如何理解wireshark抓取的数据包含义之“Understanding TCP Sequence and Acknowledgment Numbers”

基于Wireshark的网络数据包内容解析摘要本课程设计是利用抓包软件Wireshark，对网络服务器与客户端进行网络数据收发过程中产生的包进行抓取，然后对所抓取的包进行分析，并结合的协议进行分析，达到了解各种数据包结构的目的。

设计过程中对各种包进行抓取分析，各种包之间比较，了解每种包的传输过程与结构，通过本次课程设计，能很好的运用Wireshark对数据包分析和Wireshark各种运用，达到课程设计的目的。

关键词IP协议；TCP协议；UDP协议；ARP协议；Wireshark；计算机网络；1 引言本课程设计主要是设计一个基于Wireshark的网络数据包内容解析，抓取数据包，然后对所抓取的包进行分析，并结合的协议进行分析，达到了解各种数据包结构的目的1.1 课程设计目的Wireshark是一个网络封包分析软件。

可以对网络中各种网络数据包进行抓取，并尽可能显示出最为详细的网络封包资料，计算机网络课程设计是在学习了计算机网络相关理论后，进行综合训练课程，其目的是：1.了解并会初步使用Wireshark，能在所用电脑上进行抓包；2.了解IP数据包格式，能应用该软件分析数据包格式。

1.2 课程设计要求（1）按要求编写课程设计报告书，能正确阐述设计结果。

（2）通过课程设计培养学生严谨的科学态度，认真的工作作风和团队协作精神。

（3）学会文献检索的基本方法和综合运用文献的能力。

（4）在老师的指导下，要求每个学生独立完成课程设计的全部内容。

1.3 课程设计背景一、Wireshark（前称Ethereal）是一个网络封包分析软件。

网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。

网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。

在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。

Wireshark数据包分析及工具使用-学习总结Wireshark常用功能总结以下是对使用Wireshark1.8.3软件抓包并分析数据包的总结，不同的版本软件的界面略有差别。

对于抓包部分，常用的功能就是工具栏中的前五个按钮。

打开软件后，最常用的按钮如下面所示，红框中的按钮从左到右依次是：-列表显示所有网卡的网络包情况：一般用的很少；-显示抓包选项：一般都是点这个按钮开始抓包；-开始新的抓包：一般用的也很少；-停止抓包：当你抓完包之后，就是点这个停止了；-清空当前已经抓到的数据包并继续抓包：可以防止抓包时间过长机器变卡。

图3-3-1 Wireshark1.8.3菜单栏而实际上，一般我们只要知道上面按钮的功能，就可以完成抓包了，剩下的就是如何抓你想要的数据包，如何分析的问题了。

以下是分别对各个按钮及相关功能使用的介绍。

（1）第一个按钮：列表显示所有网卡的网络包情况点开后如下图所示，列出了所有的网卡信息和网络包的情况，具体的网卡信息可以点击后面的【Details】获取。

通过选择网卡前面的复选框，可以选择即将要抓包的网卡，如果选择了某些网卡之后可以选择下面的【Start】按钮开始抓包如果选择了某些网卡之后，也可以通过点击【Options】按钮设置更多的抓包选项。

点击这个按钮的意义相当于直接点击了常用按钮中的第二个按钮（显示抓包选项）图3-3-2 Wireshark1.8.3网卡列表（2）第二个按钮：显示抓包选项点开后如下图所示，列出了比第一个按钮更多的抓包设置选项，第一个按钮侧重于网卡的信息，而第二个按钮侧重于抓包前的设置。

这个按钮可以设置以什么模式抓包（混杂模式）、抓包的数据放到哪些文件中、到何时停止抓包（抓了多少个或多长时间）等，最重要的设置是抓包的过滤条件，双击列出的某个网卡的信息，就会弹出过滤条件设置的对话框，（Capture Filter中就是要写抓包规则的地方，也叫做“过滤规则”，写完过滤规则后要记得编译），如下图所示图3-3-3 Wireshark1.8.3抓包设置选项图3-3-4 Wireshark1.8.3设置捕获时过滤规则（3）第三个按钮：开始新的抓包一般通过前两个按钮的【Start】按钮就已经开始抓包了，所以这个按钮用的比较少（4）第四个按钮：停止抓包当你抓完包之后，就是点这个停止了（5）第五个按钮：清空当前已经抓到的数据包并继续抓包如果包累计过多的话会对效率有影响，这时可以将前面的包的数据清除（6）文件保存和导入当抓包结束之后，如果你需要把抓到的数据包保存留给以后分析，那么可以点菜单上的file，然后点Save As保存抓到的数据包（可以保存成多种格式，因此可以被许多其他的软件分析）。

wireshark是一款抓包软件，比较易用，在平常可以利用它抓包，分析协议或者监控网络，是一个比较好的工具，因为最近在研究这个，所以就写一下教程，方便大家学习。

这里先说Wireshark的启动界面和抓包界面启动界面：抓包界面的启动是按file下的按钮之后会出现这个是网卡的显示，因为我有虚拟机所以会显示虚拟网卡，我们现在抓的是真实网卡上的包所以在以太网卡右边点击start 开始抓包这个就是抓包的界面了（也是主界面）Wireshark主窗口由如下部分组成：1.菜单——用于开始操作。

