网络抓包分析（移动互联网第七组）

网络抓包分析以对百度等进行数据抓包分析。

由图能够看出目的ip是119.75.217.26

数据链路层分析

能够看出目的mac地址（48:3c:0c:f1:3a:e7）和主机的mac地址(50:2b:73:c0:c9:bf)

TCP报文格式及TCP链接管理

三次握手过程

 

 

 

 

以上是找到的三次握手

 

第一次握手数据包，A向B发送请求报文段，首部同步位中SYN=1,并seq=0

第二次握手的数据包，B的TCP收到链接请求报文段后，如赞成，则发回确认，ACK=1，确认号ack=0+1=1。同时B向A发起链接请求，应使SYN=1。本身选择序号为seq=0

第三次握手的数据包，A收到后给B确认，ACK=1，确认号为ack=0+1=1

这个过程就完成了三次握手

 

而后有四次握手断开链接

第一次握手：FIN=1，seq=774，ack=5999，等待确认

第二次握手：ACK=1，ack=774+1=775，seq=5999，链接处于半关闭

第三次握手：ACK=FIN=1,ack=775,seq=6030

第四次握手：seq=775

 

 

附上一张TCP报文格式的图

 

这是图中的tcp格式

1. 源端口号（52386）和目的端口号（443）：用于标示和区分源端设备和目的端设备的应用进程
2. 序列号（Sequence Number）：用来标识TCP源端设备向目的端设备发送的字节流，图中是1
3. 确认号（Acknowledgement number）：发送确认的一端所指望接收到的下一个序列号，所以确认序列号应当是上次成功接收到数据的顺序号加1。只有ACK标志为1时确认序号字段才有效。图中是1
4. 首部长度（Header length）：指出TCP首部共有多少个4字节，长度在20-60之间，图中是20
5. 标识字段：Urgent为0，因此不是优先报文；Acknowledgement为1，确认字段有效；复位RST：代表TCP连接中出现严重差错；同步SYN：表示这是一个链接请求或链接接受报文；终止FIN：用来释放一个链接
6. 校验和（Checksum）：占2字节。校验和字段检验的范围包括首部和数据，用于校验TCP报头部分和数据部分的正确性
7. [SEQ/ACK analysis]:回应客户机的请求链接申请，时延RTT为0.000055s

 

IP

附上一张ip的格式图

 

这是图中IP的报文

版本号：标明了IP协议的版本号，目前为4

头部长度：IP报头的长度。固定部分的长度（20字节）和可变部分的长度之和。共占4位。最大为1111，即10进制的15，表明IP报头的最大长度能够为15个32bits（4字节），也就是最长可为15*4=60字节，除去固定部分的长度20字节，可变部分的长度最大为40字节。IP包头中32bit的数量

服务类型：占8位，用来得到更好的服务，但实际上一直没有被使用过。1998年IETF把这个字段更名为区分服务DS(Differentiated Services)。只有在使用区分服务时，这个字段才起做用。

总长度：整个数据包的长度，最长可达65535字节

标识：IP软件在存储器中维持一个计数器，每产生一个数据报，计数器就加1，并将此值赋给标识字段。但这个“标识”并非序号，由于IP是无链接服务，数据报不存在按序接收的问题

DF = 1：不容许分片，MF = 0：后面没有分片

生存时间：设置了数据包能够通过的最多路由器数

协议：1为ICMP，2为IGMP，6为TCP，17为UDP

头部校验和：根据IP首部计算的检验码

源IP地址和目的IP地址

 

ICMP

附上一张ICMP格式

 

这是一张192.75.217.26的icmp的报文

类型字符：8 代码字段：0 是回显请求，因此这个是请求报文

校验和（Checksum）字段：0x4c4c 长度是2字节，用于数据报传输过程当中的差错控制

标识字段（惟一）

确认号

数据字段：长度32bit

 

UDP

附上一张udp格式图

 

源端口（51181）：   用来传输数据包的端口

目标端口(53)：  数据包将要被传输到的端口

长度：数据长度42

数据：数据包的数据

 

总结：利用wireshark工具，对互联网进行抓包分析，使我对iso网络模型有了深入的理解。课堂上只是老师讲解和看书，对知识的理解模棱两可，就算是记住了都很快忘记，只有实践过才可真正的理解。wireshark是一个很是强大的抓包工具，懂得利用其中的过滤器等其余功能就能够基本找出想要的结果。本次实验是用抓取ping和浏览器产生的数据包。由于是初次使用wireshark，以上文章可能会有差错，但愿你们可以指正！