wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。
为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。
wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，总结，如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark.
随便打开一个包
Frame：物理层的数据帧概况。
Ethernet II：数据链路层以太网帧头部信息。
Internet Protocol Version 4：互联网层IP包头部信息。
Transmission Control Protocol：传输层的数据段头部信息，此处是TCP协议。
User Datagram Protocol：UDP协议
Hypertext Transfer Protocol：应用层的信息，此处是HTTP协议
各层分析
一、物理层Frame
1    -Frame 5: 66 bytes on wire (528 bits), 66 bytes captured(捕获) (528 bits) on interface 0   //5号帧，对方发送66字节，实际收到66字节
2
3-Interface id: 0 (\Device\NPF_{37239901-4A63-419C-9693-97957A8232CD})     //接口id为0
4
5-Encapsulation type: Ethernet (1)  //封装类型
6
7-Arrival Time: Jul  5, 2017 15:14:31.865685000 //捕获日期和时间(中国标准时间)
8
9-[Time shift for this packet: 0.000000000 seconds]
10-Epoch Time: 1499238871.865685000 seconds
11-[Time delta from previous captured frame: 0.006861000 seconds]  //与前一包时间间隔
12-[Time delta from previous displayed frame: 0.006861000 seconds]
13-[Time since reference or first frame: 0.613985000 seconds] //#此包与第一帧的时间间隔
14
15-Frame Number: 5                      //帧序号
16-Frame Length: 66 bytes (528 bits)    //帧长度
17-Capture Length: 66 bytes (528 bits)  //捕获字节长度
18-[Frame is marked: False]             //是否做了标记
19-[Frame is ignored: False]            //是否被忽略
20-[Protocols in frame: eth:ethertype:ip:tcp] //帧内封装的协议层次结构
21-[Coloring Rule Name: HTTP]  //着色标记的协议名称
22-[Coloring Rule String: http || tcp.port == 80 || http2] //着色规则显示的字符串
二、数据链路层以太网帧头部信息
1   -Ethernet II, Src: Tp-LinkT_f5:3e:62 (c0:61:18:f5:3e:62), Dst: IntelCor_09:65:a5 (58:fb:84:09:65:a5)
2
3-Destination: IntelCor_09:65:a5 (58:fb:84:09:65:a5) //目的MAC地址
4-Source: Tp-LinkT_f5:3e:62 (c0:61:18:f5:3e:62) //源MAC地址(就是我电脑的MAC地址)
5-Type: IPv4 (0x0800)   //0x0800表示使用IP协议
三、互联网层IP包头部信息
1     Internet Protocol Version 4, Src: 192.168.2.112, Dst: 116.211.185.142
2           0100 .... = Version: 4                   //IPV4协议
3            .... 0101 = Header Length: 20 bytes (5)  //包头长度
4
5-Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)                               //差分服务字段
6-Total Length: 52                      //IP包总长度
7-Identification: 0x3849 (14409)        //标识字段
8-Flags: 0x02 (Don't Fragment)          //标记字段
9-Fragment offset: 0                    //分段偏移量
10-Time to live: 128                     //生存期TTL
11 -Protocol: TCP (6)                     //此包内封装的上层协议为TCP
12-Header checksum: 0xd100 [validation disabled] //头部数据的校验和
13-[Header checksum status: Unverified] //头部数据校验状态
14-Source: 192.168.2.112                //源IP地址
15-Destination: 116.211.185.142         //目的IP地址
16-[Destination GeoIP: Unknown]
17-[Destination GeoIP: Unknown]
四、传输层TCP数据段头部信息
1Transmission Control Protocol, Src Port: 60606, Dst Port: 80, Seq: 0, Len: 0
2
3-Source Port: 60606       //源端口号(ecbe)
4-Destination Port: 80     //目的端口号(0050)
5-[Stream index: 0]
6-[TCP Segment Len: 0]
7-Sequence number: 0    (relative sequence number)  //序列号(相对序列号)(四个字节fd 3e dd a2)
8-Acknowledgment number: 0   //确认号(四个字节00 00 00 00)
9-Header Length: 32 bytes    //头部长度(0x80)
10-Flags: 0x002 (SYN)         //TCP标记字段
11-Window size value: 8192    //流量控制的窗口大小(20 00)
12-[Calculated window size: 8192]
13-Checksum: 0x97ad [unverified]   //数据段的校验和(97 ad)
14-[Checksum Status: Unverified]
15-Urgent pointer: 0      //紧急指针(00 00)
16-Options: (12 bytes), Maximum segment size, No-Operation (NOP), Window scale, No-Operation (NOP), No-Operation (NOP), SACK permitted  //选项(可变长度
五、UDP数据段首部
1User Datagram Protocol, Src Port: 7273, Dst Port: 15030
2-Source Port: 7273               //源端口(1c 69)
3-Destination Port: 15030         //目的端口(3a 6b)
4  -Length: 1410                    //长度(05 82)
5-Checksum: 0xd729 [unverified]   //校验和(d7 29)
6 -[Checksum Status: Unverified]
7  -[Stream index: 6335]
-Length: 1410                    //长度(05 82)

