QQ数据包分析精品PPT课件

下面是我收集的别人分析的QQ文件和目录。

打开QQ文件夹，那么多的文件，都是做什么用的呢？让我们来解密QQ文件...... QQHangReport.lnk 错误汇报执行文件的快捷方式QQIEHelper.dll ie插件,可单独删除QQLiveUpdate.exe 在线升级执行文件,可单独删除QQlog 临时文件,可单独删除QQMail.exe 信箱执行文件,这个删除.相关的都可以删除QQMailCore.dll 信箱,不可单独删除QQMailHelper.dll 信箱,不可单独删除QQNetDisk.dll 网络硬盘面板,可单独删除,建议同时删除相关QQSceneMng.dll 情景聊天文件.删除了就没有情景聊天了QQShowMagic.dll 魔法秀.删除的同时建议删除魔法秀贴图目录QQUpdate.db 临时文件rm.swf 动画,可单独删除SBuddyApplication.dll 互动空间,这几个同时存在或者删除SBuddyBase.dll 互动空间,这几个同时存在或者删除SBuddyCall.exe 互动空间,这几个同时存在或者删除SBuddyFriend.dll 互动空间,这几个同时存在或者删除SendMMS.htm 用QQ彩信发送该图片,删除了也会写入注册表.标准垃圾SetupInfo.ini 安装qq时的临时配置文件ShareFiles.dll 共享文件,没什么用处.可单独删除sm.swf 动画,可单独删除TIMPlatform.exe 一键切换TM,临时对话.kip支持,4个文件同时存在或者删除TIMProxy.dll 一键切换TM,临时对话.kip支持,4个文件同时存在或者删除Timwp.dll 一键切换TM,临时对话.kip支持,4个文件同时存在或者删除Timwp.exe 一键切换TM,临时对话.kip支持,4个文件同时存在或者删除TMShell.exe TM执行文件,不用tm可将相关同时删除uninst.exe 卸载程序whatsnew.txt 版本历史,想看就留着AutoLogin.dat 自动登陆文件.可单独删除.以上文件部分可以单独删除.但一些功能只删除相关几个文件可能导致不使用不正常.一些文件由于你点击了相关功能.加载了或者被调用了dll动态链接库.删除的时候需要关闭explorer.exe进程.重新运行这个进程然后删除就可以了关于侧边栏交友中心.游戏面板图标不显示的原因:qq登陆的时候会从网络读取ico文件.读取成功则显示.同时面板可隐藏.读取失败则不显示.所有面板都不可隐藏.多登陆几次就可以了.网络读取成功以后会在qq目录AirDLIcon下产生ico文件和配置文件其他没有注明的部分目录会在第一次登陆qq时产生.产生的文件都可安全删除.比如QLoveFiles目录.log目录等[dat]里面的ad.gifdefault_av_chatroom.gifinfoad.gifvqqad.gif是广告贴图,可删除[dat]里面的rtx_enter.jpgrtx_friend.jpgRTXIndex.jpg是企业好友面板的贴图.可删除以安装原版qq以后目录下的文件为例进行分析.不分析视频音频.及其主要功能[] 为目录[chat] 聊天室[chattheme] 聊天室[mailimage] 信箱表情符号,可以单独删除[pimskins] 信箱面板贴图,删除了就只能看见字了.[qqshowmagic] 魔法秀图片,[qringfiles] 炫铃目录.不用可删除[scface] 互动空间,和面板一起删除[skinbmp] 面板贴图文件,删除则部分区域无视觉效果,比如登陆窗口下面的按钮视觉效果.自定义表情管理面板上按钮的视觉效果.不建议删除.[***lls] tm主目录,不用tm可将相关同时删除[tmnewface] tm头像,不用tm可将相关同时删除[tmskins] tm面板,不用tm可将相关同时删除[tmsound] tm声音,不用tm可将相关同时删除AddEmotion.htm 添加到QQ表情,删除了也会写入注册表.标准**AddPanel.htm 添加到QQ自定义面板,删除了也会写入注册表.标准**AddToNetDisk.htm 添加到QQ网络硬盘,删除了也会写入注册表.标准**AddrImportCSV.dll QQ信箱地址本,地址本相关同时删除,删除地址本不删除信箱相关功能不能正常使用AddrImportOutlook.dll QQ信箱地址本,地址本相关同时删除,删除地址本不删除信箱相关功能不能正常使用AddrImportVcf.dll QQ信箱地址本,地址本相关同时删除,删除地址本不删除信箱相关功能不能正常使用BQQApplication.dll 企业好友面板.