2.主工具栏——提供快速访问菜单中经常用到的项目的功能。

3.Fiter toolbar/过滤工具栏——提供处理当前显示过滤得方法。

4.Packet List面板——显示打开文件的每个包的摘要。

点击面板中的单独条目，包的其他情况将会显示在另外两个面板中。

5.Packet detail面板——显示您在Packet list面板中选择的包的更多详情。

6.Packet bytes面板——显示您在Packet list面板选择的包的数据，以及在Packet details面板高亮显示的字段。

7.状态栏——显示当前程序状态以及捕捉数据的更多详情。

1.菜单栏主菜单包括以下几个项目:File ——包括打开、合并捕捉文件，save/保存,Print/打印,Export/导出捕捉文件的全部或部分。

以及退出Wireshark项.Edit ——包括如下项目：查找包，时间参考，标记一个多个包，设置预设参数。

（剪切，拷贝，粘贴不能立即执行。

）View ——控制捕捉数据的显示方式，包括颜色，字体缩放，将包显示在分离的窗口，展开或收缩详情面版的地树状节点GO ——包含到指定包的功能。

Analyze ——包含处理显示过滤，允许或禁止分析协议，配置用户指定解码和追踪TCP 流等功能。

Statistics ——包括的菜单项用户显示多个统计窗口，包括关于捕捉包的摘要，协议层次统计等等。

wireshark抓包原理解析Wireshark是一款功能强大的网络协议分析软件，可以帮助用户查看和分析网络数据包。

它能够从网络接口上捕获数据包，还可以根据不同的协议对数据包进行解析和分析。

那么，Wireshark是如何实现抓包的呢？下面，我们就从网络以及软件两个方面来解析Wireshark的抓包原理。

一、网络方面那么，数据包是如何到达我们的计算机的呢？它是通过网络线路、路由器等物理设备传输到各个计算机的网络接口上的。

当计算机收到数据包时，它会通过网络接口把数据包交给操作系统进行处理。

这个时候，Wireshark就可以通过在操作系统的网络接口处进行数据包捕获，从而实现对网络数据包的抓包。

当数据包进入网络接口时，它首先会被操作系统进行缓存。

这时，Wireshark就可以通过网络接口的混杂模式来抓取数据包。

混杂模式是指，网络接口会将所有经过它的数据包都传递给操作系统的缓存区，不管这些数据包是否是针对这台机器的。

这就使得Wireshark可以捕获所有经过这个网络接口的数据包。

二、软件方面Wireshark实现抓包主要是通过软件技术来实现的。

它使用了一种叫做「WinPcap」的软件包来实现对网络接口的监控和数据包的捕获。

WinPcap是一种针对Windows平台的网络接口抓包工具，它可以实现对网络接口的数据包进行捕获和过滤。

而Wireshark则是通过对WinPcap进行二次开发，来实现了更加丰富和强大的抓包功能。

当Wireshark收到从WinPcap传递来的数据包时，它首先会对数据包进行解析和过滤。

这个过程实际上就是Wireshark进行抓包和分析的核心部分。

它会根据数据包的协议类型和格式来进行解析，还可以根据用户的需求进行数据包的过滤，从而确保只抓取到用户所关心的数据包。

经过这些处理之后，Wireshark就可以在界面上展示出这些数据包的详细信息。

总结：Wireshark的抓包原理是通过在网络接口处捕获数据包，使用软件进行解析和过滤，并将结果呈现在界面上的方式实现的。

wireshark解析
Wireshark是一款计算机网络协议分析工具，可以实时捕获网络数据
包并对其进行分析。

使用Wireshark可以帮助网络管理员诊断网络问题，
查找安全漏洞等。

Wireshark的主要功能包括：
1. 捕获数据包：使用Wireshark可以对网络上的数据包进行捕获，
并将其保存到本地文件中，以便进行后续分析。

2. 分析数据包：Wireshark能够分析数据包的各个字段，包括源IP
地址、目的IP地址、协议类型、数据内容等，并展示在界面中。

3. 过滤数据包：Wireshark支持各种过滤方式，可以通过协议类型、源IP地址、目的IP地址等进行过滤，以便更快地定位需要分析的数据包。

4. 解码加密数据：Wireshark能够解码各种加密数据，包括SSL、
TLS等，以便管理员对加密通信进行分析。

5. 生成报告：Wireshark可以生成各种报告，包括经过过滤的数据
包列表、数据包统计信息、协议分析报告等。

总之，Wireshark是一个功能强大的网络工具，可以帮助管理员更好
地理解和调试网络，确保网络的安全性和稳定性。

抓包，也称为网络抓包或网络包分析，是一种网络诊断和调试的重要工具。

以下是关于抓包的基础知识：1. 抓包的概念：抓包是指通过网络协议分析工具（如Wireshark）捕获网络上的数据包，并对其进行解码和分析的过程。

通过抓包，可以了解网络中数据包的类型、内容和传输过程。

2. Wireshark：Wireshark是一款流行的开源网络协议分析器，是抓包工具中最常用的软件之一。

它能够捕获网络上的数据包，并按照协议标准进行解码，使得用户能够了解网络中数据包的详细信息。

3. 抓包的基础知识：抓包需要一定的网络知识和工具使用技能。

在抓包之前，需要确保具有足够的权限，以便能够捕获网络上的数据包。

通常需要安装在网络交换机或路由器上，以便能够捕获所有通过该设备的网络流量。

在抓包过程中，需要了解常见的网络协议，如TCP、UDP、HTTP等，以便能够正确解码数据包。

此外，还需要了解常见的网络攻击手段和防御措施，以便能够通过抓包分析异常行为，并采取相应的措施进行防御。

抓包可以用于以下场景：1. 网络故障诊断：通过抓包可以分析网络故障的原因，例如网络延迟、丢包等问题。

通过分析数据包的内容和传输过程，可以找到问题的根源。

2. 网络安全分析：通过抓包可以分析网络中的恶意行为，例如攻击者发送的恶意数据包或恶意软件。

通过分析这些数据包，可以发现攻击者的行为和攻击手段，并采取相应的措施进行防御。

3. 开发与调试：对于开发人员和测试人员来说，通过抓包可以分析应用程序的网络传输过程，并验证应用程序的功能和性能。

通过分析数据包的内容和传输过程，可以发现潜在的问题和漏洞，并采取相应的措施进行修复。

