Wireshark 认识捕获的分析数据包（及各个分层协议的介绍）

综述：认识Wireshark捕获数据包

当我们对Wireshark主窗口各部分作用了解了，学会捕获数据了，接下来就该去认识这些捕获的数据包了。Wireshark将从网络中捕获到的二进制数据按照不同的协议包结构规范，显示在Packet Details面板中。为了帮助用户能够清楚的分析数据，本节将介绍识别数据包的方法。

在Wireshark中关于数据包的叫法有三个术语，分别是帧、包、段。下面通过分析一个数据包，来介绍这三个术语。

一、wireshark三个面板介绍

（在edit->Preference->User info->Layout中可修改面板情况 ）：

1、"Pcaket List"面板 （包列表）

Packet list/包列表面板显示所有当前捕捉的包
列表中的每行显示捕捉文件的一个包。如果您选择其中一行，该包得更多情况会显示在"Packet Detail/包详情"，"Packet Byte/包字节"面板
在分析(解剖)包时，Wireshark会将协议信息放到各个列。 因为高层协议通常会覆盖底层协议，您通常在包列表面板看到的都是每个包的最高层协议描述。（在这里高层是应用层，底层是数据链路层）

2、 "Packet Details"面板（包详情）

"Packet Details/包详情"面板显示当前包(在包列表面板被选中的包)的详情列表。
该面板显示包列表面板选中包的协议及协议字段，协议及字段以树状方式组织。你可以展开或折叠它们。
右击它们会获得相关的上下文菜单。
某些协议字段会以特殊方式显示

3、"Packet Byte"面板（包字节）

面板以16进制转储方式显示当前选择包的数据
通常在16进制转储形式中，左侧显示 包数据偏移量，中间栏以16进制表示，右侧显示为对应的ASCII字符  （包数据偏移量是相对第一个包进行偏移）

二、各行信息如下所示：

  Frame：物理层的数据帧概况。
  Ethernet II：数据链路层以太网帧头部信息。
  Internet Protocol Version 4：互联网层IP包头部信息。
  Transmission Control Protocol：传输层的数据段头部信息，此处是TCP协议。
  Hypertext Transfer Protocol：应用层的信息，此处是HTTP协议。
 
下面分别介绍下，帧、包和段内展开的内容。如下所示：

1、物理层的数据帧概况

   Frame 5: 268 bytes on wire (2144 bits), 268 bytes captured (2144 bits) on interface 0   #5号帧，线路268字节，实际捕获268字节
   Interface id: 0                                                                                       #接口id
   Encapsulation type: Ethernet (1)                                                          #封装类型
   Arrival Time: Jun 11, 2015 05:12:18.469086 中国标准时间                 #捕获日期和时间
   [Time shift for this packet: 0. seconds]
   Epoch Time: 1402449138.469086 seconds
   [Time delta from previous captured frame: 0.025257 seconds]            #此包与前一包的时间间隔
   [Time since reference or first frame: 0.537138 seconds]                      #此包与第一帧的时间间隔
   Frame Number: 5                                                                             #帧序号
   Frame Length: 268 bytes (2144 bits)                                                   #帧长度
   Capture Length: 268 bytes (2144 bits)                                                 #捕获长度
   [Frame is marked: False]                                                                    #此帧是否做了标记：否
   [Frame is ignored: False]                                                                    #此帧是否被忽略：否
   [Protocols in frame: eth:ip:tcp:http]                                                      #帧内封装的协议层次结构
   [Number of per-protocol-data: 2]                                                       
   [Hypertext Transfer Protocol, key 0]
   [Transmission Control Protocol, key 0]
   [Coloring Rule Name: HTTP]                                                                #着色标记的协议名称
   [Coloring Rule String: http tcp.port == 80]                                            #着色规则显示的字符串
 

2、数据链路层以太网帧头部信息

   Ethernet II, Src: Giga-Byt_c8:4c:89 (1c:6f:65:c8:4c:89), Dst: Tp-LinkT_f9:3c:c0 (6c:e8:73:f9:3c:c0)
   Destination: Tp-LinkT_f9:3c:c0 (6c:e8:73:f9:3c:c0)                                  #目标MAC地址
   Source: Giga-Byt_c8:4c:89 (1c:6f:65:c8:4c:89)                                        #源MAC地址
   Type: IP (0x0800)
 

3、互联网层IP包头部信息

    Internet Protocol Version 4, Src: 192.168.0.104 (192.168.0.104), Dst: 61.182.140.146 (61.182.140.146)
    Version: 4                                                                                        #互联网协议IPv4
    Header length: 20 bytes                                                                     #IP包头部长度
    Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport))         #差分服务字段
    Total Length: 254                                                                                #IP包的总长度
    Identification: 0x5bb5 (23477)                                                              #标志字段
    Flags: 0x02 (Don't Fragment)                                                                #标记字段
    Fragment offset: 0                                                                                #分的偏移量
    Time to live: 64                                                                                    #生存期TTL
    Protocol: TCP (6)                                                                                  #此包内封装的上层协议为TCP
    Header checksum: 0x52ec [validation disabled]                                      #头部数据的校验和
    Source: 192.168.0.104 (192.168.0.104)                                                    #源IP地址
    Destination: 61.182.140.146 (61.182.140.146)                                          #目标IP地址
 

4、传输层TCP数据段头部信息

   Transmission Control Protocol, Src Port: 51833 (51833), Dst Port: http (80), Seq: 1, Ack: 1, Len: 214
    Source port: 51833 (51833)                                                            #源端口号
    Destination port: http (80)                                                              #目标端口号
    Sequence number: 1    (relative sequence number)                           #序列号（相对序列号）
    [Next sequence number: 215    (relative sequence number)]              #下一个序列号
    Acknowledgment number: 1    (relative ack number)                         #确认序列号
    Header length: 20 bytes                                                                  #头部长度
    Flags: 0x018 (PSH, ACK)                                                                   #TCP标记字段
    Window size value: 64800                                                                #流量控制的窗口大小
    Checksum: 0x677e [validation disabled]                                            #TCP数据段的校验和