Wireshark数据抓包教程之认识捕获分析数据包 - 网络技巧 - 次元立方网 - 电脑知识与技术互动交流平台
Wireshark数据抓包教程之认识捕获分析数据包
Wireshark数据抓包教程之认识捕获分析数据包
认识Wireshark捕获数据包
当我们对Wireshark主窗口各部分作用了解了，学会捕获数据了，接下来就该去认识这些捕获的数据包了。Wireshark将从网络中捕获到的二进制数据按照不同的协议包结构规范，显示在Packet Details面板中。为了帮助用户能够清楚的分析数据，本节将介绍识别数据包的方法。
在Wireshark中关于数据包的叫法有三个术语，分别是帧、包、段。下面通过分析一个数据包，来介绍这三个术语。在Wireshark中捕获的一个数据包，如图1.45所示。每个帧中的内容展开后，与图1.48显示的信息类似。
图1.48 数据包详细信息
从该界面可以看出显示了五行信息，默认这些信息是没有被展开的。各行信息如下所示：
q Frame：物理层的数据帧概况。
q Ethernet II：数据链路层以太网帧头部信息。
q Internet Protocol Version 4：层IP包头部信息。
q Transmission Control Protocol：传输层的数据段头部信息，此处是TCP协议。
q Hypertext Transfer Protocol：应用层的信息，此处是HTTP协议。
下面分别介绍下在图1.48中，帧、包和段内展开的内容。如下所示：
（1）物理层的数据帧概况
Frame 5: 268 bytes on wire (2144 bits), 268 bytes captured (2144 bits) on interface 0 #5号帧，线路268字节，实际捕获268字节
Interface id: 0 #接口id
Encapsulation type: Ethernet (1) #封装类型
Arrival Time: Jun 11, :18. 中国标准时间 #捕获日期和时间
[Time shift for this packet: 0. seconds]
Epoch Time: . seconds
[Time delta from previous captured frame: 0. seconds] #此包与前一包的时间间隔
[Time since reference or first frame: 0. seconds] #此包与第一帧的时间间隔
Frame Number: 5 #帧序号
Frame Length: 268 bytes (2144 bits) #帧长度
Capture Length: 268 bytes (2144 bits) #捕获长度
[Frame is marked: False] #此帧是否做了标记：否
[Frame is ignored: False] #此帧是否被忽略：否
[Protocols in frame: eth:ip:tcp:http] #帧内封装的协议层次结构
[Number of per-protocol-data: 2] #
[Hypertext Transfer Protocol, key 0]
[Transmission Control Protocol, key 0]
[Coloring Rule Name: HTTP] #着色标记的协议名称
[Coloring Rule String: http || tcp.port == 80] #着色规则显示的字符串
（2）数据链路层以太网帧头部信息
Ethernet II, Src: Giga-Byt_c8:4c:89 (1c:6f:65:c8:4c:89), Dst: Tp-LinkT_f9:3c:c0 (6c:e8:73:f9:3c:c0)
Destination: Tp-LinkT_f9:3c:c0 (6c:e8:73:f9:3c:c0) #目标MAC地址
Source: Giga-Byt_c8:4c:89 (1c:6f:65:c8:4c:89) #源MAC地址
Type: IP (0x0800)
（3）层IP包头部信息
Internet Protocol Version 4, Src: 192.168.0.104 (192.168.0.104), Dst: 61.182.140.146 (61.182.140.146)
Version: 4 #互联网协议IPv4
Header length: 20 bytes #IP包头部长度
Differentiated Services Field: 0x00 (DSCP 0x00: D ECN: 0x00: Not-ECT (Not ECN-Capable Transport)) #差分服务字段
Total Length: 254 #IP包的总长度
Identification: 0x5bb5 (23477) #标志字段
Flags: 0x02 (Don't Fragment) #标记字段
Fragment offset: 0 #分的偏移量
Time to live: 64 #生存期TTL
Protocol: TCP (6) #此包内封装的上层协议为TCP
Header checksum: 0x52ec [validation disabled] #头部数据的校验和
Source: 192.168.0.104 (192.168.0.104) #源IP地址
Destination: 61.182.140.146 (61.182.140.146) #目标IP地址
（4）传输层TCP数据段头部信息
Transmission Control Protocol, Src Port: 5), Dst Port: http (80), Seq: 1, Ack: 1, Len: 214
Source port: 5) #源端口号
Destination port: http (80) #目标端口号
Sequence number: 1 (relative sequence number) #序列号（相对序列号）
[Next sequence number: 215 (relative sequence number)] #下一个序列号
Acknowledgment number: 1 (relative ack number) #确认序列号
Header length: 20 bytes #头部长度
Flags: 0x018 (PSH, ACK) #TCP标记字段
Window size value: 64800 #流量控制的窗口大小
Checksum: 0x677e [validation disabled] #TCP数据段的校验和
Wireshark分析数据包
在Wireshark中的数据包都可以称为是网络数据。每个网络都有许多不同的应用程序和不同的网络涉及。但是一些常见的包中，通常都会包括一些登录程序和网络浏览会话。本节以访问Web为例将介绍分析网络数据的方法。
通常在访问Web服务器过程中，会涉及到DNS、TCP、HTTP三种协议。由于此过程中来回发送的数据包较为复杂，所以下面将介绍分析Web浏览数据。
【实例1-3】分析访问Web浏览数据。具体操作步骤如下所示：
（1）捕获访问www..com网站的数据包，并保存该文件名为http-wireshar.pcapng。本例中捕获的文件如图1.49所示。
图1.49 http-wireshar.pcapng捕获文件
（2）接下来通过该捕获文件中的数据，分析访问Web的整个过程。在该捕获过程中，将包含DNS请求、响应、TCP三次握手等数据。如图1.50所示，在该界面显示了在访问网站之间DNS解析过程。
图1.50 DNS解析
（3）在该界面31帧，是DNS将www..com解析为一个IP地址的数据包（被称为一个&A&记录）。32帧表示返回一个与主机名相关的IP地址的DNS响应包。如果客户端支持IPv4和IPv6，在该界面将会看到查找一个IPv6地址（被称为&AAAA&记录）。此时，DNS服务器将响应一个IPv6地址或混杂的信息。
说明：31帧是客户端请求百度，通过DNS服务器解析IP地址的过程。标识为&A&记录。
32帧是DNS服务器回应客户端请求的过程。标识为response.
