IP抓包分析

 

 

 

目录

 

 

1、     主机的IP地址配置与连通性测试

1.1IP地址配置

1.2连通性测试

1.3网络地址规划表

 

2、     数据链路层抓包分析

2.1 MAC帧格式

2.2 MAC地址分析

 

3、     网络层抓包分析

3.1 IP报文

3.2 ARP协议

3.3 ICMP协议

 

4、     传输层抓包分析

4.1 TCP协议3次握手

4.2 TCP协议4次挥手

4.3 UDP协议

 

5、     应用层抓包分析

5.1 www （HTTP协议）分析

5.2 直播

 

6、总结

 

1、     主机地址的IP地址配置与连通性测试

1.1     IP地址配置

根据学校校园网自动配置给咱们的网关地址：172.24.48.1，推算出子网掩码应该设为255.255.240.0，同时计算出以学号命名最后一位的IP地址172.24.48.31为有效地址，所以配置使用此地址为主机地址。

具体配置操做以下：

首先打开“网络与Internet”设置，找到本身的网卡，个人电脑的网卡为图中的以太网。

双击以太网查看以太网状态，点击属性

在属性中找到IPV4地址的配置选项，双击打开

根据以前的计算，我将个人主机IP地址配置为172.24.48.31，子网掩码为：255.255.240.0，网关为：172.24.48.1。随后进行连通性测试。

 

1.2     连通性测试

配置好主机的IP地址后，我对其进行连通性测试，打开Windows的命令提示符，输入指令：ping www.baidu.com，用来测试主机与百度的连通性，结果以下图。

根据图片可知，主机与百度成功连通，连通性测试经过！！！

 

1.3     网络地址规划表

 

源地址	目标地址	域名
172.24.48.31	183.232.231.174	www.baidu.com
172.24.48.31	112.17.1.202	www.iqiyi.com
10.137.0.2	172.24.48.31	无

 

 

2、   数据链路层抓包分析

2.1 MAC帧格式

 

MAC帧的帧头包括三个字段。前两个字段分别为6字节长的目的地址字段和源地址字段，目的地址字段包含目的MAC地址信息，源地址字段包含源MAC地址信息。第三个字段为2字节的类型字段，里面包含的信息用来标志上一层使用的是什么协议，以便接收端把收到的MAC帧的数据部分上交给上一层的这个协议。

MAC帧的数据部分只有一个字段，其长度在46到1500字节之间，包含的信息是网络层传下来的数据。MAC帧的帧尾也只有一个字段，为4字节长，包含的信息是帧校验序列FCS（使用CRC校验）。

 

2.2 MAC地址分析

MAC地址就是在媒体接入层上使用的地址，也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。MAC地址与网络无关，也即不管将带有这个地址的硬件（如网卡、集线器、路由器等）接入到网络的何处，都有相同的MAC地址，它由厂商写在网卡的BIOS里。

我使用了wireshark抓包软件，对MAC地址进行了抓包分析，抓包结果以下图：

根据报文能够看到，源地址为Caswell_eb:09:4a，其MAC地址为：08:35:71:eb:09:4a；目的地址为Hewlettp_40:9b:e4，其MAC地址为：48:ba:4e:40:9b:e4

 

 

 

 

 

 

 

 

 

 

3、   网络层抓包分析

3.1 IP报文分析

使用wireshark抓包软件抓包，获得如下结果：

根据抓包结果，IP地址的报文含义为：

1.  Version是版本，证实此IP地址为IPV4的地址；

2.  Header Length是头部长度，这里头部长度为20字节；

3.  Differentiated Services Field就是服务类型，3位优先权字段（如今已弃用），4位TOS字段，和一位保留字段，4位TOS分别表示：最小延时，最大吞吐量，最高可靠性，最小成本，四个相互冲突，只能选择其一；

4.  Total Length是总长度，此报文长度为60字节

5.  Identification为位标识，惟一的标识主机发送的报文，若是IP数据报在数据链路层被分片了，那么每个片里面的这个id都是相同的；

6.  Flags为标识，第一位保留，第二位置为1表示禁止分片，这时候若是报文长度超过MTU，IP模块就会丢弃报文，第三位表示“更多分片”，若是分片的话，最后一个分片置为1，其余是0，相似于一个结束标记。

7.  TTL协议 检验和这几个部分，上层协议为TCP，再下是头部检验和。

8.  源地址和目的地址，此报文的源地址为：172.24.48.31，目的地址为：183.232.231.172

 

3.2 ARP协议

ARP协议是地址解析协议，是已知目标主机的IP地址，，解析对应的MAC地址。其工做机制为：

1.  首先在广播域中发送一份称做ARP请求的以太网数据帧，域内每一台主机都能收到。ARP请求数据真中包含目的主机的IP地址及请求者自身的MAC地址，请求目的IP的主机答复。

2.  目的IP主机收到ARP请求后，会将自身的IP地址和MAC打包成数据帧，答复请求。

使用wireshark进行对ARP的抓包分析，结果以下：

在第30帧中，个人主机发起了ARP请求，源地址为172.24.48.31，源MAC地址为：48:ba:4e:40:9b:e4，目的地址为172.24.48.1。对其发送ARP请求帧。

 

在第31帧中，目的地址172.24.48.31收到ARP请求数据帧后，作出应答，打包回复自身MAC地址。这里源地址为：172.24.48.1，MAC地址为：08:35:71:eb:09:4a，目的地址为：172.24.48.31，MAC地址为：48:ba:4e:40:9b:e4。

