實(shí)驗(yàn)3背景知識(shí)網(wǎng)絡(luò)協(xié)議分析

1、文檔可自由編輯打印目目錄錄一、winpcap 介紹.21、winpcap 驅(qū)動(dòng)各項(xiàng)功能 .22、Winpcap 程序?qū)嵗?5二、Wireshark（前稱 Ethereal）.10三、Wireshark 捕獲數(shù)據(jù)幀和 IP 數(shù)據(jù)包 .10文檔可自由編輯打印網(wǎng)網(wǎng)絡(luò)絡(luò)協(xié)協(xié)議議分分析析一一、WINPCAP 介介紹紹winpcap(windows packet capture)是 windows 平臺(tái)下一個(gè)免費(fèi)，公共的網(wǎng)絡(luò)訪問(wèn)系統(tǒng)。開發(fā) winpcap 這個(gè)項(xiàng)目的目的在于為 win32 應(yīng)用程序提供訪問(wèn)網(wǎng)絡(luò)底層的能力。下載網(wǎng)址：。1 1、W WI IN NP PC CA AP P 驅(qū)驅(qū)動(dòng)動(dòng)各各項(xiàng)項(xiàng)功功能

2、能1 捕獲原始數(shù)據(jù)包，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送 /接收的以及相互之間交換的數(shù)據(jù) winpcap 結(jié)構(gòu)包； 2 在數(shù)據(jù)包發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)包過(guò)濾掉； 3 在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)包； 4 收集網(wǎng)絡(luò)通信過(guò)程中的統(tǒng)計(jì)信息。 winpcap 的主要功能在于獨(dú)立于主機(jī)協(xié)議（如 TCP-IP)而發(fā)送和接收原始數(shù)據(jù)包。也就是說(shuō)，winpcap 不能阻塞，過(guò)濾或控制其他應(yīng)用程序數(shù)據(jù)包的發(fā)收，它僅僅只是監(jiān)聽共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)包。因此，它不能用于 QoS 調(diào)度程序或個(gè)人防火墻。目前，winpcap 開發(fā)的主要對(duì)象是 windows NT/2000/XP，M$也已經(jīng)放棄了對(duì) win

3、9x 的開發(fā)。因此本文相關(guān)的程序 T-ARP 也是面向 NT/2000/XP 用戶的。winpcap 提供給用戶兩個(gè)不同級(jí)別的編程接口：一個(gè)基于 libpcap 的 wpcap.dll，另一個(gè)是較底層的 packet.dll。對(duì)于一般的要與 unix 平臺(tái)上 libpcap 兼容的開發(fā)來(lái)說(shuō)，使用wpcap.dll 是當(dāng)然的選擇。 2 2、WINPCAP 的內(nèi)部結(jié)構(gòu) Winpcap 的各個(gè)組成部分文檔可自由編輯打印Winpcap 是針對(duì) Win32 平臺(tái)上的抓包和網(wǎng)絡(luò)分析的一個(gè)架構(gòu)。它包括一個(gè)核心態(tài)的包過(guò)濾器，一個(gè)底層的動(dòng)態(tài)鏈接庫(kù)（ packet.dll）和一個(gè)高層的不依賴于系統(tǒng)的庫(kù)（wpcap

4、.dll）。 為什么使用“architecture”而不是“l(fā)ibrary”呢？因?yàn)樽グ且粋€(gè)要求與網(wǎng)絡(luò)適配器（網(wǎng)卡）和操作系統(tǒng)交互的底層機(jī)制，而且與網(wǎng)絡(luò)的實(shí)施也有密切關(guān)系，所以僅用 “l(fā)ibrary”不能充分表達(dá) Winpcap 的作用。 下圖表明了 Winpcap 的各個(gè)組成部分： 首先，抓包系統(tǒng)必須繞過(guò)操作系統(tǒng)的協(xié)議棧來(lái)訪問(wèn)在網(wǎng)絡(luò)上傳輸?shù)脑紨?shù)據(jù)包（ raw packet），這就要求一部分運(yùn)行在操作系統(tǒng)核心內(nèi)部，直接與網(wǎng)絡(luò)接口驅(qū)動(dòng)交互。這個(gè)部分是系統(tǒng)依賴（system dependent）的，在 Winpcap 的解決方案里它被認(rèn)為是一個(gè)設(shè)備驅(qū)動(dòng)，稱作 NPF（Netgroup Pack

