第10组-通信2班-011-抓包分析

                 目录

 

1、应用层

1.1 捕获www数据包

1.2 捕获直播数据包

 

2、传输层

2.1 TCP连接建立

2.2 TCP连接释放

2.3 UDP协议

 

3、网络层

3.1 IP报文分析

 

4、数据链路层

4.1 MAC地址分析

 

5、总结

 

 

 

 

 

 

 

 

 

 

1、应用层

 

1.1 捕获www数据包

HTTP协议是运行在TCP协议之上的。在抓取的数据中选择一个HTTP报文进行分析，图1-1报文是客户端向IP地址发出HTTP请求：

 

 

 

    

图1-1 http报文请求

 

由图中可以看出：

GET/d?dn=t11.baidu.com HTTP/1.1：请求一个页面文件

Host：客户端向主机发出的请求

Connection：连接保持

User-Agent：浏览器类型

Accept-Language：接受的语言

 

 

 

1.2捕获直播数据包

 

                                                                                       

 

 

图1-2捕获得到的直播数据包

2、传输层

 

2.1 TCP连接建立

TCP是面向连接的传输层协议，TCP的连接建立过程通常被称为三次握手。

 

 

2.1.1第一次握手：

                                                                   

 

 

图2-1 连接建立第一次握手

 

由图中可以看出：

源端口号：56427

目的端口号：80

首部长度：32 bytes；

同步位：SYN=1；

选择序号：seq=0。

 

2.1.2第二次握手：

 

 

 

图2-2 连接建立第二次握手

 

由图中可以看出：

源端口号：80

目的端口号：56427

首部长度：32 bytes

同步位：SYN=1

发送确认：ACK=1

确认号：ack=0+1=1

选择序号seq=0

 

2.1.3第三次握手：

 

 

图2-3 连接建立第三次握手

 

由图中可以看出：

源端口号：56427

目的端口号：80

首部长度：20 bytes

发送确认：ACK=1

确认号ack=0+1=1

 

此时，客户端的TCP通知上层应用进程，连接已经建立。服务器的TCP收到确认后，也通知其上层应用进程：TCP连接已经建立。

 

2.2 TCP连接释放

一个TCP连接是全双工，因此每个方向必须单独进行关闭。当一方完成它的数据发送任务后就发送一个FIN来终止这个方向的连接。当一端收到一个FIN，它必须通知应用进程另一端已经终止那个方向的数据传送。所以TCP终止连接的过程需要四个过程，称之为四次握手过程。

 

2.2.1第一次握手：

 

 

 

图2-4 连接释放第一次握手

 

客户端的应用进程先向其TCP发出连接释放报文，并停止再发送数据，主动关闭TCP连接。

客户端的连接释放报文如图2-4所示：

FIN=1；

选择序号seq=120。

 

2.2.2第二次握手：

 

 

 

图2-5 连接释放第二次握手

 

服务器发出确认，确认号ACK=1,ack=121，自己的序号seq=320。此时TCP服务进程通知高层应用进程，从客户端到服务器的连接就释放了，TCP连接处于半关闭状态。服务器要发送数据，客户端仍然要接收。

 

2.2.3第三次握手：

 

 

 

图2-6 连接释放第三次握手

 

若服务器已经没有要向客户端发送数据了，其应用进程就通知TCP释放连接。此时FIN=1，seq=320，ack=121，客户端收到连接释放报文段后，必须发出确认。

 

2.2.4第四次握手：

 

 

图2-7 连接释放第四握手

 

此时ACK=1，确认号ack=321，自己序号seq=121。

 

2.3 UDP协议

 

DNS使用的是UDP协议，DNS报文如图2-8所示：

 

 

图2-8 DNS报文

由图中可以看出：

源端口号：62259

目的端口号：53

报文长度：57
检验和：0xbdd4

 

3、网络层

网络层是OSI参考模型中的第三层，网络层的功能包括定义逻辑源地址和逻辑目的地址。IP协议是常见的网络层协议。

 

3.1 IP报文分析：

 

 

图3-1 IP报文

从图中可以看出：

IP报文版本号为：IPV4

首部长度为：20 bytes

数据报长度为：40

标识符：0x548c

标志：0x4000

寿命：128

上层协议：TCP

首部校验和：0x50e2

源IP地址为192.168.43.11

目的IP地址为：39.156.66.18

Don’t fragment=1表示不允许分片

 

3.2 ARP分析

 

 

图3-2ARP报文

 

 

4、数据链路层：

数据链路层以物理层为基础，向网络提供可靠的服务。它定义物理源地址和物理目的地址。

4.1 MAC地址分析：

 

 

图4.1数据链路层

 

版本类型：IPv4（0x0800）

Ethernet II:以太网协议II

源地址：3e：95：8f：5d：ee：71

目的地址：Guangdon_e4:63:ed

 

 

 

 

5、总结：

本次作业使我受益匪浅。通过本次作业，我不仅学会了如何使用wireshark软件抓包，如何更好地运用该软件的相关功能，特别是过滤器让我能够我更加快捷地找到所需的信息；同时，通过对各报文格式的分析，我更加深了对OSI参考模型各层之间的功能的了解以及提高了我对报文的分析能力。在做本次作业过程中，我也碰到不少的问题，比如不懂得如何用wireshark软件抓包，大量的冗余信息找不到自己需要的部分，以至于搞得晕头转向……但是，我通过百度寻找使用教程以及相关资料，最后都一一解决了。通过本次作业，我明白了：纸上学习到的终究不如自己动手印象深刻，理解透彻。只有自己动手，才能对课堂上所学的理论知识有着更深的了解。