介绍

网络协议

网络协议是网络通信的基础规则，定义了数据如何在网络中传输。Wireshark 通过解码这些协议，如 TCP、UDP、HTTP 等，帮助分析网络通信的细节。理解网络协议有助于诊断网络问题，优化性能，并确保数据传输的安全。掌握 Wireshark 的解码功能，可以深入洞察数据包的结构和内容，从而成为网络问题的专家。

数据解码

数据解码是 Wireshark 的核心功能之一，它将捕获的二进制数据转换为人类可读的形式。通过解码不同的数据字段，如源/目标 IP 地址、端口号、数据负载等，用户可以快速理解网络通信的上下文。熟练使用数据解码功能，不仅能够帮助识别网络问题，还能揭示隐藏的安全威胁，是网络分析和故障排除的关键技能。

抓包分析

抓包分析是通过捕获网络数据包来诊断和分析网络问题的过程。Wireshark 提供了强大的抓包和过滤功能，使用户能够从海量的网络数据中筛选出关键信息。通过抓包分析，可以追踪数据包的传输路径，识别延迟和丢包问题，甚至发现网络攻击。掌握抓包分析技术，是提升网络故障排查能力和网络安全防护水平的重要手段。

流程

1.初次抓包

通过双击目标网关的方式，可以启动对网络数据包的捕获操作。

上图中所显示的信息从上到下分布在 3 个面板中，每个面板包含的信息含义如下：

• • Packet List 面板：在上方区域，展示了由 Wireshark 捕捉到的全部数据包，并且这些数据包是按照顺序从 1 开始编号的。
• • Packet Details 面板：中间部分，显示一个数据包的详细内容信息，并且以层次结构进行显示。这些层次结构默认是折叠起来的，用户可以展开查看详细的内容信息。
• • Packet Bytes 面板：在下面的部分，将展示一个数据包未经处理的原始形态，其中数据同时以十六进制和 ASCII 格式呈现。

在Packet Details面板中：

• • Frame:物理层的数据帧概况。
• • Ethernet II:数据链路层以太网帧头部信息。
• • Internet Protocol Version 4:互联网层中IP数据包的头部数据信息。
• • Transmission Control Protocol:传输层的数据段头部信息，此处是TCP协议。
• • Hypertext Transfer Protocol:在网络通信的语境下，当前阶段所涉及的应用层协议具体为超文本传输协议（HTTP）。

2.捕获选项设置

点击 捕获-->选项，取消勾选“在所有接口上使用混杂模式”，为了方便后续的抓包分析并排除干扰项，您可以选择安装自己所需的网卡，比如WLAN，然后点击确认完成此操作；当然，此步骤并非强制执行，您可以根据个人需求来决定是否执行。

3.抓包分析

ARP (Address Resolution Protocol）协议，即地址解析协议。该协议的功能就是将IP地址解析成MAC地址。
首先在Wireshark中进行过滤器arp筛选；

 接下来，我们可以通过命令提示符（cmd）来执行ping操作，向一个指定的IP地址发送数据包。为了便于测试网络的连通性，我们通常建议选择同一局域网内的IP地址进行测试。但在此示例中，为了展示如何使用该命令，我们将以ping www.douyin.com 为例进行操作，具体步骤如下：

 Wireshark中arp协议的解析：

4.IP协议抓包分析

互联网协议IP是Internet Protocol的缩写，中文缩写为“网协”。IP协议是位于OSI模型中第三层的协议，其主要目的就是使得网络间能够互联通信。前面介绍了ARP协议,该协议用在第二层处理单一网络中的通信。与与此类似，第三层在功能上承担着跨网络通信地址的管理职责。在这一层级中，多种协议并行工作，其中最为广泛使用且至关重要的协议便是互联网协议（IP）。
首先在Wireshark中启动抓包；捕获IP协议数据包存在多种途径，例如通过打开一个网页或在命令行中使用ping指令，下文将演示以ping www.douyin.com 为例的操作步骤。

在Wireshark中，我们已经成功捕获了相当数量的数据包，接下来可以通过应用过滤器ip.addr == 112.19.197.277来精确筛选出目标IP地址为112.19.197.277的数据包。

ip协议抓包分析

在所述内容中，Internet Control Message Protocol 通常被称为 ICMP 协议，用于描述相关的协议数据包信息。

5.TCP协议抓包分析

TCP (Transmission Control Protocol，传输控制协议）它是一种以连接为导向、具备高度可靠性以及基于IP协议的传输层协议。其核心宗旨在于为数据传输建立可靠的端到端通道。TCP协议在RFC793文档中被详细规定，并且在OSI参考模型中运行于第四层。该协议不仅能够有效管理数据的传输顺序，还能够执行错误恢复机制，最终确保数据能够准确无误地送达目的地。但是，该协议的过程比较复杂。
TCP是面向连接的通信协议。在通信过程中，通过三次握手建立连接。通信结束后,还需要断开连接。如果在发送数据包时，没有被正确发送到目的地，将会重新发送数据包。