 

3.3 ICMP协议

ICMP的全称是 Internet Control Message Protocol ，Internet控制消息协议。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络自己的消息。这些控制消息虽然并不传输用户数据，可是对于用户数据的传递起着重要的做用。

同时，ping协议是ICMP中的一个重要的协议，因此使用Ping协议来对ICMP协议分析。

 

选用了Ping百度的域名（www.baidu.com）来进行抓包，根据DNS解析能够获得百度的IP为183.232.231.172。根据ICMP协议，type=8为Ping请求，Code=0，Checksum=0x4bf8为校验和，ICMP的报文数据为32bytes。

 

Type = 0则为应答报文，Code=0，Checksum=0x53f8为校验和，ICMP的报文数据为32bytes。

 

4、   传输层抓包分析

4.1 TCP 3次握手

TCP是面向链接的传输层协议，所谓面向链接就是在真正的数据传输开始前要完成的链接创建的过程，不然不会进入真正的数据传输阶段。

TCP 的链接创建过程称为三次握手。

在此，我对百度进行了抓包，分析主机与百度创建链接的过程。根据DNS服务器的解析，百度（www.baidu.com）使用了代理服务器，其IP地址为183.232.231.172、183.232.231.174。

第一次握手：在第5帧中，能够看到个人主机172.24.48.31，向百度183.232.231.174发出了请求报文，查看报文，其首部的同部位SYN=1，并选择序号seq=0。

第二次握手：在第7帧中，能够看到百度183.232.231.174，向主机172.24.48.31发出了确认报文。ACK=1，返回确认号ack=0+1=1。同时，百度向主机发起链接请求，SYN=1，其选择的序号seq=0。

第三次握手：在第8帧中，主机收到了百度发出的链接请求报文段后，给百度给出确认报文，ACK=1，确认号ack=0+1=1。同时，主机的TCP通知应用层的进程，链接已经创建能够开始通讯。

随后，主机会与百度进行HTTP协议的通讯。

 

4.2 TCP 4次挥手

TCP链接是全双工的，所以每一个断开链接的话必须每一个方向单独进行关闭。一方结束数据传输就发送FIN来终止这个方向传输，对方收到FIN也要通知应用层这个方向的传输已终止，所以TCP断开链接须要四个过程。

由于试了不少次，都不能抓包到释放与百度的TCP链接的报文，只好选用其余网站的。

此次抓包是IP地址为10.137.0.2对个人主机172.24.48.31发起的终止链接请求，具体分析以下：

第一次挥手：在第22帧中，10.137.0.2使链接释放报文段的FIN=1，ACK=1，seq=1向主机172.24.48.31发出链接释放报文，等待主机确认。

 

第二次握手：在第25帧中，个人主机172.24.48.31收到10..137.0.2的链接释放报文后，向其发送确认号ACK=1，ack=1+1=2，seq=1的确认报文，确认链接释放，同时通知应用层的进程，链接已关闭。此时，TCP链接处于半关闭状态。

第三次挥手：在第54帧中，个人主机没有须要传输的数据了，所以个人主机172.24.48.31向10.137.0.2发送FIN=1，ACK=1，ack=1+1=2，seq=1的链接释放报文。

第四次挥手：在第57帧中，10.137.0.2收到主机172.24.48.31发出的链接释放报文段后，作出确认，使ACK=1，ack=1+1=2，seq=1+1=2，向主机发出确认报文，在此TCP 完成释放。

 

4.3 UDP协议

UDP协议全称用户数据报协议，提供了不面向链接的通讯，通讯是不须要接力链接，且不对传输送数据包进行可靠的保证，可靠性由应用层来负责。

由于DNS服务器使用的就是UDP协议，因此抓包分析DNS解析就能够分析UDP协议。

可见，DNS使用的是UDP协议，其中

Source port为源端口，用于发送数据包的端口

Destination port为目的端口，数据包要送达的端口

Length为UDP长度，数据包的字节长度

Checksum为校验和，用来确保UDP的首部和数据部分的完整性

5、   应用层抓包分析

5.1 www（HTTP协议）分析

在以前的TCP三次握手创建好链接后，主机就开始与百度通讯，与其创建HTTP链接。

在第9帧中，主机172.24.48.31与183.232.231.174创建HTTP协议的链接，请求方法为GET，请求版本为HTTP/1.1，域名为www.baidu.com。

 

5.2 直播

直播抓包选用了爱奇艺的网站：www.iqiyi.com

根据DNS服务器的解析，www.iqiyi.com有两个IP地址分别为：112.17.1.202和112.13.64.135

经过抓包能够知道，直播类网站也是先进行TCP 3次握手链接，链接后使用HTTP协议进行通讯的。

 

 

6、   总结

通过了大概半个学期的IP通讯的学习，我感受本身对IP通讯有了比较深刻的理解。此次的网络抓包做业对于我仍是挺有挑战的，网络的抓包仍是第一次尝试。上课讲了理论知识在这儿全都能用的上，可是要能熟练的使用仍是有点困难的。此次的抓包做业，我以为最大的问题就是抓包很难抓到想要的数据，有不少时候抓到的数据都是不完整的，因此我也是尝试了不少次才抓到想要的数据的。此次的抓包做业让我学会不少技能，使我更加深刻的了解IP通讯在各个层面的功能，同时也巩固了个人基础知识，收获很大。