数据包分析

谢谢聆听
部和尾部协议信息。数据包指的就是一个完整的PDU。
目标
了解网络特征；查看通来自百度文库主体；确认占用带宽者；识别网络高峰时段；识别攻击和恶意活动；查找不安全和滥
用网络的应用。
软件
Tcpdump（命令行）；OmniPeek（GUI）；Wireshark（GUI）
Wireshark
Wireshark主窗口界面
可以对面板中的列进行排序、调整列位置、显示列或删除列等操作。
Packet Details面板
该面板分层地显示了一个数据包中的内容，并且可以通过展开或 收缩来显示这个数据包中所捕获到的全部内容。 在Packet Details面板中，默认显示的数据的详细信息都是合并 的。如果要查看，可以点击每行前面的+号展开帧的会话。用户 也可以选择其中每一行并单击右键，在弹出的菜单中选择展开子 树或展开全部展开单个会话或所有会话。
Wireshark基本用法
跟踪流
认识数据包
认识数据包
Wireshark将从网络中捕获到的二进制按照不同的协议包结构规范，显示在Packet Details面板中。在Wireshark中关于数据包的叫法有三个术语，分别是帧、包、段。
Frame：物理层的数据 帧概况。 Ethernet Ⅱ：数据链路 层以太网帧头部信息。 Internet Protocol Version 4：互联网层IP 包头部信息。 Transmission Control Protocol：传输层的数 据段头部信息，此处是 TCP协议。 Hypertext Transfer Protocol：应用层的信 息，此处是HTTP协议。
Wireshark面板
Wireshark面板
Packet List面板
No.列：包的编号。该编号不会发生改变，即使使用了过滤也同 样如此。 Time列：包的时间戳。 Source和Destination列：显示包的源地址和目的地址。 Protocol列：显示包的协议类型。 Length列：显示包的长度。 Info列：显示包的附加信息。
contains matches http contains "https://www.wireshark.org " wsp.user_agent matches "(?i)cldc"
Wireshark基本用法
过滤器
ip tcp udp http ftp
ip.dst eq www.mit.edu ip.src == 192.168.1.1
Wireshark基本用法
过滤器
比较运算符：
eq, == Equal ne, != Not Equal gt, > Greater Than lt, < Less Than ge, >= Greater than or Equal to le, <= Less than or Equal to
搜索匹配：
数据包分析
数据包分析——IP协议
数据包分析——IP协议
数据包分析——TCP协议
数据包分析——TCP协议
数据包分析——TCP协议
数据包分析——TCP协议
数据包分析——TCP 三次握手
数据包分析——TCP 三次握手
数据包分析——TCP 三次握手
数据包分析——TCP 三次握手
数据包分析——TCP 三次握手
数据包分析
杜艺璇
数据包分析是什么？
数据包分析是什么？
数据包分析
也叫数据包嗅探或协议分析：指捕获和解析网络上在线传输数据的过程，为了能更好地了解网络上正在发生的 事情。
数据封装
协议栈中的每层协议都负责在传输数据上增加一个协议头部或尾部，其中包含了使协议栈之间能够进行通信的
额外信息。数据封装过程将创建一个协议数据单元PDU，其中包括正在发送的网络数据，以及所有增加的头
标题栏
菜单栏 工具栏 显示过滤区域 Packet List面板
Packet Details面板 Packet Bytes面板 状态栏
Wireshark基本用法
查找：Ctrl+F
搜索类型 正则表达式筛选 十六进制值筛选 字符串筛选 例子 Ip.addr==192.168.0.1 00:ff Workstation
Packet Bytes面板
该面板中的内容可能是最令人困惑的。因为它显示了一个数据包 未经处理的原始样子，也就是其在链路上传播时的样子。 在该面板中的数据是以十六进制和ACSII格式显示了帧的内容。 当在Packet Details面板中选择任意一个字段后，在Packet Bytes面板中包含该字段的字节也高亮显示。