wireshark恢复默认设置

### 如何在 Wireshark 中捕获和分析 FCS（帧校验序列） Wireshark 是一种强大的网络协议分析工具，但它通常不会直接展示以太网帧中的帧校验序列 (FCS)，这是因为当数据从物理层传递到数据链路层时，FCS 字段会被移除[^3]。然而，在某些特定情况下，可以通过配置硬件设备或调整抓包设置来观察 FCS。 以下是关于如何尝试捕获和分析 FCS 的方法： #### 配置支持 FCS 抓取的环境 1. **启用硬件支持** 某些网络接口卡 (NIC) 支持保留 FCS 并将其包含在网络流量中。如果使用的 NIC 不支持此功能，则无法通过软件手段恢复 FCS。可以查阅所用 NIC 的文档，确认其是否具备该能力。 2. **使用专用驱动程序** 如果 NIC 支持 FCS 保留，可能需要安装厂商提供的特殊驱动程序版本才能使这些字段可见于 Wireshark。例如，Intel 提供了一些高级驱动选项允许用户控制是否将 FCS 添加至捕获的数据流中。 3. **修改 libpcap/tshark 设置** Wireshark 使用 `libpcap` 或 `WinPcap` 库来进行底层数据捕捉操作，默认行为可能会丢弃部分低级细节如 FCS。对于 Linux 用户来说，可通过重新编译带有额外参数的 `tcpdump` 来保存完整的原始帧信息；Windows 下则需寻找兼容的支持扩展模式的 WinPcap/Npcap 版本。 #### 进行实际抓包与验证 一旦上述条件满足后即可开始正常启动 Wireshark 开始监控目标网络连接上的活动情况: - 打开应用程序界面之后选择对应的适配器作为输入源； - 设定过滤规则以便专注于感兴趣的事件类型(比如仅限错误检测相关的报文); - 查看解码后的结果窗口里是否有新增加出来的"FCS"项目存在. 需要注意的是即使经过以上步骤仍有可能看不到预期的内容,这取决于具体场景下运行的操作系统平台以及具体的网卡型号等因素共同决定最终呈现效果. ```bash # 示例命令：Linux 上利用 tcpdump 抓取带 FCS 的数据包 sudo tcpdump -i eth0 -s 0 --with-fcs -w output.pcap ``` 这段脚本展示了怎样借助命令行工具 TcpDump 在类 Unix 系统上记录含有完整 Ethernet II 帧结构的信息文件(output.pcap),其中包含了原本被忽略掉的部分-FCS位串[^1]. --- ### 注意事项 尽管理论上能够实现对 FCS 的观测，但在日常工作中很少有必要这样做。因为现代交换机和其他中间节点一般都会自动处理好这一层面的工作，并且只有极少数异常状况才会涉及到它本身的好坏判断问题。所以除非专门研究或者调试非常特殊的案例之外，大多数时候我们更关注高层协议的表现形式而非基础传输质量指标。 ---

### Wireshark 数据包首部结构及字段含义 Wireshark 是一种非常强大的网络封包分析工具，能够捕获并解析网络流量中的各个层次的数据包[^1]。通过 Wireshark 的界面，用户可以深入观察数据包的头部信息及其具体字段的意义。 #### 1. **帧头 (Frame Header)** 帧头是数据链路层的一部分，包含了关于该帧的基本元数据。其主要字段包括但不限于以下几个方面： - **Length**: 表示整个帧的长度（字节数），用于计算传输过程中的开销和效率[^3]。 - **Source and Destination MAC Addresses**: 这些字段分别表示源设备和目的设备的硬件地址（MAC 地址）。它们帮助交换机或其他二层设备识别数据应该转发给哪个端口。 - **Type/Length Field**: 此字段通常有两种用途——如果值小于等于 1500，则代表的是以太网 II 中的有效载荷长度；如果是大于 1536 的十六进制数，则表明这是更高层协议类型（如 IPv4 或 ARP 请求）。 #### 2. **IP 首部 (IP Header)** 当进入网络层时，会看到 IP 报文的具体构成。以下是 IP 数据报的主要组成部分以及对应的解释[^4]: - **Version**: 显示当前使用的版本号，目前最常见的是 IPv4 和 IPv6。 - **Header Length (IHL)**: 定义了 IP 头的实际长度，单位是以 4 字节为基数计数，默认情况下 IPv4 的固定部分占用了 20 字节。 - **Differentiated Services Code Point (DSCP) & Explicit Congestion Notification (ECN)**: DSCP 提供服务质量标记支持，而 ECN 则允许路由器通知主机存在拥塞情况。 - **Total Length**: 整个 IP 分组总长度，包括头部和有效负载两部分内容之和。 - **Identification**: 主要应用于分片重组过程中唯一标识每一个 datagram。 - **Flags**: 控制标志位，主要用于指示是否允许分片操作等特性。 - **Fragment Offset**: 如果发生了分片现象的话，此字段记录每一片相对于原始 packet 起始位置偏移量的信息。 - **Time To Live (TTL)**: 设置跳转次数上限来防止循环路由问题的发生，在每次经过一个路由器之后都会减去一定数值直到达到零为止即丢弃相应 packets。 - **Protocol**: 指定下一个高层协议是什么形式，比如 TCP(6), UDP(17)，ICMP等等。 - **Checksum**: 计算校验码验证 ip header 是否损坏丢失等情况发生以便采取纠正措施恢复原样或者重新请求发送新的 copies. - **Source Address / Destination Address**: 分别存储着发送方与接收方公网上的逻辑地址(IPv4 address). #### 3. **TCP 首部 (TCP Header)** 除了上述提到的基础层面外，还有更复杂的传输控制协议(TCP)相关内容值得注意: - **Port Numbers**: 包含两个短整型变量分别作为 source port number 和 destination port number 使用从而实现多路复用功能区分不同应用程序之间通讯连接关系。 - **Sequence Number**: 发送者分配的一个初始序列编号用来跟踪所传递出去的所有 bytes 并确保按顺序组装成完整的 message 流程图。 - **Acknowledgment Number**: 当 ACK flag 设立起来以后才生效，意味着已经成功接收到前序指定数量 byte 后准备继续读取后续未完成的部分直至全部结束为止。 - **Data Offset**: 类似于 IHL ，指出 tcp segment headers 所占用的空间大小范围一般介于五个到六十四个 octets 不等取决于选项区是否存在扩展参数配置与否决定最终结果如何呈现出来给人看明白就好啦！ - **Reserved Bits**: 总共保留六个比特位暂时没有任何实际作用留待将来可能新增加的功能需求再做进一步开发完善工作吧😊。 - **Control Flags**: 包括 URG,ACK,PUSH,RST,SYN,FIN 六种不同类型的操作命令信号灯开关状态切换机制设计精巧合理高效实用性强👍。 - **Window Size**: 展现滑动窗口尺寸限制条件约束双方交互速率保持同步协调一致避免因速度差异过大造成资源浪费现象出现❌。 - **Check Sum**: 对tcp segments整体进行错误检测运算得出最后结论判断是否有误传错乱等问题存在⚠️。 - **Urgent Pointer**: 若设置了URG bit则此项指明紧急数据所在确切位置方便快速定位处理事务优先级高的任务事项💼。 --- ### 示例代码：抓取并打印第一个 TCP 数据包的详细信息 下面是一个简单的 Python 脚本例子，演示如何利用 `scapy` 库模拟 wireshark 功能获取首个 tcp 数据包包头详情： ```python from scapy.all import sniff def process_packet(packet): if packet.haslayer('TCP'): src_port = packet['TCP'].sport dst_port = packet['TCP'].dport seq_num = packet['TCP'].seq ack_num = packet['TCP'].ack flags = packet['TCP'].flags print(f"Src Port: {src_port}, Dst Port: {dst_port}") print(f"Seq Num: {seq_num}, Ack Num: {ack_num}") print(f"Flags: {flags}") sniff(prn=process_packet, count=1) ``` ---