可单独删除BugReport.exe 错误汇报执行文件,这个删除.相关的都可以删除ChatRoom.exe 聊天室执行程序,这个删除了所有相关都可以删除Content_Config.ini 自定义面板设置文件ContentTab.dll 自定义面板custom_help.htm 自定义面板收藏夹DShared.dll 远程协助,没了他就没法进行远程协助QQDiskShellMenu.dll 网络硬盘相关,和网络硬盘面板同时存在flog.dll 错误汇报help_01.gif 贴图,标准**help_02.gif 贴图,标准**help_03.gif 贴图,标准**help_04.gif 贴图,标准**help_05.gif 贴图,标准**help_10.gif 贴图,标准**help_11.gif 贴图,标准**help_13.gif 贴图,标准**HttpDownload.dll 发送/接收文件,没了他.就不能和好友收发文件license.txt 软件许可协议,想看就留着MagicBook.exe 魔法书.面板要是删除了.这个留着也没用了MagicFlash.exe 魔法表情,删除这个只是对方发表情不能观看.还是有提示的.MailDll.dll 信箱,不能单独删除MailRes.dll 信箱,不能单独删除OEMApplication.dll 音乐.手机.交友.游戏.内容咨询.5个面板.删除以后.按钮还在.点了没内容qdshm.dll 网络硬盘右键上传菜单,可单独删除.加载以后需关闭explorer.exe进程删除QQ.smp 安装产生的临时文件QQexternal.exe 广告,可单独删除QQHangReport.lnk 错误汇报执行文件的快捷方式QQIEHelper.dll ie插件,可单独删除QQLiveUpdate.exe 在线升级执行文件,可单独删除QQlog 临时文件,可单独删除QQMail.exe 信箱执行文件,这个删除.相关的都可以删除QQMailCore.dll 信箱,不可单独删除QQMailHelper.dll 信箱,不可单独删除QQNetDisk.dll 网络硬盘面板,可单独删除,建议同时删除相关QQSceneMng.dll 情景聊天文件.删除了就没有情景聊天了QQShowMagic.dll 魔法秀.删除的同时建议删除魔法秀贴图目录QQUpdate.db 临时文件rm.swf 动画,可单独删除SBuddyApplication.dll 互动空间,这几个同时存在或者删除SBuddyBase.dll 互动空间,这几个同时存在或者删除SBuddyCall.exe 互动空间,这几个同时存在或者删除SBuddyFriend.dll 互动空间,这几个同时存在或者删除SendMMS.htm 用QQ彩信发送该图片,删除了也会写入注册表.标准**SetupInfo.ini 安装qq时的临时配置文件ShareFiles.dll 共享文件,没什么用处.可单独删除sm.swf 动画,可单独删除TIMPlatform.exe 一键切换TM,临时对话.kip支持,4个文件同时存在或者删除TIMProxy.dll 一键切换TM,临时对话.kip支持,4个文件同时存在或者删除Timwp.dll 一键切换TM,临时对话.kip支持,4个文件同时存在或者删除Timwp.exe 一键切换TM,临时对话.kip支持,4个文件同时存在或者删除TMShell.exe TM执行文件,不用tm可将相关同时删除uninst.exe 卸载程序whatsnew.txt 版本历史,想看就留着AutoLogin.dat 自动登陆文件.可单独删除.以上文件部分可以单独删除.但一些功能只删除相关几个文件可能导致不使用不正常.一些文件由于你点击了相关功能.加载了或者被调用了dll动态链接库.删除的时候需要关闭explorer.exe进程.重新运行这个进程然后删除就可以了.关于侧边栏交友中心.游戏面板图标不显示的原因:qq登陆的时候会从网络读取ico文件.读取成功则显示.同时面板可隐藏.读取失败则不显示.所有面板都不可隐藏.多登陆几次就可以了.网络读取成功以后会在qq目录AirDLIcon下产生ico文件和配置文件其他没有注明的部分目录会在第一次登陆qq时产生.产生的文件都可安全删除.比如QLoveFiles目录.log目录等[dat]里面的ad.gifdefault_av_chatroom.gifinfoad.gifvqqad.gif是广告贴图,可删除[dat]里面的rtx_enter.jpgrtx_friend.jpgRTXIndex.jpg是企业好友面板的贴图.