5、et Filter）。Winpcap 開發(fā)小組針對(duì)Windows95，Windows98，WindowsME，Windows NT 4，Windows2000 和 WindowsXP 提供了不同版本的驅(qū)動(dòng)。這些驅(qū)動(dòng)不僅提供了基本的特性（例如抓包和 injection），還有更高級(jí)的特性（例如可編程的過(guò)濾器系統(tǒng)和監(jiān)視引擎）。前者可以被用來(lái)約束一個(gè)抓包會(huì)話只針對(duì)網(wǎng)絡(luò)通信中的一個(gè)子集（例如，僅僅捕獲特殊主機(jī)產(chǎn)生的 ftp 通信的數(shù)據(jù)包），后者提供了一個(gè)強(qiáng)大而簡(jiǎn)單的統(tǒng)計(jì)網(wǎng)絡(luò)通信量的機(jī)制（例如，獲得網(wǎng)絡(luò)負(fù)載或兩個(gè)主機(jī)間的數(shù)據(jù)交換量）。 其次，抓包系統(tǒng)必須有用戶級(jí)的程序接口，通過(guò)這些接口，用戶程序可以利用

6、內(nèi)核驅(qū)動(dòng)提供的高級(jí)特性。Winpcap 提供了兩個(gè)不同的庫(kù)：packet.dll 和 wpcap.dll。前者提供了一個(gè)底層 API，伴隨著一個(gè)獨(dú)立于 Microsoft 操作系統(tǒng)的編程接口，這些 API 可以直接用來(lái)訪問(wèn)驅(qū)動(dòng)的函數(shù)；后者導(dǎo)出了一組更強(qiáng)大的與 libpcap 一致的高層抓包函數(shù)庫(kù)（capture primitives）。這些函數(shù)使得數(shù)據(jù)包的捕獲以一種與網(wǎng)絡(luò)硬件和操作系統(tǒng)無(wú)關(guān)的方式進(jìn)行。 NPF 驅(qū)驅(qū)動(dòng)動(dòng) 網(wǎng)絡(luò)數(shù)據(jù)包過(guò)濾器（Netgroup Packet Filter，NPF）是 Winpcap 的核心部分，它是Winpcap 完成困難工作的組件。它處理網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，并且對(duì)

7、用戶級(jí)提供可捕獲（capture）、發(fā)送（injection）和分析性能（analysis capabilities）。 NPF 和和 NDIS NDIS（Network Driver Interface Specification）是一個(gè)定義網(wǎng)絡(luò)適配器（或者說(shuō)成是管理網(wǎng)絡(luò)適配器的驅(qū)動(dòng)程序）與協(xié)議驅(qū)動(dòng)（例如 TCP/IP 的實(shí)現(xiàn)）之間通信的規(guī)范。 NDIS 最主要的目的是作為一個(gè)允許協(xié)議驅(qū)動(dòng)發(fā)送和接收網(wǎng)絡(luò)（ LAN 或 WAN）上的數(shù)據(jù)包而不必關(guān)心特定的適配器或特定的 Win32 操作系統(tǒng)的封裝。 NDIS 支持三種類型的網(wǎng)絡(luò)驅(qū)動(dòng)： （1） 網(wǎng)網(wǎng)絡(luò)絡(luò)接接口口卡卡或或 NIC 驅(qū)驅(qū)動(dòng)動(dòng)（Netw

8、ork interface card or NIC drivers）。NIC 驅(qū)動(dòng)直接管理著網(wǎng)絡(luò)接口卡（NIC）。NIC 驅(qū)動(dòng)接下邊與硬件連接，從上邊表現(xiàn)為一個(gè)接口，該接口允許高層發(fā)送數(shù)據(jù)包到網(wǎng)絡(luò)上，處理中斷，重置 NIC，停止 NIC，查詢和設(shè)置驅(qū)動(dòng)的運(yùn)行特征。NIC 驅(qū)動(dòng)可以是小端口（miniport）或完全的 NIC 驅(qū)動(dòng)（full NIC driver）。 Miniport 驅(qū)動(dòng)僅僅實(shí)現(xiàn)了管理 NIC 的必要操作，包括在 NIC 上發(fā)送和接收數(shù)據(jù)。對(duì)于所有最底層的 NIC 驅(qū)動(dòng)的操作由 NDIS 提供，例如同步（synchronization）。小端口（miniport）不直接調(diào)用操作

