Wireshark 学习使用 http://blog.csdn.net/zrzlj/article/details/6076219
Src(source)发出地址、dst(destination)接收地址、protocol协议类型、info下发出端口、接收端口
过滤:
Ip.addr==192.168.1.118 过滤IP地址
Ip.src==192.168.1.118 过滤从118地址发出去的数据包
Ip.dst==192.168.1.118 过滤从118地址接收的数据包
Tcp.port==80(端口过滤)
ip.addr==192.168.1.118 and tcp.srcport==37777 过滤IP118且tcp协议发出端口为37777的数据包
R1区域显示简单的数据包信息
R2区域显示选中数据包的详细信息,细心一点会发现他是按照TCP/IP四层结构显示:
第一行是数据链路层信息 Ethernet II,Src:6c:0b:84:44:58:80,Dst:4c:11:bf:87:1c.....
第二行是网络层信息(IP协议)internet protocol,scr:...,dst:...
第三行是传输层信息(TCP协议)Transmission control protocol,src port: 38039(38039),dst port:http (80)
第四行是应用层信息(HTTP协议)Hypertext Transfer Protocol
可以展开每一行用来观察具体的内容;
R3区域是显示此数据包的真实面目。我们在R1和R2区域看到的信息都是Wireshark整理以后给我们看的,抓包的真实数据实际上是一堆二进制序列,用ultraedit打开google.cap文件可以看到就是一些数字
TCP与UDP区别
TCP---传输控制协议,提供的是面向连接、可靠的字节流服务。当客户和服务器彼此交换数据前,必须先在双方之间建立一个TCP连接,之后才能传输数据。TCP提供超时重发,丢弃重复数据,检验数据,流量控制等功能,保证数据能从一端传到另一端。
UDP---用户数据报协议,是一个简单的面向数据报的运输层协议。UDP不提供可靠性,它只是把应用程序传给IP层的数据报发送出去,但是并不能保证它们能到达目的地。由于UDP在传输数据报前不用在客户和服务器之间建立一个连接,且没有超时重发等机制,故而传输速度很快
UDP(User Data Protocol)是与TCP相对应的协议。它是面向非连接的协议,它不与对方建立连接,而是直接就把数据包发送过去!
一次只传送少量数据、对可靠性要求不高的应用环境。比如,我们经常使用“ping”命令来测试两台主机之间TCP/IP通信是否正常,其实“ping”命令的原理就是向对方主机发送UDP数据包,然后对方主机确认收到数据包,如果数据包是否到达的消息及时反馈回来,那么网络就是通的。例如,在默认状态下,一次“ping”操作发送4个数据包(如图2所示)。大家可以看到,发送的数据包数量是4包,收到的也是4包(因为对方主机收到后会发回一个确认收到的数据包)。这充分说明了UDP协议是面向非连接的协议,没有建立连接的过程。正因为UDP协议没有连接的过程,所以它的通信效果高;但也正因为如此,它的可靠性不如TCP协议高。cmd下ping IP要先到cd C:\windows\system32\ 下才可ping
