双击点击一条tcp报文进入详细信息,那为什么不选Protocol类型为IP的协议呢?

    答案是没有,tcp报文正是基于ip协议的,tcp是传输层协议,而ip是它底下的网络层协议。

    第四步,分析IP数据包,根据图中的数据帧格式,分析IP包的各部分。

    • 版本(4bit)。ip报文中,版本占了4位,用来表示该协议采用的是那一个版本的ip,相同版本的ip才能进行通信。

    • 首部长度(4bit)。该字段表示整个ip包头的长度,其中数的单位是4字节。即二进制数0000-1111(十进制数0-15),其中一个最小长度为0字节,最大长度为60字节。一般来说此处的值为0101,表示头长度为20字节。

     

    • 区分服务(8bit)。该字段用来获得更好的服务,在旧标准中叫做服务类型,但实际上一直未被使用过。1998 年这个字段改名为区分服务。只有在使用区分服(DiffServ)时,这个字段才起作用。在一般的情况下都不使用这个字段。

    • 总长度(16bit)。该字段指首部和数据之和的长度,单位为字节,因此数据报的最大长度为 65535 字节。总长度必须不超过最大传送单元 MTU。

     

    • 标识(16bit)。标识(identification)占 16 位,它是一个计数器,用来产生数据报的标识。

    • 标志(3bit)。标志(flag)占 3 位,目前只有前两位有意义。标志字段的最低位是 MF (More Fragment)。MF=1 表示后面“还有分片”。MF=0 表示最后一个分片。标志字段中间的一位是 DF (Don't Fragment) 。只有当 DF=0 时才允许分片。

    • 片偏移(13 bit)。该字段指出较长的分组在分片后某片在原分组中的相对位置。片偏移以 8 个字节为偏移单位。

    • 生存时间(8 bit)。记为 TTL (Time To Live)数据报在网络中可通过的路由器数的最大值。

    • 协议(8 bit)。该字段指出此数据报携带的数据使用何种协议以便目的主机的 IP 层将数据部分上交给哪个处理过程。

    • 首部检验和(16 bit)。该字段只检验数据报的首部不检验数据部分。

    • 源地址/目的地址(32bit)。

    • 可选字段,一般一些特殊的要求会加在这个部分。

    • 数据。

     

    展开全文
  • Wireshark数据抓包分析 网络协议篇

    热门讨论 2014-09-28 14:11:15
    Wireshark数据抓包分析 网络协议篇
  • Wireshark抓包 TCP三次握手 ![在这里插入图片描述](https://img-blog.csdnimg.cn/59e3da1be12e42038bf1f6f82e4ca20a.png ManagementService进程使用58884端口,向ObjectService的8083端口发起TCP连接。 握手1:58884...

    Wireshark抓包

    TCP三次握手

    ![在这里插入图片描述](https://img-blog.csdnimg.cn/59e3da1be12e42038bf1f6f82e4ca20a.png

    ManagementService进程使用58884端口,向ObjectService的8083端口发起TCP连接。

    握手1:58884端口发起SYN,SEQ=0,SEQ是Sequence number代表发送端本地的序号。
    握手2:8043端口收到请求后,发现是建链的报文,自己本地产生自己的SEQ=0,作为对握手1 SEQ=0报文的应答,ACK=0(握手1报文的SEQ)+1=1。回复SYN,ACK报文。
    握手3:58884端口收到SYN,ACK后,通过收到握手2的报文,ACK=1,知道8043端口同意建链,自己也开心的回复一个ACK=0(握手2报文的SEQ)+1=1。作为同意建链的答复。

    至此三次握手完成了。

    HTTP请求

    HTTP请求如下。第20个报文。
    在这里插入图片描述

    HTTP相应如下,第187个报文:

    在这里插入图片描述

    从22-187都是文件传输接口的相应。那么为什么会有这么多报文?这就要说TCP分段。

    TCP分段

    一个大文件如何通过网络传输?
    能通过一个报文讲大文件传过去么? 不行的。
    TCP层有MSS。也就是如果用TCP协议发送大文件,超过TCP单报文的最大值,就会再TCP层被分段发送。

