網絡抓包分析——第二組

時間 2019-11-20

標籤網絡抓包分析第二欄目系統網絡简体版

原文原文鏈接

網絡抓包網址：www.study.huatec.com服務器

圖中數據包爲HTTP協議的封裝包，則它的封裝包信息有：網絡

Frame 88（序號）：物理層的數據幀幀信息spa

Ethernet Ⅱ ：數據鏈路層的以太網信息3d

Internet Protocol Version 4 ：網絡層IP數據包信息指針

Transmission Control Protocol ：傳輸層TCP信息blog

Hypertext Transfer Prontocol ：應用層HTTP信息ci

一、分析傳輸層協議（TCP、UDP）的報文格式，TCP協議的鏈接管理。路由

過濾器中輸入表達式：http contains study.huatec.com 獲得此網址的HTTP協議信息get

TCP報文信息：位於transmission control protocolcmd

（圖爲HTTP數據包中的TCP報文信息）

TCP報文格式：

確認號:是上次成功接收到數據的順序號加1 ，此確認號的二進制數據爲：0x21325384

首部：指出TCP首部共有多少個4字節，長度在20-60之間，此報文首部共20個字節。

窗口大小：讓對方設置窗口大小，此報文中Window size=1023，表示一次能夠發送1023個字節的數據，窗口其實是一種流量控制的機制。

校驗和：檢驗的範圍包括首部和數據，用於檢驗TCP報頭部分和數據部分的正確性。

標識字段：用於彙報此報文的屬性，是否爲優先報文，字段是否有效等。

緊急指針：指出報文段中緊急數據共有多少字節，緊急數據放在最前面。此報文緊急指針值爲0，即無緊急數據。

UDP報文信息：

篩選出UDP報文，本次抓包中無UDP協議，DNS協議運行在UDP協議上，屬於傳輸層協議

UDP報文格式：

TCP三次握手：

①：客戶端->服務器：SYN=1,seq=x（請求）；

②：服務器->客戶端：SYN=1,seq=y（請求），ACK=1，ack=x＋1（確認上一個數據）；

③：客戶端->服務器：ACK=1，seq=x＋1（客戶端的第二次請求），ack=y＋1（確認服務器發來的數據）；

41，45，47數據包便是TCP的三次握手過程，Info以下：

①41 57986(客戶端) -> 80（服務器）Seq=0 【第一次握手：標誌位爲SYN，序號爲0】

②45 80（服務器）-> 57986(客戶端) Seq=0 ACK=1【第二次握手：標誌位爲ACK,SYN，序號爲0】

③47 57986(客戶端) -> 80（服務器）Seq=1 ACK=1【第三次握手：標誌位爲ACK,序號爲1】

三次握手後創建HTTP：

二、分析網絡層協議的報文格式，IP、ICMP的報文格式

IP報文：