網路抓包分析作業——第三組
網路抓包分析——第三組
目錄
一、Tcp格式... 2
二、Udp報文格式... 6
三、TCP協議的連線管理(TCP的三次握手)... 8
四、IP報文格式... 11
五、ICMP. 14
六、資料鏈路層幀格式... 16
一、Tcp格式
源埠號80;目標埠號13688;
序列號1;
確認號1
報頭長度20byts(4bit)
標誌位0x010(ACK)
Reverved、Nonce、CWR、Ecn-Echo(6bit):目前沒有使用,它們的值都為0,作為保留,留待以後開發新技術時使用。
URG(Urgent Pointer Field Significant):緊急指標標誌,用來保證TCP連線不被中斷,並且督促中間裝置儘快處理這些資料
ACK(Acknowledgement Field Signigicant):確認號欄位,該欄位為1時表示應答欄位有效,即TCP應答號將包含在TCP報文中。
PSH(Push Function): 推送功能,所謂推送功能指的是接收端在接收到資料後立即推送給應用程式,而不是在緩衝區中排隊。
RST(Reset the connection): 重置連線,不過一般表示斷開一個連線,
SYN(Synchronize sequence numbers):同步序列號,用來發起一個連線請求。
FIN(No more data from sender):表示傳送端傳送任務已經完成(即斷開連線)。
視窗大小301
校驗和0xa290
緊急指標0
二、Udp報文格式
抓包結果
源埠4015;目標埠8000;使用者資料長度155;校驗和0x8e67;資料147 byt
三、TCP協議的連線管理(TCP的三次握手)
在瀏覽器中輸入網址
http://www.cnblog.com/tankxiao
再在wireshark中輸入http過濾,選中Get/tankxiao HTTP/1.1進行分析。
本機當前IP為172.31.121.14
三次握手過程
第一次握手資料包
客戶端傳送一個TCP,標誌位為SYN,序列號為0,代表客戶端請求建立連線。如下圖所示
第二次握手資料包
伺服器發回確認包,標誌位為SYN,ACK。將確認序號(Acknowledgement Number)設定為客戶的ISN+1,即0+1=1,如下圖。
第三次握手資料包
客戶端再次傳送確認包(ACK),ACK標誌位為1,並將伺服器發來的ACK序號欄位+1放在確定欄位中且傳送給對方,在資料段放寫ISN+1,如下圖
經以上過程通過TCP三次握手,建立連線。
四、IP報文格式
抓包結果
版本是IPV4
首部長度20bytes(4bit)
服務型別
總長度52
標識0x4113(16659)
標誌0x02
內部偏移0
生存時間64
協議TCP(6)
首部校驗和0xdcec
源ip地址192.168.1.5
目標ip地址103.78.243.100
五、ICMP
ICMP報文格式
(1) 在cmd下執行ping www.baidu.com
(2) 在wireshark抓到8個ICMP的查詢報文(分別是四次請求,四次應答)
分析:
① 紅色框中藍色為IP首部,共同擁有20個位元組
② 紅色框中藍色為ICMP報文欄位,共同擁有40個位元組
③ ICMP報文內容
型別type為8(回射請求/ping請求);
程式碼code為0;
校驗和checksum為0x4d56
④ 點選下一個報文
型別type為0(回射應答/ping應答);
程式碼code為0;
校驗和checksum為0x5556
六、資料鏈路層幀格式
用Wireshark抓捕相應一段時間的資料包(如下圖 )
1.Ethernet幀結構
選取任意幀分析,在在首部細節資訊欄中,可以看到有關該幀的到達時間、幀編號、幀長度、幀中協議和著色方案等資訊。(如選取17號幀進行分析)
Ethernet幀結構分析
Ethernet幀結構,有幾種不同型別的幀結構,儘管它們格式和最大傳輸單元不同,但卻能夠共存於相同的物理媒體上。EthernetII 幀(又稱DIX幀)是目前使用最廣的以太幀。如下圖顯示了Ethernet II幀結構(該幀前後的輔助欄位沒有顯示)。與802.3以太幀結構相比,它較為簡單。其中的以太型別欄位標識了封裝了該幀資料中的較高層協議。例如,以太型別值為0x0800指示了該幀包含了IPv4資料報,0x0806表明指示了該幀包含了ARP幀,0x8100指示了該幀包含了IEEE 802.1Q幀。
2.IEEE 802.11幀結構
分析IEEE 802.11幀結
IEEE 802.11幀結構,是在乙太網鏈路上執行的一種資料分組,開始於前導碼和幀定界符起始,後繼的是以太首部的目的和源地址。 該幀的中部是載荷資料,其中包括了由該幀攜帶的其他協議(如IP)的首部。該幀的尾部是32位元的迴圈冗餘碼校驗,以檢測資料傳輸時可能的損傷。它完整的幀結構如下圖所示:
Protocol version:表明版本型別,現在所有幀裡面這個欄位都是0x00。 *Type:指明資料幀型別,是管理幀,資料幀還是控制幀。 Subtype:指明資料幀的子型別,因為就算是控制幀,控制幀還分RTS幀,CTS幀,ACK 幀等等,通過這個域判斷出該資料幀的具體型別。 To DS/From DS:這兩個資料幀表明資料包的傳送方向,分四種可能情況討論: **若資料包To DS為0,From DS為0,表明該資料包在網路主機間傳輸。 **若資料包To DS為0,From DS為1,表明該資料幀來自AP。 **若資料包To DS為1,From DS為0,表明該資料幀傳送往AP。 若資料包To DS為1,From DS為1,表明該資料幀是從AP傳送自AP的,也就是說這個是個WDS(Wireless Distribution System)資料幀。 Moreflag:分片標誌,若資料幀被分片了,那麼這個標誌為1,否則為0。 *Retry:表明是否是重發的幀,若是為1,不是為0。 PowerManage:當網路主機處於省電模式時,該標誌為1,否則為0。 Moredata:當AP快取了處於省電模式下的網路主機的資料包時,AP給該省電模式下的網路主機的資料幀中該位為1,否則為0。 Wep:加密標誌,若為1表示資料內容加密,否則為0。 *Order 這個表示用於PCF模式下。 Duration/ID(持續時間/標識):表明該幀和它的確認幀將會佔用通道多長時間;對於幀控制域子型別為:Power Save-Poll的幀,該域表示了STA的連線身份(AID, Association Indentification)。
3)Address(地址域):源地址(SA)、目的地址(DA)、傳輸工作站地址(TA)、接收工作站地址(RA),SA與DA必不可少,後兩個只對跨BSS的通訊有用,而目的地址可以為單播地址(Unicast address)、多播地址(Multicast address)、廣播地址(Broadcast address)。 4)Sequence Control(序列控制域):由代表MSDU(MAC Server Data Unit)或者MMSDU(MAC Management Server Data Unit)的12位序列號(Sequence Number)和表示MSDU和MMSDU的每一個片段的編號的4位片段號組成(Fragment Number)