17通三 075 刘兆基 抓包分析

一、应用层

1.www抓包：在捕获的的数据中心选取一个http报文，打开并找到其对应的网址，双击打开

二、传输层

源地址	172.31.148.75
目的地址	183.232.231.174
域名	www.baidu.com

 

 

 

 

 

1、TCP的三次握手

第一次握手：源地址向目的地址（百度）发送连接请求，标志位SYN=1，Seq=0；

第二次握手：目的地址的TCP收到源地址的请求报文段后，同意后会发回确认，ACK=1，Seq=0，其确认号ack=x+1。同时目的地址向源地址发起连接请求，SYN=1；

第三次握手：源地址收到此报文段后向目的地址给出确认，ACK=1，Seq=1，确认号ack=y+1，连接建立；

二、TCP的四次挥手/终止连接

第一次挥手：源地址向其TCP发出连接释放报文段，并停止再发送数据，主动关闭TCP连接，报文段首部FIN=1，seq=u，等待B的确认；

第二次挥手：目的地址发出确认，ACK=1，ack=u+1，此时TCP服务器进程通知高层应用进程，源地址到目的地址方向的连接就释放了，TCP连接处于半关闭状态目的地址若要发送数据，源址仍要接收；

第三次挥手：若目的地址已经没有要向源地址发送的数据，其应用进程通知TCP释放连接，FIN=1,ACK=1,。源地址收到连接释放报文段后，必须发出确认；

第四次挥手：在确认报文段中ACK=1，TCP四次挥手终止连接；

三、UDP报文段分析

源端口号为54337；目的端口号为8000；长度为79字节；校验和0x8742字节

三、网络层

1、IP报文分析

版本号为ipv4；首部长度为20；总长度为52；0x485f（18527）为标识符；协议类型为TCP；存活时间为128；源IP地址为172.31.148.75；目的IP地址为183.232.231.172；传输在网络层，由IP报文头和IP报文用户数据组成，IP报文头的长度一般在20-60个字节之间，而一个IP分组的最大长度不能超过65535个字节

2、ARP分析

请求：

源mac地址70:f9:6d:47:d9:00

源IP地址：172.31.148.254

目的mac地址00:00:00:00:00

目的IP地址172.31.148.75

应答：

源mac地址3c:52:82:34:7e:55

发送方IP地址172.31.148.75

目的mac地址70:f9:6d:47:d9:00

目的IP地址172.31.148.254

四、数据链路层

源mac地址3c:52:82:34:7e:55

目的mac地址70:f9:6d:47:d9:00

为确保MAC地址的唯一性，以太网卡制造商将MAC地址固化到网卡中。地址的前半部分标识网卡的制造商，由IEEE分配，称为OUI（组织唯一标识符）；地址的后半部分由网卡制造商为其网卡分配一个唯一的编号。此处分别为Hewlett、Huangzhou.

 

 

个人总结：在配置IP地址时容易出现IP地址被占用，所以要一早地起来更改好老师所要求的的IP地址。在进行tcp3次握手抓包时，要进行筛选，选出3次握手的过程。在进行tcp4次释放连接的抓包中，有时释放连接过程需要多次抓包才可获得。在进行网络层和链路层抓包时，要按照标准来进行抓取。通过这次抓包的操作，使我对IP通信有了更加深入的了解，课本并不能教会全部，脂有自己动手进行实操，才能得到更好的学习效果。