使用wireshark分析tcp/ip报文之报文头

Posted 太白的技术博客

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了使用wireshark分析tcp/ip报文之报文头相关的知识,希望对你有一定的参考价值。

以太网报文的结构如下:

其中,以太网的帧头:

14 Bytes:MAC目的地址48bit(6B),MAC源地址48bit(6B),Type域2B,一共14B。

IP头部:

TCP头部:

 

http://blog.163.com/tianshuai11@126/blog/static/618945432011101110497885/

http://www.cnblogs.com/zhuzhu2016/p/5797534.html

也就是报文的头部一共有54字节。下面以一个简单的http请求查看以太网报文的实际情况,如下:

 

 

 

报文头54字节的内容如下:

 

应用数据,就是tcp segment,本tcp报文体长度tcp segment len。

对于tcp流,在wireshark中,可右键报文条目,追踪流自动踢掉头部信息,如下:

这样可以只显示报文体数据,如下:

 

 这样,明显对于文本流比如HTTP,完全可以分析简化很多。

以上是关于使用wireshark分析tcp/ip报文之报文头的主要内容,如果未能解决你的问题,请参考以下文章

Linux 网络协议栈开发基础篇—— 使用wireshark分析TCP/IP协议中TCP包头的格式

Wireshark使用介绍:应用Wireshark观察基本网络协议

wireshark抓取OSPF协议交互的5种报文分析OSPF路由协议建立邻接关系的过程

HTTP报文

Modbus TCP协议使用说明

Modbus TCP协议使用说明