Wireshark详解系列(五)——从分层模型和数据包封装认识数据包解码

原创 已于 2024-11-22 17:08:07 修改 · 1.7k 阅读 · 27
标签
#wireshark #测试工具 #网络
于 2024-11-22 15:32:00 首次发布

前篇

上一篇文章我们引入了一个实例,让大家了解了用Wireshark能实现的价值。要精通Wireshark,其实需要做到2点:一是熟悉Wireshark的界面、功能及使用方法;而是对网络协议有深层次的理解。所以免不了要讲一些和基础相关的东西,希望不要跳过基础知识学习。本篇文章细节内容较多,可能会比较费时。

文章目录

前言

这周行里上新设备,挺折腾,没能第一时间更新。要周末了,终于有点儿时间可以给大家继续讲解Wireshark。今天计划跟大家讲讲Wireshark的数据包解码界面,周末构思了很久,觉得还是有必要把网络分层模型、数据包封装解封装和数据包结构给大家讲解一下,在对这些基础知识掌握了以后,再使用Wireshark才能够做到水到渠成。希望大家能一步一个脚印,不要想着一口气吃成个大胖子。

一、网络分层模型和数据包结构

我不想把文章写成教材里面的样子,能用大白话就尽量用大白话来解释。先看张图(图片来源于网络):
网络分层模型
相信计算机相关专业的都知道OSI7层模型或TCP/IP分层模型。我这里就把分层模型和数据包结合着讲,其实就是把网络职责进行分工:

(1)物理层:实现数据包物理传递(研究通过各种载体(线缆),把电压电平信号传递到对面去,保证我网卡发出10100110,对面收到也是10100110)。数据包里看不到物理层的信息,wireshark解码中看到的数据包标号和捕获时间都是网卡加上去的。
(2)数据链路层(2层):解决局域网(本地网)通信的一层。举例:你要上互联网,所有的数据就需要交给网关,你和本地网关(比如你家里的TP-Link路由器)通信就是局域网通信的一种。2层通信靠MAC地址,在二层传输要实现数据包传输,数据包就必须包含足够的二层信息(包含在数据包包头中)。
(3)网络层(3层):解决互联网通信的一层。举例:上海的数据包要发到北京,就需要三层设备进行中转(路由器,用路由表进行转发),3层通信靠IP地址,要让三层设备知道往哪儿转发,数据包就必须包含足够的三层信息(包含在数据包包头中)。
(4)传输层(4层):QQ的数据包不能让微信收吧?传输层就是解决进程(QQ)和进程之间通信的一层。要传输可靠就用TCP,要传输效率高就用UDP。因此,数据包还得有足够的第四层

