網絡抓包分析


網絡抓包分析以對百度等進行數據抓包分析。

由圖可以看出目的ip是119.75.217.26

數據鏈路層分析

可以看出目的mac地址(48:3c:0c:f1:3a:e7)和主機的mac地址(50:2b:73:c0:c9:bf)

TCP報文格式及TCP連接三次握手

三次握手過程

 

 

 

 

以上是找到的三次握手

 

第一次握手數據包,A向B發送請求報文段,首部同步位中SYN=1,並seq=x,表明傳送數據時的第一個數據字節的序號是x

第二次握手的數據包,B的TCP收到連接請求報文段后,如同意,則發回確認,ACK=1,確認號ack=x+1。同時B向A發起連接請求,應使SYN=1。自己選擇序號為seq=y

第三次握手的數據包,A收到后給B確認,ACK=1,確認號為ack=y+1

這個過程就完成了三次握手

 

附上一張TCP報文格式的圖

 

這是圖中的tcp格式

  1. 源端口號(52386)和目的端口號(443):用於標示和區分源端設備和目的端設備的應用進程
  2. 序列號(Sequence Number):用來標識TCP源端設備向目的端設備發送的字節流,圖中是1
  3. 確認號(Acknowledgement number):發送確認的一端所期望接收到的下一個序列號,因此確認序列號應當是上次成功接收到數據的順序號加1。只有ACK標志為1時確認序號字段才有效。圖中是1
  4. 首部長度(Header length):指出TCP首部共有多少個4字節,長度在20-60之間,圖中是20
  5. 標識字段:Urgent為0,所以不是優先報文;Acknowledgement為1,確認字段有效;復位RST:表明TCP鏈接中出現嚴重差錯;同步SYN:表示這是一個連接請求或連接接受報文;終止FIN:用來釋放一個連接
  6. 校驗和(Checksum):占2字節。校驗和字段檢驗的范圍包括首部和數據,用於校驗TCP報頭部分和數據部分的正確性
  7. [SEQ/ACK analysis]:回應客戶機的請求連接申請,時延RTT為0.000055s

 

IP

附上一張ip的格式圖

 

這是圖中IP的報文

版本號:標明了IP協議的版本號,目前為4

頭部長度:IP報頭的長度。固定部分的長度(20字節)和可變部分的長度之和。共占4位。最大為1111,即10進制的15,代表IP報頭的最大長度可以為15個32bits(4字節),也就是最長可為15*4=60字節,除去固定部分的長度20字節,可變部分的長度最大為40字節。IP包頭中32bit的數量

服務類型:占8位,用來獲得更好的服務,但實際上一直沒有被使用過。1998年IETF把這個字段改名為區分服務DS(Differentiated Services)。只有在使用區分服務時,這個字段才起作用。

總長度:整個數據包的長度,最長可達65535字節

標識:IP軟件在存儲器中維持一個計數器,每產生一個數據報,計數器就加1,並將此值賦給標識字段。但這個“標識”並不是序號,因為IP是無連接服務,數據報不存在按序接收的問題

DF = 1:不允許分片,MF = 0:后面沒有分片

生存時間:設置了數據包可以經過的最多路由器數

協議:1為ICMP,2為IGMP,6為TCP,17為UDP

頭部校驗和:根據IP首部計算的檢驗碼

源IP地址和目的IP地址

 

ICMP

附上一張ICMP格式

 

這是一張icmp的報文

類型字符:8 代碼字段:0 是回顯請求

校驗和(Checksum)字段:長度是2字節,用於數據報傳輸過程中的差錯控制

標識字段(唯一)

確認號

數據字段:長度32bit

 

UDP

附上一張udp格式圖

 

這是一張我用QQ登錄時,抓的udp報文

源端口(4028):   用來傳輸數據包的端口

目標端口:  數據包將要被傳輸到的端口

長度:數據長度47

校驗和

數據:數據包的數據

 

總結:利用wireshark工具,對互聯網進行抓包分析,使我對iso網絡模型有了深刻的理解。課堂上只是老師講解和看書,對知識的理解模棱兩可,就算是記住了都很快忘記,只有實踐過才可真正的理解。wireshark是一個非常強大的抓包工具,懂得利用其中的過濾器等其他功能就可以基本找出想要的結果。本次實驗是用抓取ping和瀏覽器產生的數據包。因為是初次使用wireshark,以上文章可能會有差錯,希望大家能夠指正!

 


注意!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系我们删除。



 
粤ICP备14056181号  © 2014-2021 ITdaan.com