网络抓包分析
目录
一、应用层
二、传输层
三、网络层
四、数据链路层
五、总结
一、应用层
1.www.baidu.com
先更改ip为学号相关ip地址:192.168.0.33,并成功通过连通性检验,再打开wireshark选中wlan, 再打开浏览器输入网络地址https://www.baidu.com.
第5行的TLS协议是应用层的协议。
2.ftp://10.5.1.5
214-216号包是tcp三次握手,建立连接,可见ftp是基于tcp的。217号包,服务器向客户端发送自己的相关信息,后面的状态码220表示服务准备就绪。218-231号包应该是登录的过程。(因为只有内网能登录该ftp,而内网ip无法更改,故仅此处使用分配ip)
二、传输层
1.TCP协议的连接管理(TCP的三次握手)
在wireshark中输入http过滤, 选中一条http记录,右键点击选中 追踪流 > tcp流。
第一次握手:
客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。 如下图:
第二次握手:
服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的ISN加1以.即0+1=1, 如下图
第三次握手:
客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图
HTTP:
紧接着是一次Http请求,说明Http的确是使用Tcp建立连接的。 PUSH置1,ACK置1,PUSH置1说明开始发送数据,同时发送数据ACK要置1,因为需要接收到这个数据包的端给予确认。PUSH为1的情况,一般只出现在 DATA内容不为0的包中,也就是说PSH为1表示的是有真正的TCP数据包内容被传递。
2.UDP协议
UDP报文格式
|
16位源端口(62906) |
16位目的端口(53) |
|
16位UDP长度(42) |
16位UDP校验和 |
由下图可知:源地址:192.168.0.33 目的地址:182.232.98.208
源端口:59247 目的端口:8000
长度:434 校验和:11100000 11100010
三、网络层
1.IP报文
IP报文格式
|
版本号 |
头部长度 |
8位服务类型 |
16位总长度 |
|
|
16位标识字段 |
标志 |
13位片偏移 |
||
|
8位生存时间 |
8位协议 |
16位头部校验和 |
||
|
32位源IP地址 |
||||
|
32位目的IP地址 |
||||
|
IP选项 |
||||
|
数据 |
||||
版本号:0100 头部长度:0101 8位服务类型:00000000
标志:00000001 01001011 8位协议:00000110 16位头部校验和:00100101 10011111
32位源IP地址:192.168.0.33 32位目的IP地址:123.125.80.93
16位总长度:由于该字段长为16比特,所以IP数据报最长为65535字节。此报文长度为448。
16位标识字段:唯一标识每一份数据包,每发一份报文它的值加1,IP把MTU与数据包的长度进行比较,若需要则进行分片。本报为10001010 01101111。
13位片偏移:指该片偏移原始数据包开始的位置。此包片偏移为0。
生存时间:设置了数据报可以经过的最多路由器数量。此报生存时间为291。
3.ARP报文
ARP报文格式
由上图分析可知:目的地址为00101000 11110011 01100110 10011001 10111000 01101100;
源地址:10100000 01010111 11100011 01000001 00001010 10011100
硬件类型是以太网。协议类型为0x0800,表示使用ARP的协议类型为IPV4。硬件地址长度为6。协议地址长度为4,操作类型为1,表示报文类型为ARP请求。发送方硬件地址为a0:57:e3:41:0a:9c,定义了发送方的硬件地址。发送方协议地址为192.168.0.1,定义发送方的协议地址。目的硬件地址为00:00:00:00:00:00,表示是广播地址。目的协议地址为192.168.0.33,定义目的设备的协议地址
四、数据链路层
- MAC帧格式
2.MAC地址分析
类型字段 (2个字节):用来标志上一层使用的是什么协议,以便把收到的MAC帧的数据上交给上一层的这个协议
数据字段 (46-1500):正式名称是MAC客户数据字段最小长度64 字节-18字节的首部和尾部 = 数据字段的最小长度
FCS字段 (4 字节):当数据字段的长度小于 46 字节时,应在数据字段的后面加入整数字节的填充字段,以保证以太网的MAC帧长不小于64 字节
在帧的前面插入的 8 字节中的第一个字段共 7 个字节,是前同步码,用来迅速实现 MAC帧的比特同步。第二个字段是帧开始定界符,表示后面的信息就是MAC帧
MAC地址分析
Mac源地址为Shenzhen_99:b8:6c(2b:f3:66:99:b8:6c)
目的mac地址;HuaweiTe_41:0a:9c(a0:57:e3:41:0a:9c)
五、总结
在刚开始做抓包分析时,我是十分迷茫的,不知道具体要怎么做,要做什么,甚至软件如何使用都不懂。于是,我开始在网上找视频,开始学如何用wireshark。接着按着应用层、传输层、网络层、数链层逐步回顾知识,上网查找相关资料等来解读抓取的数据包的信息,再结合所学知识来完成这篇分析报告。期间,在做访问ftp时,因为无法使用外网登录ftp,在这两部分使用了以太网进行抓包。在这过程中我更深入的理解了所学的这些协议的作用和含义,对这学期所学的IP基础有了一个初步的链接意识,同时也初步学会使用wireshark这个功能强大的软件。
