四、 数据包详情区域介绍
1、物理层
2、数据链路层
3、网络层
4、UDP User Datagram Protocol【用户数据报协议】
5、SSDP【Simple Service Discovery Protocol】【简单服务发现协议】
6、TCP Transmission Control Protocol 【传输控制协议】
7.HTTP Hyper Text Transfer Protocol 【超文本传输协议】
结构
显示过滤器的语法包含5个核心元素: IP、端口、协议、比较运算符和逻辑运算符。
IP地址:ip.addr、ip.src、ip.dst
端口:tcp.port、tcp.srcport、tcp.dstport
协议:tcp、udp、http
比较运算符:> < == >= <= !=
逻辑运算符:and、or、not、xor(有且仅有一个条件被满足)
5个核心元素可以自由组合,比如:
ip.addr == 192.168.32.121:显示IP地址为 192.168.32.121 的数据包
tcp.port == 80 :显示端口为 80 的数据包
数据包列表栏含义:
No. :包的编号 默认wireshark是按照数据包编号从低到高排序,该编号不会发生改变,即使使用了过滤也同样如此
Time:包的时间戳。时间格式可以自己设置
Source 和Destination :包的源地址和目的地址
Protocol:包的协议类型
Length:包的长度
Info:包的附加信息
着色规则
序号
规则
含义
1
Bad TCP
TCP解析出错,即重传,乱序,丢包,重复响应都在此条规则的范围内。
2
HSRP State Change
热备份路由协议(Hot Standby Router Protocol),这条规则表示状态非active和standby。
3
Spanning Tree Topology Change
生成树协议的状态标记为0x80,生成树拓扑发生变化。
4
OSPF State Change
OSPF(Open Shortest Path First,开放式最短路径优先协议)的msg类型不是hello。
5
ICMP errors
ICMP协议错误,协议的type字段值错误。
6
ARP
ARP协议
7
ICMP
icmp协议
8
TCP RST
TCP流被RESET
9
SCTP ABORT
串流控制协议的chunk_type为ABORT(6)。
10
TTL low or unexpected
TTL异常。
11
Checksum Errors
条件中的各类协议的checksum异常,在PC上抓包时网卡的一些设置经常会使Wireshark显示此错误
12
SMB
Server Message Block类协议。
13
HTTP
HTTP协议,这是很简陋的识别方法。
14
DCERPC
分散式运算环境/远端过程调用(Distributed Computing Environment / Remote Procedure Calls)协议
15
Routing
路由类协议
16
TCP SYN/FIN
TCP连接的起始和关闭。
17
TCP
TCP协议。
18
UDP
UDP协议。
19
Broadcast
广播数据。
四、数据包详情区域介绍
1、物理层:描述数据包的大小字节,捕获时间,捕获的接口连接。数据包的封装类型,包含的协议,这些信息通常是在网络分析和故障排查过程中用到的,用来分析网络数据包的传输和处理过程
Frame 928: 78 bytes on wire (624 bits), 78 bytes captured (624 bits) on interface
\Device\NPF_{3157D2B3-AD1C-4262-B692-8BF069CF79F5}, id 0
第928个数据包:写入78 字节(624 位),在接口 \Device\NPF_{3157D2B3-AD1C-4262-B692-8BF069CF79F5}【网络接口的名称】 上捕获 78 字节(624 位),id 0【则是该接口的标识符】
Section number: 1【指数据包所属的部分编号,用于数据包集合的标识】
Interface id: 0 (\Device\NPF_{3157D2B3-AD1C-4262-B692-8BF069CF79F5})【捕获数据包的网络接口的ID和描述】
Interface name【接口名称】: \Device\NPF_{3157D2B3-AD1C-4262-B692-8BF069CF79F5}
Interface description【接口说明】: 无线网络连接
Encapsulation type【封装类型】: Ethernet (1)【以太网】
Arrival Time【数据包被捕获的时间戳】: Jan 31, 2024 14:0 6:52.474893000 ?й???????
