第10组-通讯2班-011-抓包分析

                 目录

 

一、应用层

1.1 捕获www数据包

1.2 捕获直播数据包

 

2、传输层

2.1 TCP链接创建

2.2 TCP链接释放

2.3 UDP协议

 

3、网络层

3.1 IP报文分析

 

4、数据链路层

4.1 MAC地址分析

 

5、总结

 

 

 

 

 

 

 

 

 

 

1、应用层

 

1.1 捕获www数据包

HTTP协议是运行在TCP协议之上的。在抓取的数据中选择一个HTTP报文进行分析，图1-1报文是客户端向IP地址发出HTTP请求：

 

 

 

    

图1-1 http报文请求

 

由图中能够看出：

GET/d?dn=t11.baidu.com HTTP/1.1：请求一个页面文件

Host：客户端向主机发出的请求

Connection：链接保持

User-Agent：浏览器类型

Accept-Language：接受的语言

 

 

 

1.2捕获直播数据包

 

                                                                                       

 

 

图1-2捕得到到的直播数据包

2、传输层

 

2.1 TCP链接创建

TCP是面向链接的传输层协议，TCP的链接创建过程一般被称为三次握手。

 

 

2.1.1第一次握手：

                                                                   

 

 

图2-1 链接创建第一次握手

 

由图中能够看出：

源端口号：56427

目的端口号：80

首部长度：32 bytes；

同步位：SYN=1；

选择序号：seq=0。

 

2.1.2第二次握手：

 

 

 

图2-2 链接创建第二次握手

 

由图中能够看出：

源端口号：80

目的端口号：56427

首部长度：32 bytes

同步位：SYN=1

发送确认：ACK=1

确认号：ack=0+1=1

选择序号seq=0

 

2.1.3第三次握手：

 

 

图2-3 链接创建第三次握手

 

由图中能够看出：

源端口号：56427

目的端口号：80

首部长度：20 bytes

发送确认：ACK=1

确认号ack=0+1=1

 

此时，客户端的TCP通知上层应用进程，链接已经创建。服务器的TCP收到确认后，也通知其上层应用进程：TCP链接已经创建。

 

2.2 TCP链接释放

一个TCP链接是全双工，所以每一个方向必须单独进行关闭。当一方完成它的数据发送任务后就发送一个FIN来终止这个方向的链接。当一端收到一个FIN，它必须通知应用进程另外一端已经终止那个方向的数据传送。因此TCP终止链接的过程须要四个过程，称之为四次握手过程。

 

2.2.1第一次握手：

 

 

 

图2-4 链接释放第一次握手

 

客户端的应用进程先向其TCP发出链接释放报文，并中止再发送数据，主动关闭TCP链接。

客户端的链接释放报文如图2-4所示：

FIN=1；

选择序号seq=120。

 

2.2.2第二次握手：

 

 

 

图2-5 链接释放第二次握手

 

服务器发出确认，确认号ACK=1,ack=121，本身的序号seq=320。此时TCP服务进程通知高层应用进程，从客户端到服务器的链接就释放了，TCP链接处于半关闭状态。服务器要发送数据，客户端仍然要接收。

 

2.2.3第三次握手：

 

 

 

图2-6 链接释放第三次握手

 

若服务器已经没有要向客户端发送数据了，其应用进程就通知TCP释放链接。此时FIN=1，seq=320，ack=121，客户端收到链接释放报文段后，必须发出确认。

 

2.2.4第四次握手：

 

 

图2-7 链接释放第四握手

 

此时ACK=1，确认号ack=321，本身序号seq=121。

 

2.3 UDP协议

 

DNS使用的是UDP协议，DNS报文如图2-8所示：

 

 

图2-8 DNS报文

由图中能够看出：

源端口号：62259

目的端口号：53

报文长度：57
检验和：0xbdd4

 

3、网络层

网络层是OSI参考模型中的第三层，网络层的功能包括定义逻辑源地址和逻辑目的地址。IP协议是常见的网络层协议。

 

3.1 IP报文分析：

 

 

图3-1 IP报文

从图中能够看出：

IP报文版本号为：IPV4

首部长度为：20 bytes

数据报长度为：40

标识符：0x548c

标志：0x4000

寿命：128

上层协议：TCP

首部校验和：0x50e2

源IP地址为192.168.43.11

目的IP地址为：39.156.66.18

Don’t fragment=1表示不容许分片

 

3.2 ARP分析

 

 

图3-2ARP报文

 

 

4、数据链路层：

数据链路层以物理层为基础，向网络提供可靠的服务。它定义物理源地址和物理目的地址。

4.1 MAC地址分析：

 

 

图4.1数据链路层

 

版本类型：IPv4（0x0800）

Ethernet II:以太网协议II

源地址：3e：95：8f：5d：ee：71

目的地址：Guangdon_e4:63:ed

 

 

 

 

5、总结：

本次做业使我受益不浅。经过本次做业，我不只学会了如何使用wireshark软件抓包，如何更好地运用该软件的相关功能，特别是过滤器让我可以我更加快捷地找到所需的信息；同时，经过对各报文格式的分析，我更加深了对OSI参考模型各层之间的功能的了解以及提升了我对报文的分析能力。在作本次做业过程当中，我也碰到很多的问题，好比不懂得如何用wireshark软件抓包，大量的冗余信息找不到本身须要的部分，以致于搞得晕头转向……可是，我经过百度寻找使用教程以及相关资料，最后都一一解决了。经过本次做业，我明白了：纸上学习到的终究不如本身动手印象深入，理解透彻。只有本身动手，才能对课堂上所学的理论知识有着更深的了解。