9、系統(tǒng)函數(shù)，它們對(duì)于操作系統(tǒng)的接口是 NDIS。 小端口僅僅是向上傳遞數(shù)據(jù)包給 NDIS 并且 NDIS 確保這些數(shù)據(jù)包被傳遞給正確的協(xié)議。 完全 NIC 驅(qū)動(dòng)（Full NIC driver）完成硬件細(xì)節(jié)的操作和所有由 NDIS 完成的同步和查詢操作。例如，完全 NIC 驅(qū)動(dòng)維持接收到的數(shù)據(jù)的綁定信息。 （2） 中中間間層層驅(qū)驅(qū)動(dòng)動(dòng)（Intermediate drivers）中間層驅(qū)動(dòng)位于高層驅(qū)動(dòng)（例如協(xié)議驅(qū)動(dòng)）和小端口之間。對(duì)于高層驅(qū)動(dòng)，中間層驅(qū)動(dòng)看起來(lái)像是小端口；對(duì)于小端口，中間層驅(qū)動(dòng)看起來(lái)像協(xié)議驅(qū)動(dòng)。一個(gè)中間層協(xié)議驅(qū)動(dòng)可以位于另一個(gè)中間層驅(qū)動(dòng)之上，盡管這種分層文檔可自由編輯打印可能對(duì)系統(tǒng)

10、性能帶來(lái)負(fù)面影響。開發(fā)中間層驅(qū)動(dòng)的一個(gè)關(guān)鍵原因是在現(xiàn)存的遺留協(xié)議驅(qū)動(dòng)（legacy protocol driver）和小端口之間形成媒體的轉(zhuǎn)化。例如，中間層驅(qū)動(dòng)可以將 LAN協(xié)議轉(zhuǎn)換成 ATM 協(xié)議。中間層驅(qū)動(dòng)不能與用戶模式的應(yīng)用程序通信，但可以與其他的NDIS 驅(qū)動(dòng)通信。 （3） 傳傳輸輸驅(qū)驅(qū)動(dòng)動(dòng)或或協(xié)協(xié)議議驅(qū)驅(qū)動(dòng)動(dòng)（Transport drivers or protocol drivers）協(xié)議驅(qū)動(dòng)實(shí)現(xiàn)了網(wǎng)絡(luò)協(xié)議棧，例如 IPX/SPX 或 TCP/IP，在一個(gè)或多個(gè)網(wǎng)絡(luò)接口卡上提供它的服務(wù)。在協(xié)議驅(qū)動(dòng)的上面，它為應(yīng)用層客戶程序服務(wù)；在它的下面，它與一個(gè)或多個(gè) NIC 驅(qū)動(dòng)或中間層NDIS

11、 驅(qū)動(dòng)連接。 NPF 在 NDIS 棧中的位置NPF 是一個(gè)協(xié)議驅(qū)動(dòng)。從性能方面來(lái)看，這不是最好的選擇，但是它合理地獨(dú)立于MAC 層并且有權(quán)使用原始通信（ raw traffic）。 下圖表現(xiàn)了 NPF 在 NDIS 棧中的位置： 伴隨著 NPF 驅(qū)動(dòng)細(xì)節(jié)的 Winpcap 的結(jié)構(gòu)NPF 結(jié)結(jié)構(gòu)構(gòu)基基礎(chǔ)礎(chǔ) 下圖表現(xiàn)了伴隨著 NPF 驅(qū)動(dòng)細(xì)節(jié)的 Winpcap 的結(jié)構(gòu)。 抓抓包包 抓包是 NPF 最重要的操作。在抓包的時(shí)候，驅(qū)動(dòng)使用一個(gè)網(wǎng)絡(luò)接口監(jiān)視著數(shù)據(jù)包，并將這些數(shù)據(jù)包完整無(wú)缺地投遞給用戶級(jí)應(yīng)用程序。 抓包過(guò)程依賴于兩個(gè)主要組件： 一個(gè)數(shù)據(jù)包過(guò)濾器，它決定著是否接收進(jìn)來(lái)的數(shù)據(jù)包并把數(shù)據(jù)包 拷貝