需要注意的是，抓包是一项敏感操作，需要遵守法律法规和道德准则，并尊重他人的隐私和权利。

在进行抓包之前，需要获得合法的授权和许可，并确保不会侵犯他人的合法权益。

用wireshark分析和 Dns 报文一、请求报文和响应报文wireshark所抓的一个含有请求报文的帧：1、帧的解释链路层的信息上是以帧的形式进展传输的,帧封装了应用层、传输层、网络层的数据.而wireshark抓到的就是链路层的一帧.图中解释：Frame 18：所抓帧的序号是11,大小是409字节Ethernet ：以太网,有线局域网技术 ,属链路层Inernet Protocol：即IP协议,也称网际协议,属网络层Transmisson Control Protocol：即TCP协议,也称传输控制协议.属传输层Hypertext transfer protocol：即协议,也称超文本传输协议.属应用层图形下面的数据是对上面数据的16进制表示.2、分析上图中的请求报文报文分析：请求行：GET /img/2009people_index/images/hot_key.gif /1.1方法字段 / URL字段 /协议的版本我们发现,报文里有对请求行字段的相关解释.该报文请求的是一个对象,该对象是图像.首部行：Accept: */*Referer: m/这是Accept-Language: zh-语言中文Accept-Encoding: gzip, deflate可承受编码,文件格式用户代理,浏览器的类型是Netscape浏览器；括号内是相关解释Host: 目标所在的主机Connection: Keep-Alive激活连接在抓包分析的过程中还发现了另外一些请求报文中所特有的首部字段名,比如下面请求报文中橙黄色首部字段名：Accept: */*Referer: 这是html文件Accept-Language: zh-语言中文Accept-Encoding: gzip, deflate可承受编码,文件格式If-Modified-Since: Sat, 13 Mar 2010 06:59:06 GMT内容是否被修改：最后一次修改时间If-None-Match: "9a4041-197-2f11e280"关于资源的任何属性〔 ETags值〕在ETags的值中可以表现,是否改变用户代理,浏览器的类型是Netscape浏览器；括号内是相关解释目标所在的主机Connection: Keep-Alive激活连接Cookie: cdb_sid=0Ocz4H; cdb_oldtopics=D345413D; cdb_visitedfid=17; __gads=ID=7ab350574834b14b:T=1287731680:S=ALNI_Mam5QHAAK2cJdDTRuSxY24VDbjc1Acookie,允许站点跟踪用户,coolie ID是7ab350574834b14b3、分析的响应报文,针对上面请求报文的响应报文如下：wireshark对于2中请求报文的响应报文：展开响应报文：报文分析：状态行：/1.0 200 OK首部行：Content-Length: 159内容长度Accept-Ranges: bytes承受X围Server: nginx服务器X-Cache经过了缓存服务器路由响应信息Date: Fri, 22 Oct 2010 12:09:42 GMT响应信息创建的时间Content-Type: image/gif内容类型图像Expires: Fri, 22 Oct 2010 12:10:19 GMT设置内容过期时间Last-Modified: Fri, 11 Jun 2010 00:50:48 GMT内容最后一次修改时间Powered-By-ChinaCache:PENDINGfromC-BJ-D-3BA ChinaCache的是一家领先的内容分发网络〔CDN〕在中国的服务提供商.Age: 34缓存有效34天Powered-By-ChinaCache: HIT from USA-SJ-1-3D3ChinaCache是一家领先的内容分发网络〔CDN〕在中国的服务提供商.Connection: keep-alive保持TCP连接图中最后一行puserve GIF 是对所传图像的信息的描述GIF是puserve公司开发的图像格式标准.二、DNS查询报文和回答报文1、 Wireshark所抓的DNS查询报文：展开DNS查询报文：报文分析：首部区域：标识符：Transaction ID: 0x4b48 16位比特数,标志该查询标志： Flags： 0x0100〔standard query〕0………. ….= Respone：Messsage is a query0表示为dns查询报文.000 0……. ….=opcode： standard query<0>操作码为标准查询.…..0. …. ….=Truncated：message is not truncated信息没有被截断.… ..1. …. ….=Recursion desired：Do queryrecursively 执行递归查询…. …. .0.. …..=z：reserved〔0〕…. …. …0 …..=Nontheticated data： unacceptable 问题数：Question:1 只查询一个主机名回答RR数：Answer RRS:0权威RR数：Authority RRS:0附加RR数：Additional RRS:0问题区域：Type A<Host address> class：IN<0x0001>包含最初请求的名字的资源记录权威〔资源记录的变量数〕：无附加信息：无2、Wireshark 对应的DNS回答报文：展开DNS回答报文：报文分析：首部区域：标识符：Transaction ID: 0x4b48 16位比特数,与对应的查询报文标识符一样标志： Flags： 0x8180〔standard query〕问题数：Question:1 表示只查询一个主机回答RR数：Answer RRS:5 表示该主机对应的有5条资源记录权威RR数：Authority RRS:0附加RR数：Additional RRS:0问题区域：Type A<Host address> class：IN<0x0001>最初请求的名字的资源记录回答〔资源记录的变量数〕：Answers 5条RR,即主机与ip的5条资源记录权威〔资源记录的变量数〕：无附加信息：无。

