網絡抓包分析——第二組

 

網絡抓包網址:www.study.huatec.com服務器

圖中數據包爲HTTP協議的封裝包,則它的封裝包信息有:網絡

Frame 88(序號):物理層的數據幀幀信息spa

Ethernet Ⅱ :數據鏈路層的以太網信息3d

Internet Protocol Version 4 :網絡層IP數據包信息指針

Transmission Control Protocol :傳輸層TCP信息blog

Hypertext Transfer Prontocol :應用層HTTP信息ci

 

一、分析傳輸層協議(TCP、UDP)的報文格式,TCP協議的鏈接管理。路由

過濾器中輸入表達式:http contains study.huatec.com 獲得此網址的HTTP協議信息get

 

 

 

TCP報文信息:位於transmission control protocolcmd

(圖爲HTTP數據包中的TCP報文信息)

 

TCP報文格式:

16位源端口號(57987)

目的端口(80)

序號(511)

確認號(233)

首部

保留

標誌位

窗口大小(1023)

16位TCP檢驗和

16位緊急指針

選項

數據

 

確認號:是上次成功接收到數據的順序號加1 ,此確認號的二進制數據爲:0x21325384

 

 

首部:指出TCP首部共有多少個4字節,長度在20-60之間,此報文首部共20個字節。

 

窗口大小:讓對方設置窗口大小,此報文中Window size=1023,表示一次能夠發送1023個字節的數據,窗口其實是一種流量控制的機制。

 

校驗和:檢驗的範圍包括首部和數據,用於檢驗TCP報頭部分和數據部分的正確性。

 

標識字段:用於彙報此報文的屬性,是否爲優先報文,字段是否有效等。

 

緊急指針:指出報文段中緊急數據共有多少字節,緊急數據放在最前面。此報文緊急指針值爲0,即無緊急數據。

 

UDP報文信息:

篩選出UDP報文,本次抓包中無UDP協議,DNS協議運行在UDP協議上,屬於傳輸層協議

 

UDP報文格式:

16位源端口(62906)

16位目的端口(53)

16位UDP長度(42)

16位UDP校驗和

數據

 

TCP三次握手:

①:客戶端->服務器:SYN=1,seq=x(請求);

②:服務器->客戶端:SYN=1,seq=y(請求),ACK=1,ack=x+1(確認上一個數據);

③:客戶端->服務器:ACK=1,seq=x+1(客戶端的第二次請求),ack=y+1(確認服務器發來的數據);

 

41,45,47數據包便是TCP的三次握手過程,Info以下:

①41 57986(客戶端) -> 80(服務器)Seq=0 【第一次握手:標誌位爲SYN,序號爲0

 

 

②45 80(服務器)-> 57986(客戶端) Seq=0 ACK=1【第二次握手:標誌位爲ACK,SYN,序號爲0

 

 

 

 

 

 

③47 57986(客戶端) -> 80(服務器)Seq=1 ACK=1【第三次握手:標誌位爲ACK,序號爲1

 

 

 

 

 

 

三次握手後創建HTTP:

 

 

 

二、分析網絡層協議的報文格式,IP、ICMP的報文格式

IP報文:

版本號

頭部長度

8位服務類型

16位總長度

16位標識字段

標誌

13位片偏移

8位生存時間

8位協議

16位頭部校驗和

32位源IP地址

32位目的IP地址

IP選項

數據

 

16位總長度:因爲該字段長爲16比特,因此IP數據報最長爲65535字節。此報文長度爲536。

 

16位標識字段:惟一標識每一份數據包,每發一份報文它的值加1,IP把MTU與數據包的長度進行比較,若須要則進行分片。

 

標誌: DF(don’t fragment)表示能夠分片

MF(more fragment)表示set標識還有分片

 

13位片偏移:指該片偏移原始數據包開始的位置。此包片偏移爲0。

 

 

生存時間:設置了數據報能夠通過的最多路由器數量。此報生存時間爲128。

 

協議字段:1--ICMP  2--IGMP  6--TCP  17--UDP

 

 

 

ICMP報文獲取:

使用tracert跟蹤路由命令,肯定IP數據包訪問目標所採起的路徑

cmd命令提示符中輸入:tracret study.huatec.com

wireshark中進行捕獲

 

 

 

 

 

 

ICMP報文:

 

 

 

類型

代碼

校驗和

(這四個字節取決於ICMP報文的類型)

ICMP的數據部分(長度取決於類型)

三、分析數據鏈路層的幀格式

 

標誌字段

F

地址字段

A

控制字段

C

信息字段

INFO   

幀校驗序列FCS

標誌字段

F

源地址:00:0a:1a:15:39:2a ;目的地址:70:f9:6d:47:d9:00 ;類型:0×0800

相關文章
相關標籤/搜索