Wireshark分析器分析資料流過程

Wireshark分析器分析資料流過程

分析包是Wireshark最強大的功能之一。分析資料流過程就是將資料轉換為可以理解的請求、應答、拒絕和重發等。幀包括了從捕獲引擎或監聽庫到核心引擎的資訊。Wireshark中的格式由成千上萬的協議和應用程式使用，它可以呼叫各種各樣的分析器，以可讀的格式將欄位分開並顯示它們的含義。下面將介紹詳細分析Wireshark的包資訊。

例如，一個乙太網網路中的主機向Web網站傳送HTTP GET請求時，這個包將由五個處理器進行處理。分別如下所示：

1.幀分析器

幀分析器用來檢測和顯示捕獲檔案的基本資訊，如每個幀的時間戳，如圖2.14所示。然後幀分析器傳遞幀給乙太網分析器。

圖2.14  幀分析器

從該介面可以看到第5幀中的一些基本資訊。例如，幀的編號為5（捕獲時的編號），幀的大小為268個位元組，幀被捕獲的日期和時間，該幀和前一個幀的捕獲時間差以及和第一個幀的捕獲時間差等。

2.乙太網分析器

乙太網分析器用來解碼、顯示乙太網幀（Ethernet II）頭部的欄位、欄位型別的內容等。然後傳遞給下一個分析器，也就是IPv4分析器。如圖2.15所示，該欄位型別值為0x0806，0x0806表示是一個IP頭部。

圖2.15  乙太網分析器

從該介面可以看到在乙太網幀頭部中封裝的資訊，包括髮送方的源MAC地址和目標MAC地址。

3.IPv4分析器

IPv4分析器用來解碼IPv4頭部的欄位，並基於協議欄位的內容傳遞包到下一個分析器。如圖2.16所示，該介面顯示了IPv4分析器中的內容。

圖2.16  IPv4分析器

從該介面可以看到TCP協議欄位的值為6。

4.TCP分析器接管

TCP分析器用於解碼TCP頭部的欄位，並基於埠欄位的內容，將幀傳遞給下一個分析器。如圖2.17所示，該介面顯示了TCP分析器中的內容。

圖2.17  TCP分析器

從該介面可以看到，目標埠為HTTP協議的80埠。在下一節，將介紹Wireshark如何處理執行在非標準埠上的流量。

5.HTTP分析器接管

在本例中，HTTP分析器解碼HTTP包的欄位。在該包中沒有嵌入式的協議或應用程式，所以這是幀中應用的最後一個分析器，如圖2.18所示。

圖2.18  HTTP分析器

從該介面可以看到，客戶埠請求了xxxxxxxxxxxxxx網站。