从Wireshark的抓包分析了解网络的分层结构抓包分析,又叫网络嗅探, 在计算机网络安全领域,属于被动攻击。

即在不干扰正常信息流的前提下,监听整个局域网的通信内容。

同时，监听者还可以观察和分析某个PDU（protocol date unit）的协议信息控制部分，了解正在通信的协议实体的地址和身份，研究PDU的长度和传输的频度，以便了解所交换数据的某种性质。

仅从学习的角度来讲，通过抓包分析，可以清楚地了解网络协议的性质及网络的分层结构。

网络模型主要有两种，即OSI的七层模型和TCP/IP协议簇的四层模型。

由于TCP/IP协议簇是互联网上的事实的标准协议，故本文按TCP/IP的体系结构讲述。

但为了把原理描述清楚，将网络接口层分为数据链路层和物理层来讲。

为讲解方便，先来了解笔者电脑的一些参数。

当开始抓包后，我们可以看到如下信息。

这是在网络接口层抓取到的信息，也就是数据链路层的数据帧，除去前面0000、0010、0020、-------等为帧同步信息外，其他皆为数据中的内容，全部用十六进制表示，这便是数据在链路层的表示形式，当数据链路层把这些十六进制数据交给物理层来发送时，要把十六进制转化为二进制，即c8 3a ………..化为11001000、00111010、……….等，在物理层1、0分别表示高、低电平，一般是一连串矩形脉冲波。

