怎麼看網路報文如何分析

A. 怎麼看通信報文發送與接收的格式

一。通信方式

主要有以下三大類:

(一)SERVER/CLIENT方式

1.一個Client方連接一個Server方，或稱點對點(peer to peer)：
2.多個Client方連接一個Server方，這也是通常的並發伺服器方式。
3.一個Client方連接多個Server方，這種方式很少見，主要
用於一個客戶向多個伺服器發送請求情況。

(二)連接方式

1.長連接

Client方與Server方先建立通訊連接，連接建立後不斷開，
然後再進行報文發送和接收。這種方式下由於通訊連接一直
存在，可以用下面命令查看連接是否建立：

netstat –f inet|grep 埠號(如5678)。

此種方式常用於點對點通訊。

2.短連接

Client方與Server每進行一次報文收發交易時才進行通訊連
接，交易完畢後立即斷開連接。此種方式常用於一點對多點
通訊，比如多個Client連接一個Server.

(三)發送接收方式

1.非同步

報文發送和接收是分開的，相互獨立的，互不影響。這種方
式又分兩種情況：

(1)非同步雙工：接收和發送在同一個程序中，有兩個不同的
子進程分別負責發送和接收
(2)非同步單工：接收和發送是用兩個不同的程序來完成。

2.同步

報文發送和接收是同步進行，既報文發送後等待接收返回報文。
同步方式一般需要考慮超時問題，即報文發上去後不能無限等
待，需要設定超時時間，超過該時間發送方不再等待讀返回報
文，直接通知超時返回。

實際通信方式是這三類通信方式的組合。比如一般書上提供的
TCP/IP范常式序大都是同步短連接的SERVER/CLIENT程序。有的
組合是基本不用的，比較常用的有價值的組合是以下幾種：

同步短連接Server/Client
同步長連接Server/Client
非同步短連接Server/Client
非同步長連接雙工Server/Client
非同步長連接單工Server/Client

其中非同步長連接雙工是最為復雜的一種通信方式，有時候經
常會出現在不同銀行或不同城市之間的兩套系統之間的通信。
比如金卡工程。由於這幾種通信方式比較固定，所以可以預
先編制這幾種通信方式的模板程序。

二.報文格式

通信報文格式多樣性更多，相應地就必須設計對應的讀寫報文的接
收和發送報文函數。

(一)阻塞與非阻塞方式

1.非阻塞方式

讀函數不停地進行讀動作，如果沒有報文接收到，等待一段時間後
超時返回，這種情況一般需要指定超時時間。

2.阻塞方式

如果沒有報文接收到，則讀函數一直處於等待狀態，直到有報文到達。

(二)循環讀寫方式

1.一次直接讀寫報文

在一次接收或發送報文動作中一次性不加分別地全部讀取或全部
發送報文位元組。

2.不指定長度循環讀寫

這一般發生在短連接進程中，受網路路由等限制，一次較長的報
文可能在網路傳輸過程中被分解成了好幾個包。一次讀取可能不
能全部讀完一次報文，這就需要循環讀報文，直到讀完為止。

3.帶長度報文頭循環讀寫

這種情況一般是在長連接進程中，由於在長連接中沒有條件能夠
判斷循環讀寫什麼時候結束，所以必須要加長度報文頭。讀函數
先是讀取報文頭的長度，再根據這個長度去讀報文.實際情況中，
報頭的碼制格式還經常不一樣，如果是非ASCII碼的報文頭，還必須
轉換成ASCII,常見的報文頭碼制有：
(1)n個位元組的ASCII碼
(2)n個位元組的BCD碼
(3)n個位元組的網路整型碼

以上是幾種比較典型的讀寫報文方式，可以與通信方式模板一起
預先提供一些典型的API讀寫函數。當然在實際問題中，可能還
必須編寫與對方報文格式配套的讀寫API.

在實際情況中，往往需要把我們自己的系統與別人的系統進行連接，
有了以上模板與API,可以說連接任何方式的通信程序都不存在問題。

B. 怎麼通過wireshark抓包分析網路風暴

啟動wireshark後，選擇工具欄中的快捷鍵（紅色標記的按鈕）即可Start a new live capture。

主界面上也有一個interface list（如下圖紅色標記1），列出了系統中安裝的網卡，選擇其中一個可以接收數據的的網卡也可以開始抓包。
在啟動時候也許會遇到這樣的問題：彈出一個對話框說 NPF driver 沒有啟動，無法抓包。在win7或Vista下找到C: \system\system32下的cmd.exe 以管理員身份運行，然後輸入 net start npf，啟動NPf服務。
重新啟動wireshark就可以抓包了。