TCP三次握手

1．第一次握手
第一次握手建立连接时，客户端向服务器发送SYN报文（Seq=x，SYN=1)，并进入SYN_SENT状态,等待服务器确认。
2.第二次握手
第二次握手过程实际上包含两个关键步骤，分别是发送SYN（请求）报文和接收ACK（确认）报文，这两个部分共同构成了完整的握手动作。

(1）服务器收到了客户端的请求，向客户端回复一个确认信息(Ack=x+1)。
(2）服务器再向客户端发送一个SYN包(Seq=y）建立连接的请求，此时服务器进入SYN_RECV状态。

3．第三次握手
在TCP连接建立过程中的第三个阶段，即第三次握手时，客户端会收到来自服务器的确认回复，该回复包含SYN和ACK报文。收到此回复后，客户端需要立即向服务器回发一个确认包（ACK），以响应服务器的请求。当这个确认包成功发送之后，客户端与服务器双方的状态都将转变为ESTABLISHED，这意味着三次握手的过程宣告完成，此时双方就可以开始进行实际的数据传输工作了。  

TCP四次挥手 

为了捕获网络数据包，我们首先需要启动Wireshark软件。如果初始状态下没有数据显示任何数据包，可以通过在浏览器中加载一个网页来触发数据流。例如，可以访问百度首页，点击新闻分类下的某个链接以打开一个新闻页面，随后关闭该页面。此时，在Wireshark中应该能够捕获到大量的网络数据。为了更精确地查看HTTP相关的数据，可以在Wireshark的过滤器栏中输入"http"作为过滤条件。

 选中一个http记录，右键—>追踪—>tcp流，即可看到一个完整的tcp三次握手。

完整的TCP三次握手如下： 

TCP协议抓包包分析:

第二次和第三次握手的字段内容与第一次握手的字段内容大体一致，主要的差异在于Ack和Seq这两个字段的取值有所不同。 

TCP协议的四次挥手过程与三次握手阶段在基本原理上具有相似性，我们可以利用过滤器 tcp.flags.fin==1 来定位识别出用于发起挥手动作的数据包。

为了分析端口号有来有回的数据包，我们将首先监控并捕获这些数据包，然后利用过滤器 tcp.port==50788 对捕获到的数据包进行筛选，最终目的是找出并识别出完整的四次挥手过程。

6.UDP协议抓包分析

UDP是User Datagram Protocol (用户数据报协议）的简称。它是OSI七层模型中一种无连接的传输层协议,提供面向事务的简单的不可靠信息传送服务。
UDP协议就是一种无连接的协议。该协议用来支撑那些需要在计算机之间传输数据的网络应用，包括网络视频会议系统在内的众多客户/服务器模式的网络应用。
UDP协议的主要作用就是将网络数据流量压缩成数据包的形式。一个典型的数据包就是一个二进制数据的传输单位。每一个数据包的前8字节用来包含包头信息，剩余字节则用来包含具体的传输数据。
通过使用网络抓包工具，例如启动Wireshark，并登录QQ应用程序或采用其他类似方式，可以捕获到大量UDP数据包。在Wireshark的过滤器栏中输入"udp"作为过滤条件，即可筛选出UDP类型的网络流量。接下来的分析内容如下：

7.ICMP协议抓包分析

 ICMP (Internet Control Message Protocol，网际报文控制协议）是Internet 协议族的核心协议之一，它主要用在网络计算机的操作系统中发送出错信息。例如，提示请求的服务不可用、主机或者路由不可达。ICMP协议依靠IP协议来完成其任务，通常也是P协议的一个集成部分。ICMP协议和TCP或UDP协议的目的不同，它一般不用来在端系统之间传送数据。它通常不被用户网络程序直接使用，或者是像Ping 和 tracert这样的诊断程序。

进行抓包，启动Wireshark，通过cmd命令ping一个ip，如ping www.douyin.com。

回到Wireshark中利用过滤器输入icmp进行筛选即可，分析如下：

Wireshark——过滤器设置

阅读原文：原文链接