[Time shift for this packet【数据包的时间偏移】: 0.000000000 seconds] 【0秒】
Epoch Time: 1706681212.474893000 seconds【数据包的时间戳,通常以从某个固定时间点开始的秒数来表示。
此固定时间点未知】
[Time delta from previous captured frame【与上一个捕获的数据包之间的时间差】: 0.001095000 seconds]
[Time delta from previous displayed frame【与上一个展示的数据包之间的时间差】: 0.001095000 seconds]
[Time since reference or first frame【自参考时间或第一个数据包以来的时间差】: 48.774465000 seconds]
Frame Number【数据包的编号】: 928
Frame Length【数据包的长度】: 78 bytes (624 bits)
Capture Length【捕获到的数据包的实际长度】: 78 bytes (624 bits)
[Frame is marked【数据包是否被标记】: False]【为true为是,false为否】
[Frame is ignored【数据包是否被忽略】: False]
File Offset【数据包在文件中的偏移量】: 412068 (0x649a4)
[Protocols in frame【数据包中包含的协议】: eth:ethertype:ip:udp:data]【以太网类型,IP协议,UDP协议,数据类型】
[Coloring Rule Name: UDP]【着色规则的名称为UDP】
[Coloring Rule String: udp]【着色规则的字符串为udp】
*在网络分析工具中,着色规则用于以不同颜色标记特定类型的网络数据包,以便用户更容易地识别和分析。UDP是用户数据报协议,而"udp"表示着色规则会将使用UDP协议传输的数据包标记为特定颜色。这有助于在网络数据包分析过程中更容易地识别和分析UDP数据包
2、数据链路层:描述了一个以太网 II 数据帧的详细内容,包括源地址、目标地址和数据帧类型
*数据包的源地址: 在计算机网络中,数据包的源地址是指数据包的发送者的地址,通常用于识别发送端。它是网络通信中的一个重要概念,用于路由选择、安全认证和网络故障排查等操作
Ethernet II【一个以太网 II 数据帧】 Src: LiteonTe_2a:c5:29 (14:5a:fc:2a:c5:29)【数据包的源地址是 "LiteonTe_2a:c5:29",对应的物理地址为 "14:5a:fc:2a:c5:29"】, Dst: Broadcast (ff:ff:ff:ff:ff:ff)【数据包的目标地址是广播地址 "ff:ff:ff:ff:ff:ff",这意味着此数据包将发送给网络中的所有设备。】
Destination: Broadcast (ff:ff:ff:ff:ff:ff)【数据包的目标地址是广播地址 "ff:ff:ff:ff:ff:ff",意味着该数据包将被发送给网络中的所有设备】
Address: Broadcast (ff:ff:ff:ff:ff:ff)【目标地址是广播地址 "ff:ff:ff:ff:ff:ff"】
.... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)【本地管理地址(这不是出厂默认地址)】
.... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)【这是一个组地址,即多播/广播地址】
Source: LiteonTe_2a:c5:29 (14:5a:fc:2a:c5:29)【源地址】
Address: LiteonTe_2a:c5:29 (14:5a:fc:2a:c5:29)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)【全局唯一地址(出厂默认)】
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)【个人地址(单播)】
Type: IPv4 (0x0800)【这是数据帧的类型字段,指示了数据帧中传输的数据的类型。在这里是 IPv4 类型的数据帧,表示该数据帧中包含有 IPv4 协议的数据】
3、网络层:
Internet Protocol Version 4【IPv4是互联网广泛采用的IP协议版本,它使用32位地址,通常以点分十进制表示】, Src: 172.29.16.211, Dst: 172.29.16.255【IPv4数据包的描述,显示了源地址:172.29.16.211和目标地址:172.29.16.255】
0100 .... = Version: 4【IP数据包使用的是IPv4协议的版本】
.... 0101 = Header Length: 20 bytes (5)【IP数据包头部的长度为20字节,且为第5个数据包】
Differentiated Services Field【数据包中的区分服务字段通常用于定义数据包的优先级和处理方式】: 0x00 【不同服务字段的十六进制值为0x00】(DSCP【区分服务代码点】: CS0【CS0是Differentiated Services Code Point(DSCP)中的一种取值,用于对网络数据包进行分类和标记以实现服务质量(QoS)的区分。CS0代表Class Selector 0,通常用于指示数据包没有特定的优先级或服务质量要求】, ECN【显式拥塞通知】: Not-ECT【不支持显式拥塞通知】)
0000 00.. = Differentiated Services Codepoint: Default【DSCP】 (0)【解释了具体的DSCP数值。这里的二进制数值 "0000 00" 对应的DSCP是默认值(Default),也就是CS0】
.... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)【解释了显式拥塞通知字段(ECN)的具体数值。这里的二进制数值 ".... ..00" 表示这个数据包的传输不支持显式拥塞通知(Not ECN-Capable Transport)】【Not ECN-Capable Transport (0) 是指在IP数据包中的一种标志位,用于指示数据包所使用的传输协议是否支持显式拥塞通知(ECN)机制。ECN是一种用于帮助网络设备管理拥塞的机制,它允许网络设备向主机发送信号以指示网络拥塞的存在,从而使得主机可以调整其传输速率。当数据包的ECN位为0时,表示该传输协议不支持ECN,因此发送端和接收端不需要处理ECN相关的信息】
Total Length: 64【整个IP数据包的长度为43字节】
Identification: 0x95de (38366)【用于唯一标识IP数据包的标识符】
000. .... = Flags: 0x0【标志位字段,0x0表示十六进制的数值结果为0用于控制数据包的分片】
0... .... = Reserved bit: Not set【表示保留位(Reserved bit),通常用于将来协议扩展预留使用,当前为未设置状态】
.0.. .... = Don't fragment: Not set【表示“不分段”位(Don't fragment),当设置为1时,表示数据包不允许被分段传输,当前为未设置状态】
..0. .... = More fragments: Not s et【表示“更多分段”位(More fragments),当设置为1时,表示数据包是分段传输的一部分,当前为未设置状态】
...0 0000 0000 0000 = Fragment Offset: 0【分片偏移为0,表示这个数据包没有被分片】
Time to Live: 128【数据包的生存时间,也就是数据包在网络中能够存在的最长时间(以跳数计算)】【跳数:每当数据包经过一个路由器或网络设备时,就会增加一个跳数】
Protocol: UDP (17)【表示IP数据包中封装的上层协议是UDP,{用户数据报协议}UDP的协议号是17】
Header Checksum: 0x2ac2 [validation disabled]【数据包头部的校验和为0x2ac2且校验和的验证被设置为禁用】
[Header checksum status: Unverified]【标头校验和状态:未验证】
Source Address【源地址IP】: 172.29.16.211
Destination Address【目的地址IP】: 172.29.16.255
4、UDP User Datagram Protocol【用户数据报协议】
User Datagram Protocol【UDP用户数据报协议英文缩写】, Src Port【源端口号:发送数据包】: 8235, Dst Port【目标端口号:接收数据包】: 8235
Source Port: 8235
Destination Port: 8235
Length【数据包的长度】: 44
Checksum【校验和】: 0xbd1a [unverified]【未经验证】
[Checksum Status【校验和状态】: Unverified]【未经验证】【通过对数据的字节进行求和并将结果存储在特定字段中,用于在数据传输过程中检测传输的完整与错误】
[Stream index: 16]【数据流的索引,表示这段信息是针对索引为16的数据流的】
[Timestamps时间戳]【通常用于记录事件发生的时间或者数据生成的时间】
[Time since first frame: 0.000000000 seconds]【表示时间是从第一帧数据开始的,是0秒】
[Time since previous frame: 0.000000000 seconds]【表示距离上一帧数据的时间。时间间隔为0秒,表示这两帧数据之间的时间间隔非常短。】
UDP payload (36 bytes)【UDP协议有效负载数据包中包含了36字节的数据】
Data (36 bytes)【36字节表示的内容如下】
Data: 4f4d01c020e00000cd7598012e965cb5aacde7926ca2558595d7b4b8b89ca0232d8f0000
[Length: 36]【如要翻译为可读文本需要知道翻译规则】
5、SSDP【Simple Service Discovery Protocol】【简单服务发现协议】
Simple Service Discovery Protocol
NOTIFY * HTTP/1.1\r\n【这是一个 NOTIFY 请求,表示通知所有资源,HTTP/1.1 表示使用的协议版本】
[Expert Info (Chat/Sequence)【专家信息(通信序列)】: NOTIFY * HTTP/1.1\r\n]
Request Method【请求方式】: NOTIFY【NOTIFY是一种HTTP请求方法,通常用于实时通信和事件通知】
Request URI【请求 URI】: *【URI(Uniform Resource Identifier) 统一资源标识符)是用于标识资源的字符串序列】
Request Version【使用的请求协议版本】: HTTP/1.1
HOST: 239.255.255.250:1900\r\n【指定了 SSDP 通信的组播地址和端口号,用于向同一个组中的多个主机发送数据】
CACHE-CONTROL【缓存控制】: max-age=66\r\n【指定了通知的最大有效时间,单位是秒CACHE-CONTROL 标头指定了 max-age 为 66 秒】
LOCATION: http://172.29.16.70:49152/description.xml\r\n【提供了资源的位置信息,用于描述资源的详细信息,LOCATION 标头指定了一个资源在服务器上的位置为 http://172.29.16.70:49152/description.xml。】