称为数字基带信号。

在传输时，根据不同的介质选择不同的调制方式。

在有线局域网中，一般用曼彻斯特和差分曼彻斯特编码。

在光纤中传输时，用波分复用技术。

而在无线局域网中，用CCK(补码键控)、OFDM(正交频分复用技术)和多入多出(Multiple-Input Multiple-Output)技术。

由于信号的调制与解调涉及复制的数学运算和通信的专业知识，这里不做讨论。

有兴趣的读者可以再任何一本《通信原理》书中找到相关内容。

在数据链路层，PDU被称为数据帧，有帧首部、数据部分和帧尾部组成，其中数据部分为ip数据包,帧头和帧尾为帧控制和校验信息。

数据包详细分析当我们对Wireshark主窗⼝各部分作⽤了解了，学会捕获数据了，接下来就该去认识这些捕获的数据包了。

Wireshark将从⽹络中捕获到的⼆进制数据按照不同的协议包结构规范，显⽰在Packet Details⾯板中。

为了帮助⽤户能够清楚的分析数据，本节将介绍识别数据包的⽅法。

在Wireshark中关于数据包的叫法有三个术语，分别是帧、包、段。

下⾯通过分析⼀个数据包，来介绍这三个术语。

在Wireshark中捕获的⼀个数据包，如图1.45所⽰。

每个帧中的内容展开后，与图1.48显⽰的信息类似。

图1.48 数据包详细信息从该界⾯可以看出显⽰了五⾏信息，默认这些信息是没有被展开的。

各⾏信息如下所⽰：q Frame：物理层的数据帧概况。

q Ethernet II：数据链路层以太⽹帧头部信息。

q Internet Protocol Version 4：互联⽹层IP包头部信息。

q Transmission Control Protocol：传输层的数据段头部信息，此处是TCP协议。

q Hypertext Transfer Protocol：应⽤层的信息，此处是HTTP协议。

下⾯分别介绍下在图1.48中，帧、包和段内展开的内容。

如下所⽰：（1）物理层的数据帧概况Frame 5: 268 bytes on wire (2144 bits), 268 bytes captured (2144 bits) on interface 0 #5号帧，线路268字节，实际捕获268字节Interface id: 0 #接⼝idEncapsulation type: Ethernet (1) #封装类型Arrival Time: Jun 11, 2015 05:12:18.469086000 中国标准时间 #捕获⽇期和时间[Time shift for this packet: 0.000000000 seconds]Epoch Time: 1402449138.469086000 seconds[Time delta from previous captured frame: 0.025257000 seconds] #此包与前⼀包的时间间隔[Time since reference or first frame: 0.537138000 seconds] #此包与第⼀帧的时间间隔Frame Number: 5 #帧序号Frame Length: 268 bytes (2144 bits) #帧长度Capture Length: 268 bytes (2144 bits) #捕获长度[Frame is marked: False] #此帧是否做了标记：否[Frame is ignored: False] #此帧是否被忽略：否[Protocols in frame: eth:ip:tcp:http] #帧内封装的协议层次结构[Number of per-protocol-data: 2] #[Hypertext Transfer Protocol, key 0][Transmission Control Protocol, key 0][Coloring Rule Name: HTTP] #着⾊标记的协议名称[Coloring Rule String: http || tcp.port == 80] #着⾊规则显⽰的字符串（2）数据链路层以太⽹帧头部信息Ethernet II, Src: Giga-Byt_c8:4c:89 (1c:6f:65:c8:4c:89), Dst: Tp-LinkT_f9:3c:c0(6c:e8:73:f9:3c:c0)Destination: Tp-LinkT_f9:3c:c0 (6c:e8:73:f9:3c:c0) #⽬标MAC地址Source: Giga-Byt_c8:4c:89 (1c:6f:65:c8:4c:89) #源MAC地址Type: IP (0x0800)（3）互联⽹层IP包头部信息Internet Protocol Version 4, Src: 192.168.0.104 (192.168.0.104), Dst: 61.182.140.146 (61.182.140.146)Version: 4 #互联⽹协议IPv4Header length: 20 bytes #IP包头部长度Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport)) #差分服务字段Total Length: 254 #IP包的总长度Identification: 0x5bb5 (23477) #标志字段Flags: 0x02 (Don't Fragment) #标记字段Fragment offset: 0 #分的偏移量Time to live: 64 #⽣存期TTLProtocol: TCP (6) #此包内封装的上层协议为TCPHeader checksum: 0x52ec [validation disabled] #头部数据的校验和Source: 192.168.0.104 (192.168.0.104) #源IP地址Destination: 61.182.140.146 (61.182.140.146) #⽬标IP地址（4）传输层TCP数据段头部信息Transmission Control Protocol, Src Port: 51833 (51833), Dst Port: http (80), Seq: 1, Ack: 1, Len: 214Source port: 51833 (51833) #源端⼝号Destination port: http (80) #⽬标端⼝号Sequence number: 1 (relative sequence number) #序列号（相对序列号）[Next sequence number: 215 (relative sequence number)] #下⼀个序列号Acknowledgment number: 1 (relative ack number) #确认序列号Header length: 20 bytes #头部长度Flags: 0x018 (PSH, ACK) #TCP标记字段Window size value: 64800 #流量控制的窗⼝⼤⼩Checksum: 0x677e [validation disabled] #TCP数据段的校验和Wireshark分析数据包在Wireshark中的数据包都可以称为是⽹络数据。

TCP：（TCP是面向连接的通信协议，通过三次握手建立连接，通讯完成时要拆除连接，由于TCP 是面向连接的所以只能用于点对点的通讯）源IP地址：发送包的IP地址；目的IP地址：接收包的IP地址；源端口：源系统上的连接的端口；目的端口：目的系统上的连接的端口。

TCP是因特网中的传输层协议，使用三次握手协议建立连接。

当主动方发出SYN连接请求后，等待对方回答SYN，ACK。

这种建立连接的方法可以防止产生错误的连接，TCP使用的流量控制协议是可变大小的滑动窗口协议。

第一次握手：建立连接时，客户端发送SYN包(SEQ=x)到服务器，并进入SYN_SEND状态，等待服务器确认。

第二次握手：服务器收到SYN包，必须确认客户的SYN(ACK=x+1),同时自己也送一个SYN包(SEQ=y),即SYN+ACK包，此时服务器进入SYN_RECV状态。

第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ACK=y+1),此包发送完毕，客户端和服务器进入Established状态，完成三次握手。