    备注:IP的MTU,这个主要是针对UDP等协议的。也就是用UDP发送大内容,如文件流,那么会被IP层分片发送。

    再回过头去看这个获取下载内容的HTTP报文。一个Request的HTTP请求。
    和一个Reponse的HTTP请求之间有很多交互的报文,这些报文都是要传输的内容经过TCP分段后,传输交互的内容。

    分段大小

    TCP分段大小,是IP层分片MTU-40得到的值就是TCP分段的MSS值。40=20(IP头)+20(TCP)头。
    MSS的值与客户端和服务器都有关系,最终使用协商最小值作为传输的MSS值。
    MSS值再TCP建立连接的3次握手阶段完成。分别是SYN,SYN ACK这两个阶段,如下图所示。双方的MSS都是65495。那么通信过程中协商的MSS值就是65495。
    在这里插入图片描述
    在这里插入图片描述

    TCP 窗口

    在这里插入图片描述

    看到抓包中有很多特殊的报文,如上。包括TCP WINDOW FULL和TCP ZeroWindow以及TCP Window update标记的报文。看下这些是怎么产生的以及是怎么工作的。
    TCP接收和发送有滑动窗口机制。重要的标识包括Win字段,就是说名窗口大小。

    如上图所示。60号报文代表,报文接收方给服务器说自己的win=65535。并且通过ACK可以看到,接收方要接收到报文下次要从98305byte的位置开始。
    这个时候服务器就继续发送61号报文,PSH,ACK类型,Req=98305。Len=32768。
    接着发送62号报文,PSH,ACK类型,Req=131073,Len=32768。
    可以看出来当前已经发出的报文长度是65536。已经等于最后一次收到ACK,也就是60号报文中最大的Win长度了。服务器就知道自己发送的报文已经到接收方的接收临界了。就不在发送了。所以报文类型是TCP Window Full。代表接收方的TCP Window已经满了。接下来要等接收方,发确认的ACK了。

    接收方发送的65号报文,ACK=163841,也就是62号报文的REQ+Len,代表已经收到61,62报文的数据了。并且自己此时的Window长度是0。通知服务器自己的Win是0了。没有能力收报文了。
    当然接收方收到报文后,通过滑动窗口处理报文,内核将内容读取到接收缓冲区,并供上层应用使用。

    处理了一会(当然时间很短),接收方有足够的Window长度了,就发送了72号报文。标记TCP Window Update。代表自己的Window长度更新了,告诉服务器可以继续发送了。

    服务器收到这个后,就继续发送了。。。。。。

    HTTP响应

    在这里插入图片描述

    经过一堆数据报文的传输,最终服务器发送完了所有文件数据。
    并且计算出来Data数据长度1048676byte。以及服务器相应的HTTP的Header信息。
    客户端拿到这些数据,根据HTTP协议,做对应处理。
    比如浏览器拿到这个HTTP Response报文后,看到Content-disposition里面写的是attachment,filename=abc。
    那就会弹出问询窗口,询问用户是打开,还是保存附件。

    展开全文
  • WireShark抓包数据分析

    千次阅读 多人点赞 2020-10-14 12:32:53
    在分析数据之前,我们先了解一下我们传输数据的结构体系,如下图: 这是两种体系,我们常知的一般都是TCP/IP体系结构。 TCP/IP体系架构分析 ...这是我自己抓包的一个例子,我从我自己的QQ发了一条消息给朋友,

    在分析数据之前,我们先了解一下我们传输数据的结构体系,如下图:

    这是两种体系,我们常知的一般都是TCP/IP体系结构。
    这是两种体系,我们常用的一般都是TCP/IP体系结构。

    TCP/IP体系架构分析

    在这里插入图片描述

    不难发现,TCP/IP体系中包含着很多我们熟悉的协议,比如说:http、smtp、https等。而我们人(使用者)是站在应用层之上的,我们想把数据上传或者说发送给别人,就要通过一些应用,如:QQ、微信、百度网盘等。然后就经过一层层加密(在数据包前加个“头”),一层层的传递。

    Frame层(物理层)分析

    这是我自己抓包的一个例子,我从我自己的QQ发了一条消息给朋友,然后截了一个数据包,现在我们来分析一下。
    在这里插入图片描述

    1.在这里我们可以看见的是我发信息到达对方QQ的时间(Arrival Time).
    2.与之前捕获的数据帧时间差0.016937秒(captured frame).
    3.与之前显示的帧时间差0.02171秒(displayed frame).
    4.帧的长度(Frame Length)和捕获到的长度(Capture Length)都是89字节.
    5.使用的色彩规则是UDP.