OPT【OPT 是一个 UPnP 通用即插即用协议扩展头部用于指定选项参数】"http://schemas.upnp.org/upnp/1/0/"; ns=01\r\n【指定了协议的命名空间】【OPT 指定了一个命名空间为 "http://schemas.upnp.org/upnp/1/0/",命名空间的缩写为 "01"】
01-NLS: 65c89932-1dd2-11b2-89b4-b08d410d326c\r\n【指定了通知的唯一标识符,01-NLS 标识符为 "65c89932-1dd2-11b2-89b4-b08d410d326c"】【01-NLS 是 UPnP 协议中的一个头部标识符,用于唯一标识一个 UPnP 控制点】
NT【Notification Type】: urn:schemas-upnp-org【是 UPnP 论坛为自己的标准和规范所定义的命名空间】:service:AVTransport【AVTransport 服务通常用于控制和管理音视频传输设备】:1\r\n【指定了通知的类型】
NTS【标头字段,用于指示消息的类型】: ssdp:alive【设备或服务处于活动状态并且可以响应发现请求】\r\n【指定了通知的子类型】
SERVER: Linux/4.9.113 【服务器的操作系统和内核版本】HTTP/1.0【服务器使用的是 HTTP 协议的版本,这里是 1.0 版本】\r\n【指定了提供通知的设备信息】
X-User-Agent【用户代理(User-Agent)头部的自定义值】: redsonic【标识符】\r\n【指定了用户代理信息】
USN【Unique Service Name唯一的服务名称】
: uuid:96324899-182f-4644-4c52-9e7708317b2f【设备唯一标识符】
::urn:schemas-upnp-org:service:AVTransport:1\r\n【设备或服务的类型和版本信息】
\r\n【指定了通知的唯一服务名称】
[Full request URI: http://239.255.255.250:1900*]【完整的请求 URI 可能是用于发起对局域网内 UPnP 设备的发现请求,发往 IP 地址 239.255.255.250 的端口 1900】
6、TCP Transmission Control Protocol 【传输控制协议】
TLSv【Transport Layer Security version】1.2/1.3【安全传输协议:通过加密和认证来保护通过TCP连接传输的数据,防止数据被窃听、篡改或伪造】
Transmission Control Protocol, Src Port: 50158, Dst Port: 443, Seq【序列号:数据流中数据段的序列号】: 2700, Ack【确认号:确认接收方期望收到的下一个数据段的序列号】: 5539, Len【长度】: 0
Source Port: 50158
Destination Port: 443
[Stream index【流索引/流标识】: 25]【可以作为过滤器应用找到同一数据流】
[Conversation completeness【对话完整性】: Complete【对话完整】, WITH_DATA (31)【一个标记】]
[TCP Segment Len【TCP 段长度】: 0]
Sequence Number【序列号】: 2700(relative sequence number【相对序列号】)
Sequence Number (raw)【序列号(原始)】: 4121131934
[Next Sequence Number【下一个序列号】: 2701 (relative sequence number)]
Acknowledgment Number【确认编号】: 5539 (relative ack number)
Acknowledgment number (raw): 3306944647
0101 .... = Header Length【标头长度】: 20 bytes (5)
Flags【TCP协议头中标志位】: 0x011【二进制是0000 0001 0001】 (FIN Finish, ACK Acknowledgment)【(FIN, ACK)时,表示发送方发送了一个包含FIN标志的报文段,表明它希望关闭连接,并且需要对接收方之前发送的数据进行确认】
000. .... .... = Reserved【TCP协议头中的第一个标志位】: Not set
...0 .... .... = Accurate ECN【第二个标志位,指示ECN的准确性】: Not set
.... 0... .... = Congestion Window Reduced【第三个标志位,指示拥塞窗口是否被减小】: Not set
.... .0.. .... = ECN-Echo【第四个标志位,即ECN-Echo,这个标志位用于指示ECN的回显】: Not set
.... ..0. .... = Urgent【第五个标志位,即Urgent,这个标志位用于指示紧急数据的存在】: Not set
.... ...1 .... = Acknowledgment【第六个标志位,即Acknowledgment,这个标志位用于指示确认号字段是否有效】: Set
.... .... 0... = Push【第七个标志位,即Push,这个标志位用于指示是否有数据要被立即传送】: Not set
.... .... .0.. = Reset【第八个标志位,即Reset,这个标志位用于指示连接是否需要重置】: Not set
.... .... ..0. = Syn【第九个标志位,即Syn,这个标志位用于指示连接的建立】: Not set
.... .... ...1 = Fin【第十个标志位,即Fin,这个标志位用于指示连接的关闭】: Set