第一行：帧Frame1指的是要发送的数据块；其中，捕获字节等于传输的字节数第二行：以太网，是数据链路层；源MAC地址是：00:19:c6:00:06:3d,目的MAC地址是：00:1c:25:d4:91:9a；第三行：IPV4,源IP地址：172.24.3.5;目的IP是：172.24.7.26；第四行：协议类型：TCP；源端口bctp（8999），目的端口：2376；序列号：每发送一个RTP数据包，序列号就加1；ACK是TCP数据包首部中的确认标志，对已接收到的TCP报文进行确认，其为 1表示确认号有效;长度是1448字节；第五行：数据总有1448字节；其中，对应的TCP首部的数据信息：端口号：数据传输的16位源端口号和16位目的端口号（用于寻找发端和收端应用进程）；该数据包相对序列号是1（此序列号用来确定传送数据的正确位置，且序列号，用来侦测丢失的包）；下一个数据包的序列号是1449；Acknowledgement number是32位确认序号，其等于1表示数据包收到，确认其有效；收到的数据包的头字节长度是4位32比特；Flags含6个标志比特：URG紧急指针（urgentpointer）有效ACK确认序号有效。

wireshark原理Wireshark原理。

Wireshark是一款开源的网络协议分析软件，它能够帮助用户捕获和分析网络数据包。

通过Wireshark，用户可以深入了解网络通信过程中的细节，包括协议的使用、数据的传输和网络性能等方面。

本文将介绍Wireshark的原理，包括其工作原理、数据捕获和分析过程，以及一些常见的应用场景。

Wireshark的工作原理基于网络接口的数据捕获和分析。

当用户启动Wireshark并选择要监控的网络接口后，Wireshark会开始捕获该网络接口上的数据包。

捕获到的数据包将会以列表的形式显示在Wireshark的界面上，用户可以通过过滤器和搜索功能来查找特定的数据包。

除了实时捕获外，Wireshark还可以加载保存的数据包文件进行分析。

在数据包捕获的过程中，Wireshark会对每一个数据包进行详细的解析，并将解析结果以树状结构和原始数据的形式展示出来。

用户可以通过展开树状结构来查看数据包的各个字段和协议头部的信息，从而深入了解数据包的结构和内容。

此外，Wireshark还提供了统计功能，用户可以通过统计功能来分析网络流量、协议使用情况和网络性能等指标。

Wireshark的应用场景非常广泛，它可以用于网络故障排查、安全审计、协议分析和网络性能优化等方面。

在网络故障排查中，Wireshark可以帮助用户捕获和分析异常的数据包，从而定位网络故障的原因。

在安全审计中，Wireshark可以用来监控网络流量，发现潜在的安全威胁。

在协议分析方面，Wireshark可以帮助用户深入了解各种网络协议的工作原理和通信过程。

在网络性能优化中，Wireshark可以用来分析网络流量和性能指标，从而优化网络设备和应用程序的性能。

总之，Wireshark是一款强大的网络协议分析工具，它通过数据捕获和分析来帮助用户深入了解网络通信过程中的细节。

通过本文的介绍，相信读者对Wireshark的原理有了更深入的了解，希望能够更好地利用Wireshark来解决实际的网络问题和挖掘网络通信的奥秘。

wireshark应⽤层抓包分析Wireshark抓包分析CONTENT引⾔1 利⽤wireshark抓取⽹页服务协议并分析1.1 HTTP协议报⽂结构及分析1.2 HTTPS是什么1.3 HTTP与HTTPS的⽐较1.4分别在⽹络空闲与⽹络繁忙时⽐较相关报⽂传送的区别2 利⽤wireshark抓取邮件传输协议并分析2.1 SMTP邮件发送协议的结构2.2 POP3与IMAP协议结构的区别2.3⽹页版收发邮件与邮件客户端收发时使⽤协议的⽐较3 利⽤wireshark抓取ftp⽂件传输协议3.1 ftp协议的格式及特点分析4 分析DNS的解析过程4.1“/doc/4fdb4825e2bd960590c6773a.html ”域名解析实例分析4.2“/doc/4fdb4825e2bd960590c6773a.html ”域名解析实例分析Ps：之前在写⽬录的时候觉得这样来分析分析会对应⽤层协议的理解更加全⾯⼀点，但是基于各种原因只是完成了⿊⾊字体部分，⽽且还可能存在很多错误。

有机会可以进⼀步完善。

引⾔经过计算机⽹络基础前⾯时间的学习，使我们对⽹络应⽤层的协议有了⼀定的了解。

协议就像⼀门语⾔，需要定义语法、语意和语序（时序、同步）。

语法即为协议的具体格式；语意定义了具体格式中具体指代，⽐如说，空⼀⾏后的数据表⽰为数据字段；就⽬前说掌握的只是⽽⾔，我对语序的理解还不是很清楚，这⾥就不加赘述。

下⾯将主要从应⽤层的协议出发，利⽤我们所学习过的知识，对不同的应⽤请求响应过程进⾏分析，探究在不同⽹络⼯作环境下⽹络协议的变化。

本次抓包分析的环境为IE9浏览器，使⽤wireshark的版本为32位第1.4.9版。

1 利⽤wireshark抓取⽹页服务协议并分析1.1 HTTP协议报⽂结构及分析⾸先清空IE浏览器的缓存、cookie等信息，并运⾏wireshark。

输⼊“/doc/4fdb4825e2bd960590c6773a.html ”后得到抓包⽂件如图1所⽰。

基于Wireshark的网络数据包内容解析摘要本课程设计是利用抓包软件Wireshark，对网络服务器与客户端进行网络数据收发过程中产生的包进行抓取，然后对所抓取的包进行分析，并结合的协议进行分析，达到了解各种数据包结构的目的。