12、給監(jiān)聽程序。數(shù)據(jù)包過(guò)濾器是一個(gè)有布爾輸出的函數(shù)。如果 函數(shù)值是 true，抓包驅(qū)動(dòng)拷貝數(shù)據(jù)包給應(yīng)用程序；如果是 false，數(shù)據(jù)包將被丟棄。NPF 數(shù)據(jù)包過(guò)濾器更復(fù)雜一些，因?yàn)樗粌H決定數(shù)據(jù)包是否應(yīng)該被保存，而且還得決定要保存的字節(jié)數(shù)。被 NPF 驅(qū)動(dòng)采用的過(guò)濾系統(tǒng)來(lái)源于 BSD Packet Filter（BPF），一個(gè)虛擬處理器可以執(zhí)行偽匯編書寫的用戶級(jí)過(guò)濾程序。應(yīng)用程序采用用戶定義的過(guò)濾器并使用 wpcap.dll 將它們編譯進(jìn) BPF 程序。然后，應(yīng)用程序使用 BIOCSETF IOCTL 寫入核心態(tài)的過(guò)濾器。這樣，對(duì)于每一個(gè)到來(lái)的數(shù)據(jù)包該程序都將被執(zhí)行，而滿足條件的數(shù)據(jù)包將被接收。與

13、傳統(tǒng)解決方案不同， NPF 不解釋（interpret）過(guò)濾器，而是執(zhí)行（execute）它。由于性能的原因，在使用過(guò)濾器前， NPF 提供一個(gè) JIT 編譯器將它轉(zhuǎn)化成本地的 80 x86 函數(shù)。當(dāng)一個(gè)數(shù)據(jù)包被捕獲， NPF 調(diào)用這個(gè)本地函數(shù)而不是調(diào)用過(guò)濾器解釋器，這使得處理過(guò)程相當(dāng)快。 文檔可自由編輯打印一個(gè)循環(huán)緩沖區(qū)，用來(lái)保存數(shù)據(jù)包并且避免丟失。一個(gè)保存在 緩沖區(qū)中的數(shù)據(jù)包有一個(gè)頭，它包含了一些主要的信息，例如 時(shí)間戳和數(shù)據(jù)包的大小，但它不是協(xié)議頭。此外，以隊(duì)列插入的方式來(lái)保存數(shù)據(jù)包可以提高數(shù)據(jù)的存儲(chǔ)效率。可以以組的方式將數(shù)據(jù)包從NPF 緩沖區(qū)拷貝到應(yīng)用程序。這樣就提高了性能，因?yàn)樗档?/p>

14、了讀的次數(shù)。如果一個(gè)數(shù)據(jù)包到來(lái)的時(shí)候緩沖區(qū)已經(jīng)滿了，那么該數(shù)據(jù)包將被丟棄，因此就發(fā)生了 丟包。 2 2、W WI IN NP PC CA AP P 程程序序?qū)崒?shí)例例獲得網(wǎng)卡接口。在普通的 SOCKET 編程中，對(duì)雙網(wǎng)卡編程是不行的。當(dāng)主機(jī)為雙網(wǎng)卡時(shí)，本程序可分別獲得兩張網(wǎng)卡各自的描述結(jié)構(gòu)及地址，然后可以對(duì)它們分別進(jìn)行操作。返回的 alldevs 隊(duì)列首部為邏輯網(wǎng)卡，一般不對(duì)它進(jìn)行什么操作。 （一一）獲獲得得網(wǎng)網(wǎng)卡卡接接口口 i nclude pcap.h void main() pcap_if_t *alldevs; /*struct pcap_if_t pcap_if_t *next; ch

15、ar *name; char *description; pcap_addr *addresses; U_int falgs; */ pcap_if_t *d; int i=0; char errbufPCAP_ERRBUF_SIZE; /* Retrieve the device list */ if (pcap_findalldevs(&alldevs, errbuf) = -1)/返回網(wǎng)卡列表，alldevs 指向表頭 fprintf(stderr,Error in pcap_findalldevs: %sn, errbuf); exit(1); /* Print the lis

16、t */ for(d=alldevs;d;d=d-next) printf(%d. %s, +i, d-name); if (d-description) printf( (%s)n, d-description); else printf( (No description available)n); if(i=0) printf(nNo interfaces found! Make sure WinPcap is installed.n); return; /* We dont need any more the device list. Free it */ pcap_freealldev