（4）如图1.51所示，在该界面看客户端和服务器之间TCP三次握手（33、34、35帧）和客户端请求的GET主页面（36帧）。然后服务器收到请求（37帧）并发送响应包（38帧）。
说明：33帧是客户端向服务器发送TCP请求建立连接。标识为SYN。
34帧是服务器得到请求后向客户端回应确认包的过程。标识为SYN，ACK。
35帧是客户端回应服务器发送确认包的过程，将于服务器建立连接。标识为ACK。
36帧是客户端向服务器发送HTTP请求内容的过程。标识为GET。
37帧是服务器相应客户端请求的过程，收到请求。标识为ACK。
38帧是服务器向客户端回应内容的过程。
图1.51 TCP三次握手
（5）当客户端从相同的服务器上再次请求访问另一个链接时，将会再次看到一个GET数据包（1909帧），如图1.52所示。
图1.52 请求另一个元素
此外，如果链接另一个Web站点时，客户端将再次对下一个站点进行DNS查询（156、157帧），TCP三次握手（158、159、160帧）。如图1.53所示。
图1.53 请求下一个站点
延伸阅读：
引导语：最近我很多做通信的朋友在一起聚会，谈论到以...
本教程为 李华明 编著的iOS-Cocos2d游戏开发系列教程：教程涵盖关于i......
专题主要学习DirectX的初级编程入门学习，对Directx11的入门及初学者有......
&面向对象的JavaScript&这一说法多少有些冗余，因为JavaScript 语言本......
Windows7系统专题 无论是升级操作系统、资料备份、加强资料的安全及管......网络抓包工具(WinPcap) 4.1.3 官方免费版
WinPcap是一个免费的抓包工具，可在WIN 32位系统上抓取和解析网络封包，包含了核心的封包过滤，一个底层动态链接库，和一个高层系统函数库，及可用来直接存取封包的应用程序界面
网络抓包工具(WinPcap) 4.1.3 官方免费版
高速下载器通道
其他下载地址
下载不了？网络游戏数据包的抓取与识别--《北京交通大学》2007年硕士论文
网络游戏数据包的抓取与识别
【摘要】：
目前网络游戏已经相当的普及,市场规模正在不断的扩大,然而目前对网络游戏的研究还比较少,尤其是在网络游戏的识别方面还是没有切实可行的办法,这主要是由于网络游戏的开发在传输层之上没有统一的标准,本文的目的主要就是解决网络游戏的识别问题,并对与此相关的抓包软件作相应的研究。本文首先对网络游戏的特性和其中使用的技术进行了研究,对其中基本的协议与技术进行了探讨,如对等用户协议,C/S结构,锁步协议,事件锁定协议等,之后我们对抓包软件的抓包机理进行了探讨,为了有助于深入理解,我们从抓包的操作系统最底层开始讲起,介绍了一个数据包被网卡接收后是如何经过过滤达到用于协议分析的应用软件的。在最后我们研究了网络游戏的端口特性和包长分布,我们花了好长的时间搜集网络游戏的端口号,抓取了各种网络游戏的数据包进行包长分布的研究,所有这些研究成为我们能够提出识别网络游戏的方法的关键。
【关键词】：
【学位授予单位】：北京交通大学【学位级别】：硕士【学位授予年份】：2007【分类号】：TP393.09;TP311.10【目录】：
中文摘要3-4
ABSTRACT4-6
1. 引言6-7
2. 网络游戏的协议7-13
2.1 网络游戏所依托的网络传输协议7-8
2.2 网络游戏中常用的应用层协议8-13
3. 数据包采集工具的原理与特点13-31
3.1 数据包捕获技术简介13-16
3.2 数据包过滤机制16-31
4. 大型网络游戏的特性及其数据包的识别31-53
4.1 网络游戏数据包识别的困难性31
4.2 识别网络游戏初步想法31-32
4.3 网络游戏的端口特征32-39
4.4 网络游戏的包长特征39-53
5. 如何在大量的数据中识别某款网络游戏53-58
6. 结论58-59
参考文献59-61
欢迎：、、)
支持CAJ、PDF文件格式
【相似文献】
中国期刊全文数据库
张巧娜;[J];中国电子与网络出版;2003年12期
;[J];电脑校园;2003年09期
[J];网络科技时代;2003年01期
;[J];数码世界;2004年Z1期
冰蓝;[J];电脑校园;2005年09期
;[J];中国数字电视;2006年06期
