Wireshark数据包分析教程

本教程将基于Wireshark工具捕获的数据包，逐步讲解网络数据帧中的各项信息，帮助你了解每个字段的含义及其作用。我们将从最基础的帧（Frame）信息开始，逐层解释包括以太网、IP、TCP、HTTP和JSON数据结构。

1. 捕获的帧信息

在Wireshark中，每一个数据包称为一个"帧"（Frame）。每个帧的基本信息包括帧号、帧长度、捕获接口等。我们来看一个实际捕获的数据包的结构：

Frame 307: 881 bytes on wire (7048 bits), 881 bytes captured (7048 bits) on interface en0, id 0
    Section number: 1
    Interface id: 0 (en0)
    Interface name: en0
    Interface description: Wi-Fi
    Encapsulation type: Ethernet (1)
    Arrival Time: Oct 10, 2024 14:55:11.336319000 CST
    [Time shift for this packet: 0.000000000 seconds]
    Epoch Time: 1728543311.336319000 seconds
    [Time delta from previous captured frame: 0.001562000 seconds]
    [Time delta from previous displayed frame: 0.001562000 seconds]
    [Time since reference or first frame: 5.208361000 seconds]
    Frame Number: 307
    Frame Length: 881 bytes (7048 bits)
    Capture Length: 881 bytes (7048 bits)
    [Frame is marked: False]
    [Frame is ignored: False]
    [Protocols in frame: eth:ethertype:ip:tcp:http:json]
    [Coloring Rule Name: HTTP]
    [Coloring Rule String: http || tcp.port == 80 || http2]

1.1. 基本信息

Frame 307：数据包的序号是307。
881 bytes on wire (7048 bits)：该帧在网络中传输的实际大小是881字节，合7048比特。
881 bytes captured：Wireshark捕获的帧长度也是881字节。
on interface en0 ：该帧通过接口en0（Wi-Fi接口）捕获。
Encapsulation type：该帧的封装类型是以太网（Ethernet），编号为1。

1.2. 时间信息

Arrival Time：数据包到达时间是2024年10月10日14:55:11.336 CST。
Epoch Time：Unix时间戳，表示自1970年1月1日以来的秒数。
Time delta：显示该帧与上一帧之间的时间间隔。
Time since reference or first frame：自捕获的第一个帧以来的时间。

1.3. 帧长信息

Frame Length：该帧的实际大小是881字节。
Capture Length：捕获的字节数也是881字节。

1.4. 协议信息

Protocols in frame：该帧中包含的协议层依次为以太网（eth）、以太网类型（ethertype）、IP（ip）、TCP（tcp）、HTTP（http）、JSON（json）。

2. 以太网层信息 (Ethernet II)

以太网是数据链路层协议，用于在局域网中传输数据。以下是该数据包的以太网层信息：

Ethernet II, Src: VMware_a5:21:6f (00:0c:29:a5:21:6f), Dst: Apple_17:27:a4 (a4:83:e7:17:27:a4)
    Destination: Apple_17:27:a4 (a4:83:e7:17:27:a4)
        Address: Apple_17:27:a4 (a4:83:e7:17:27:a4)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Source: VMware_a5:21:6f (00:0c:29:a5:21:6f)
        Address: VMware_a5:21:6f (00:0c:29:a5:21:6f)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Type: IPv4 (0x0800)

2.1. 源地址和目的地址

Src ：源MAC地址是VMware_a5:21:6f，表示数据包来自一台VMware虚拟机。
Dst ：目的MAC地址是Apple_17:27:a4，可能是一台Apple设备。

2.2. 地址类型

LG bit：表示地址是全球唯一的出厂地址（未经过本地修改）。
IG bit：表示这是一个单播地址。

2.3. 协议类型

Type ：协议类型为IPv4（0x0800），表示该帧封装的是IPv4协议数据。

3. IP层信息 (Internet Protocol Version 4)

IP层负责将数据包从源传送到目的IP地址。以下是该数据包的IP层信息：

Internet Protocol Version 4, Src: 192.168.2.20, Dst: 10.2.4.59
    0100 .... = Version: 4
    .... 0101 = Header Length: 20 bytes (5)
    Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
    Total Length: 867
    Identification: 0xdbb1 (56241)
    010. .... = Flags: 0x2, Don't fragment
    Time to Live: 62
    Protocol: TCP (6)
    Header Checksum: 0x8cea [validation disabled]
    Source Address: 192.168.2.20
    Destination Address: 10.2.4.59

3.1. 版本和头部长度

Version：IP协议版本为4（IPv4）。
Header Length：IP头部长度为20字节。

3.2. 服务类型

Differentiated Services Field：服务类型字段用于QoS（服务质量）管理，但这里的值为0，表示默认服务。

3.3. 标志

Flags：该包设置了"Don't fragment"标志，表示不要对该数据包进行分片。

3.4. TTL和协议

Time to Live (TTL)：数据包的生存时间为62跳。
Protocol：该数据包的传输协议是TCP（协议编号6）。

3.5. 源地址和目的地址

Source Address ：源IP地址为192.168.2.20。
Destination Address ：目的IP地址为10.2.4.59。

4. TCP层信息 (Transmission Control Protocol)

TCP是传输层协议，负责数据包的可靠传输。以下是TCP层的信息：

Transmission Control Protocol, Src Port: 8333, Dst Port: 63678, Seq: 1, Ack: 908, Len: 815
    Source Port: 8333
    Destination Port: 63678
    [TCP Flags: ·······AP···]
    Window: 241
    [Calculated window size: 30848]
    Checksum: 0xc375 [unverified]
    Urgent Pointer: 0

4.1. 源端口和目的端口

Source Port：源端口为8333，可能是服务器端口。
Destination Port：目的端口为63678，通常是客户端的临时端口。

4.2. 序列号和确认号

Seq (Sequence Number)：序列号为1，表示这是该TCP连接中传输的第一个字节。
Ack (Acknowledgment Number)：确认号为908，表示已经成功接收到的字节数。

4.3. TCP标志

TCP Flags：这里设置了PSH（Push）和ACK（Acknowledgment）标志，表示立即发送数据并确认接收到的数据。

4.4. 窗口大小

Window：当前接收窗口大小为241字节。

5. 应用层信息 (HTTP 和 JSON)

该帧包含一个HTTP响应和JSON数据：

Hypertext Transfer Protocol
    HTTP/1.1 200 OK\r\n
    Server: nginx/1.21.5\r\n
    Content-Type: application/json; charset=utf-8\r\n
JavaScript Object Notation: application/json
   

 Member: code = 200
    Member: message = success
    Member: data
        Array
            Object
                Member: id = 11000
                Member: name = 数据库

5.1. HTTP响应

HTTP/1.1 200 OK：这是HTTP协议的响应行，表示请求成功。
Content-Type ：响应内容类型是application/json，表明响应体是JSON数据。

5.2. JSON数据

Member: code = 200 ：JSON对象中的code字段表示请求状态为200（成功）。
Member: message = success ：message字段显示成功信息。
Member: data ：data字段包含一个数组，其中的对象有id和name字段，如id=11000，name=数据库。

总结

通过逐层解析网络数据包，Wireshark可以帮助我们了解网络通信的详细内容，包括传输的协议、地址信息、时间戳以及具体的应用数据（如HTTP和JSON）。这种分析方法能够有效地诊断网络问题，检测异常流量，并优化网络性能。

Wireshark是一款功能强大的网络分析工具，熟练使用它可以为网络管理与安全带来极大便利。