最低0.47元/天 解锁文章
不藏了!Wireshark 命令、捕获、过滤器大全分享给你
网络技术联盟站
12-30 609
Wireshark,这款广受欢迎的开源网络协议分析工具,堪称网络管理员、网络安全专家网络爱好者的“显微镜”!它可以帮助我们捕获网络中的数据包,并提供详细的解码分析能力。本文将为您全面剖析 Wireshark 的强大功能,从基础到高级,让你快速掌握这个神器!💡Wireshark 是一款功能强大的网络协议分析器,最早由 Gerald Combs 于 1998 年开发,经过多年发展,已成为网络诊断分析的首选工具。
wireshark协议或者协议内容解码异常
weixin_45617372的博客
09-23 3393
使用wireshark分析数据包时,是不是会经常遇到自己的wireshark没能解码出自己想看到的协议或者协议内容,但是别人的可以,这通常是wireshark协议配置的问题,通常有以下2种情况。 nas解码异常 sip解码异常 协议不能识别
计算机网络实验3 Wireshark软件使用与协议分析
m0_62776884的博客
12-29 2941
1.ping命令, 是测试网络最有效的工具之一。3. 执行 Traceroute 命令,观察 ICMP 差错报文的结构,并分析其工作原理:使用Linux 操作系统提供的 traceroute 命令(或者 Windows 系统提供的 tracert 命令),捕获分析该命令所产生的 IP 数据报,特别注意相关的 ICMP 差错报文。3. 主机B比较自己的IP地址ARP请求报文中的目标IP地址,当两者相同时进行如下处理:将ARP请求报文中的发送端(即主机A)的IP地址MAC地址存入自己的ARP表中。
网络实战:如何使用 Wireshark 进行网络数据包分析?(超详细入门+实战教程)
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!✨
04-11 522
Wireshark 是全球最流行的免费开源网络数据包分析工具,广泛用于网络排错、协议学习、安全审计、故障定位。无论是新手学习网络协议,还是工程师定位复杂网络问题,Wireshark 都是必备神器。本文带你从零开始,掌握 Wireshark安装、抓包、过滤、分析、排错全流程,附带流程图、实战步骤,可直接用于工作与学习。Wireshark 是一款网络数据包捕获与分析工具,可以实时抓取网卡收发的所有数据,并对数据包进行解析、展示、过滤、统计。输入过滤规则,筛选需要的数据包
wireshark解码失败/解码解析解包不全不完整/配置设置解决方法
u013865052的博客
05-08 6119
wireshark本身配置有很多坑,会导致本来正确的包在软件种显示是不全的按照以下步骤逐一检查,其他问题欢迎留言讨论。 wireshark 解析 抓包 解码失败 bug
Wireshark对HTTPS数据的解密
qq_42801460的博客
03-27 7471
除此之外,上面还有很多TLSv1.2的东东,比如:client_key_exchange、Session Ticket,这是最初提到过的TLS握手过程的第四步步,并不是请求数据包的内容,因此看到其中像是没有解密的内容也不要奇怪哦。以windows系统+Chrome浏览器为例,首先要导出浏览器存储的密钥,通过计算机属性——高级系统设置——环境变量,新建一个变量名“SSLKEYLOGFILE”的变量,变量值是导出的密钥具体文件地址。如下图显示,这里不展开,有兴趣的童鞋可以继续自行深入了解。
使用Wireshark解密SSL/TLS数据包并调试
热门推荐
心梦无痕
02-17 4万+
使用Wireshark解密SSL/TLS数据 我们使用wireshark抓取的HTTPS数据包,可以使用wireshark通过以下两种方式直接解密查看 1. 用服务器证书私钥解码 第一种方法是:使用服务器证书的私钥进行解码。 在IIS上导出服务器证书私钥 第一步我们需要从网站服务器上导出证书私钥,这里拿IIS服务器举例。 打开IIS站点所绑定的服务器证书,点击查看 详细信息 页,点击 复制到文件...
wireshark解析https数据包
lp888lp的博客
04-14 8026
wireshark解析https确定秘钥交换类型配置解密的证书正常情况下,可以看到http层的明文。 这里介绍如何进行https数据包的解密,获取数据包应用层的信息,例如url、json、xml等等。 本步骤适合 能获取服务器证书的场景下的 ssl数据包全量解密。 需要说明的是,仅RSA算法的ssl可以进行解码,其它秘钥交换算法是不可解密的。 确定秘钥交换类型 使用wireshark打开https...
Wireshark数据包分析入门
li963820454的博客
04-24 2590
wireshark基础分析方法入门,入门三次握手包分析,记录常见数据包分析方法与注意事项。
Wireshark简单介绍数据包分析
chonghu5376的博客
07-30 2843
前言 Wireshark是一款世界范围最广、最好用的网络封包分析软件,功能强大,界面友好直观,操作起来非常方便。它的创始人是Gerald Combs,前身是Ethereal,作为开源项目经过众多开发者的完善它已经成为使用量最大的安全工具之一。在CTF中也经常会使用wireshark进...
如何让wireshark解码任意层的数据
peng_yw的专栏
03-29 1万+