设计过程中对各种包进行抓取分析，各种包之间比较，了解每种包的传输过程与结构，通过本次课程设计，能很好的运用Wireshark对数据包分析和Wireshark各种运用，达到课程设计的目的。

关键词IP协议；TCP协议；UDP协议；ARP协议；Wireshark；计算机网络；1 引言本课程设计主要是设计一个基于Wireshark的网络数据包内容解析，抓取数据包，然后对所抓取的包进行分析，并结合的协议进行分析，达到了解各种数据包结构的目的1.1 课程设计目的Wireshark是一个网络封包分析软件。

可以对网络中各种网络数据包进行抓取，并尽可能显示出最为详细的网络封包资料，计算机网络课程设计是在学习了计算机网络相关理论后，进行综合训练课程，其目的是：1.了解并会初步使用Wireshark，能在所用电脑上进行抓包；2.了解IP数据包格式，能应用该软件分析数据包格式。

1.2 课程设计要求（1）按要求编写课程设计报告书，能正确阐述设计结果。

（2）通过课程设计培养学生严谨的科学态度，认真的工作作风和团队协作精神。

（3）学会文献检索的基本方法和综合运用文献的能力。

（4）在老师的指导下，要求每个学生独立完成课程设计的全部内容。

1.3 课程设计背景一、Wireshark（前称Ethereal）是一个网络封包分析软件。

网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。

网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。

在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。

Wireshark抓包数据：理解与分析wireshark是⼀个⾮常好⽤的抓包⼯具，本⽂根据平时抓包经验，对之前wireshark抓包的⼀些常见知识点进⾏了整理。

有不当之处，欢迎指正1.SYN，FIN会消耗⼀个序号，单独的ACK不消耗序号2.WIN表⽰可以接收数据的滑动窗⼝（接收缓冲区）是多少，如果A发到B的包的win为0，就是A告诉B说我现在滑动窗⼝为0了，饱了，你不要再发给我了，就说明A端环境有压⼒3.ACK可以理解为应答。

A发给B的ack是告诉B，我已收到你发的数据包，收到ack号这⾥了，你下次要发seq为ack号的给我4.连续传输的时候，且⽆乱序，⽆丢包的情况下：上⼀个包的seq + len = 下⼀个包的 seq，如：包55976：包55977：7801（55977的seq ） = 6501（55976的seq） + 1300（55976的len）5.［TCP Previous segment not captured］在TCP传输过程中，同⼀台主机发出的数据段应该是连续的，即后⼀个包的Seq号等于前⼀个包的Seq Len（三次握⼿和四次挥⼿是例外）。

如果Wireshark发现后⼀个包的Seq号⼤于前⼀个包的Seq Len，就知道中间缺失了⼀段数据。

中间缺失的数据有的时候是由于乱序导致的，在后⾯的包中还可以找到如：包55974包55975：5201（55975的seq ）！= 1（55974的seq ） + 1300（55974的len ）6.在TCP传输过程中（不包括三次握⼿和四次挥⼿），同⼀台主机发出的数据包应该是连续的，即后⼀个包的Seq号等于前⼀个包的Seq Len。

也可以说，后⼀个包的Seq会⼤于或等于前⼀个包的Seq。

当Wireshark发现后⼀个包的Seq号⼩于前⼀个包的Seq Len时，就会认为是乱序了。

跨度⼤的乱序却可能触发快速重传包55979：包55980seq(55979) > seq(55980)，55980应该是紧跟着55974的（1301 =1300 + 1），从到达的时间来看，是乱序了7.关于SLE和SRE：SACK在数据丢包需要重传时起作⽤。

从Wireshark的抓包分析了解网络的分层结构抓包分析,又叫网络嗅探,在计算机网络安全领域,属于被动攻击。

即在不干扰正常信息流的前提下,监听整个局域网的通信内容。

同时，监听者还可以观察和分析某个PDU（protocol date unit）的协议信息控制部分，了解正在通信的协议实体的地址和身份，研究PDU的长度和传输的频度，以便了解所交换数据的某种性质。

