这是我第一次用Wireshark做实验的一些简单使用方法,不足之处还请大家批评指正!!!
Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。
版本号:Version 2.2.1 (v2.2.1-0-ga6fbd27 from master-2.2)
在捕获网络数据包时,选择本地连接!
然后打开一个网页,同时开始捕获!源IP:192.168.38.63, 目的IP:202.196.192.10,捕获结果如下:
WireShark 主要界面
1. Display Filter(显示过滤器), 用于过滤
2. Packet List Pane(封包列表),显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表
3. Packet Details Pane(封包详细信息), 显示封包中的字段
4. Dissector Pane(16进制数据)
5. Miscellanous(地址栏,杂项)
由于捕获数据过多,必须进行筛选,筛选表达式:
ip.src == 202.196.192.10 or ip.dst == 202.196.192.10 //源主机IP地址或者目的主机是202.196.192.10,这句表达式主要筛选"三次握手"!
说明:202.196.192.10 是本地主机要访问的服务器的IP地址,192.168.38.63 是本地主机的IP地址!
图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的。
封包详细信息 (Packet Details Pane)
Frame: 物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP
1)源主机向目的主机发送连接请求
报头:
源端口号:25607
目的端口号:http(80)
序列号:0(源主机选择0作为起始序号)
报头长度:32字节
标志位:仅SYN设为1,请求建立连接,ACK:not set
窗口大小:8192字节
选项字段:12字节
2)目的主机返回确认信号
报头:
源端口号:http(80)
目的端口号:25607
序列号:0(目的主机选择0作为起始序号)
报头长度:32字节
标志位:SYN设为1,ACK设为1,确认允许建立连接
窗口大小:8192字节
选项字段:12字节
3)源主机再次返回确认信息,并可以携带数据
报头:
源端口号:25607
目的端口号:http(80)
序列号:1(发送的报文段编号)
报头长度:20字节
标志位:SYN=0,ACK=1
窗口大小:16425字节