網路抓包分析——第三組

目錄

一、Tcp格式... 2

二、Udp報文格式... 6

三、TCP協議的連線管理（TCP的三次握手）... 8

四、IP報文格式... 11

五、ICMP. 14

六、資料鏈路層幀格式... 16

一、Tcp格式

源埠號80；目標埠號13688；

序列號1；

確認號1

報頭長度20byts（4bit）

標誌位0x010(ACK)

Reverved、Nonce、CWR、Ecn-Echo(6bit)：目前沒有使用，它們的值都為0，作為保留，留待以後開發新技術時使用。

URG(Urgent Pointer Field Significant):緊急指標標誌，用來保證TCP連線不被中斷，並且督促中間裝置儘快處理這些資料

ACK(Acknowledgement Field Signigicant):確認號欄位，該欄位為1時表示應答欄位有效，即TCP應答號將包含在TCP報文中。

PSH(Push Function): 推送功能，所謂推送功能指的是接收端在接收到資料後立即推送給應用程式，而不是在緩衝區中排隊。

RST(Reset the connection): 重置連線，不過一般表示斷開一個連線，

SYN(Synchronize sequence numbers):同步序列號，用來發起一個連線請求。

FIN(No more data from sender):表示傳送端傳送任務已經完成（即斷開連線）。

視窗大小301

校驗和0xa290

緊急指標0

二、Udp報文格式

抓包結果

源埠4015；目標埠8000；使用者資料長度155；校驗和0x8e67；資料147 byt

三、TCP協議的連線管理（TCP的三次握手）

在瀏覽器中輸入網址

http://www.cnblog.com/tankxiao

再在wireshark中輸入http過濾，選中Get/tankxiao HTTP/1.1進行分析。

本機當前IP為172.31.121.14

三次握手過程

第一次握手資料包

客戶端傳送一個TCP，標誌位為SYN，序列號為0，代表客戶端請求建立連線。如下圖所示

第二次握手資料包

伺服器發回確認包，標誌位為SYN，ACK。將確認序號（Acknowledgement Number)設定為客戶的ISN+1，即0+1=1，如下圖。

第三次握手資料包

客戶端再次傳送確認包（ACK），ACK標誌位為1，並將伺服器發來的ACK序號欄位+1放在確定欄位中且傳送給對方，在資料段放寫ISN+1，如下圖

經以上過程通過TCP三次握手，建立連線。

四、IP報文格式

抓包結果

版本是IPV4

首部長度20bytes（4bit）

服務型別

總長度52

標識0x4113(16659)

標誌0x02

內部偏移0

生存時間64

協議TCP（6）

首部校驗和0xdcec

源ip地址192.168.1.5

目標ip地址103.78.243.100

五、ICMP

ICMP報文格式

（1）      在cmd下執行ping www.baidu.com

（2）      在wireshark抓到8個ICMP的查詢報文（分別是四次請求，四次應答）

分析：

①    紅色框中藍色為IP首部，共同擁有20個位元組

②    紅色框中藍色為ICMP報文欄位，共同擁有40個位元組

③    ICMP報文內容

型別type為8（回射請求/ping請求）；

程式碼code為0；

校驗和checksum為0x4d56

④    點選下一個報文

型別type為0（回射應答/ping應答）；

程式碼code為0；

校驗和checksum為0x5556

六、資料鏈路層幀格式

用Wireshark抓捕相應一段時間的資料包（如下圖 ）

1．Ethernet幀結構

選取任意幀分析，在在首部細節資訊欄中，可以看到有關該幀的到達時間、幀編號、幀長度、幀中協議和著色方案等資訊。（如選取17號幀進行分析）

Ethernet幀結構分析

Ethernet幀結構，有幾種不同型別的幀結構，儘管它們格式和最大傳輸單元不同，但卻能夠共存於相同的物理媒體上。EthernetII 幀(又稱DIX幀)是目前使用最廣的以太幀。如下圖顯示了Ethernet II幀結構(該幀前後的輔助欄位沒有顯示)。與802.3以太幀結構相比，它較為簡單。其中的以太型別欄位標識了封裝了該幀資料中的較高層協議。例如，以太型別值為0x0800指示了該幀包含了IPv4資料報，0x0806表明指示了該幀包含了ARP幀，0x8100指示了該幀包含了IEEE 802.1Q幀。

2.IEEE 802.11幀結構

分析IEEE 802.11幀結

IEEE 802.11幀結構，是在乙太網鏈路上執行的一種資料分組，開始於前導碼和幀定界符起始，後繼的是以太首部的目的和源地址。  該幀的中部是載荷資料，其中包括了由該幀攜帶的其他協議(如IP)的首部。該幀的尾部是32位元的迴圈冗餘碼校驗，以檢測資料傳輸時可能的損傷。它完整的幀結構如下圖所示：

Protocol version：表明版本型別，現在所有幀裡面這個欄位都是0x00。  *Type：指明資料幀型別，是管理幀，資料幀還是控制幀。  Subtype：指明資料幀的子型別，因為就算是控制幀，控制幀還分RTS幀，CTS幀，ACK    幀等等，通過這個域判斷出該資料幀的具體型別。 To DS/From DS：這兩個資料幀表明資料包的傳送方向，分四種可能情況討論：  **若資料包To DS為0，From DS為0，表明該資料包在網路主機間傳輸。  **若資料包To DS為0，From DS為1，表明該資料幀來自AP。  **若資料包To DS為1，From DS為0，表明該資料幀傳送往AP。 若資料包To DS為1，From DS為1，表明該資料幀是從AP傳送自AP的，也就是說這個是個WDS(Wireless Distribution System)資料幀。 Moreflag：分片標誌，若資料幀被分片了，那麼這個標誌為1，否則為0。  *Retry：表明是否是重發的幀，若是為1，不是為0。 PowerManage：當網路主機處於省電模式時，該標誌為1，否則為0。 Moredata：當AP快取了處於省電模式下的網路主機的資料包時，AP給該省電模式下的網路主機的資料幀中該位為1，否則為0。 Wep：加密標誌，若為1表示資料內容加密，否則為0。  *Order 這個表示用於PCF模式下。 Duration/ID（持續時間/標識）：表明該幀和它的確認幀將會佔用通道多長時間；對於幀控制域子型別為：Power Save-Poll的幀，該域表示了STA的連線身份（AID, Association Indentification）。 

3）Address（地址域）：源地址（SA）、目的地址（DA）、傳輸工作站地址（TA）、接收工作站地址（RA），SA與DA必不可少，後兩個只對跨BSS的通訊有用，而目的地址可以為單播地址（Unicast address）、多播地址（Multicast address）、廣播地址（Broadcast address）。 4）Sequence Control（序列控制域）：由代表MSDU（MAC Server Data Unit）或者MMSDU（MAC Management Server Data Unit）的12位序列號（Sequence Number）和表示MSDU和MMSDU的每一個片段的編號的4位片段號組成（Fragment Number）