網絡抓包分析（移動互聯網第七組）

網絡抓包分析以對百度等進行數據抓包分析。

由圖能夠看出目的ip是119.75.217.26

數據鏈路層分析

能夠看出目的mac地址（48:3c:0c:f1:3a:e7）和主機的mac地址(50:2b:73:c0:c9:bf)

TCP報文格式及TCP鏈接管理

三次握手過程

 

 

 

 

以上是找到的三次握手

 

第一次握手數據包，A向B發送請求報文段，首部同步位中SYN=1,並seq=0

第二次握手的數據包，B的TCP收到鏈接請求報文段後，如贊成，則發回確認，ACK=1，確認號ack=0+1=1。同時B向A發起鏈接請求，應使SYN=1。本身選擇序號爲seq=0

第三次握手的數據包，A收到後給B確認，ACK=1，確認號爲ack=0+1=1

這個過程就完成了三次握手

 

而後有四次握手斷開鏈接

第一次握手：FIN=1，seq=774，ack=5999，等待確認

第二次握手：ACK=1，ack=774+1=775，seq=5999，鏈接處於半關閉

第三次握手：ACK=FIN=1,ack=775,seq=6030

第四次握手：seq=775

 

 

附上一張TCP報文格式的圖

 

這是圖中的tcp格式

1. 源端口號（52386）和目的端口號（443）：用於標示和區分源端設備和目的端設備的應用進程
2. 序列號（Sequence Number）：用來標識TCP源端設備向目的端設備發送的字節流，圖中是1
3. 確認號（Acknowledgement number）：發送確認的一端所指望接收到的下一個序列號，所以確認序列號應當是上次成功接收到數據的順序號加1。只有ACK標誌爲1時確認序號字段纔有效。圖中是1
4. 首部長度（Header length）：指出TCP首部共有多少個4字節，長度在20-60之間，圖中是20
5. 標識字段：Urgent爲0，因此不是優先報文；Acknowledgement爲1，確認字段有效；復位RST：代表TCP連接中出現嚴重差錯；同步SYN：表示這是一個鏈接請求或鏈接接受報文；終止FIN：用來釋放一個鏈接
6. 校驗和（Checksum）：佔2字節。校驗和字段檢驗的範圍包括首部和數據，用於校驗TCP報頭部分和數據部分的正確性
7. [SEQ/ACK analysis]:迴應客戶機的請求鏈接申請，時延RTT爲0.000055s

 

IP

附上一張ip的格式圖

 

這是圖中IP的報文

版本號：標明瞭IP協議的版本號，目前爲4

頭部長度：IP報頭的長度。固定部分的長度（20字節）和可變部分的長度之和。共佔4位。最大爲1111，即10進制的15，表明IP報頭的最大長度能夠爲15個32bits（4字節），也就是最長可爲15*4=60字節，除去固定部分的長度20字節，可變部分的長度最大爲40字節。IP包頭中32bit的數量

服務類型：佔8位，用來得到更好的服務，但實際上一直沒有被使用過。1998年IETF把這個字段更名爲區分服務DS(Differentiated Services)。只有在使用區分服務時，這個字段才起做用。

總長度：整個數據包的長度，最長可達65535字節

標識：IP軟件在存儲器中維持一個計數器，每產生一個數據報，計數器就加1，並將此值賦給標識字段。但這個「標識」並非序號，由於IP是無鏈接服務，數據報不存在按序接收的問題

DF = 1：不容許分片，MF = 0：後面沒有分片

生存時間：設置了數據包能夠通過的最多路由器數

協議：1爲ICMP，2爲IGMP，6爲TCP，17爲UDP

頭部校驗和：根據IP首部計算的檢驗碼

源IP地址和目的IP地址

 

ICMP

附上一張ICMP格式

 

這是一張192.75.217.26的icmp的報文

類型字符：8 代碼字段：0 是回顯請求，因此這個是請求報文

校驗和（Checksum）字段：0x4c4c 長度是2字節，用於數據報傳輸過程當中的差錯控制

標識字段（惟一）

確認號

數據字段：長度32bit

 

UDP

附上一張udp格式圖

 

源端口（51181）：   用來傳輸數據包的端口

目標端口(53)：  數據包將要被傳輸到的端口

長度：數據長度42

數據：數據包的數據

 

總結：利用wireshark工具，對互聯網進行抓包分析，使我對iso網絡模型有了深入的理解。課堂上只是老師講解和看書，對知識的理解模棱兩可，就算是記住了都很快忘記，只有實踐過纔可真正的理解。wireshark是一個很是強大的抓包工具，懂得利用其中的過濾器等其餘功能就能夠基本找出想要的結果。本次實驗是用抓取ping和瀏覽器產生的數據包。由於是初次使用wireshark，以上文章可能會有差錯，但願你們可以指正！