17、s(alldevs); - 文檔可自由編輯打?。ǘ┳プグ?本程序俘獲局域網(wǎng)內(nèi) UDP 報(bào)文。 i nclude pcap.h /* 4 bytes IP address */ typedef struct ip_address u_char byte1; u_char byte2; u_char byte3; u_char byte4; ip_address; /* IPv4 header */ typedef struct ip_header u_char ver_ihl; / Version (4 bits) + Internet header length (4 bits) u_c

18、har tos; / Type of service u_short tlen; / Total length u_short identification; / Identification u_short flags_fo; / Flags (3 bits) + Fragment offset (13 bits) u_char ttl; / Time to live u_char proto; / Protocol u_short crc; / Header checksum ip_address saddr; / Source address ip_address daddr; / De

19、stination address u_int op_pad; / Option + Padding ip_header; /* UDP header*/ typedef struct udp_header u_short sport; / Source port u_short dport; / Destination port u_short len; / Datagram length u_short crc; / Checksum udp_header; /* prototype of the packet handler */ void packet_handler(u_char *

20、param, const struct pcap_pkthdr *header, const u_char *pkt_data); main() pcap_if_t *alldevs; pcap_if_t *d; int inum; int i=0; pcap_t *adhandle; char errbufPCAP_ERRBUF_SIZE; u_int netmask; char packet_filter = ip and udp; struct bpf_program fcode; /* Retrieve the device list */ if (pcap_findalldevs(&

21、amp;alldevs, errbuf) = -1) fprintf(stderr,Error in pcap_findalldevs: %sn, errbuf); 文檔可自由編輯打印exit(1); /* Print the list */ for(d=alldevs; d; d=d-next) printf(%d. %s, +i, d-name); if (d-description) printf( (%s)n, d-description); else printf( (No description available)n); if(i=0) printf(nNo interfaces

22、 found! Make sure WinPcap is installed.n); return -1; printf(Enter the interface number (1-%d):,i); scanf(%d, &inum); if(inum i) printf(nInterface number out of range.n); /* Free the device list */ pcap_freealldevs(alldevs); return -1; /* Jump to the selected adapter */ for(d=alldevs, i=0; inext

23、, i+); /* Open the adapter */ if ( (adhandle= pcap_open_live(d-name, / name of the device 65536, / portion of the packet to capture. / 65536 grants that the whole packet will be captured on all the MACs. 1, / promiscuous mode 1000, / read timeout errbuf / error buffer ) ) = NULL) fprintf(stderr,nUna

24、ble to open the adapter. %s is not supported by WinPcapn); /* Free the device list */ pcap_freealldevs(alldevs); return -1; /* Check the link layer. We support only Ethernet for simplicity. */ if(pcap_datalink(adhandle) != DLT_EN10MB) fprintf(stderr,nThis program works only on Ethernet networks.n);

25、/* Free the device list */ pcap_freealldevs(alldevs); return -1; 文檔可自由編輯打印if(d-addresses != NULL) /* Retrieve the mask of the first address of the interface */ netmask=(struct sockaddr_in *)(d-addresses-netmask)-sin_addr.S_un.S_addr; else /* If the interface is without addresses we suppose to be in

26、a C class network */ netmask=0 xffffff; /compile the filter if(pcap_compile(adhandle, &fcode, packet_filter, 1, netmask) 0 ) fprintf(stderr,nUnable to compile the packet filter. Check the syntax.n); /* Free the device list */ pcap_freealldevs(alldevs); return -1; /set the filter if(pcap_setfilte

27、r(adhandle, &fcode)description); /* At this point, we dont need any more the device list. Free it */ pcap_freealldevs(alldevs); /* start the capture */ pcap_loop(adhandle, 0, packet_handler, NULL); return 0; /* Callback function invoked by libpcap for every incoming packet */ void packet_handler

28、(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data) struct tm *ltime; char timestr16; ip_header *ih; udp_header *uh; u_int ip_len; /* convert the timestamp to readable format */ ltime=localtime(&header-ts.tv_sec); strftime( timestr, sizeof timestr, %H:%M:%S, ltime); /* prin