可删除● 其他功能限制方法1:禁止使用 QQ 网络硬盘把QQ目录下的QQNetDisk.dll改名或者删除2:禁止使用 QQ 文件传送的方法:把QQ目录下的QQFileTransfer.dll改名或者删除(改名或者删除后玩家起用此功能可能会引起QQ死机如你的QQ不能正常使用的话请还原)3:禁止使用 QQ 邮箱的方法:把QQ目录下的MailRes.dll改名或删除或把QQ目录下的QQMail.exe改名或者删除4:禁止使用 QQ 共享文件功能把QQ目录下的ShareFiles.dll改名或删除5:禁止使用 QQ 在线升级功能把QQ目录下的QQLiveUpdate.exe改名或删除6:禁止使用 TM 登陆把QQ目录下的TMShell.exe改名或删除附【QQ的安全设定】QQ 邮箱：删除QQMail.exeQQ共享文件：删除ShareFiles.dll去除群共享：删除QQGroupDisk.dllQQ网络硬盘：删除QQNetDisk.dllQQ传送文件：删除QQFileTransfer.dllQQ在线升级：删除QQLiveUpdate.exe《QQ目录下各文件用途不完全揭密》原出处：PConline 现部分已修改QUOTE:·QQ的安装目录下的文件及文件目录ACodec.dll (音频聊天)+BQQApplication.dll (企业好友面板)*CameraDll.dll (截图文件)ChatLib.dll (聊天室相关文件)ContentTab.dll (自定义面板)Content_Config.ini (跟自定义面板有关)*CQQApplication.dll (好友面板)help_01.gif~help_13.gif (跟自定义面板有关)InPlus.dll (视频语音聊天的设置对话框有关)*ipsearcher.dll (ip搜索插件)------ipwry.dat 新格式的ip库,MailDll.dll (以下mail开头的信箱有关)+MyIP.dat (自定义ip文件)NewSkin.dll (皮肤,使用默认皮肤的可以删除) OEMApplication.dll (内容资讯面板)*QQ.exe (qq主文件)QQAvatar.dll (和qq秀有关)QQBUserApplication.dll (腾讯服务面板)QQexternal.exe (跟广告有关)QQFileTransfer.dll (文件传送)*QQHook.dll (监视键盘的文件，旧版本有)*QQLdr.exe (以下qqldr开头的和外挂有关)QQMail.exe (以下mail开头的和信箱有关) QQMailCore.dllQQMailHelper.dll+QQMMSender.dll (短信发送面板)*QQPlugin.dll (查找好友)*QQRes.dll (资源文件)QQUdpGetFileLib.dll (升级,QQ自动下载更新文件的模块) QQupdate.exe (同上)QRingMng.dll (炫玲管理)ShareFiles.dll (共享文件夹)+vbscript.dll (qq皮肤有关)VCodec.dll (以下几个和视频有关)*vqqset.dll (视频设定文件,vqqset.dll 千万别删，否则第一次使用视频语音聊而出现设置对话框时，就会令QQ因错误退出!)[IMScene] (场景)[sound] (声音文件)[smsdata] (短信)[QRingFiles] (叫什么炫铃吧)*[newface] (QQ头像)[help] (帮助,别告诉我你不回用qq)[mailImage] (QQ邮箱)*[Face] (表情文件)+[Dat] (一些引用的图片文件,视情况保留)[chatTheme] (聊天室相关文件)[Chat] (聊天室相关文件)[bface] (服务面板头像)以下这些文件千万不能删:CameraDll.dllCQQApplication.dllImageOle.dllIPSearcher.dllMfc42.dllmsvcp60.dll 其实也可以删除(各个系统兼容性决定)QQAllInOne.dllQQBaseClassInDll.dllQQHelperInDll.dllQQHook.dll 其实也可以删除(各个系统兼容性决定)QQMainFrame.dllQQPlugin.dllQQRes.dllQQZip.dllriched20.dll 其实也可以删除(各个系统兼容性决定)Riched32.dll 其实也可以删除(各个系统兼容性决定)vbscript.dllvqqset.dll如果不想视频聊天，只用语音聊天，删VCodec1.dll、VCodec2.dll、VCodec.dll、VideoDevice.dll、VqqDVCapture.dll、InPlus.dll。

