该工具经常用来分析tcpdump抓到的包,
在使用tcpdump抓包时候,使用参数-w可以将包写入到文件中,然后在安装有wireshark的机器上用该软件打开即可。
可以非常直观的看到各个层的数据情况,
这个帧共有106个字节(8(eth)+14(eth)+20(ip)+20(tcp)+40(data)+4(fcs)=106),即848个位。其帧格式(IEEE802.3(Revised 1997))如下:
|
Preamble 7 |
SFD 1 |
Destination 6 |
Source 6 |
Length/ Type 2 |
Data and Pad 46~1500 |
FCS 4 |
Frame 1: 106 bytes on wire (848 bits), 106 bytes captured (848 bits)
链路层显示的内容如下,有MAC地址。:
Ethernet II, Src: xxxx_37:80:f6 (d4:40:f0:37:80:f6), Dst: xxxx_29:ff:85 (00:0d:48:29:ff:85)
IP层的显示如下,会指出其所用的ip版本,以及发送和接收地址:
Internet Protocol Version 4, Src: 172.20.155.136, Dst: 116.175.28.188
TCP层显示如下,会显示源端口和目的端口。
Transmission Control Protocol, Src Port: 47248 (47248), Dst Port: 9339 (9339), Seq: 1, Ack: 1, Len: 40
最后是业务数据,表示共有40个字节。
Data (40 bytes)
都可以点击打开查看非常方便。