                    
本节书摘来自异步社区《精通Wireshark》一书中的第1章1.4节通过Wireshark进行数据包分析，作者【印度】Charit Mishra（夏里特 米什拉）,更多章节内容可以访问云栖社区“异步社区”公众号查看。
1.4　通过Wireshark进行数据包分析
数据包分析（也称为数据包嗅探或协议分析）的作用是抓取在网络（以太网或WiFi）传输中的数据包，并且对其中的信息进行解答的过程，其目的在于了解网络中正在发生的情况。数据包分析需要借助像Wireshark这样的协议分析软件来实现，这些软件可以在互联网上进行下载。其中有些软件是免费的，也有一些软件需要付费才能用于商业目的。在本书中，我们会使用Wireshark来进行网络分析。Wireshark是一款开源软件，同时也是互联网上最优秀的免费网络分析软件。
在当今网络环境中，各式各样的问题都有可能发生。因此，管理员需要时刻准备好一套最新的趁手工具，以便应对网络中有可能发生的一切情况。这些问题可能始自数据包级别，然后逐渐发展为大规模的网络中断。哪怕系统上运行的最好的协议和服务也有可能出现问题，并且给网络造成不良的影响。要想找出问题的根源，我们必须对数据包级别进行问题分析，才能对问题拥有更加深入的理解。如果读者的工作是网络运维，那就一定要对数据包进行观察。数据包分析可以在以下这些方面发挥重要的作用。
通过查看数据包和数据包中携带的具体信息，来对网络的故障进行分析，让网络尽在掌握。
检测出入侵网络的企图。无论是恶意用户企图进入网络，还是他们已经获得了访问某些网络资源的权限，都同样适用。
通过在安全设备上建立防火墙规则的方式，管理员可以检测内部用户或外部用户对于网络的不当操作。而Wireshark可以对这些规则进行监测。
隔离系统暴露出来的问题，让受到影响的系统不会被恶意用户利用，作为进一步访问网络的跳板。
当数据在网络中进行传输时，对数据进行监测，以便控制哪些类型的数据可以访问网络，哪些类型的数据不能访问网络。例如，读者可能希望在防火墙上创建一条规则，不允许用户访问Bit Torrent站点。阻塞用户访问这些站点的策略可以在路由器上实施，但通过Wireshark可以看到请求访问这些站点的用户来自何处。
根据管理员的需求精准地选出某一类数据包来收集和报告网络的统计信息。管理员可以创建出自己专用的抓包过滤规则，来帮助自己长期了解网络中的某些信息。
了解当前正在访问网络的用户，以及这些用户当前正在执行的操作。查看网络策略是否不允许这些用户执行某些操作，判断这些用户是否正在尝试突破安全策略的限制。网络管理员的这些日常工作都可以通过Wireshark轻松实现。
对客户端/服务器之间的通信进行调试，查看网络对等体之间相互发送的请求消息和响应消息，以便维护网络的完整性。
寻找网络中是否有某些不为人知但却正在蚕食网络带宽的应用。这些应用有可能会降低网络的安全性，或者将网络中的一些信息泄漏给公共网络。某些网络流量有可能会通过这些管理员没有注意到的应用，绕过网络的限制机制，悄然潜入到网络当中。
