Question

我用wireshark抓了一个包，不知道怎么看

像上图中的蓝色部分是不是以太网帧头？下图中蓝色是ip数据报？
虽然自己觉得不是，但是它直接帮我把蓝色部分圈出来了。





Answer 1

以太网帧头：目的mac+源mac+报文类型。对应ip包而言，报文类型是0800，所以0800是以太网帧头的结尾部分
IP报文头：大部分都是以4500开头的，4表示ipv4版本，5表示IP头长度是5个LW（20bytes），00是用来表示报文优先级的。可以通过找4500来确定ip头的起始位置
http协议报文的每一行要以回车和换行结束，回车和换行缓存ASCII码就是0d0a，所以可以通过0d0a来判断这是一行http内容的结尾。
楼主贴出的报文内容已0d0a结尾，应该是属于http内容。
要想查看以太网帧头和ip头的话，应该去更前面的报文内容中找

Answer 2

你要是排查网络故障，不是看这些。要看你抓包的协议类型，数据是否正常。以太网的帧头就是源目MAC地址，直接在上面能看出来的，何必要看这些蓝色的部分，你这图没有截完全。
网上有wireshark的教程。
你是不是想看别人到底在上网干什么？这是隐私，劝你还是不要想多的好。

追问

不是，我在学tcp ip协议族，例子里面有让你抓包分析ip数据报的组成

追答

哦，那你看上面的部分就好了，不用看这些加密的数据的。

Answer 3

一般知名端口都会自动解析出来的，否则用菜单项里的decode as...，选择合适的协议解释。如果是私有协议，那就自己写解析扩展，用lua写扩展还是很方便的