抓包之前也可以做一些設置，如上紅色圖標記2，點擊後進入設置對話框，具體設置如下：
Interface：指定在哪個介面（網卡）上抓包（系統會自動選擇一塊網卡）。
Limit each packet：限制每個包的大小，預設情況不限制。
Capture packets in promiscuous mode：是否打開混雜模式。如果打開，抓 取所有的數據包。一般情況下只需要監聽本機收到或者發出的包，因此應該關閉這個選項。
Filter：過濾器。只抓取滿足過濾規則的包。
File：可輸入文件名稱將抓到的包寫到指定的文件中。
Use ring buffer： 是否使用循環緩沖。預設情況下不使用，即一直抓包。循環緩沖只有在寫文件的時候才有效。如果使用了循環緩沖，還需要設置文件的數目，文件多大時回卷。
Update list of packets in real time：如果復選框被選中，可以使每個數據包在被截獲時就實時顯示出來，而不是在嗅探過程結束之後才顯示所有截獲的數據包。
單擊「OK」按鈕開始抓包，系統顯示出接收的不同數據包的統計信息，單擊「Stop」按鈕停止抓包後，所抓包的分析結果顯示在面板中，如下圖所示：

為了使抓取的包更有針對性，在抓包之前，開啟了QQ的視頻聊天，因為QQ視頻所使用的是UDP協議，所以抓取的包大部分是採用UDP協議的包。
3、對抓包結果的說明
wireshark的抓包結果整個窗口被分成三部分：最上面為數據包列表，用來顯示截獲的每個數據包的總結性信息；中間為協議樹，用來顯示選定的數據包所屬的協議信息；最下邊是以十六進制形式表示的數據包內容，用來顯示數據包在物理層上傳輸時的最終形式。

使用wireshark可以很方便地對截獲的數據包進行分析，包括該數據包的源地址、目的地址、所屬協議等。

上圖的數據包列表中，第一列是編號（如第1個包），第二列是截取時間（0.000000），第三列source是源地址（115.155.39.93），第四列destination是目的地址（115.155.39.112），第五列protocol是這個包使用的協議（這里是UDP協議），第六列info是一些其它的信息，包括源埠號和目的埠號（源埠：58459，目的埠：54062）。

中間的是協議樹，如下圖：

通過此協議樹可以得到被截獲數據包的更多信息，如主機的MAC地址（Ethernet II）、IP地址（Internet protocol）、UDP埠號（user datagram protocol）以及UDP協議的具體內容（data）。

最下面是以十六進制顯示的數據包的具體內容，如圖：

這是被截獲的數據包在物理媒體上傳輸時的最終形式，當在協議樹中選中某行時，與其對應的十六進制代碼同樣會被選中，這樣就可以很方便的對各種協議的數據包進行分析。
4、驗證網路位元組序
網路上的數據流是位元組流，對於一個多位元組數值（比如十進制1014 = 0x03 f6），在進行網路傳輸的時候，先傳遞哪個位元組，即先傳遞高位「03」還是先傳遞低位「f6」。 也就是說，當接收端收到第一個位元組的時候，它是將這個位元組作為高位還是低位來處理。
下面通過截圖具體說明：

最下面是物理媒體上傳輸的位元組流的最終形式，都是16進製表示，發送時按順序先發送00 23 54 c3 …00 03 f6 …接收時也按此順序接收位元組。
選中total length：1014， 它的十六進製表示是0x03f6， 從下面的藍色選中區域可以看到，03在前面，f6在後面，即高位元組數據在低地址，低位元組數據在高地址（圖中地址從上到下從左到右依次遞增），所以可知，網路位元組序採用的是大端模式。

C. wireshark怎麼抓包分析網路故障實戰

【WireShark概覽】
1、Wireshark 是網路報文分析工具。網路報文分析工具的主要作用是嘗試捕獲網路報文， 並嘗試顯示報文盡可能詳細的內容。過去的此類工具要麼太貴，要麼是非公開的。 直到Wireshark（Ethereal）出現以後，這種情況才得以改變。Wireshark可以算得上是今天能使用的最好的開源網路分析軟體。2、WireShark簡史：1997年，Gerald Combs 需要一個工具追蹤網路問題，並且想學習網路知識。所以他開始開發Ethereal (Wireshark項目以前的名稱) 以解決自己的需求。1998年，Ethreal0.2.0版誕生了。此後不久，越來越多的人發現了它的潛力，並為其提供了底層分析。2006年Ethreal改名為Wireshark。2008年，在經過了十年的發展後，Wireshark發布了1.0版本。3、WireShark的主要作用，就是可以抓取各種埠的報文，包括有線網口、無線網口、USB口、LoopBack口等等，從而就可以很方便地進行協議學習、網路分析、系統排錯等後續任務。4、不同平台下的WireShark：目前WireShark支持幾乎所有主流報文文件，包括pcap，cap ，pkt，enc等等。但是不同平台下的WireShark卻有功能上的不同。總體來說，Linux版本WireShark的功能和特性比Windows版本的要豐富和強大。例如，Linux版本的WireShark可以直接抓取USB介面報文，而Windows版本就不行。