QQ协议分析,TCPF包数据具体分析疯狂代码 / ĵ:http://QQDevelopment/Article20653.html 转载说明：本文档说明的是解密以后的TCPF数据包的字段内容。

有关如何解密，请参阅有关的其它文档。

分析的结果，是基于QQ 2003 (0808) 内部代码 0A 1D的版本。

0x0022，登录命令发送方：客户端样本：000: 4A 35 5D 6E AE DB FA 9C ;008: 96 BE 19 7E A3 E2 B2 48 ;016: 00 00 00 00 00 00 00 00 ;024: 00 00 00 00 00 00 00 00 ;032: 00 00 00 3A 30 9B 69 60 ;040: A8 32 73 B2 22 1F AA 65 ;048: 6C 09 F8 01 0A 3A 0D 30 ;056: 92 CD 77 AB 42 B9 BC 64 ;064: 9F 17 57 D4 C3000 - 015: 用户QQ密码的 md5 的 md5 作为密钥，对空字串进行加密的结果。

0A 1D版的TEA算法采取了随机PADDING的方式，所以这个数字每次看起来都不同。

但是解密以后总是空字符串。

016 - 016: 总是 0x00。

017 - 020: 以前为IP地址，现在为全零。

不知道具有互联网IP的机器是否有真正的地址。

021 - 022: 以前为端口号，现在为全零。

023 - 051: 不明含义，总是相同。

052 - 052: 登录模式。

0A为正常方式，28为隐身。

053 - 068: 应该是和机器相关的识别号，在相同的机器上总是相同。

响应方：服务器成功登录的样本：000: 00 61 42 58 45 55 6B 58 ;008: 7A 42 57 36 78 6E 49 41 ;016: 59 01 82 5D 90 40 E7 A7 ;024: E3 0F A0 7F 00 00 01 1F ;032: 40 3F 51 22 DA 03 0A 5B ;040: 83 50 D2 91 55 AE FC 3A ;048: 5B D4 E9 31 97 C5 85 13 ;056: 64 6B 30 0A CE F1 33 3D ;064: 8D C2 CF 1F 40 3D AC F9 ;072: 8E 1F 40 00 00 1C BB 67 ;080: 00 CB 49 E6 FF B6 FB 01 ;088: 97 41 6E 96 30 48 76 48 ;096: EF B8 1D 1E 5A EA EB E9 ;104: AB 00 4A 23 D2 00 00 00 ;112: 00 00 00 00 00 00 00 00 ;120: 00 40 E7 A7 E3 3F 51 22 ;128: 91 00 00 00 00 00 00 00 ;136: 00000 - 000: 成功登录应该为0。

QQ分析QQ版本升级比较频繁，每次升级都对应着协议的变化或者加密方法的更改。

针对QQ 的分析网上资料林林总总，对不同版本都有一定的分析，但都没有彻底的分析。

这里总结了一部分资料，加入了一点点我自己针对QQ抓包后的分析。

QQ功能分析：登陆：首先QQ客户端向服务器发送一个请求登录令牌的数据包.服务器返回登录令牌.这个令牌是在服务器端生成的.和客户端的IP地址,版本信息等数据相关.以后会用到这个令牌去进行其他操作. 在QQ通信中用户必需要登录后才可以进行互相发送信息等。

QQ的登录是很关键的，大家所看到的用户在线，并不是用户的QQ一直连接着服务器，而是定时发送消信给服务器，证明自己还连着线，如果超出时间QQ 就认为用户已经掉线了。

登陆QQ服务器的时候，服务器会保留你的保留IP地址和端口号信息，并在你的好友的QQ进程中进行列表显示，然后两个进程就可以通信了。

QQ连接服务器的方式,它主要有3种方式:1.通过本机UDP:4001开始的端口连接服务器UDP 8000端口;2.通过本机任意端口连接服务器80端口;3.通过通过本机任意端口连接服务器443端口。