[Expert Info (Chat/Sequence)【专家信息 通信序列】: Connection finish (FIN)【连接完成】捕获的网络数据包中包含了TCP连接结束的标志(FIN)。这个提示告诉你在网络通信中,发生了TCP连接的关闭过程。]
[Connection finish (FIN)]【窗口程序关闭】
[Severity level: Chat]【严重级别:聊天】
[Group: Sequence]【序列组:序列】
[TCP Flags: ·······A···F]【A···F表示这个TCP数据包是一个确认数据包,并且用于关闭连接】
[Expert Info (Note/Sequence): This frame initiates the connection closing]
[This frame initiates the connection closing]
[Severity level: Note]
[Group: Sequence]【关闭连接关系,级别:无】
Window【可以发送的最大数据量为258字节】: 258
[Calculated window size【计算出的窗口大小】: 66048]
[Window size scaling factor【窗口大小缩放系数】: 256]
Checksum【校验和】: 0x1a29 [unverified]
[Checksum Status【校验和状态】: Unverified]
Urgent Pointer【紧急指针】: 0
[Timestamps]【时间戳】
[Time since first frame in this TCP stream【 TCP 流中第一帧以来的时间】: 4.853104000 seconds]
[Time since previous frame in this TCP stream【TCP 流中的上一帧以来的时间】: 4.736235000 seconds]
7.HTTP Hyper Text Transfer Protocol 【超文本传输协议】
HTTP与HTTP/JSON【HTTP(HyperText Transfer Protocol)是一种用于传输超文本的协议,通常用于在Web浏览器和Web服务器之间传输数据。它是Web应用程序中最常用的协议之一,用于在客户端和服务器之间传输HTML页面、图像、音频、视频等内容。而HTTP/JSON则是一种基于HTTP协议的数据传输格式。JSON(JavaScript Object Notation)是一种轻量级的数据交换格式,通常用于表示结构化数据。在HTTP/JSON中,数据以JSON格式的字符串作为消息正文进行传输,可以用于在客户端和服务器之间传递数据。总的来说,HTTP是一种协议,而HTTP/JSON是基于HTTP协议的一种数据传输格式,用于在客户端和服务器之间传递结构化数据】
[2 Reassembled TCP Segments (76 bytes)【2 个重新组装的 TCP 段(76 字节】: #708(71)【#708分段包含了71个字节】, #709(5)]
[Frame: 708, payload【帧:708,有效负载】: 0-70 (71 bytes)【0-70字节,共计71字节】]
[Frame: 709, payload: 71-75 (5 bytes)]
[Segment count【分段】: 2]
[Reassembled TCP length【重新组装的 TCP 长度】: 76]
[ReassembledTCPData【重组TCP数据】:
485454502f312e3120323030204f4b0d0a5472616e736665722d456e636f64696e673a20…]
Hypertext Transfer Protocol【超文本传输协议】
HTTP/1.1 200 OK\r\n【HTTP协议的响应头部的一部分。"HTTP/1.1"表示使用的是HTTP协议的1.1版本,而"200 OK"表示服务器成功处理了客户端的请求。HTTP协议中的状态码200通常表示请求成功。在这种情况下,服务器已经成功处理了客户端的请求】
[Expert Info 【专家信息】(Chat/Sequence【通信序列】): HTTP/1.1 200 OK\r\n]
[HTTP/1.1 200 OK\r\n]
[Severity level: Chat]【信息在整个数据包中定位的级别,聊天属于普通级别】
[Group: Sequence]【一组数据包】
Response Version【响应版本】: HTTP/1.1
Status Code【状态码】: 200
[Status Code Description【状态码说明】: OK]
Response Phrase【响应短语】: OK
Transfer-Encoding: chunked\r\n【传输编码:分块 数据传输过程中使用了分块编码】
Connection: keep-alive【连接:保持活动状态】\r\n【客户端和服务器之间的连接将保持活动状态】
\r\n
[HTTP response 1/1]【HTTP 响应 1/1】【HTTP通信中的第1个响应】
[Time since request【自请求以来的时间】: 0.038937000 seconds]
[Request in frame【框架中的请求】: 700【该数据包的编号或标识符】]
[Request URI: http://shuc-pc-hunt.ksord.com/]
【请求 URI:http://shuc-pc-hunt.ksord.com/】
HTTP chunked【动态生成数据块】 response【HTTP 分块响应】
End of chunked encoding【分块编码结束】
Chunk size【块大小】: 0 octets[0字节]
\r\n
File Data: 0 bytes【文件数据:0 字节】
————————————————
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。