Figure 1，Linux下的WireShark

Figure 2，Windows下WireShark

Figure 3，各平台下的WireShark所支持的協議

各平台下的WireShark支持的協議如上圖所示。從圖中可以看到Linux下的版本功能最強大，由於平台本身特性，可以使WireShark幾乎支持所有協議。但由於我們平時工作中主要抓取乙太網報文，且絕大部分的操作系統都是Windows，所以本文還是以Windows平台下的WireShark為例來進行說明。

【如何正確使用WireShark抓取報文】
1、WireShark組網拓撲。為了抓到HostA與HostB之間的報文，下面介紹幾種WireShark組網。
i.在線抓取：如果WireShark本身就是組網中的一部分，那麼，很簡單，直接抓取報文就行了。

ii. 串聯抓取：串聯組網是在報文鏈路中間串聯一個設備，利用這個中間設備來抓取報文。這個中間設備可以是一個HUB，利用HUB會對域內報文進行廣播的特性，接在HUB上的WireShark也能收到報文。

若是WireShark有雙網卡，正確設置網路轉發，直接串接在鏈路上。

也可以利用Tap分路器對來去的報文進行分路，把報文引到WireShark上。

串聯組網的好處是報文都必須經過中間設備，所有包都能抓到。缺點是除非原本就已經規劃好，不然要把報文鏈路斷開，插入一個中間設備，會中斷流量，所以一般用於學習研究，不適用於實際業務網以及工業現場乙太網。

iii. 並聯抓取：並聯組網是將現有流量通過現網設備本身的特性將流量引出來。
若是網路本身通過HUB組網的，那麼將WireShark連上HUB就可以。

若是交換機組網，那直接連上也能抓取廣播報文。

當然，最常用的還是利用交換機的鏡像功能來抓包。

並聯組網的優點是不用破壞現有組網，適合有業務的在線網路以及工業現場乙太網。缺點是HUB組網已經不常見，而交換機組網的設備開啟鏡像後，對性能有非常大的影響。

2、 WireShark的安裝。WireShark是免費開源軟體，在網上可以很輕松獲取到。Windows版的WireShark分為32位而64位兩個版本，根據系統的情況來決定安裝哪一個版本，雖然64位系統裝32位軟體也能使用，但裝相應匹配的版本，兼容性及性能都會好一些。在Windows下，WireShark的底層抓包工具是Winpcap，一般來說WireShark安裝包內本身就包含了對應可用版本的Winpcap，在安裝的時候注意鉤選安裝就可以。安裝過程很簡單，不再贅述。

3、使用WireShark抓取網路報文。Step1. 選擇需要抓取的介面，點選Start就開始抓包。

4、使用WireShark抓取MPLS報文。對於mpls報文，wireshark可以直接抓取帶MPLS標簽的報文。

5、使用WireShark抓取帶Vlan Tag的報文。早期網卡的驅動不會對VLAN TAG進行處理，而是直接送給上層處理，在這種環境下，WireShark可以正常抓到帶VLAN TAG的報文。而Intel，broadcom，marvell的網卡則會對報文進行處理，去掉TAG後再送到上層處理，所以WireShark在這種情況下通常抓不到VLAN TAG。這時我們需要針對這些網卡做一些設置，WireShark才能夠抓取帶VLAN TAG的報文。1）. 更新網卡的最新驅動。2）. 按照以下說明修改注冊表：a) Intel：HKEY_LOCAL_MACHINE\SYSTEM \ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318} \00xx（where xx is the instance of the network adapter that you need to see tags on. ）PCI或者PCI-X網卡增加dword:MonitorModeEnabled，通常設置為1即可 0 - disabled (Do not store bad packets, Do not store CRCs, Strip 802.1Q vlan tags) 1 - enabled (Store bad packets. Store CRCs. Do not strip 802.1Q vlan tags) PCI-Express網卡增加dword:MonitorMode，通常設置為1即可 0 - disabled (Do not store bad packets, Do not store CRCs, Strip 802.1Q vlan tags) 1 - enabled (Store bad packets. Store CRCs. Do not strip 802.1Q vlan btag) 2 - enabled strip vlan (Store bad packets. Store CRCs. Strip 802.1Q vlan tag as normal)；b) Broadcom：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet下搜索，找到"TxCoalescingTicks"並確認這是唯一的，增加一個新的字元串值"PreserveVlanInfoInRxPacket"，賦值1。c) Marvell Yukon 88E8055 PCI-E 千兆網卡："HKLM\SYSTEM \CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318} \000"（where 000 is the number of the folder for the Marvel ethernet controller）增加DWORD：SkDisableVlanStrip：1；3）. 以Intel網卡為例，對網卡進行配置。選擇Intel網卡的本地連接，右鍵屬性

