第七组抓包分析

网络抓包分析作业

一：实验目的：

学习使用网络数据抓包软件Wireshark，

对互连网进行数据抓包，巩固对所学知识的理解

二：实验内容：

分析传输层协议（TCP、UDP）的报文格式，TCP协议的连接管理。

分析网络层协议的报文格式，IP、ICMP的报文格式。

分析数据链路层的帧格式。

三：实验工具

Wireshark抓包软件

四：实验步骤

安装Wireshark，简单描述安装步骤。

打开wireshark，选择接口选项列表。或单击“Capture”，配置“option”选项。

设置完成后，点击“start”开始抓包，显示结果。

选择某一行抓包结果，双击查看此数据包具体结构

五：分析

       传输层分析：（网址www.battlenet.com.cn [114.113.217.11]）

       Tcp报文格式

Wireshark抓包分析

 

源端口/目的端口：

端口是传输层与应用层的服务接口。用于标示和区分源端设备和目的端设备的应用进程。此次抓包的结果为源端口（source port：56274）目的端口（destination port：443）

确认号（Sequence number）

       Sequence Number这个是发送序列号，用来标识从源端向目的端发送的数据字节流，它表示在这个报文端中的第一个数据字节的顺序号，序列号是32位的无符号类型，序列号表达达到2^32 - 1后又从0开始，当建立一个新的连接时，SYN标志为1，系列号将由主机随机选择一个顺序号ISN(Initial Sequence Number)。此报文中的序列号是1.

确认号(32bit)： 

Acknowledgment Number它包涵了发送确认一端所期望收到的下一个顺序号。因此确认序列号应当是上次成功接收到数据的顺序号加1。只有ACK标志为1时确认序号字段才有效。

首部长度（Header length）：

      占四位，指出TCP首部共有多少4个字节，长度在20-60之间。在报文中是20字节。

URG(Urgent Pointer Field Significant):

       当URG=1时，表面紧急指针有效。他告诉系统次报文中有紧急数据需要快速处理。在这里的报文中为零说明没有紧急报文

ACK(Acknowledgement Field Signigicant):确认号字段，该字段为1时表示应答字段有效，即TCP应答号将包含在TCP报文中。

PSH(Push Function): 推送功能，所谓推送功能指的是接收端在接收到数据后立即推送给应用程序，而不是在缓冲区中排队。

RST(Reset the connection): 重置连接。当为1时表面出现差错，必须释放连接，重新建立连接

SYN(Synchronize sequence numbers):同步序列号，用来发起一个连接请求。

FIN(No more data from sender):表示发送端发送任务已经完成。

窗口字段(16bit)：

表示现在运行对方发送的数据量。也就是告诉对方，从本报文段的确认号开始允许对方发送的数据量。由报文可以看出该窗口允许发送262144（[Calculated window size: 262144]）的数据量。

校验和（Checksum）：

占2字节。校验和字段检验的范围包括首部和数据，用于校验TCP报头部分和数据部分的正确性。（Checksum: 0xc4f9 [unverified]）

UDP报文分析

Wireshark抓包分析

　　与TCP相比，UDP仅有源/目的端口，长度，校验和及数据，因此不难看出UDP的无连接，不提供可靠性，无流量控制，传输速度快，协议开销小的特点。

三次握手分析

发送连接请求，syn=1,seq=0

服务器收到请求，SYN=1 ，ACK=1，请求号seq=0 ，确认号 ack=1

客户收到确认，发送 ACK=1，确认号 ack=1，请求号seq=1，服务器收到后建立连接。

 

Tcp终止连接。

　　客户发送终止请求 FIN=1 ，seq=52828。

　　服务器收到请求，发送ACK=1，请求号seq=2609.确认号ack= 52829.

　　之后服务器再次确认，发送FIN=1，ACK=1，seq=455395， seq=4611

　　客户收到确认，再发送ACK=1，ask=455396，seq=4611

网络层协议分析

       ip的格式图

 

 

Wireshark抓包分析

版本号：【 Version: 4】标明了IP协议的版本号，目前为4。

头部长度：IP报头的长度。固定部分的长度（20字节）和可变部分的长度之和。共占4位。最大为1111，即10进制的15，代表IP报头的最大长度可以为15个32bits（4字节），也就是最长可为15*4=60字节，除去固定部分的长度20字节，可变部分的长度最大为40字节。IP报文中20bit的数量【Header Length: 20 bytes (5)】。

服务类型：占8位，用来获得更好的服务，但实际上一直没有被使用过。1998年IETF把这个字段改名为区分服务DS(Differentiated Services)。只有在使用区分服务时，这个字段才起作用。【Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)】。

总长度：整个数据包的长度，最长可达65535字节【Total Length: 250】。

标识：IP软件在存储器中维持一个计数器，每产生一个数据报，计数器就加1，并将此值赋给标识字段。但这个“标识”并不是序号，因为IP是无连接服务，数据报不存在按序接收的问题。

【Identification: 0x30b8 (12472)】

标志（Flags）：共3位。R(Reserved bit)、DF(Don’t fragment)、MF(More fragment)三位。目前只有后两位有效，DF位：为1表示不分片，为0表示分片。MF：为1表示不是最后一片，还有其他分片，为0表示这是最后一片。

片偏移(Fragment offset)：该字段是与ip分片后，相应的ip片在总的ip片的位置。该字段的单位是8字节。

生存时间（Time to live）：IP报文所允许通过的路由器的最大数量。每经过一个路由器，TTL减1，当为0时，路由器将该数据报丢弃。TTL 字段是由发送端初始设置一个 8 bit字段.推荐的初始值由分配数字 RFC 指定。

协议(Protocol)：指出IP报文携带的数据使用的是那种协议，以便目的主机的IP层能知道要将数据报上交到哪个进程（不同的协议有专门不同的进程处理）。和端口号类似，此处采用协议号，TCP的协议号为6。

首部校验和(Header checksum)：计算IP头部的校验和，检查IP报头的完整性。这里无法校验。【Header checksum: 0x590c [validation disabled]】

源IP地址(source)：标识IP数据报的源端设备，由图可知该源IP地址为172.31.120.157。

目的IP地址(destination)：标识IP数据报的目的地址,由图可知该目的IP地址为114.113.217.11。

Icmp分析

 

Wireshark抓包分析（这是ping 114.113.217.11的抓包）

 

　　Type：8 code：0由表可知时ping请求

　　Checksum：校验和成功。

数据链路层分析

Wireshark抓包分析

　　源mac地址： d0:17:c2:1c:1a:f0

　　目的mac地址： 04:f9:38:c9:60:36

　　类型： Ethernet (1)

六，总结

       在这次作业中学到最重要的东西是学会如何使用wireshark及对抓包进行分析，同时也对tcp，udp，IP，icmp，等协议加深理解，以及清晰的了解这些协议在网路上的应用。在做这次作业的也发现了tcp协议的断连过程与书本是有些地方是不同的。这次的作业中我得到不少的收获。