wireshark网络抓取数据包分析

第一次总结的文档不知到被我放到哪里去了，找了很久没有总结出来，于是只能再总结一次，之前也是一直在学习协议。数据包的分析对于了解网络，尤其是理解协议来说很重要。我只是分析了TCP/IP协议族的部分常见协议，自己记上一笔，防止放在电脑上又被我给弄没了。。。

IP数据报格式

4位 版本	4位 首部	8位 服务类型	16位 总长度（字节数）
16位 标识			3位 标志	13位 片偏移
8位 生存时间（TTL）		8位 协议	16位 首部检验和
32位源IP地址
32位目的IP地址
选项
数据

Ip数据报结构分析，这是在wireshark下抓取的数据包分析

字段名	字节数	备注
Version	½	IP版本（4表示IPv4）
Headerlength	½	首部长度（20-60字节）
DifferentiatedServices Field	1	不同服务域（服务类型）
TotalLength	2	IP数据报的全长
Identification	2	识别IP数据报的编号
Flags	3/8	1位为0表示有分片，2位为0表示是最后的分片，为1表示接收中
FragmentOffset	13/8	分片在原分组中的位置
Timeto live	1	数据报寿命
Protocol	1	上层协议（1-ICMP，6-TCP，17-UDP）
Headerchecksum	2	报头校验码
SourceAddress	4	发送端IP地址
Destination	4	接收端IP地址
OptionsAnd Padding	4	选项及填充位

ARP/RARP数据报格式

48位 以太网目的地址	48位 以太网源地址	16位 帧类型	16位 硬件类型
16位 硬件类型	16位 协议类型	8位 硬件地址长度	8位 协议地址长度
16位 OP操作类型	48位 发送端以太网地址	32位 发送端IP地址
48位 目的以太网地址	32位 目的IP地址

ARP数据包分析

字段名	字节数	备注
Hardware type	2	硬件类型（以太网位1）
Protocoltype	2	上层协议类型（IP为800）
Hardwaresize	1	查询物理地址的字节长度（以太网为6）
Protocolsize	1	查询上层协议的字节长度（IPv4时为4）
Opcode	2	1-ARP请求，2-响应，3-RARP请求，4-响应
SenderMAC address	6	发送端硬件地址
SenderIP address	4	发送端IP地址
TargetMAC address	6	查询对象硬件地址
TargetIP address	4	查询对象IP地址

ICMP报文格式

ICMP协议是IP协议的补充，用于IP层的差错报告、拥塞控制、路径控制以及路由器或主机信息的获取。ICMP与IP协议位于同一层次（IP层），但ICMP报文是封装在IP数据报的数据部分进行传输的。

8位 类型	8位 代码	16位 检验和
不同类型和代码有不同的内容

ICMP报文结构分析

字段名	字节数	备注
Type	1	类型（差错报告、控制报文和请求应答报文）
Code	1	代码
Checksum	2	校验和
Identifier	2	鉴别
Sequencenumber	2	序列号

Tcp报文段格式

16位 源端口号								16位 目的端口号
32位 序号
32位 确认序号
4位 首部	6位 保留	URG	ACK	PSH	RST	SYN	FIN	16位 窗口大小
16位 检验和								16位 紧急指针
选项
数据

TCP报文段分析

字段名	字节数	备注
Sourceport	2	发送端端口号
Destinationport	2	接收端端口号
Sequencenumber	4	本报文段所发送的第一个字节的序号
Acknowledgementnumber	4	期望收到的下一个报文段的序号
Headerlength	½	首部长度
Reserved	¾	保留今后用
Flags	¾	控制位
Windowsize value	2	滑动窗口的大小
Checksum	2	校验和
UrgentPointer	2	紧急指针
Options	4	可选，填充

以太网帧格式

48位 目的MAC地址	48位 源MAC地址	16位 协议类型
以太网帧数据负载

以太网帧结构

字段名	字节数	备注
Destination	6	目的MAC地址
Source	6	源MAC地址
Type	2	协议类型 0x0800:IP协议数据包 0x0806:ARP协议数据包 0x0835:RARP协议数据包

物理层数据帧分析

Frame47:66bytes on wire(528bits),66bytes captured(528bits)

47号帧，线路上有66字节，实际捕获66字节

ArrivalTime:Dec 29,2012 11:38:13.636183000 CST

捕获时间为2012年12月29日11：38：13

EpochTime:1356752293.636183000 seconds

测试时间为1356752293.636183000秒

[Timedelta from previous captured frame:0.84780800 seconds]

[Timedelta from previous display frame:0.84780800 seconds]

[Timesince reference or first frame:12.353576 senconds]

此包与前一捕获帧的时间间隔为0.84780800秒，与前一个显示帧时间间隔为0.84780800秒， 与第一帧的时间间隔为 12.353576秒。

FrameNumber:47

FrameLength:66bytes(528bits)

CaptureLength:66bytes(528bits)

帧号为47，帧长为66字节，捕获到的帧长位66字节。

[Frameis marked:False]

[Frameis ignored:False]

[Protocolsin frame:eth:ip:tcp]

[ColoringRule Name:HTTP]

[ColoringRule String:http||tcp.port==80]

此帧没有被标记且没有被忽略，帧内封装的协议的层次结构为帧-ip-tcp,用不同颜色染色标记的协 议名位HTTP，染色显示规则字符串位http.