Wireshark网络分析从入门到实践阅读笔记第一部分：基础知识Wireshark是一款广泛使用的网络抓包和协议分析工具，它可以帮助用户捕获、分析和解释网络中的数据包。在本部分中，我们将介绍Wireshark的基础知识，包括其工作原理、安装步骤以及如何使用它进行网络分析。Wireshark的工作原理是通过在网络中捕获数据包，并对捕获到的数据包进行分析和解码，从而实现对网络数据的深入理解。Wireshark支持多种协议，包括TCPIP、UDP、ICMP等，可以捕获和分析各种类型的网络数据。要安装Wireshark，您需要访问Wireshark的官方网站，并按照网站上的指示进行下载和安装。在安装过程中，您需要选择合适的操作系统和配置选项，以确保Wireshark能够正常工作。开始捕获数据包，并在捕获过程中可以使用过滤器来筛选感兴趣的数据包；在捕获完成后，查看和分析捕获到的数据包，以了解网络中的通信情况和问题所在；可以使用Wireshark的丰富功能库对数据包进行深入的分析和解读，如协议解析、流量统计、错误分析等。1.1网络基础网络是由若干节点（如计算机、路由器等设备）通过通信链路相互连接而成的系统，它们之间可以传输数据和控制信息。在计算机网络中，数据通常以分组的形式进行传输。每个分组包含源地址、目的地址、数据长度和数据内容等信息。网络协议是计算机网络中进行通信的规则和标准，它定义了如何在不同的设备之间建立连接、传输数据和控制数据的传输方式。网络协议可以分为物理层协议、数据链路层协议、网络层协议、传输层协议和应用层协议等。常见的网络协议有TCPIP、HTTP、FTP、SMTP等。网络拓扑结构描述了网络中各节点之间的连接关系，常见的网络拓扑结构有星型拓扑、总线型拓扑、环形拓扑和网状拓扑等。不同的网络拓扑结构具有不同的特点和优缺点，适用于不同的应用场景。网络设备是实现网络连接和通信的关键部件，常见的网络设备有路由器、交换机、防火墙、负载均衡器、无线接入点等。这些设备具有不同的功能和作用，可以根据需要选择合适的设备组成网络。为了更好地理解网络基础知识，我们可以进行一些实验和测试。使用Wireshark软件捕获和分析网络数据包，了解网络通信的过程和数据传输的细节；或者构建简单的局域网，测试不同设备之间的通信效果和稳定性。通过这些实践操作，我们可以更加深入地掌握网络基础知识，并为后续的网络分析打下坚实的基础。1.2OS一、层模型在OSI（开放系统互联）模型中，所有的网络通信都基于这七个层次，从物理层到应用层，每一层都有其特定的功能和协议来处理数据。OSI模型的设计目的是为了提供一个通用的网络通信框架，使得不同类型的计算机和网络设备能够相互通信。该模型将网络通信分为七个层次，从物理层到应用层，每一层都有其特定的功能和协议来处理数据。物理层：负责在网络设备之间传输原始的二进制数据，包括电压和光信号等。数据链路层：在物理层的基础上，提供数据帧的封装、解封装、错误检测和纠正等功能，确保数据在传输过程中的完整性和准确性。网络层：负责数据包的路由选择和转发，确保数据能够从源地址传输到目的地址。传输层：提供端到端的可靠传输服务，包括数据的分段、重组、流量控制和错误检测等。会话层：负责建立、维护和断开网络设备之间的会话，确保通信的有序进行。表示层：处理数据的表达形式，如数据的加密、解密、压缩和解压缩等。应用层：直接与用户的应用程序交互，提供网络服务，如文件传输、电子邮件、远程登录等。在Wireshark中，我们可以使用各种抓包过滤器来定位特定层次的数据包，通过指定协议类型、端口号或特定的数据包特征来过滤数据。通过分析这些数据包，我们可以深入了解网络通信的细节，从而更好地理解和解决网络问题。1.3TCP/一、四层模型TCP（传输控制协议）是一种面向连接的、可靠的、基于字节流的传输层通信协议，由IETF的RFC793定义。在TCPIP模型中，TCP位于第四层，即传输层。传输层功能：提供应用程序之间的逻辑通信服务，主要包括端口号和端口分配、数据传输、流量控制和拥塞控制等功能。端口号：用于标识网络中的不同应用程序和服务，如HTTP服务运行在80端口，DNS服务运行在53端口等。TCP报文：由源端口、目的端口、序列号、确认号、数据段和校验和等组成。这些字段共同确保了数据的正确传输和错误检测。OSI七层模型相比，TCPIP模型简化了物理层和数据链路层的功能，将它们合并到了网络层。这种简化使得TCPIP模型更加高效和灵活，特别适合于互联网上的大规模应用。在学习TCPIP模型时，理解其四层结构和每一层的主要功能是非常重要的。这对于网络故障排查、性能优化和安全分析等都是基础且关键的知识点。通过深入研究TCPIP模型