前几天,需要解码iphone吐出的LTE-RRC数据包,对于协议解码,自然第一想到的是wireshark工具。但是wireshark解码默认都是需要从其支持的链路层开始解码,否则是不能直接打开LTE-RRC数据包的,即使这个数据包存为了pcap文件格式。这是因为从iphone拿到的lte数据包,是从L3 RRC层开始的,并不包含链路层MAC、RLC等层。而实际上,这种情况是很多的,例如你有时只获
wireshark应用数据包简析
aarong的博客
10-12 1989
一、抓取网站的数据包 二、抓取QQ的数据(oicq) 三、PingICMP
wireshark diameter协议解码问题
weixin_45617372的博客
12-23 3863
wireshark正确将tcp&sctp解析为diameter协议 在现网中经常使用到diameter协议,例如EPC的Gx,Gy,S6a接口,IMS网络中有更多的是diameter接口,一般与PCRFHSS交互的接口使用的都是diameter协议。 但是有时候我们wireshark抓到的diameter数据包,打开时没能正确显示成diameter协议,所以我们就无法看到里面承载的信息,...
Wireshark数据包解码与显示过滤实战:从协议解析到精准排查
最新发布
weixin_33692284的博客
06-22 265
数据包分析是网络通信调试与安全排查的基石,其核心在于将原始比特流转化为可理解的信息。这一过程依赖于解码器与过滤器两大引擎:解码器依据协议规范将二进制数据翻译为结构化字段,而过滤器则基于这些字段实现数据的快速筛选与聚焦。掌握这两项技术,能极大提升物联网、工业自动化等场景下的通信问题定位效率。例如,面对海量抓包数据,通过编写精准的显示过滤表达式,可以快速隔离特定设备(如Modbus从站)或特定操作(如MQTT主题发布),从而将分析目标从“数据海洋”收敛至“关键证据”。本文以Wireshark为例,深入剖析解码
Wireshark数据包分析实战案例详解与应用
weixin_42509513的博客
11-10 1118
简介:Wireshark是一款开源的网络协议分析工具,广泛应用于网络故障排查、安全分析性能优化,支持Windows、LinuxmacOS等多平台。本实战案例深入讲解如何使用Wireshark进行数据包捕获与解析,涵盖其在Cisco网络设备环境中的实际应用。内容包括Wireshark的核心功能如实时流量捕获、多层协议解析、强大过滤表达式(如tcp.port == 80)的使用,以及对TCP/IP、ARP、DNS、HTTP等常见协议的深度解读。
Wireshark传感器网络协议分析:从数据包解码到显示过滤实战
weixin_30251829的博客
06-22 345
网络协议分析是理解设备间通信、诊断故障的核心技术。其原理在于对网络数据流进行捕获、解码与解析,将原始二进制数据转化为可读的协议字段信息。这项技术的核心价值在于实现网络黑盒的可视化,是运维、开发物联网领域进行性能优化与问题排查的基石。在工业物联网、环境监测等传感器网络应用场景中,面对Modbus TCP、MQTT等各类协议,掌握高效的分析方法至关重要。其中,数据包解码负责翻译协议‘语言’,而显示过滤则用于海量数据中精准定位目标。本文将以Wireshark这一主流工具为例,深入讲解如何利用其强大的解码过滤
wireshark:使用捕获的数据包
OceanStar的博客
11-29 5867
查看抓包信息 一旦你捕获了一些数据包或者打开了以前保护的捕获文件,你就可以通过单击数据包列表窗格中的数据包来查看数据包列表窗格中显示的数据包,这将在树状视图字节视图窗格中显示所选数据包 然后,就可以展开树的任何部分来查看每个包中每个协议的详细信息。单击树中的一个项目将突出显示字节视图中相应的字节。下图显示了一个选中TCP报文的示例,“Wireshark选择查看一个TCP报文”。它还具有选定的TCP报头中的确认号,该编号在字节视图中显示为选定的字节。 此外,你还可以在单独的窗口中查看各个数据包,如下图,
wireshark 抓 蓝牙数据_使用Wireshark 抓取数据包
weixin_39983404的博客
12-22 6308
Wireshark 是一个网络封包分析软件。网络封包分析软件的功能是获取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。一 安装配置WireShark环境1 安装 WireSharek去官网上下载最新的而且稳定的版本 。https://www.wireshark.org/download.html根据使用的操作系统类型,...
Wireshark使用详解
weixin_43790613的博客
02-10 2万+
文章目录 如果测试本地地址,需要在本地环回口测试,如果去外网,需要在WLAN接口测试
Wireshark与Npcap网络数据包分析实战
weixin_31860973的博客
05-09 1593
Wireshark是一款开源的网络协议分析器,最初名为Ethereal,由Gerald Combs于1998年创建。经过数十年的发展,Wireshark已成为IT专业人士不可或缺的网络故障排查数据包分析工具。它支持多平台运行,包括Windows、LinuxmacOS,并且拥有一个庞大且活跃的开发者社区,不断添加新的功能协议支持。Npcap是Windows平台上的一款用于网络数据包捕获的库驱动程序。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值