LITTLEWIND;;[J];数码先锋;2006年04期
阿猫;;[J];互联网天地;2008年07期
温波能;;[J];程序员;2001年12期
;[J];电子商务;2002年05期
中国重要会议论文全文数据库
孙盈昊;程乐华;;[A];中国社会心理学会2008年全国学术大会论文摘要集[C];2008年
俞卫锋;;[A];信息网络与高新技术法律前沿（2005）——电子法与电子商务时代的传统知识保护研讨会论文集[C];2005年
陈建文;黄顺;龚茜;;[A];中国心理卫生协会青少年心理卫生专业委员会第九届全国学术年会论文集[C];2005年
刘红斌;赵学英;赵青英;;[A];全国计算机安全学术交流会论文集（第二十四卷）[C];2009年
金鑫鑫;;[A];中国犯罪学研究会第十四届学术研讨会论文集（上册）[C];2005年
陈丽文;程乐华;;[A];第十二届全国心理学学术大会论文摘要集[C];2009年
姚挺;;[A];教育技术：信息化阶段新发展的研究[C];2007年
曹树金;卢泰宏;;[A];中国市场学会2006年年会暨第四次全国会员代表大会论文集[C];2006年
孙盈昊;程乐华;;[A];第十二届全国心理学学术大会论文摘要集[C];2009年
寿步步;;[A];中国知识产权发展战略论坛论文集[C];2005年
中国重要报纸全文数据库
北京师范大学全国中小学计算机教育研究中心 黄小玉;[N];中国教育报;2005年
大学生记者
团丁雷;[N];大连日报;2005年
汪小意;[N];第一财经日报;2005年
;[N];民营经济报;2005年
廖文根;[N];人民日报;2004年
陈炳欣/北京;[N];电子资讯时报;2006年
黄薇;[N];通信信息报;2009年
本报记者陶映荃;[N];工人日报;2003年
刘宜;[N];华夏时报;2003年
刘宜;[N];华夏时报;2003年
中国博士学位论文全文数据库
戴珅懿;[D];浙江大学;2012年
王萌;[D];南京航空航天大学;2009年
奚声慧;[D];上海社会科学院;2007年
姚涛;[D];浙江大学;2006年
林旭霞;[D];福建师范大学;2007年
余俊生;[D];中国政法大学;2008年
李绍龙;[D];北京交通大学;2009年
李仪凡;[D];复旦大学;2009年
李晓东;[D];天津医科大学;2010年
苏晓芳;[D];华中师范大学;2007年
中国硕士学位论文全文数据库
祝鹏程;[D];北京大学;2005年
梁栩;[D];西南交通大学;2004年
朱壮文;[D];北京印刷学院;2005年
田莹颖;[D];南京大学;2011年
姚剑;[D];武汉大学;2004年
范爱平;[D];浙江大学;2005年
王铮;[D];大连理工大学;2005年
齐轶丹;[D];福建师范大学;2004年
杨兆春;[D];北京交通大学;2007年
王怡文;[D];电子科技大学;2010年
&快捷付款方式
&订购知网充值卡
400-819-9993
《中国学术期刊（光盘版）》电子杂志社有限公司
同方知网数字出版技术股份有限公司
地址：北京清华大学 84-48信箱 大众知识服务
出版物经营许可证 新出发京批字第直0595号
订购热线：400-819-82499
服务热线：010--
在线咨询：
传真：010-
京公网安备75号HttpWatch Basic(网络抓包数据分析工具)v10.0.0.54最新破解版_httpwatch破解版下载_ucbug游戏网
软件类型：
软件语言：简体中文
软件大小：20.62 MB
软件类型：国产软件
评价等级：★★★☆☆
更新时间： 11:42:00
授权方式：破解版,无时间限制
插件情况：无插件请放心使用
应用平台：WinXp,Vista,Win7,Win8
httpwatch 9.1是最新版本的httpwatch，内附授权文件httpwatch.lic。是一款功能非常强大的网页数据分析软件，安装后会算成在IE浏览器中，使用时选择要分析的网站，软件会自动对网站与IE浏览器之间的数据通讯情况进行分析，并在同一个页面显示详细的记录，包括每个HTTP记录，以及分析的COOKIES、字符查询及消息头等，支持输出为CSV/XML等格式分析报告。
软件下载地址
HttpWatch Basic(网络抓包数据分析工具)v10.0.0.54最新破解版