使用wireshark分析tcp/ip报文之报文头
Posted 太白的技术博客
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了使用wireshark分析tcp/ip报文之报文头相关的知识,希望对你有一定的参考价值。
以太网报文的结构如下:
其中,以太网的帧头:
14 Bytes:MAC目的地址48bit(6B),MAC源地址48bit(6B),Type域2B,一共14B。
IP头部:
TCP头部:
http://blog.163.com/tianshuai11@126/blog/static/618945432011101110497885/
http://www.cnblogs.com/zhuzhu2016/p/5797534.html
也就是报文的头部一共有54字节。下面以一个简单的http请求查看以太网报文的实际情况,如下:
报文头54字节的内容如下:
应用数据,就是tcp segment,本tcp报文体长度tcp segment len。
对于tcp流,在wireshark中,可右键报文条目,追踪流自动踢掉头部信息,如下:
这样可以只显示报文体数据,如下:
这样,明显对于文本流比如HTTP,完全可以分析简化很多。
以上是关于使用wireshark分析tcp/ip报文之报文头的主要内容,如果未能解决你的问题,请参考以下文章
Linux 网络协议栈开发基础篇—— 使用wireshark分析TCP/IP协议中TCP包头的格式
Wireshark使用介绍:应用Wireshark观察基本网络协议