对网络协议的实施进行调试，分析因当前设备上存在的各类误配而导致的网络异常状况。
要想发现自己的网络有可能受到哪些恶意攻击的侵害，并对这些攻击进行分析、控制/监控，管理员要时刻留意网络中有可能出现的安全威胁。
在对数据包进行分析的时候，读者应该思考下面几点：应该对哪些协议进行分析？自己最擅长使用的软件是什么？哪款网络分析软件最能契合这个网络的需求？经验在这里发挥着重要的作用；只要开始使用Wireshark，读者就会逐渐对通过这种方式进行排错和数据包分析，涌现出新的想法。
数据包分析软件可以用来分析常见的网络层协议（如IP和ICMP）、传输层协议（如TCP和UDP）和应用层协议（如DNS和HTTP）。
由于Wireshark这款软件的GUI界面会提供海量的信息，因此这个界面对有些用户来说或许显得有些复杂，甚至会有用户将这一点视为这款软件的缺点之一。不过，有一些CUI/GUI工具可以解决这个问题。这些工具在使用上都很简单，因为它们的界面更加简洁，这类工具包括TShark、tcpdump、Fiddler等。
1.4.1　如何分析数据包
在抓取流量时，我们既可以抓取所有的原始流量，也可以只抓取数据包的头部，而忽略数据包的内容负载。抓取到的信息是将原数据经过解码后，以人类可以阅读的方式呈现出来的。这样用户就可以用一种更加直观的方式，来阅读网络中交互的数据了。
1.4.2　何为Wireshark
Wireshark是一款数据包嗅探软件。全世界的IT从业者都可以用这款软件来对网络进行分析。读者可以从下面的站点免费下载到Wireshark：https://www.wireshark.org/download.html。
很多平台上都可以安装Wireshark，其中包括Linux、Mac和（大多数版本的）Windows系统。Wireshark是一款开源软件，也就是说这款软件的代码和必需的库都可以在我们之前刚刚提到的那个站点中下载到。
使用数据包嗅探软件时，有一个关键因素需要考虑，那就是要将数据包嗅探软件部署在物理网络的什么位置，才能在最大程度上利用这个软件。人们在提到数据包嗅探软件的时候，常常说这是一种插入到线缆中的软件。
既然是插入到线缆中，那么使用这类软件就不能只是在系统中安装Wireshark；在使用数据包嗅探软件之前，管理员还有一些内容应该知道。比如，要把嗅探软件部署在企业基础设施的什么位置才算合理，管理员也要了解不同类型的网络设备，因为不同的网络设备（集线器、交换机、路由器和防火墙）在工作方式上也各不相同。管理员应该知道这些设备分别如何工作，不同类型的网络设备如何处理网络流量。把嗅探软件部署在合理的位置，可以对管理员的数据包分析体验产生深度的影响。如果选择的位置正确，可以显著影响数据包分析的结果。
在部署了数据包嗅探软件之后，管理员要确认这台设备的NIC（网络接口卡）可以支持杂合的工作方式。在启用了杂合的工作方式之后，这个网络接口卡就不仅可以学习到以这台设备作为最终目的地的数据包，而且可以学习那些穿越这台设备的数据包了。网络中的每台客户端都可以抓取并且分析网络中的广播流量。网络设备可以通过广播的方式发送很多类型的流量，支持杂合模式的接口都可以监听得到这些流量。
