定義：

網(wǎng)絡(luò)分層協(xié)議是計(jì)算機(jī)網(wǎng)絡(luò)中用于實(shí)現(xiàn)不同設(shè)備之間通信的一種結(jié)構(gòu)化方式，將復(fù)雜的網(wǎng)絡(luò)通信任務(wù)分解成多個(gè)層次。常見網(wǎng)絡(luò)分層模型有OSI七層和TCP/IP四層模型。

OSI七層模型

1、 物理層：定義物理設(shè)備標(biāo)準(zhǔn)，如網(wǎng)絡(luò)接口類型，傳輸速率等，主要作用是傳輸比特流。

2、 數(shù)據(jù)鏈路層：定義數(shù)據(jù)幀的格式和物理介質(zhì)的訪問控制，提供錯(cuò)誤檢測(cè)和糾正。

3、 網(wǎng)絡(luò)層：提供不同地理位置的網(wǎng)絡(luò)之間的連接和路徑選擇，管理IP地址。

4、 傳輸層：定義傳輸數(shù)據(jù)的協(xié)議和端口號(hào)，如TCP和UDP，負(fù)責(zé)數(shù)據(jù)分段和重組。

5、 會(huì)話層：建立、管理和終止系統(tǒng)之間的會(huì)話。

6、 表示層：確保不同系統(tǒng)的應(yīng)用層能夠相互理解，進(jìn)行數(shù)據(jù)格式的轉(zhuǎn)換。

7、 應(yīng)用層：為用戶的應(yīng)用程序提供網(wǎng)絡(luò)服務(wù)，如電子郵件、文件傳輸?shù)取?span>

TCP/IP四層模型

1、 鏈路層：相當(dāng)于OSI模型的物理層和數(shù)據(jù)鏈路層，負(fù)責(zé)物理傳輸和數(shù)據(jù)幀的傳輸。

2、 網(wǎng)絡(luò)層：相當(dāng)于OSI模型的網(wǎng)絡(luò)層，負(fù)責(zé)IP地址的管理和路由選擇

3、 傳輸層：相當(dāng)于OSI模型的傳輸層，負(fù)責(zé)數(shù)據(jù)的可靠性和端口管理

4、 應(yīng)用層：相當(dāng)于OSI模型的會(huì)話層、表示層和應(yīng)用層，提供各種網(wǎng)絡(luò)應(yīng)用服務(wù)。

OSI 七層模型與 Wireshark 的對(duì)應(yīng)

• 物理層（L1）

Wireshark 中的表現(xiàn)：Wireshark 不直接解析物理層（比特流），但會(huì)記錄鏈路層的時(shí)間戳、接口信息（如網(wǎng)卡名稱）和幀的物理特性（如幀長度、捕獲時(shí)間）。

常見字段：Frame 信息中的 Arrival Time（捕獲時(shí)間）、Frame Length（幀長度）。

• 數(shù)據(jù)鏈路層（L2）

Wireshark 中的表現(xiàn)：解析以太網(wǎng)幀（Ethernet II）、MAC 地址、VLAN 標(biāo)簽等。錯(cuò)誤檢測(cè)通過幀校驗(yàn)序列（FCS）實(shí)現(xiàn)。

關(guān)鍵字段：Source MAC、Destination MAC、Type（上層協(xié)議類型，如 0x0800 表示 IPv4）。

應(yīng)用示例：檢查 ARP 請(qǐng)求/應(yīng)答（屬于鏈路層協(xié)議），查看 MAC 地址是否沖突。

• 網(wǎng)絡(luò)層（L3）

Wireshark 中的表現(xiàn)：解析 IP 數(shù)據(jù)包（IPv4/IPv6）、ICMP 報(bào)文、路由信息（如 TTL、IP 分片）。

關(guān)鍵字段：Source IP、Destination IP、Protocol（上層協(xié)議類型，如 6 表示 TCP）、TTL。

應(yīng)用示例：通過 ip.addr == x.x.x.x 過濾特定 IP 的流量；分析 ICMP 不可達(dá)錯(cuò)誤定位路由問題。

• 傳輸層（L4）

Wireshark 中的表現(xiàn)：解析 TCP/UDP 頭部，包括端口號(hào)、序列號(hào)、窗口大小、校驗(yàn)和。

關(guān)鍵字段：Source Port、Destination Port、Sequence Number、Acknowledgment Number（TCP）、Length（UDP）。

應(yīng)用示例：使用 tcp.analysis.retransmission 過濾 TCP 重傳包，診斷網(wǎng)絡(luò)延遲或丟包。

• 會(huì)話層（L5）

Wireshark 中的表現(xiàn)：會(huì)話層功能通常由傳輸層和應(yīng)用層共同實(shí)現(xiàn)（如 TCP 連接的建立/終止）。Wireshark 通過 Follow TCP Stream 功能追蹤完整會(huì)話。

應(yīng)用示例：查看三次握手（SYN/SYN-ACK/ACK）和四次揮手（FIN/ACK）。

• 表示層（L6）

Wireshark 中的表現(xiàn)：解析數(shù)據(jù)格式（如加密、壓縮），例如 TLS/SSL 握手、HTTP 的 JSON/XML 內(nèi)容。

關(guān)鍵字段：TLS 協(xié)議中的 Handshake Type、Cipher Suite；HTTP 的 Content-Encoding。

應(yīng)用示例：分析 HTTPS 流量中的證書交換或加密算法協(xié)商。

• 應(yīng)用層（L7）

Wireshark 中的表現(xiàn)：解析具體應(yīng)用協(xié)議（如 HTTP、DNS、FTP），展示請(qǐng)求/響應(yīng)內(nèi)容。

關(guān)鍵字段：HTTP 的 GET / POST 方法、狀態(tài)碼（200 OK）；DNS 的 Query/Response。

應(yīng)用示例：使用 http.response.code == 404 過濾未找到資源的 HTTP 響應(yīng)。

TCP/IP 四層模型與 Wireshark 的對(duì)應(yīng)

• 鏈路層

合并 OSI 的物理層和數(shù)據(jù)鏈路層：解析以太網(wǎng)幀、ARP、LLDP 等協(xié)議，重點(diǎn)關(guān)注 MAC 地址和物理接口信息。

• 網(wǎng)絡(luò)層

對(duì)應(yīng) OSI 的網(wǎng)絡(luò)層：分析 IP 數(shù)據(jù)包的路由和分片，使用 ip.dst 或 ip.src 過濾特定流量。

• 傳輸層

對(duì)應(yīng) OSI 的傳輸層：監(jiān)控 TCP/UDP 端口狀態(tài)，例如通過 tcp.port == 80 過濾 HTTP 流量。

• 應(yīng)用層

合并 OSI 的會(huì)話層、表示層、應(yīng)用層：解析 HTTP、DNS、SMTP 等協(xié)議，支持高級(jí)過濾（如 dns.qry.name contains "example.com"）。