網絡抓包分析作業——第三組
網絡抓包分析——第三組
目錄
一、Tcp格式... 2
二、Udp報文格式... 6
三、TCP協議的連接管理(TCP的三次握手)... 8
四、IP報文格式... 11
五、ICMP. 14
六、數據鏈路層幀格式... 16
一、Tcp格式
源端口號80;目標端口號13688;
序列號1;
確認號1
報頭長度20byts(4bit)
標誌位0x010(ACK)
Reverved、Nonce、CWR、Ecn-Echo(6bit):目前沒有使用,它們的值都為0,作為保留,留待以後開發新技術時使用。
URG(Urgent Pointer Field Significant):緊急指針標誌,用來保證TCP連接不被中斷,並且督促中間設備盡快處理這些數據
ACK(Acknowledgement Field Signigicant):確認號字段,該字段為1時表示應答字段有效,即TCP應答號將包含在TCP報文中。
PSH(Push Function): 推送功能,所謂推送功能指的是接收端在接收到數據後立即推送給應用程序,而不是在緩沖區中排隊。
RST(Reset the connection): 重置連接,不過一般表示斷開一個連接,
SYN(Synchronize sequence numbers):同步序列號,用來發起一個連接請求。
FIN(No more data from sender):表示發送端發送任務已經完成(即斷開連接)。
窗口大小301
校驗和0xa290
緊急指針0
二、Udp報文格式
抓包結果
源端口4015;目標端口8000;用戶數據長度155;校驗和0x8e67;數據147 byt
三、TCP協議的連接管理(TCP的三次握手)
在瀏覽器中輸入網址
http://www.cnblog.com/tankxiao
再在wireshark中輸入http過濾,選中Get/tankxiao HTTP/1.1進行分析。
本機當前IP為172.31.121.14
三次握手過程
第一次握手數據包
客戶端發送一個TCP,標誌位為SYN,序列號為0,代表客戶端請求建立連接。如下圖所示
第二次握手數據包
服務器發回確認包,標誌位為SYN,ACK。將確認序號(Acknowledgement Number)設置為客戶的ISN+1,即0+1=1,如下圖。
第三次握手數據包
客戶端再次發送確認包(ACK),ACK標誌位為1,並將服務器發來的ACK序號字段+1放在確定字段中且發送給對方,在數據段放寫ISN+1,如下圖
經以上過程通過TCP三次握手,建立連接。
四、IP報文格式
抓包結果
版本是IPV4
首部長度20bytes(4bit)
服務類型
總長度52
標識0x4113(16659)
標誌0x02
內部偏移0
生存時間64
協議TCP(6)
首部校驗和0xdcec
源ip地址192.168.1.5
目標ip地址103.78.243.100
五、ICMP
ICMP報文格式
(1) 在cmd下執行ping www.baidu.com
(2) 在wireshark抓到8個ICMP的查詢報文(分別是四次請求,四次應答)
分析:
① 紅色框中藍色為IP首部,共同擁有20個字節
② 紅色框中藍色為ICMP報文字段,共同擁有40個字節
③ ICMP報文內容
類型type為8(回射請求/ping請求);
代碼code為0;
校驗和checksum為0x4d56
④ 點擊下一個報文
類型type為0(回射應答/ping應答);
代碼code為0;
校驗和checksum為0x5556
六、數據鏈路層幀格式
用Wireshark抓捕相應一段時間的數據包(如下圖 )
1.Ethernet幀結構
選取任意幀分析,在在首部細節信息欄中,可以看到有關該幀的到達時間、幀編號、幀長度、幀中協議和著色方案等信息。(如選取17號幀進行分析)
Ethernet幀結構分析
Ethernet幀結構,有幾種不同類型的幀結構,盡管它們格式和最大傳輸單元不同,但卻能夠共存於相同的物理媒體上。EthernetII 幀(又稱DIX幀)是目前使用最廣的以太幀。如下圖顯示了Ethernet II幀結構(該幀前後的輔助字段沒有顯示)。與802.3以太幀結構相比,它較為簡單。其中的以太類型字段標識了封裝了該幀數據中的較高層協議。例如,以太類型值為0x0800指示了該幀包含了IPv4數據報,0x0806表明指示了該幀包含了ARP幀,0x8100指示了該幀包含了IEEE 802.1Q幀。
2.IEEE 802.11幀結構
分析IEEE 802.11幀結
IEEE 802.11幀結構,是在以太網鏈路上運行的一種數據分組,開始於前導碼和幀定界符起始,後繼的是以太首部的目的和源地址。 該幀的中部是載荷數據,其中包括了由該幀攜帶的其他協議(如IP)的首部。該幀的尾部是32比特的循環冗余碼校驗,以檢測數據傳輸時可能的損傷。它完整的幀結構如下圖所示:
Protocol version:表明版本類型,現在所有幀裏面這個字段都是0x00。 *Type:指明數據幀類型,是管理幀,數據幀還是控制幀。 Subtype:指明數據幀的子類型,因為就算是控制幀,控制幀還分RTS幀,CTS幀,ACK 幀等等,通過這個域判斷出該數據幀的具體類型。 To DS/From DS:這兩個數據幀表明數據包的發送方向,分四種可能情況討論: **若數據包To DS為0,From DS為0,表明該數據包在網絡主機間傳輸。 **若數據包To DS為0,From DS為1,表明該數據幀來自AP。 **若數據包To DS為1,From DS為0,表明該數據幀發送往AP。 若數據包To DS為1,From DS為1,表明該數據幀是從AP發送自AP的,也就是說這個是個WDS(Wireless Distribution System)數據幀。 Moreflag:分片標誌,若數據幀被分片了,那麽這個標誌為1,否則為0。 *Retry:表明是否是重發的幀,若是為1,不是為0。 PowerManage:當網絡主機處於省電模式時,該標誌為1,否則為0。 Moredata:當AP緩存了處於省電模式下的網絡主機的數據包時,AP給該省電模式下的網絡主機的數據幀中該位為1,否則為0。 Wep:加密標誌,若為1表示數據內容加密,否則為0。 *Order 這個表示用於PCF模式下。 Duration/ID(持續時間/標識):表明該幀和它的確認幀將會占用信道多長時間;對於幀控制域子類型為:Power Save-Poll的幀,該域表示了STA的連接身份(AID, Association Indentification)。
3)Address(地址域):源地址(SA)、目的地址(DA)、傳輸工作站地址(TA)、接收工作站地址(RA),SA與DA必不可少,後兩個只對跨BSS的通信有用,而目的地址可以為單播地址(Unicast address)、多播地址(Multicast address)、廣播地址(Broadcast address)。 4)Sequence Control(序列控制域):由代表MSDU(MAC Server Data Unit)或者MMSDU(MAC Management Server Data Unit)的12位序列號(Sequence Number)和表示MSDU和MMSDU的每一個片段的編號的4位片段號組成(Fragment Number)
網絡抓包分析作業——第三組