ARP协议的流量也是通过广播发送的。地址解析协议的作用是将MAC地址解析为IP地址，反之亦然。像交换机这样的设备会向所有设备发送ARP数据包，希望它请求的设备用自己的MAC地址作出响应。通过这种方式，交换机会渐渐地获得一个MAC地址列表，以及这些MAC地址对应的IP地址，这个表称为CAM表（全称为内容可寻址存储器表）。现在，只要主机希望通过局域网和其他设备进行通信，就会由交换机将所需的信息发送给发给方。所以，不同设备的IP地址、MAC地址等信息都可以通过抓取ARP流量进行查看和记录。
1.4.3　它的工作方式
Wireshark是通过libcap/Winpcap驱动实现抓包功能的，所以管理员可以将自己的NIC切换为杂合模式。只有在一种情况下，管理员才不希望在杂合模式下进行抓包，那就是数据包直接发送给这台设备的情况。在基于Windows的系统中，应该提升管理员权限来对数据包进行嗅探和分析。所有协议分析软件都会按照下面三大步骤进行操作，这三大部分是收集、转换和分析。下面我们分别对这三步进行介绍。
收集：在选择某个接口来监听流量的时候，这是第一步操作。在这个步骤中，用户可以获取到网络中的一些原始数据。在这一步中，管理员需要将自己的接口切换到杂合模式下，这样在捕获到了网络中的广播流量之后，这些信息才能在Wireshark软件的GUI界面中显示出来。
转换：这一步的目的是提升二进制数据的可读性。协议分析软件（如Wireshark）可以将网络数据包转换成更加简单的形式，让像我们这样的普通人更容易理解数据包中的内容，也让我们日复一日的工作变得更加轻松。
分析：在最后一步中，当我们完成网络数据包的收集和转换之后，就需要开始一步一步认真地对数据进行分析了。首先，应该查看协议的具体信息，以及这些协议具体的配置方式。接下来，应该查看主机和目的地址，以及这些设备之间共享的信息。如果还有其他需要分析的内容，则应该在获得用户许可之后，再对收集到的数据进行选择和查看。
如果读者希望理解抓取和分析数据的进程，那就真的需要非常精通网络协议，并且十分熟悉它们的工作方式，因为通过网络完成的通信就是由这些协议（如ARP、动态主机控制协议[DHCP]、域名服务[DNS]、传输控制协议[TCP]、互联网协议[IP]、HTTP等）进行控制的。
协议是指控制两台网络设备间的通信进程，以及管理底层操作环境的规则与规范。每个协议的复杂程度各不相同，这取决于各个协议实施的环境与方式。总地来说，所有协议的工作方式都大同小异，每个协议都会发送请求，然后等待对方进行确认，当设备接收到确认消息之后，通信就会建立起来。
在设备之间成功传输数据之后，连接就会适时地终止，而这次通信也就会被设备标记为是一次成功的通信，通信期间一个比特都没有丢失。数据在进行传输时，协议也需要负责维系通信的完整性。也就是说，如果发送方发送了信息abc，接收方在接收时也应该按照这个顺序接收到这个信息。如果信息在传输的过程中遭到了篡改，这也就表示传输信息的协议本身是不可靠的。分析所有这些任务是所有网络协议分析软件的基本功能。