仅从学习的角度来讲，通过抓包分析，可以清楚地了解网络协议的性质及网络的分层结构。

网络模型主要有两种，即OSI的七层模型和TCP/IP协议簇的四层模型。

由于TCP/IP协议簇是互联网上的事实的标准协议，故本文按TCP/IP的体系结构讲述。

但为了把原理描述清楚，将网络接口层分为数据链路层和物理层来讲。

为讲解方便，先来了解笔者电脑的一些参数。

当开始抓包后，我们可以看到如下信息。

这是在网络接口层抓取到的信息，也就是数据链路层的数据帧，除去前面0000、0010、0020、-------等为帧同步信息外，其他皆为数据中的内容，全部用十六进制表示，这便是数据在链路层的表示形式，当数据链路层把这些十六进制数据交给物理层来发送时，要把十六进制转化为二进制，即c8 3a ………..化为11001000、00111010、……….等，在物理层1、0分别表示高、低电平，一般是一连串矩形脉冲波。

称为数字基带信号。

在传输时，根据不同的介质选择不同的调制方式。

在有线局域网中，一般用曼彻斯特和差分曼彻斯特编码。

在光纤中传输时，用波分复用技术。

而在无线局域网中，用CCK(补码键控)、OFDM(正交频分复用技术)和多入多出(Multiple-InputMultiple-Output)技术。

由于信号的调制与解调涉及复制的数学运算和通信的专业知识，这里不做讨论。

有兴趣的读者可以再任何一本《通信原理》书中找到相关内容。

在数据链路层，PDU被称为数据帧，有帧首部、数据部分和帧尾部组成，其中数据部分为ip数据包,帧头和帧尾为帧控制和校验信息。

wireshark 数据解析English Answer:Wireshark Data Analysis:Wireshark is a powerful network protocol analyzer that can be used to capture, inspect, and analyze network traffic. It is a valuable tool for network troubleshooting, security analysis, and performance optimization.One of the most important aspects of Wireshark is its ability to parse and decode a wide variety of network protocols. This allows users to see the raw data that is being transmitted over the network, as well as the higher-level protocol headers and payload.Wireshark uses a variety of techniques to parse network traffic, including:Packet headers: Wireshark uses the packet headers toidentify the protocol that was used to send the packet. The headers also contain information about the source and destination addresses, the port numbers, and the length of the packet.Payload: Wireshark uses the payload of the packet to extract the data that was sent. The payload can be in a variety of formats, including text, binary, and images.Protocol dissectors: Wireshark uses protocol dissectors to decode the data in the payload. Protocol dissectors are specific to each protocol and provide information about the protocol's structure and semantics.Wireshark can be used to parse a wide variety of network protocols, including:Ethernet: Wireshark can parse Ethernet frames, which are used to send data over a local area network (LAN).IP: Wireshark can parse IP packets, which are used to send data over the internet.TCP: Wireshark can parse TCP packets, which are usedto establish and maintain connections between two computers.UDP: Wireshark can parse UDP packets, which are usedto send data without establishing a connection.HTTP: Wireshark can parse HTTP packets, which are used to send web pages and other data over the internet.DNS: Wireshark can parse DNS packets, which are usedto resolve domain names to IP addresses.Wireshark is a powerful tool that can be used toanalyze network traffic in a variety of ways. Its abilityto parse and decode network protocols makes it a valuable tool for network troubleshooting, security analysis, and performance optimization.中文回答：Wireshark 数据解析。

wireshark抓包⼯具详细说明及操作使⽤前⾔①wireshark是⾮常流⾏的⽹络封包分析软件，功能⼗分强⼤。

可以截取各种⽹络封包，显⽰⽹络封包的详细信息。

②使⽤wireshark的⼈必须了解⽹络协议，否则就看不懂wireshark。

③为了安全考虑，wireshark只能查看封包，⽽不能修改封包的内容，或者发送封包。

④wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，总结，如果是处理HTTP、HTTPS 还是⽤Fiddler抓包⼯具，其他协议⽐如TCP，UDP 就⽤wireshark抓包⼯具。

wireshark抓包⼯具的使⽤1、Wireshark 开始页⾯【注意】wireshark是捕获机器上的某⼀块⽹卡的⽹络包，当你的机器上有多块⽹卡的时候，你需要选择⼀个⽹卡。

点击 Caputre->Interfaces ，出现下⾯对话框，选择正确的⽹卡。

然后点击 Start 按钮, 开始抓包。

2、Wireshark 窗⼝介绍WireShark 主要分为这⼏个界⾯：①Display Filter(显⽰过滤器)：⽤于过滤。

②Packet List Pane(封包列表)：显⽰捕获到的封包，有源地址和⽬标地址，端⼝号。

颜⾊不同代表抓取封包的协议不同。

③Packet Details Pane(封包详细信息),：显⽰封包中的字段。

④Dissector Pane(16进制数据)⑤Miscellanous(地址栏，杂项)3、过滤①使⽤过滤是⾮常重要的，初学者使⽤wireshark时，将会得到⼤量的冗余信息，在⼏千甚⾄⼏万条记录中，以⾄于很难找到⾃⼰需要的部分。

搞得晕头转向。

【过滤器会帮助我们在⼤量的数据中迅速找到我们需要的信息。

】②Wireshark ⼯具的过滤器有两种：1. 显⽰过滤器：就是主界⾯上那个，⽤来在捕获的记录中找到所需要的记录。