功能
1、报文统计分组的以太网类型,IP协议,源地址或目的地址,源或目标端口2、可一键开启或暂停捕捉
3、支持内容一键查找,可进行全字匹配或大小写匹配
4、支持一键生成HTML格式报告
特点
1、支持自定义列选择,可自定义显示内容的属性,如以太网类型、IP地址、源地址、源端口等2、可自定义显示过滤器的内容,如显示TCP包、显示UDP包、显示IMCP包等
3、可自定义设置开启时是否自动捕捉
4、拥有多种捕捉方式,包括1)Raw Sockets、2)WinPacp包捕捉驱动、3)网络监视驱动和4)网络监视驱动 3.X
5、可自动调整显示数据的列宽
6、允许自定义显示网格线和工具提示
网络数据包分析
一、数据链路层头部(以太帧头部)(总14个字节)1.前6个字节(接收者的mac地址 即目的mac地址)
2.中间6个字节 (发送者的mac地址 即源mac地址)
3.最后2个字节 (代表网络协议; 08 00是IP协议类型 08 06是地址解析协议ARP)
二、IP数据包包头分析
1.第1个字节(45) ,前4位表示的是IP协议的版本,即IPv4;它的后4位表示首部长度为20字节,即IP数据包包头为20字节
2.第2个字节 是区分服务
3.第3,4个字节 是指首部和数据之和的长度,即 IP数据包包头和IP数据之和,不包括以太帧头部的字节
4.第5,6个字节 是一个数据报被分片后的标识,便于正确的重装原来的数据报
5.第7,8个字节 分前3位为标志位和后13位为片偏移,其中标识位只有两位有意义
6.第9个字节 表示的是数据报在网络中的寿命
7.第10个字节 指出数据报携带的数据时使用的协议类型(01表示ICMP协议; 06表示TCP协议; 11表示UDP协议)
8.第11,12个字节 表示首位检验和,对数据报的保留与丢弃进行判别
9.第13,14,15,16个字节 表示发送者的IP地址(源IP)
10.第17,18,19,20个字节 表示接收者的IP地址(目的IP)
三、ICMP数据分析 (ICMP数据头8个字节 + 报文数据32个字节)
1.第1个字节 说明ICMP报文类型(08 表示回应请求报文,传递的ping命令通常用于测试信宿的可到性;00 表示回应应答报文)(如果是匹配的一组报文对,其标识符和序列号是一样的,且数据部分也是一样的)
2.第2个字节 (00)指的是代码为0,网络不可达
3.第3,4个字节 检验和(checksum)
4.第5,6个字节 标识符(Identifier)
5.第7,8个字节 报文的序列号(Sequence number)
6.第9个字节及以后总共32个字节 是报文的数据(Data)
四、TCP数据分析 (TCP包包头 是用数据偏移字段表示的)
1.第1,2个字节是源端口
2.第3,4个字节是目的端口
3.第5,6,7,8个字节是序号(Sequence number)
4.第9,10,11,12个字节是确认序号(Acknowledge number)
5.第13,14个字节的前4位是数据偏移字段 (实际上是TCP报文首部的长度,因为首部长度不固定)
中间6位是保留字段(供往后使用,置零)
后面的6位分别是(紧急比特位URGent:当URG=1时,注解此报文应尽快传送,而不要要本来的列队次序来传送;确认比特位ACK:只有当ACK=1时,确认序号字段才有意义;急迫比特位PSH: 当PSK=1时,注解恳求远地TCP将本报文段立即送给应用层,而不要比及全部缓存都填满之后再向上交付;复位比特位ReSeT: 当RST=1时,注解呈现严重错误,必须开释连接,然后再重建传输连接。复位比特还用来拒绝一个不法报文段或拒绝打开一个连接;同步特位SYN: 在建树连接时应用,当SYN=1而ACK=0时,注解这是一个连接恳求报文段。对方若赞成建树连接,在发还的报文段中使SYN=1和ACK=1。是以,SYN=1默示这是一个连接恳求或毗邻接管报文,而ACK的值用来区分是哪一种报文; 终止比特FINal: 用来开释一个连接,当FIN=1时,注解欲发送的字节串已经发完,并请求开释传输连接; )
6.第15,16个字节 是窗口Window (默示报文段发送方的接管窗口,单位为字节,此窗口告诉对方,在未收到我的确认时,你可以或许发送的数据的字节数至多是此窗口的大小。)
7.第17,18个字节是检验和
8.第19,20个字节是紧急指针
9.第21到TCP首部的最后是选项和填充 (这部分可以有,可以没有,具体字节数等于(数据偏移字段-20))
五、UDP数据分析
1.第1,2,个字节是源端口(Source Port)
2.第3,4个字节是目的端口(Destination Port)
3.第5,6个字节是UDP数据长度(Length)
4.第7,8个字节是校验和 (checksum)
5.第9到最后字节是实际数据
共有 0条评论