        
        
                
    

    在看计算机网络的时候配合着wireshark来实际感受一下各层次的协议会有更直观的感受，下面的一些知识点是熟练运用wireshark所必备的，我也是边学习边使用边记录，会长期更新。


第一部分  基础介绍


   1、wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

   2、为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。
    3、主界面如下：
    
  

    主界面共分四个层次，下面对每一层进行讲解，尤其是封包详细信息：
    （1）显示过滤：稍后会对过滤规则进行详细介绍
    （2） 封包列表：封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。 可以看到不同的协议用了不同的颜色显示。
    （3） 封包详细信息，展开后的界面如下所示：
      


 第二部分  过滤规则
   

  1.过 滤IP，如来源IP或者目标IP等于某个IP


例子:

ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107

或者

ip.addr eq 192.168.1.107


2.过滤端 口


例子:

tcp.port eq 80 // 不管端口是来源的还是目标的都显示

tcp.port == 80

tcp.port eq 2722

tcp.port eq 80 or udp.port eq 80

tcp.dstport == 80 // 只显tcp协议的目标端口80

tcp.srcport == 80 // 只显tcp协议的来源端口80


udp.port eq 15000


过滤端口范围

tcp.port >= 1 and tcp.port <=80


3.过 滤协议


例子:

tcp

udp

arp

icmp

http

smtp

ftp

dns

msnms

ip

ssl

oicq

bootp

等 等


排除arp包，如!arp 
或者  not arp


4.过 滤MAC


太以网头过滤

eth.dst == A0:00:00:04:C5:84 //过滤目 标mac

eth.src eq A0:00:00:04:C5:84 //过 滤来源mac

eth.dst==A0:00:00:04:C5:84

eth.dst==A0-00-00-04-C5-84

eth.addr eq A0:00:00:04:C5:84 //过滤来 源MAC和目标MAC都等于A0:00:00:04:C5:84的


less than 小于 < lt

小于等于 le


等 于 eq


大于 gt

大于等于 ge


不等 ne



5.包长度过 滤


例子:

udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和

tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身

ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后

frame.len == 119 整个数据包长度,从eth开始到最后


eth ---> ip or arp ---> tcp or udp---> da
ta


6.http 模式过滤


例子:

http.request.method == "GET"

http.request.method == "POST"

http.request.uri == "/img/logo-edu.gif"

http contains "GET"

http contains "HTTP/1."


// GET包

http.request.method == "GET" &&http contains "Host: "

http.request.method == "GET" &&http contains "User-Agent: "

// POST包

http.request.method == "POST" &&http contains "Host: "

http.request.method == "POST" &&http contains "User-Agent: "

// 响应包

http contains "HTTP/1.1 200 OK" &&http contains "Content-Type: "

http contains "HTTP/1.0 200 OK" &&http contains "Content-Type: "

一 定包含如下

Content-Type:



7.TCP参数过 滤


tcp.flags 显示包含TCP标志的封包。

tcp.flags.syn == 0x02   显示包含TCP SYN标志的封包。

tcp.window_size == 0 &&tcp.flags.reset != 1


8.过滤内容



tcp[20] 表示从20开始，取1个字符

tcp[20:]表示从20开始，取1个字符以上

tcp[20:8]表示从20开始，取8个字符

tcp[offset,n]


udp[8:3]==81:60:03 // 偏移8个bytes,再取3个数，是否与==后面的数据相等？

udp[8:1]==32 如果我猜的没有错的话，应该是udp[offset:截取个数]=nValue

eth.addr[0:3]==00:06:5B


例 子:

判断upd下面那块数据包前三个是否等于0x20 0x21 0x22

我们都知道udp固定长度为8

udp[8:3]==20:21:22


判 断tcp那块数据包前三个是否等于0x20 0x21 0x22

tcp一般情况下，长度为20,但也有不是20的时候

tcp[8:3]==20:21:22

如 果想得到最准确的，应该先知道tcp长度


matches(匹配)和contains(包含某字符串)语法

ip.src==192.168.1.107 and udp[8:5] matches"\\x02\\x12\\x21\\x00\\x22"

ip.src==192.168.1.107 and udp contains 02:12:21:00:22

ip.src==192.168.1.107 and tcp contains "GET"

udp contains 7c:7c:7d:7d匹配payload中含有0x7c7c7d7d的UDP数据包，不一定是从第一字节匹配。


例子:

得到本地qq登陆数据包(判断条 件是第一个包==0x02,第四和第五个包等于0x00x22,最后一个包等于0x03)

0x02 xx xx 0x00 0x22 ... 0x03

正确

oicq and udp[8:] matches"^\\x02[\\x00-\\xff][\\x00-\\xff]\\x00\\x22[\\x00-\\xff]+\\x03$"

oicq and udp[8:] matches"^\\x02[\\x00-\\xff]{2}\\x00\\x22[\\x00-\\xff]+\\x03$" // 登陆包

oicq and (udp[8:] matches "^\\x02[\\x00-\\xff]{2}\\x03$" or tcp[8:]matches "^\\x02[\\x00-\\xff]{2}\\x03$")

oicq and (udp[8:] matches"^\\x02[\\x00-\\xff]{2}\\x00\\x22[\\x00-\\xff]+\\x03$" or tcp[20:]matches"^\\x02[\\x00-\\xff]{2}\\x00\\x22[\\x00-\\xff]+\\x03$")


