第7组-17级通信三班-227-抓包分析

一．配置自己的源地址

打开电脑“控制面板”，点击“网络和共享中心” ，点击“以太网”，点击“属性”，选择“Internet协议版本4”，点击“属性”后进行如下操作。

二.网络地址规划表

源地址	目的地址	备注
172.31.148.227	183.232.231.172	Cmd
172.31.148.227	106.11.223.70	Cmd

 

 

三．应用层分析

访问百度：www.baidu.com

访问优酷：www.youku.com

在过滤器是填写“http”进行过滤，在捕获的众多数据中选择一个报文。

四．传输层（TCP三次握手,TCP终止连接及UDP分析）

1.TCP三次握手

在追踪到的TCP流中，可以看到在HTTP之前有三次TCP数据交互，分别是

第1次：本机->百度服务器

第2次：百度服务器->本机

第3次：本机->百度服务器

第一次握手（SYN）

(1)源IP:本机IP ；目的IP：百度服务器IP;表示本机发往百度服务器的TCP报文段。

(2)源端口56099，目的端口为443

(3)Syn=1，Seq=0，Ack=0

本机通过发送一个TCP报文段向服务器发起连接请求，该报文段被称为SYN报文段， 不包含应用数据，Syn的值被置为1，后面可以看到在连接未建立成功时，Syn的值都为1，连接建立成功之后，Syn为0，它表示本机和服务器都已经连接成功，可以进行数据传输。

第二次握手 （SYNACK）
(1)源IP：百度服务器IP；目的IP：本机IP；表示服务器返回给本机的应答TCP报文段。

(2)源端口443，目的端口为56099。

(3)Syn=1，Ack=1，Seq=0。

该报文段被称为SYNACK报文段，这是服务器对本机发送的SYN报文段进行确认（ACK）,示意本机连接被允许。该报文段也不包含应用数据。

SYN被置为1，因为连接还未建立成功。Ack的值为本机的初始Seq加1，于是Ack=1;

服务器端的初始序列号Seq=0。

第三次握手（ACK）

(1)源IP：本机IP;目的IP：百度服务器IP;表示本机发往服务器的确认TCP报文段。

(2)源端口56099，目的端口为433。

(3)Syn=0，Ack=1，Seq=0 。

该报文段被称为ACK报文段，是本机对服务器的应答进行确认（ACK），服务器成功收到ACK报文段之后，连接就建立成功了。此时Syn的值被置为0；Ack的值为服务器的初始Seq加1。

 

2.TCP四次握手终止连接

（1）本机释放报文，关闭TCP连接。发出FIN=1，等待服务器确认。

（2）服务器响应发出确认还ACK=1.从本机到服务器这一方向的连接释放。TCP处于半关闭状态。

（3）FIN=1,ACK=1，本机收到报文段后，给出确定。

（4）本机在接收确定ACK=1后，完成TCP四次握手终止连接。

3.UDP分析

UDP首部8个字节，由上图蓝色选中部分可以很清晰的看到；由上图标记可看出，源端口号54915，目的端口号54915，UDP首部和数据长度为271，UDP校验和为0x07bb。

五．网络层分析（IP报文，ARP协议，ICMP协议）

1.IP报文分析：

如下图所示：

IP报文第一段：4表示版本，头长度为20bytes，0x00为区分服务，总长度52。

IP报文第二段：0x52a6为位标识，Flags为标志。片转移为0，标识这是初始的ip片转移。

2.ARP协议分析

如下图所示

六．数据链路层（MAC地址分析）

1. MAC地址分析

MAC地址的作用是标识局域网内一个帧从哪个接口到哪个物理相连的其他接口.因此,拥有多个网络接口的主机或路由器将具有与之相关联的多个链路层地址,就像他们也具有多个IP地址一样.需要注意的是,链路层交换机没有MAC地址.

MAC地址也被称为LAN地址,物理地址.

MAC地址长度为6个字节,,共有2^48个可能的MAC地址.

2. 以太网的MAC帧格式

七．个人总结

       通过这次wireshark抓包，我一开始对修改IP地址一头雾水，但是通过上网查询相关经验和舍友的帮助，我还是顺利的将IP地址修改了。但是，这只是抓包的第一步，后面的传输层tcp的三次握手，四次释放我又遇到了难题，我发现，我很难在几百个已经筛选过的tcp中找到合适的数据分析，tcp的分析成了我第二个抓包作业的坎儿，不过在查阅相关资料以后，我还是攻克了这一难题。后续的网络层，链路层分析就得心应手很多，不过遇到问题还是有可爱的同学帮助我，通过这次作业，我对课堂上所学到的有了很深刻的理解，感谢武老师给的这次机会，让我有了很大的收获。