第10組-通訊2班-011-抓包分析

                 目錄

 

一、應用層

1.1 捕獲www數據包

1.2 捕獲直播數據包

 

2、傳輸層

2.1 TCP鏈接創建

2.2 TCP鏈接釋放

2.3 UDP協議

 

3、網絡層

3.1 IP報文分析

 

4、數據鏈路層

4.1 MAC地址分析

 

5、總結

 

 

 

 

 

 

 

 

 

 

1、應用層

 

1.1 捕獲www數據包

HTTP協議是運行在TCP協議之上的。在抓取的數據中選擇一個HTTP報文進行分析，圖1-1報文是客戶端向IP地址發出HTTP請求：

 

 

 

    

圖1-1 http報文請求

 

由圖中能夠看出：

GET/d?dn=t11.baidu.com HTTP/1.1：請求一個頁面文件

Host：客戶端向主機發出的請求

Connection：鏈接保持

User-Agent：瀏覽器類型

Accept-Language：接受的語言

 

 

 

1.2捕獲直播數據包

 

                                                                                       

 

 

圖1-2捕得到到的直播數據包

2、傳輸層

 

2.1 TCP鏈接創建

TCP是面向鏈接的傳輸層協議，TCP的鏈接創建過程一般被稱爲三次握手。

 

 

2.1.1第一次握手：

                                                                   

 

 

圖2-1 鏈接創建第一次握手

 

由圖中能夠看出：

源端口號：56427

目的端口號：80

首部長度：32 bytes；

同步位：SYN=1；

選擇序號：seq=0。

 

2.1.2第二次握手：

 

 

 

圖2-2 鏈接創建第二次握手

 

由圖中能夠看出：

源端口號：80

目的端口號：56427

首部長度：32 bytes

同步位：SYN=1

發送確認：ACK=1

確認號：ack=0+1=1

選擇序號seq=0

 

2.1.3第三次握手：

 

 

圖2-3 鏈接創建第三次握手

 

由圖中能夠看出：

源端口號：56427

目的端口號：80

首部長度：20 bytes

發送確認：ACK=1

確認號ack=0+1=1

 

此時，客戶端的TCP通知上層應用進程，鏈接已經創建。服務器的TCP收到確認後，也通知其上層應用進程：TCP鏈接已經創建。

 

2.2 TCP鏈接釋放

一個TCP鏈接是全雙工，所以每一個方向必須單獨進行關閉。當一方完成它的數據發送任務後就發送一個FIN來終止這個方向的鏈接。當一端收到一個FIN，它必須通知應用進程另外一端已經終止那個方向的數據傳送。因此TCP終止鏈接的過程須要四個過程，稱之爲四次握手過程。

 

2.2.1第一次握手：

 

 

 

圖2-4 鏈接釋放第一次握手

 

客戶端的應用進程先向其TCP發出鏈接釋放報文，並中止再發送數據，主動關閉TCP鏈接。

客戶端的鏈接釋放報文如圖2-4所示：

FIN=1；

選擇序號seq=120。

 

2.2.2第二次握手：

 

 

 

圖2-5 鏈接釋放第二次握手

 

服務器發出確認，確認號ACK=1,ack=121，本身的序號seq=320。此時TCP服務進程通知高層應用進程，從客戶端到服務器的鏈接就釋放了，TCP鏈接處於半關閉狀態。服務器要發送數據，客戶端仍然要接收。

 

2.2.3第三次握手：

 

 

 

圖2-6 鏈接釋放第三次握手

 

若服務器已經沒有要向客戶端發送數據了，其應用進程就通知TCP釋放鏈接。此時FIN=1，seq=320，ack=121，客戶端收到鏈接釋放報文段後，必須發出確認。

 

2.2.4第四次握手：

 

 

圖2-7 鏈接釋放第四握手

 

此時ACK=1，確認號ack=321，本身序號seq=121。

 

2.3 UDP協議

 

DNS使用的是UDP協議，DNS報文如圖2-8所示：

 

 

圖2-8 DNS報文

由圖中能夠看出：

源端口號：62259

目的端口號：53

報文長度：57
檢驗和：0xbdd4

 

3、網絡層

網絡層是OSI參考模型中的第三層，網絡層的功能包括定義邏輯源地址和邏輯目的地址。IP協議是常見的網絡層協議。

 

3.1 IP報文分析：

 

 

圖3-1 IP報文

從圖中能夠看出：

IP報文版本號爲：IPV4

首部長度爲：20 bytes

數據報長度爲：40

標識符：0x548c

標誌：0x4000

壽命：128

上層協議：TCP

首部校驗和：0x50e2

源IP地址爲192.168.43.11

目的IP地址爲：39.156.66.18

Don’t fragment=1表示不容許分片

 

3.2 ARP分析

 

 

圖3-2ARP報文

 

 

4、數據鏈路層：

數據鏈路層以物理層爲基礎，向網絡提供可靠的服務。它定義物理源地址和物理目的地址。

4.1 MAC地址分析：

 

 

圖4.1數據鏈路層

 

版本類型：IPv4（0x0800）

Ethernet II:以太網協議II

源地址：3e：95：8f：5d：ee：71

目的地址：Guangdon_e4:63:ed

 

 

 

 

5、總結：

本次做業使我受益不淺。經過本次做業，我不只學會了如何使用wireshark軟件抓包，如何更好地運用該軟件的相關功能，特別是過濾器讓我可以我更加快捷地找到所需的信息；同時，經過對各報文格式的分析，我更加深了對OSI參考模型各層之間的功能的瞭解以及提升了我對報文的分析能力。在作本次做業過程當中，我也碰到很多的問題，好比不懂得如何用wireshark軟件抓包，大量的冗餘信息找不到本身須要的部分，以致於搞得暈頭轉向……可是，我經過百度尋找使用教程以及相關資料，最後都一一解決了。經過本次做業，我明白了：紙上學習到的終究不如本身動手印象深入，理解透徹。只有本身動手，才能對課堂上所學的理論知識有着更深的瞭解。