QQ使用UDP端口8000做为主要的通讯端口，并提供HTTP（80）和HTTPS（443）端口做为辅助的通讯方式。

登陆时，QQ首先尝试去连接服务器的8000端口，如果不通的话就会依次去尝试80和443端口。

登录过程中的包(均是UDP传输)分析：1. 0x0091 Touch包该数据包是QQ客户端登录时发送的第一个包，它的作用在于测试远程服务器是否能够正常响应，根据我们的抓包分析，对于不同的QQ号码段，提供服务的QQ服务器是不相同的，对于QQ会员有专门的QQ会员服务器。

在对QQ客户端的回应包中，如果连接的服务器不对该QQ号码提供服务，它会返回另外一个服务器地址，让客户端重新连接该地址。

2 0x00BA获取验证码因为部分QQ号码可能存在异地登录，或者QQ号码被盗发送大量垃圾信息，或者用了挂机软件或者挂机网站挂机，腾讯服务器检验到这些非正常的QQ情况时即会要求输入验证码。

QQ流量特征分析QQ软件总体分析对QQ软件（2013正式版（7690））的视频聊天、语音聊天、远程控制、在线发送文件、发送离线文件等情况分别进行了抓包，其中视频聊天和语音聊天对接收聊天请求和发送聊天请求分别进行抓包，远程控制对被别人控制和控制别人电脑进行了抓包，发送在线或者离线文件都是分别对发送文件过程和接收文件过程进行了抓包。

QQ有其特有的协议OICQ，这个协议的报文一般是在UDP协议之上的，并且其载荷是以“02”开始，以“03”结束。

虽然其载荷不能被解读，但是携带着一些信息。

0000000 0234 0f08 2509 06 1f 74 5a 81 03 00 00 00 01 .4..%... tZ......00000010 01 01 00 00 66 6f 00 00 00 00 8a a1 c2 df f8 8c ....fo.. ........00000020 a7 81 64 98 d2 56 26 d0 f1 e1 ed 88 de 41 09 82 ..d..V&. .....A..00000030 f0 d1 0d cb 35 4a 1e a5 de 31 2a 43 4b 10 3d f0 ....5J.. .1*CK.=.00000040 0b ed db 6a 4b 05 84 9e 4d 3e c6 8a f1 e4 7d e4 ...jK... M>....}.00000050 3f d1 de 0a 3d 9f c0 fb a0 3d 1e 73 d9 49 b0 cf ?...=... .=.s.I..00000060 ad b3 d2 2f cf d1 07 2a ce 10 5a 47 be d7 95 31 .../...* ..ZG (1)00000070 0b 8c 0c b9 1e e9 91 5e ce 20 7e 59 9c 7f 11 ab .......^ . ~Y....00000080 b7 13 10 31 0a 5a 52 96 69 e9 46 51 33 19 26 0b ...1.ZR. i.FQ3.&.00000090 da ce 03...00000000 02 34 0f08 25 09 06 1f 74 5a 81 00 00 00 63 5d .4..%... tZ....c]00000010 4c 91 1b 8b 70 96 49 31 73 62 98 e0 ff 89 bb d9 L...p.I1 sb......00000020 54 ef f1 23 6e ea 6c fa 24 50 40 f3 72 a9 9f df T..#n.l. $P@.r...00000030 38 62 9f 21 2c 31 eb 8e ac d7 96 d0 ee f7 0e bb 8b.!,1.. ........00000040 fc b4 01 42 3a 14 31 06 b3 19 da fb f9 a2 52 c7 ...B:.1. ......R.00000050 a8 34 70 3b 13 76 fb 18 8d 1a 48 90 d1 a7 d9 79 .4p;.v.. ..H....y00000060 ef 6d d7 3a dc ba 0d c3 a8 0f 96 cd d0 a4 03.m.:.... .......以上述报文为例，其中“34 0f”表示版本号，“08 25”表示命令，“09 06”表示包次序，“1f 74 5a 81”表示本主机的QQ号码，“00 00 00 01 01 01 00 00 66 6f”会话中上行报文固定出现，与版本有关。