不 单单是00:22才有QQ号码,其它的包也有,要满足下面条件(tcp也有，但没有做):

oicq and udp[8:] matches "^\\x02[\\x00-\\xff]+\\x03$" and!(udp[11:2]==00:00) and !(udp[11:2]==00:80)

oicq and udp[8:] matches "^\\x02[\\x00-\\xff]+\\x03$" and!(udp[11:2]==00:00) and !(udp[15:4]==00:00:00:00)

说明:

udp[15:4]==00:00:00:00 表示QQ号码为空

udp[11:2]==00:00 表示命令编号为00:00

udp[11:2]==00:80 表示命令编号为00:80

当命令编号为00:80时，QQ号码为 00:00:00:00


得到msn登陆成功账号(判断条件是"USR 7 OK",即前三个等于USR，再通过两个0x20，就到OK,OK后面是一个字符0x20,后面就是mail了)

USR xx OK mail@hotmail.com

正确

msnms and tcp and ip.addr==192.168.1.107 and tcp[20:] matches"^USR\\x20[\\x30-\\x39]+\\x20OK\\x20[\\x00-\\xff]+"

9.dns 模式过滤



10.DHCP


以 寻找伪造DHCP服务器为例，介绍Wireshark的用法。在显 示过滤器中加入过 滤规则，

显示所有非来自DHCP服务器并且bootp.type==0x02（Offer/Ack）的信息：

bootp.type==0x02 and not ip.src==192.168.1.1

11.msn


msnms && tcp[23:1] == 20 //第四个是0x20的msn数据包

msnms && tcp[20:1]>= 41 && tcp[20:1]<= 5A && tcp[21:1]>= 41 && tcp[21:1]<= 5A && tcp[22:1]>= 41 && tcp[22:1]<= 5A

msnms && tcp[20:3]=="USR" //找到命令编码是USR的数据包

msnms && tcp[20:3]=="MSG" //找到命令编码是MSG的数据包

tcp.port == 1863 || tcp.port == 80


如何判断数据包是含 有命令编码的MSN数据包?

1)端口为1863或者80,如:tcp.port == 1863 || tcp.port == 80

2) 数据这段前三个是大写字母,如:

tcp[20:1] >= 41 &&tcp[20:1] <= 5A &&tcp[21:1] >= 41 &&tcp[21:1] <= 5A &&tcp[22:1] >= 41 &&tcp[22:1] <= 5A

3)第四个为0x20,如:tcp[23:1] == 20

4)msn是属于TCP协议的,如 tcp




            

wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。 

为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。

wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，总结，如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark.



随便打开一个包 




Frame：物理层的数据帧概况。
Ethernet II：数据链路层以太网帧头部信息。
Internet Protocol Version 4：互联网层IP包头部信息。
Transmission Control Protocol：传输层的数据段头部信息，此处是TCP协议。 

                        User Datagram Protocol：UDP协议
Hypertext Transfer Protocol：应用层的信息，此处是HTTP协议


各层分析



一、物理层Frame

-Frame 5: 66 bytes on wire (528 bits), 66 bytes captured(捕获) (528 bits) on interface 0   //5号帧，对方发送66字节，实际收到66字节

-Interface id: 0 (\Device\NPF_{37239901-4A63-419C-9693-97957A8232CD})     //接口id为0 

