Wireshark分析器分析数据流过程
分析包是Wireshark最强大的功能之一。分析数据流过程就是将数据转换为可以理解的请求、应答、拒绝和重发等。帧包括了从捕获引擎或监听库到核心引擎的信息。Wireshark中的格式由成千上万的协议和应用程序使用,它可以调用各种各样的分析器,以可读的格式将字段分开并显示它们的含义。下面将介绍详细分析Wireshark的包信息。
例如,一个以太网网络中的主机向Web网站发送HTTP GET请求时,这个包将由五个处理器进行处理。分别如下所示:
1.帧分析器
帧分析器用来检测和显示捕获文件的基本信息,如每个帧的时间戳,如图2.14所示。然后帧分析器传递帧给以太网分析器。
图2.14 帧分析器
从该界面可以看到第5帧中的一些基本信息。例如,帧的编号为5(捕获时的编号),帧的大小为268个字节,帧被捕获的日期和时间,该帧和前一个帧的捕获时间差以及和第一个帧的捕获时间差等。
2.以太网分析器
以太网分析器用来解码、显示以太网帧(Ethernet II)头部的字段、字段类型的内容等。然后传递给下一个分析器,也就是IPv4分析器。如图2.15所示,该字段类型值为0x0806,0x0806表示是一个IP头部。
图2.15 以太网分析器
从该界面可以看到在以太网帧头部中封装的信息,包括发送方的源MAC地址和目标MAC地址。
3.IPv4分析器
IPv4分析器用来解码IPv4头部的字段,并基于协议字段的内容传递包到下一个分析器。如图2.16所示,该界面显示了IPv4分析器中的内容。
图2.16 IPv4分析器
从该界面可以看到TCP协议字段的值为6。
4.TCP分析器接管
TCP分析器用于解码TCP头部的字段,并基于端口字段的内容,将帧传递给下一个分析器。如图2.17所示,该界面显示了TCP分析器中的内容。
图2.17 TCP分析器
从该界面可以看到,目标端口为HTTP协议的80端口。在下一节,将介绍Wireshark如何处理运行在非标准端口上的流量。
5.HTTP分析器接管
在本例中,HTTP分析器解码HTTP包的字段。在该包中没有嵌入式的协议或应用程序,所以这是帧中应用的最后一个分析器,如图2.18所示。
图2.18 HTTP分析器
从该界面可以看到,客户端口请求了xxxxxxxxxxxxxx网站。