點擊「配置」按鈕。

在VLAN選項卡中，加入任意一個VLAN，激活介面的VLAN TAG上送功能。此時可以把「本地連接」介面看成是一個Trunk介面。

配置完VLAN後，如果發現系統禁用了「本地連接」介面，則只要啟用它，會看到網路連接中會出現一個新的子介面「本地連接2」。

在WireShark上查看抓取「本地連接」介面的報文。

可以看到已經可以抓到有VLAN TAG的報文了。

由於此時的子介面都是有VLAN屬性的，所以無法當成正常的網卡來用。如果想要在抓VLAN包的同時，還能夠與網路正常通信，只要再新建一個未標記的VLAN就行。

這時，會生成一個對應的子介面「本地連接3」，在這個介面上正確配置網路參數，就可以正常通信了。

D. wireshark怎麼看icmp報文類型

抓取報文:
下載和安裝好Wireshark之後，啟動Wireshark並且在介面列表中選擇介面名，然後開始在此介面上抓包。例如，如果想要在無線網路上抓取流量，點擊無線介面。點擊Capture Options可以配置高級屬性，但現在無此必要。

點擊介面名稱之後，就可以看到實時接收的報文。Wireshark會捕捉系統發送和接收的每一個報文。如果抓取的介面是無線並且選項選取的是混合模式，那麼也會看到網路上其他報文。

上端面板每一行對應一個網路報文，默認顯示報文接收時間（相對開始抓取的時間點），源和目標IP地址，使用協議和報文相關信息。點擊某一行可以在下面兩個窗口看到更多信息。「+」圖標顯示報文裡面每一層的詳細信息。底端窗口同時以十六進制和ASCII碼的方式列出報文內容。

E. 網路報文分析儀怎麼看遙信mms

這個網路分析儀支持MMS嗎？現在大部分都只支持GOOSE、SMV。可以用MMSEthereal抓報文看。

F. 如何查看網路數據包裡面傳送的 文件內容

你可以將數據包攔截下來，就可以查看是什麼東西了，但是一般的數據包都是加密過的，你只能看到包頭，大致了解是什麼類型的文件，至於文件內容就看不到了！

G. 怎樣查看網路數據包

用ping 命令簡單測試網速啊.
在運行中用ping空格+IP空格減號t 看後面的數值小於等於1說明正常，大於1就不正常了，越大越不要正常網速越慢

H. 如何分析數據包判斷網路故障

從網路抓包是可以分析出很多東西，其中一項就是用來做排錯。

根據個人的實際經驗，用抓包來排錯有分為幾種情況：
1、通過數據包的有無來判斷故障，一般用於防火牆策略調試等場景，在防火牆上進行抓包，或交換機上鏡像抓包，或者這交換機內嵌抓包功能。這種抓包無需進行過多分析。
2、網路故障，已經明確網路設備配置不存在問題的情況下，通過抓包來判斷問題，我把這主要分為行為判斷和協議判斷。
1）最常見的是通過抓包數量來判定網路行為的是否正常，比如ARP病毒爆發一定會收到大量ARP數據包；攻擊行為也很多時候體現為大量數據包（但是一般判斷這種攻擊行為抓包不會放在第一步，只是在確定攻擊特徵時需要抓包）；當然還有其他很多情況，適用於通過抓包數量來分析的。
2）通信質量判斷，抓包存在大量的重傳，此時通信質量一般都不太好。另外有視頻和語音的應用場景中，有時需要通過時間統計來判斷通信毛刺，來分析定位視頻和語音通信質量問題。
3）協議判斷，比如win2008和win2003通信時因為window
scale不兼容，導致窗口過小，而程序設計適當時，通信變動極其緩慢。這些判斷都是建立在抓包協議分析的基礎上的；另外不同廠商SIP通信對接也有可能會用到協議分析，其中一種方式就是抓包分析。
綜合而言，協議分析時要求比較高，很多人都可以說把基礎學好，但是對應實際工作多年的人，TCP/IP的協議學習一般都是多年前的事情，而且不同操作系統，對於協議棧的實現是有區別的，這部分析的工作一般都是出現問題後有針對性查資料來解決的。
說了這么多，針對抓包分析我個人的意見是：排查問題關鍵是思路，真的用到協議層判斷的場景相對而言還是比較少，初學這不必過分糾結。但是從另外一個方面來看，能深入協議層進行排錯的網工，都是具備鑽研精神的，屬於高級排錯的一部分。

I. 怎麼察看我向網路發送的數據包內容

用sniffer pro就可以。

J. 計算機網路的報文分析等相關問題

你裝過wireshark么？抓某種協議包，設個過濾規則就完了，太簡單了吧也，

這都是啥子弱智題目啊