29、t timestamp and length of the packet */ /* retireve the position of the ip header */ ih = (ip_header *) (pkt_data + 14); /length of ethernet header /* retireve the position of the udp header */ ip_len = (ih-ver_ihl & 0 xf) * 4; uh = (udp_header *) (u_char*)ih + ip_len); /* convert from network b

30、yte order to host byte order */ printf(%s.%.6d len:%d , timestr, header-ts.tv_usec, header-len); /* print ip addresses */ 文檔可自由編輯打印printf(%d.%d.%d.%d - %d.%d.%d.%dn, ih-saddr.byte1, ih-saddr.byte2, ih-saddr.byte3, ih-saddr.byte4, ih-daddr.byte1, ih-daddr.byte2, ih-daddr.byte3, ih-daddr.byte4 ); - （三

31、三）發(fā)發(fā)包包 要在命令行下運(yùn)行，給與參數(shù)：網(wǎng)卡描述符。或者添加代碼 findalldevs（），那樣應(yīng)很方便。 i nclude i nclude i nclude void usage(); void main(int argc, char *argv) pcap_t *fp; char errorPCAP_ERRBUF_SIZE; u_char packet100; int i; /* Check the validity of the command line */ if (argc != 2) printf(usage: %s inerface, argv0); return; /*

32、Open the output adapter */ if(fp = pcap_open_live(argv1, 100, 1, 1000, error) ) = NULL) fprintf(stderr,nError opening adapter: %sn, error); return; /* Supposing to be on ethernet, set mac destination to 1:1:1:1:1:1 */ packet0=1; packet1=1; packet2=1; packet3=1; packet4=1; packet5=1; /* set mac sourc

33、e to 2:2:2:2:2:2 */ packet6=2; packet7=2; packet8=2; packet9=2; packet10=2; 文檔可自由編輯打印packet11=2; /* Fill the rest of the packet */ for(i=12;icmd-ping 文檔可自由編輯打?。?）用 IE 打開網(wǎng)頁(yè)： （3）登錄一個(gè) FTP 服務(wù)器文檔可自由編輯打印5.至至此此，可可以以點(diǎn)點(diǎn) Stop 按按鈕鈕停停止止 Wireshark 的的抓抓捕捕工工作作。得得到到如如下下圖圖所所示示的的結(jié)結(jié)束束，剛剛才才被被捕捕獲獲的的數(shù)數(shù)據(jù)據(jù)幀幀全全部部在在這這了了。文檔可自

34、由編輯打印6.以以下下來(lái)來(lái)分分析析數(shù)數(shù)據(jù)據(jù)幀幀和和數(shù)數(shù)據(jù)據(jù)包包捕 獲的數(shù)據(jù)含義如下：第一列是捕獲數(shù)據(jù)的編號(hào)；第二列是捕獲數(shù)據(jù)的相對(duì)時(shí)間，從開始捕獲算為 0.000 秒；第三列是源地址，第四列是目的地址；第五列是協(xié)議信息；第六列是數(shù)據(jù)包的信息。為了避免因操作失誤導(dǎo)致數(shù)據(jù)丟失，我們可以先將捕獲的數(shù)據(jù)保存起來(lái)（選擇 file-save 命令）。文檔可自由編輯打印7.以以太太網(wǎng)網(wǎng)的的幀幀格格式式：（1）ARP 協(xié)協(xié)議議封封裝裝在在以以太太網(wǎng)網(wǎng)中中的的格格式式：分分析析 ARP 封封裝裝在在以以太太網(wǎng)網(wǎng)數(shù)數(shù)據(jù)據(jù)幀幀中中在下圖中 Filter 后面的編輯框中輸入：arp（注意是小寫），然后回車或者點(diǎn)擊“Apply”按鈕, 現(xiàn)在只有 ARP 協(xié)議了。其他的協(xié)議數(shù)據(jù)包都被過(guò)濾掉了。如下圖：文檔可自由編輯打印選中一個(gè)數(shù)據(jù)幀，然后從整體上整體上 WiresharkWireshark 的窗口，主要被分成三部分：上面部分是所的窗口，主要被分成三部分：上面部分是所有數(shù)據(jù)幀的列表；中間部分是數(shù)據(jù)幀的描述信息有數(shù)據(jù)幀的列表；中間部分是數(shù)據(jù)幀的描述信息；下面部分是幀里面的