QQ数据包分析一、实验内容：分析QQ数据包协议：Ethernet、IP、TCP、UDP、DNS、HTTP 等，按层详细分析数据包工作机制和各协议数据组成及功能作用。

二、实验环境：Window 7环境下、QQ2014三、实验工具：QQ2014、Ethereal抓包工具、Wiresshark抓包工具四、实验内容1、QQ登录数据包分析①利用Wireshark抓包工具的过滤规则OICQ对于qq登录的第一条登录信息进行截取分析②首先我们通过对第一条信息的截图我们可以看到信息1、帧的信息：该数据帧的帧号为：37帧的大小：648 bits数据接口：interface 0到达时间：Mar 9, 2015 14:57:07.546829000 中国标准时间帧所用到的协议：eth ethertype ip udp oicq2、数据链路层帧（eth）：以太网帧首部大小：14个字节目的地址：Dst: AsustekC_60:5e:44 (14:da:e9:60:5e:44),源地址：Src:DigitalC_02:f6:fe (00:03:0f:02:f6:fe)类型字段：0800字段类型：IP3、网络层协议IPIp数据报首部长度：20字节版本号：4，目前使用为IPV4首部长度：20字节区分服务：00总长度：67字节标识：0x5c5c (23644)标志：0x00片偏移：0个单位生存时间：64，表明的是这个数据报之前没有经过路由结点协议：UDP（17）头部检验和：0x1b3c [validation disabled]源IP地址：192.168.83.9 (192.168.83.9)目的地址：183.60.56.36 (183.60.56.36)4、用户数据协议UDP源端口：52185 (52185)目的端口：8000 (8000) 表明目的端使用的应用层的协议是变更OICQ默认通讯端口数据长度：47检验和：0xac29 [validation disabled]5、OICQ协议标志：OICQ 数据包版本：0x3559命令: Request KEY (29)序列号：3137数据发送端号码：OICQ数字，935692234数据：封装无法查看2、qq离线文件的传输分析：1、选取原则：根据发送文件的时间段，因为网速延迟的原因我们可以看到选取的时间段会有所误差，截图的原则：1、利用抓包工具的过滤机制选取HTTP协议段（qq 离线文件是以HTTP协议传送的）(如下图)2、选取与发送时间段相近的数据帧（如下图）3、qq离线文件的选取：发送端关键字为POST/,接收端为GET/（如下图）2、帧的信息该数据帧的帧号为：2707帧的大小：7768 bits数据接口：interface 0 (\Device\NPF_{95B244F7-56E0-42EA-83AC-B199A0F94798}) 到达时间：Mar 9, 2015 14:57:34.046219000 中国标准时间染色显示规则字符串: http || tcp.port == 80 || http2 TCP端口号为80帧所用到的协议：eth: ethertype: ip: tcp :http: media3、链路层帧eth与网络层协议ip数据分析与上相同注：此时的内部数据为TCP数据段4、传输层协议TCP源端口：80目的端口：38458流索引：114TCP信息段长：917序列号：5814（相对序列号）下一个序列号：6758确认号：386（相对确认号）首部长度：20字节标志：.... 0000 0001 1000 = Flags: 0x018 (PSH, ACK)窗口大小：15544检验和：0x3b17 [validation disabled]紧急指针：05个重新整合的TCP报文段：编号#2702（1460bytes）编号#2701（1460bytes）编号#2704（1460bytes）编号#2705（1460bytes）编号#2707（1460bytes）重组TCP报文长度：6757 bytesreassemble tcp segment：表示TCP层收到上层大块报文后分解成段后发出去。

