網絡抓包網址:www.study.huatec.com服務器
圖中數據包爲HTTP協議的封裝包,則它的封裝包信息有:網絡
Frame 88(序號):物理層的數據幀幀信息spa
Ethernet Ⅱ :數據鏈路層的以太網信息3d
Internet Protocol Version 4 :網絡層IP數據包信息指針
Transmission Control Protocol :傳輸層TCP信息blog
Hypertext Transfer Prontocol :應用層HTTP信息ci
一、分析傳輸層協議(TCP、UDP)的報文格式,TCP協議的鏈接管理。路由
過濾器中輸入表達式:http contains study.huatec.com 獲得此網址的HTTP協議信息get
TCP報文信息:位於transmission control protocolcmd
(圖爲HTTP數據包中的TCP報文信息)
TCP報文格式:
16位源端口號(57987) |
目的端口(80) |
|||
|
||||
|
||||
首部 |
保留 |
標誌位 |
窗口大小(1023) |
|
|
16位緊急指針 |
|||
選項 |
||||
數據 |
確認號:是上次成功接收到數據的順序號加1 ,此確認號的二進制數據爲:0x21325384
首部:指出TCP首部共有多少個4字節,長度在20-60之間,此報文首部共20個字節。
窗口大小:讓對方設置窗口大小,此報文中Window size=1023,表示一次能夠發送1023個字節的數據,窗口其實是一種流量控制的機制。
校驗和:檢驗的範圍包括首部和數據,用於檢驗TCP報頭部分和數據部分的正確性。
標識字段:用於彙報此報文的屬性,是否爲優先報文,字段是否有效等。
緊急指針:指出報文段中緊急數據共有多少字節,緊急數據放在最前面。此報文緊急指針值爲0,即無緊急數據。
UDP報文信息:
篩選出UDP報文,本次抓包中無UDP協議,DNS協議運行在UDP協議上,屬於傳輸層協議
UDP報文格式:
16位源端口(62906) |
16位目的端口(53) |
16位UDP長度(42) |
16位UDP校驗和 |
數據 |
TCP三次握手:
①:客戶端->服務器:SYN=1,seq=x(請求);
②:服務器->客戶端:SYN=1,seq=y(請求),ACK=1,ack=x+1(確認上一個數據);
③:客戶端->服務器:ACK=1,seq=x+1(客戶端的第二次請求),ack=y+1(確認服務器發來的數據);
41,45,47數據包便是TCP的三次握手過程,Info以下:
①41 57986(客戶端) -> 80(服務器)Seq=0 【第一次握手:標誌位爲SYN,序號爲0】
②45 80(服務器)-> 57986(客戶端) Seq=0 ACK=1【第二次握手:標誌位爲ACK,SYN,序號爲0】
③47 57986(客戶端) -> 80(服務器)Seq=1 ACK=1【第三次握手:標誌位爲ACK,序號爲1】
三次握手後創建HTTP:
二、分析網絡層協議的報文格式,IP、ICMP的報文格式
IP報文:
版本號 |
頭部長度 |
8位服務類型 |
16位總長度 |
|
|
標誌 |
13位片偏移 |
||
8位生存時間 |
8位協議 |
16位頭部校驗和 |
||
32位源IP地址 |
||||
32位目的IP地址 |
||||
IP選項 |
||||
數據 |
16位總長度:因爲該字段長爲16比特,因此IP數據報最長爲65535字節。此報文長度爲536。
16位標識字段:惟一標識每一份數據包,每發一份報文它的值加1,IP把MTU與數據包的長度進行比較,若須要則進行分片。
標誌: DF(don’t fragment)表示能夠分片
MF(more fragment)表示set標識還有分片
13位片偏移:指該片偏移原始數據包開始的位置。此包片偏移爲0。
生存時間:設置了數據報能夠通過的最多路由器數量。此報生存時間爲128。
協議字段:1--ICMP 2--IGMP 6--TCP 17--UDP
ICMP報文獲取:
使用tracert跟蹤路由命令,肯定IP數據包訪問目標所採起的路徑
在cmd命令提示符中輸入:tracret study.huatec.com
在wireshark中進行捕獲
ICMP報文:
類型 |
代碼 |
校驗和 |
(這四個字節取決於ICMP報文的類型) |
||
ICMP的數據部分(長度取決於類型) |
三、分析數據鏈路層的幀格式
標誌字段 F |
地址字段 A |
控制字段 C |
信息字段 INFO |
幀校驗序列FCS |
標誌字段 F |
源地址:00:0a:1a:15:39:2a ;目的地址:70:f9:6d:47:d9:00 ;類型:0×0800