用wireshark抓包分析

一，对wireshark进行科普

首先我们使用抓包工具软件wireshark 进行流量包抓取，

那么首先对wireshark进行科普：可参考 http://jingyan.baidu.com/album/c35dbcb0866b698916fcbc81.html

首先我对自己的网卡进行抓取的一个界面：

二 对TCP的操作

看到图中有各种各样不同格式的流量包，那么我们将进行TCP包的抓取：

首先看TCP报文的格式：

然后这是我们抓取的TCP包：

我们就对这个进行解释：

首先souce port是源端口：3042，然后destination port是目的端口80

sequence number是序列号：1

acknowledge number是确认号：2

header length是头长度 ：20 bytes

flags是标志位： ox011 展开后是这样的

window size value是 窗口大小：65323

checksum是校验和：

传输的数据是最下面的

整个传输状态是这个样子的：

13 1.928115000192.168.1.10961.135.162.115TCP54journee > http [FIN, ACK] Seq=1 Ack=2 Win=65323 Len=0

 

三，对DNS进行操作

我们现在进行DNS包的抓取，

首先看DNS报文格式：参考对DNS报文分析：http://wenku.baidu.com/view/7f0bbd44a8956bec0975e3fc.html?from=search和 http://wenku.baidu.com/view/4ec79e79b307e87100f69627.html?from=search

对这个DNS报文进行分析：

该报文是由12字节的首部和4个长度可变的字节组成 
标识字段：占用两个字节，由客户程序设置，并由服务器返回结果

 标志字段：该字段占两个字节长，被细分成8个字段：

 QR：1bits字段，0表示查询报文，1表示响应报文 

Opcode：4bits字段，通常值为0（标准查询），其他值为1（反向查询）和2（服务器状态请求） 

AA：1bits标志表示授权回答（authoritive answer）,该名字服务器是授权于该领域的 

TC：1bits字段，表示可截（truncated），使用UDP时，它表示当应答的总长度超过512字节时，只返回前512个字节 
RD：1bits字段，表示期望递归，该比特能在一个查询中设置，并在一个响应中返回，这个标志告诉名字服务器必须处理这个查询，也称为一个递归查询，如果该位为0，且被请求的名字服务器没有一个授权回答，它就返回一个能解答该查询的其他名字服务器列表，这称为迭代查询（期望递归） 

RA：1bits字段，表示可用递归，如果名字服务器支持递归查询，则在响应中将该bit置为1（可用递归）

 zero：必须为0 
rcode：是一个4bit的返回码字段，通常值为0（没有差错）和3（名字差错），名字差错只有从一个授权名字服务器上返回，它表示在查询中指定的域名不存在 
随后的4个bit字段说明最后4个变长字段中包含的条目数，

然后查询问题：

然后是 DNS响应报文的资源记录格式：

然后这是我们抓取的DNS报文：

然后我们对这个流量包进行分析：

首先这是一个响应报文，

flag展开后是这样的：

问题查询 weibo.com的IP地址，

四，对HTTP进行操作

然后我们在对HTTP包进行抓取，

首先解析HTTP协议报文：http://wenku.baidu.com/view/1bbaf26d27d3240c8447efd2.html?re=view

然后是http响应报文

然后我们对HTTP协议抓包：

然后进行分析：

根据这个我们就可以对其进行分析了。