-Encapsulation type: Ethernet (1)  //封装类型

-Arrival Time: Jul  5, 2017 15:14:31.865685000 //捕获日期和时间（中国标准时间）

-[Time shift for this packet: 0.000000000 seconds]
-Epoch Time: 1499238871.865685000 seconds
-[Time delta from previous captured frame: 0.006861000 seconds]  //与前一包时间间隔
-[Time delta from previous displayed frame: 0.006861000 seconds]
-[Time since reference or first frame: 0.613985000 seconds] //#此包与第一帧的时间间隔

-Frame Number: 5                      //帧序号
-Frame Length: 66 bytes (528 bits)    //帧长度
-Capture Length: 66 bytes (528 bits)  //捕获字节长度 
-[Frame is marked: False]             //是否做了标记
-[Frame is ignored: False]            //是否被忽略
-[Protocols in frame: eth:ethertype:ip:tcp] //帧内封装的协议层次结构
-[Coloring Rule Name: HTTP]  //着色标记的协议名称
-[Coloring Rule String: http || tcp.port == 80 || http2] //着色规则显示的字符串



二、数据链路层以太网帧头部信息

-Ethernet II, Src: Tp-LinkT_f5:3e:62 (c0:61:18:f5:3e:62), Dst: IntelCor_09:65:a5 (58:fb:84:09:65:a5)

- Destination: IntelCor_09:65:a5 (58:fb:84:09:65:a5) //目的MAC地址   
- Source: Tp-LinkT_f5:3e:62 (c0:61:18:f5:3e:62) //源MAC地址（就是我电脑的MAC地址）
- Type: IPv4 (0x0800)   //0x0800表示使用IP协议





三、互联网层IP包头部信息



Internet Protocol Version 4, Src: 192.168.2.112, Dst: 116.211.185.142
    0100 .... = Version: 4                   //IPV4协议
    .... 0101 = Header Length: 20 bytes (5)  //包头长度

-Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)                               //差分服务字段
-Total Length: 52                      //IP包总长度
-Identification: 0x3849 (14409)        //标识字段
-Flags: 0x02 (Don't Fragment)          //标记字段
-Fragment offset: 0                    //分段偏移量
-Time to live: 128                     //生存期TTL
-Protocol: TCP (6)                     //此包内封装的上层协议为TCP
-Header checksum: 0xd100 [validation disabled] //头部数据的校验和
-[Header checksum status: Unverified] //头部数据校验状态
-Source: 192.168.2.112                //源IP地址
-Destination: 116.211.185.142         //目的IP地址
-[Source GeoIP: Unknown]              //基于地理位置的IP
-[Destination GeoIP: Unknown]

四、传输层TCP数据段头部信息



Transmission Control Protocol, Src Port: 60606, Dst Port: 80, Seq: 0, Len: 0

-Source Port: 60606       //源端口号（ecbe）
-Destination Port: 80     //目的端口号（0050）
-[Stream index: 0]        
-[TCP Segment Len: 0]
-Sequence number: 0    (relative sequence number)  //序列号（相对序列号）（四个字节fd 3e dd a2）
-Acknowledgment number: 0   //确认号（四个字节00 00 00 00）
-Header Length: 32 bytes    //头部长度(0x80)
-Flags: 0x002 (SYN)         //TCP标记字段
-Window size value: 8192    //流量控制的窗口大小（20 00）
-[Calculated window size: 8192] 
-Checksum: 0x97ad [unverified]   //数据段的校验和(97 ad)
-[Checksum Status: Unverified]
-Urgent pointer: 0      //紧急指针(00 00)
-Options: (12 bytes), Maximum segment size, No-Operation (NOP), Window scale, No-Operation (NOP), No-Operation (NOP), SACK permitted  //选项（可变长度

五、UDP数据段首部



User Datagram Protocol, Src Port: 7273, Dst Port: 15030
-Source Port: 7273               //源端口（1c 69）
-Destination Port: 15030         //目的端口(3a 6b)
-Length: 1410                    //长度（05 82）
-Checksum: 0xd729 [unverified]   //校验和(d7 29)
-[Checksum Status: Unverified]
-[Stream index: 6335]

参考博客：https://my.oschina.net/u/1585857/blog/479306 

Wireshark的常见几种过滤方法