這是我第一次用Wireshark做實驗的一些簡單使用方法,不足之處還請大家批評指正!!!
Wireshark 是網絡包分析工具。網絡包分析工具的主要作用是嘗試捕獲網絡包,並嘗試顯示包的盡可能詳細的情況。
版本號:Version 2.2.1 (v2.2.1-0-ga6fbd27 from master-2.2)
在捕獲網絡數據包時,選擇本地連接!
然后打開一個網頁,同時開始捕獲!源IP:192.168.38.63, 目的IP:202.196.192.10,捕獲結果如下:
WireShark 主要界面
1. Display Filter(顯示過濾器), 用於過濾
2. Packet List Pane(封包列表),顯示捕獲到的封包, 有源地址和目標地址,端口號。 顏色不同,代表
3. Packet Details Pane(封包詳細信息), 顯示封包中的字段
4. Dissector Pane(16進制數據)
5. Miscellanous(地址欄,雜項)
由於捕獲數據過多,必須進行篩選,篩選表達式:
ip.src == 202.196.192.10 or ip.dst == 202.196.192.10 //源主機IP地址或者目的主機是202.196.192.10,這句表達式主要篩選"三次握手"!
說明:202.196.192.10 是本地主機要訪問的服務器的IP地址,192.168.38.63 是本地主機的IP地址!
圖中可以看到wireshark截獲到了三次握手的三個數據包。第四個包才是HTTP的, 這說明HTTP的確是使用TCP建立連接的。
封包詳細信息 (Packet Details Pane)
Frame: 物理層的數據幀概況
Ethernet II: 數據鏈路層以太網幀頭部信息
Internet Protocol Version 4: 互聯網層IP包頭部信息
Transmission Control Protocol: 傳輸層T的數據段頭部信息,此處是TCP
1)源主機向目的主機發送連接請求
報頭:
源端口號:25607
目的端口號:http(80)
序列號:0(源主機選擇0作為起始序號)
報頭長度:32字節
標志位:僅SYN設為1,請求建立連接,ACK:not set
窗口大小:8192字節
選項字段:12字節
2)目的主機返回確認信號
報頭:
源端口號:http(80)
目的端口號:25607
序列號:0(目的主機選擇0作為起始序號)
報頭長度:32字節
標志位:SYN設為1,ACK設為1,確認允許建立連接
窗口大小:8192字節
選項字段:12字節
3)源主機再次返回確認信息,並可以攜帶數據
報頭:
源端口號:25607
目的端口號:http(80)
序列號:1(發送的報文段編號)
報頭長度:20字節
標志位:SYN=0,ACK=1
窗口大小:16425字節