    Ethernet层(数据链路层)分析

    在这里插入图片描述

    这里我们就可以看见我和别人的Mac地址(物理地址),Destination是目标的,相对的Source就是我的啦,IPv4是我发的数据包类型。

    IPv4协议(互联网层)分析

    在这里插入图片描述

    1.头部数据长度(Header Length)为20字节.
    2.源IP地址(Source).
    3.目标IP地址(Destination).

    UDP/TCP协议(传输层)分析

    在这里插入图片描述

    因为我是发送的QQ信息,UDP传输较快(TCP传输数据比较完整),so我这里用的是UDP协议。
    1.源端口(我发送信息出去用的端口)为4011.
    2.目标端口(这里是发送到QQ,所以用QQ发信息都是这个)为8000.

    OICQ协议(应用层)分析

    在这里插入图片描述

    QQ发信息用的是oicq协议,所以这里不同的数据包,所用的协议不一样,比如说:DNS、HTTP等。
    这里我就不漏我的QQ号了。

    展开全文
  • Wireshark抓包数据分析

    2020-12-22 11:06:08
    Wireshark抓包数据分析 准备 请自行查找或使用如下参考资料,了解 Wireshark 的基本使用: 选择对哪块网卡进行数据包捕获 开始/停止捕获 了解 Wireshark 主要窗口区域 设置数据包的过滤 跟踪数据流 ???? 参考 1、...
  • https://blog.csdn.net/ctrigger/article/details/89365038 3、TCP数据包中的几个链接状态:SYN,FIN,ACK: https://blog.csdn.net/u012478275/article/details/99624506 4、wireshark搜索过滤ip地址: ...
  • Wireshark 计算机网络-Wireshark 实验Wireshark 实验一、数据链路层1.实作一熟悉 Ethernet 帧结构2.实作二 了解子网内/外通信时的 MAC 地址1.ping 你旁边的计算机(同一子网)2. ping qige.io (或者本子网外的主机...
  • wireshark抓包分析——TCP/IP协议

    万次阅读 多人点赞 2018-08-29 09:32:22
    在本文中以TCP/IP协议为例,简单介绍TCP/IP协议以及如何通过wireshark抓包分析。Wireshark 是最著名的网络通讯抓包分析工具。功能十分强大,可以截取各种网络封包,显示网络封包的详细信息。Wireshark下载安装,略。...
  • wireshark怎么抓包、wireshark抓包详细图文教程 wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂...
  • 怎么用Wireshark抓包QQ的到对方的IP地址

    千次阅读 多人点赞 2021-04-13 23:12:04
    怎么用Wireshark抓包QQ的到对方的IP地址 通过wireshark抓包工具得到对方的IP 一、wireshark Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的...
  • wireshark抓包使用教程

    2021-08-04 10:46:57
    2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。 3、Wireshark过滤器使用。通过过滤器可以筛选出想要分析的内容。包括按照协议过滤、端口和主机名过滤、数据包内容过滤。 ...
  • 使用网络协议分析仪 Wireshark 二、实验目的 1、掌握安装和配置网络协议分析仪Wireshark的方法; 2、 熟悉使用Wireshark工具分析网络协议的基本方法,加深对协议格式、协议层次和协议交互过程的理解。 三、实验内容...
  • wireshark抓包带你详解下IP报文头