数据包详细分析当我们对Wireshark主窗⼝各部分作⽤了解了，学会捕获数据了，接下来就该去认识这些捕获的数据包了。

Wireshark将从⽹络中捕获到的⼆进制数据按照不同的协议包结构规范，显⽰在Packet Details⾯板中。

为了帮助⽤户能够清楚的分析数据，本节将介绍识别数据包的⽅法。

在Wireshark中关于数据包的叫法有三个术语，分别是帧、包、段。

下⾯通过分析⼀个数据包，来介绍这三个术语。

在Wireshark中捕获的⼀个数据包，如图1.45所⽰。

每个帧中的内容展开后，与图1.48显⽰的信息类似。

图1.48 数据包详细信息从该界⾯可以看出显⽰了五⾏信息，默认这些信息是没有被展开的。

各⾏信息如下所⽰：q Frame：物理层的数据帧概况。

q Ethernet II：数据链路层以太⽹帧头部信息。

q Internet Protocol Version 4：互联⽹层IP包头部信息。

q Transmission Control Protocol：传输层的数据段头部信息，此处是TCP协议。

q Hypertext Transfer Protocol：应⽤层的信息，此处是HTTP协议。

下⾯分别介绍下在图1.48中，帧、包和段内展开的内容。

如下所⽰：（1）物理层的数据帧概况Frame 5: 268 bytes on wire (2144 bits), 268 bytes captured (2144 bits) on interface 0 #5号帧，线路268字节，实际捕获268字节Interface id: 0 #接⼝idEncapsulation type: Ethernet (1) #封装类型Arrival Time: Jun 11, 2015 05:12:18.469086000 中国标准时间 #捕获⽇期和时间[Time shift for this packet: 0.000000000 seconds]Epoch Time: 1402449138.469086000 seconds[Time delta from previous captured frame: 0.025257000 seconds] #此包与前⼀包的时间间隔[Time since reference or first frame: 0.537138000 seconds] #此包与第⼀帧的时间间隔Frame Number: 5 #帧序号Frame Length: 268 bytes (2144 bits) #帧长度Capture Length: 268 bytes (2144 bits) #捕获长度[Frame is marked: False] #此帧是否做了标记：否[Frame is ignored: False] #此帧是否被忽略：否[Protocols in frame: eth:ip:tcp:http] #帧内封装的协议层次结构[Number of per-protocol-data: 2] #[Hypertext Transfer Protocol, key 0][Transmission Control Protocol, key 0][Coloring Rule Name: HTTP] #着⾊标记的协议名称[Coloring Rule String: http || tcp.port == 80] #着⾊规则显⽰的字符串（2）数据链路层以太⽹帧头部信息Ethernet II, Src: Giga-Byt_c8:4c:89 (1c:6f:65:c8:4c:89), Dst: Tp-LinkT_f9:3c:c0(6c:e8:73:f9:3c:c0)Destination: Tp-LinkT_f9:3c:c0 (6c:e8:73:f9:3c:c0) #⽬标MAC地址Source: Giga-Byt_c8:4c:89 (1c:6f:65:c8:4c:89) #源MAC地址Type: IP (0x0800)（3）互联⽹层IP包头部信息Internet Protocol Version 4, Src: 192.168.0.104 (192.168.0.104), Dst: 61.182.140.146 (61.182.140.146)Version: 4 #互联⽹协议IPv4Header length: 20 bytes #IP包头部长度Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport)) #差分服务字段Total Length: 254 #IP包的总长度Identification: 0x5bb5 (23477) #标志字段Flags: 0x02 (Don't Fragment) #标记字段Fragment offset: 0 #分的偏移量Time to live: 64 #⽣存期TTLProtocol: TCP (6) #此包内封装的上层协议为TCPHeader checksum: 0x52ec [validation disabled] #头部数据的校验和Source: 192.168.0.104 (192.168.0.104) #源IP地址Destination: 61.182.140.146 (61.182.140.146) #⽬标IP地址（4）传输层TCP数据段头部信息Transmission Control Protocol, Src Port: 51833 (51833), Dst Port: http (80), Seq: 1, Ack: 1, Len: 214Source port: 51833 (51833) #源端⼝号Destination port: http (80) #⽬标端⼝号Sequence number: 1 (relative sequence number) #序列号（相对序列号）[Next sequence number: 215 (relative sequence number)] #下⼀个序列号Acknowledgment number: 1 (relative ack number) #确认序列号Header length: 20 bytes #头部长度Flags: 0x018 (PSH, ACK) #TCP标记字段Window size value: 64800 #流量控制的窗⼝⼤⼩Checksum: 0x677e [validation disabled] #TCP数据段的校验和Wireshark分析数据包在Wireshark中的数据包都可以称为是⽹络数据。