網路抓包分析作業---第八組

一：實驗目的：

1.學習使用網路資料抓包軟體Wireshark

2.對互連網進行資料抓包，鞏固對所學知識的理解

二：實驗內容：

1.分析傳輸層協議（TCP、UDP）的報文格式，TCP協議的連線管理。

2.分析網路層協議的報文格式，IP、ICMP的報文格式。

3.分析資料鏈路層的幀格式。

三：實驗工具

Wireshark抓包軟體

四：實驗步驟

1.Wireshark，簡單描述安裝步驟。

2.開啟wireshark，選擇介面選項列表。或單擊“Capture”，配置“option”選項。

3.設定完成後，點選“start”開始抓包，顯示結果。

4.選擇某一行抓包結果，雙擊檢視此資料包具體結構

五：分析

網路抓包網址：www2.flightclub.cn

源IP地址：172.31.120.208

目的IP地址：220.170.186.19

一．Tcp報文格式

第一次握手資料：客戶端傳送一個TCP，標誌位為SYN，序列號為0， 代表客戶端請求建立連線。

圖中資料包為HTTP協議的封裝包，則它的封裝包資訊有：

Frame 24（序號）：物理層的資料幀幀資訊

Ethernet Ⅱ ：資料鏈路層的乙太網資訊

Internet Protocol Version 4 ：網路層IP資料包資訊

Transmission Control Protocol ：傳輸層

Hypertext Transfer Prontocol ：應用層HTTP資訊

第二次握手的資料包：伺服器發回確認包, 標誌位為 SYN,ACK. 將確認序號設定為客戶的I S N加1以.即0+1=1。

第三次握手的資料包：客戶端再次傳送確認包(ACK) SYN標誌位為0,ACK標誌位為1.並且把伺服器發來ACK的序號欄位+1,放在確定欄位中傳送給對方.並且在資料段放寫ISN的+1。

TCP報文格式分析：

源埠/目的埠：

在TCP報文中包涵了源埠/目的埠，源埠標識了傳送程序，目的埠標識了接收方程序。由上圖可以看出在此報文中我們的源埠號是64676, 目的埠是80。

序列號：

序列號，是用來標識從源端向目的端傳送的資料位元組流，它表示在這個報文端中的第一個資料位元組的順序號，序列號是32位的無符號型別，序列號表達達到2^32 - 1後又從0開始， 當建立一個新的連線時，SYN標誌為1，系列號將由主機隨機選擇一個順序號ISN。此報文中的序列號是020405b4。

確認號：

確認號包涵了傳送確認一端所期望收到的下一個順序號。因此確認序列號應當是上次成功接收到資料的順序號加1。只有ACK標誌為1時確認序號欄位才有效。由圖可以看出此報文的確認號為01030308。

首部長度：

TCP報文首部長度為32位元組。

URG:

當URG=1時，表面緊急指標有效。他告訴系統次報文中有緊急資料需要快速處理。

ACK: 確認號欄位，該欄位為1時表示應答欄位有效，即TCP應答號將包含在TCP報文中。

PSH: 推送功能，所謂推送功能指的是接收端在接收到資料後立即推送給應用程式，而不是在緩衝區中排隊。

RST: 重置連線。當為1時表面出現差錯，必須釋放連線，重新建立連線。

SYN:同步序列號，用來發起一個連線請求。

FIN:表示傳送端傳送任務已經完成。

視窗欄位：

表示現在執行對方傳送的資料量。也就是告訴對方，從本報文段的確認號開始允許對方傳送的資料量。由報文可以看出該視窗允許傳送34816（[Calculated window size: 34816]）的資料量。

校驗和：

佔2位元組。校驗和欄位檢驗的範圍包括首部和資料，用於校驗TCP報頭部分和資料部分的正確性。

二．UDP報文分析

UDP

源埠號為80

目的埠號為64676

與TCP相比，UDP僅有源/目的埠，長度，校驗和及資料，因此不難看出UDP的無連線，不提供可靠性，無流量控制，傳輸速度快，協議開銷小的特點。

三．IP的報文如下圖：

版本號欄位：

IP協議的版本。目前的IP協議版本號為4。

首部長度：

IP報頭的長度。首部長度為20位元組。

總長度：

IP報文的總長度。報頭的長度和資料部分的長度之和。此IP報文的總長度為52位元組。

標識欄位：

唯一的標識主機發送的每一分資料報。可知當前分片為第8164個分片。

共3位。R(Reserved bit)、DF(Don’t fragment)、MF(More fragment)三位。目前只有後兩位有效，DF位：為1表示不分片。MF：為0表示這是最後一片。

片偏移欄位：

該欄位是與ip分片後，相應的ip片在總的ip片的位置。當前為0

生存時間TTL：

IP報文所允許通過的路由器的最大數量。

協議欄位：

指出IP報文攜帶的資料使用的是那種協議，以便目的主機的IP層能知道要將資料報上交到哪個程序（不同的協議有專門不同的程序處理）。和埠號類似，此處採用協議號，TCP的協議號為6。

首部校驗和：

計算IP頭部的校驗和，檢查IP報頭的完整性。可知該IP報頭是不完整的。

源IP地址：

標識IP資料報的源端裝置，由圖可知該源IP地址為172.31.120.208

目的IP地址：

標識IP資料報的目的地址,由圖可知該目的IP地址為220.170.186.19

ip的格式圖：

四．資料鏈路層的幀格式

目的地址為：04:f9:38:c9:60:36

源地址為：9c:5c：8e:19:bd:df

型別為：0x0800（即IPv4）

五．總結

  在這次網路抓包作業中我們小組各成員都能比較好的掌握如何使用wireshark及對抓包進行分析，同時也對tcp，udp，ip等協議有更深的理解，對這些協議在網路上的應用有更具體的瞭解。在這次作業中通過小組各成員的協調合作，我們獲益良多。