    千次阅读 2020-05-26 23:21:29
    我们前面介绍了主机在传输数据之前要进行封装,在网络层封装的就是是IP报文头,下面我们就一起看看IP报文头究竟包含哪些信息,这些信息又有什么作用呢? 1 IP报文格式 如下图所示即为IP报文头 ...
  • Wireshark安装 1、去官网下载相应的安装包 地址如下:https://www.wireshark.org/ 2、安装步骤,一路next,需要同意的地方点同意 ...2、选择完毕后就进入抓包页面,如下: 这个时候捕获的经过该网卡的所有数...
  • ICMP 使用wireshark抓包

    2021-09-21 22:09:45
    目录ICMP使用Wireshark抓包。 ICMP IP协议的助手 —— ICMP 协议 ICMP 全称是 Internet Control Message Protocol,也就是互联网控制报文协议。 关键词 —— 控制 网络包在复杂的网络传输环境里,常常会遇到各种...
  • 一. WireShark 抓包及常用协议分析

    千次阅读 多人点赞 2019-10-28 10:22:30
    WireShark 抓包及常用协议分析简介WireShark 简介和抓包原理及过程实战:WireShark 抓包及快速定位数据包技巧实战:使用 WireShark 对常用协议抓包并分析原理实战:WireShark 抓包解决服务器被黑上不了网总结: ...
  • wireshark抓包原理

    2021-08-04 17:08:37
    本机环境:直接抓包本机网卡进出流量 集线器环境:流量防洪,同一突破 交换机环境: a.端口镜像,通过交换器的其他接口流量COPY一份; b.ARP欺骗(arp特性后到优先,错误绑定地址); c.MAC泛洪,在没有权限,不能...
  • 查看本机ip地址,为了方便等下在Wireshark中观察数据。打开CMD,输入命令ipconfig查看自己的IP地址 知道自己的ip地址后打开Wireshark。选择自己电脑上网的方式,我的是WIFI就选WLAN Ctrl+F设置数据筛选: 设置好之后...
  • Wireshark抓包来看UDP协议的分片 文件来自于前几天CyBRICS 2021中的lx100题目,因为做题时候被IP分片坑到了,发现自己对于网络这一块的知识掌握的并不好,所以写一篇文章来理一下。为了省事就直接用比赛的pcap文件...
  • wireshark抓包分析UDP

    千次阅读 2020-06-27 12:10:53
    二者互为补充,UDP是无连接的协议,它无需经过繁琐的握手就能建立连接并且发送已封装的IP数据包,它能做的事情很少。而面向连接的TCP协议几乎可以做所有事情。 特点: UDP最大的三个特点是无连接、不可靠、快速...
  • 目录 一、Wireshark抓包软件下载安装 二、控制台程序使用 UDP 通信 1)创建新项目 2)编写代码 3)编译结果 4)抓包分析数据 三、Form窗口程序使用 TCP 通信 1)创建新项目 2)设计图形界面 3)编写代码 4)编译...
  • https://www.cnblogs.com/zhangb8042/p/10299314.html ,选择搜索 “字符串”; 2,选择搜索 “分组详情”; 3,填写搜索数据 “020048″;
  • wireshark抓包和筛选

    2019-11-26 00:57:24
    一直使用charles抓包,新项目遇到flutter框架的App,发现抓包无效了,查看文档发现是因为flutter设置了请求不走系统代理,所以抓不到了,要App中修改代码才行,但是只能对修改后的测试包生效,线上包就不行了。...
  • 2.抓包成功 二、Wireshark常用过滤使用方法 1.过滤源ip、目的ip。 在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1....
  • Wireshark抓包详细分析

    千次阅读 多人点赞 2019-11-26 21:51:14
    wireshark抓包介绍 这里选了wifi网卡,开始抓包 上方的文本框可以输入一些规则,对抓到的包进行过滤。 过滤策略: 只看 TCP 协议的包,可以输入 tcp 然后回车; 如果想看使用 UDP 协议的某个端口,输入 udp.port...
  • 任务描述:使用Wireshark抓取IP数据包以及IP分片数据包 1.使用Wireshark抓取IP数据包 启动Wireshark,Filter选择IP协议。用户可以通过很多种方法,来捕获 IP协议,如访问一个网页,执行 ping 命令等。如果用户不是...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 17,457
精华内容 6,982
关键字:

wireshark抓包ip数据报