抓包分析第八组

---------------------

TCP报文格式

解析TCP头部数据20字节固定首部:ec 61 8f 50 06 5c b7 11 00 00 00 00 80 02 ff ff b8 81 8f 50

TCP 报文 =以太网头部(14字节)+IP 头部(20个字节)+TCP 头部(20字节)+TCP数据部分

源端口占2个字节:ec 61;0xec61转化为十进制为60513 ;发送tcp包的进程端口为60513

目的端口占2个字节: 8f 50; 0x8f50转化为十进制为36688 ;接受tcp包的进程端口为36688

序号字段占4个字节:06 5c b7 11

确认号字段占4个字节:00 00 00 00

数据偏移占4bit(位):0x80 转化为2进制为 1000 0000 数据偏移为1000 为8;数据偏移的单位为4字节;数据偏移=4*8=32字节

保留字段 占6位:0x80 0x02;0x80的低4位和0x02的高2位;1000 0000 0000 0010绿色的字段表示的保留字段

01 0010 这6位的数据解析:

第1位:URG(紧急比特)当 URG =1 时,表明紧急指针字段有效.它告诉系统此报文段中有紧急数

据,应尽快传送 (相当于高优先级的数据 )。

第2位:ACK(确认比特)只有当 ACK=1 时确认号字段才有效。当 ACK=0 时,确认号无效。

第4位:RST(复位比特) 当 RST =1 时,表明 TCP 连接中出现严重差错(如由于主机崩溃或其他

原因),必须释放连接,然后再重新建立运输连接。

第5位:SYN(同步比特)同步比特 SYN 置为 1,就表示这是一个连接请求或连接接受报文。

第6位: FIN (终止比特) 用来释放一个连接。 当 FIN=1 时,表明此报文段的发送端的数据已发送完毕,

并要求释放运输连接。

窗口字段占2个字节:0xff 0xff; 0xff转化十进制为 65535;窗口字段是用来控制对方发送的数据

量,单位字节,tcp 连接的一端根据设置的缓存空间大小确定自己的接收窗大小,

然后通知对方以确定对方发送窗口的上限。

检验和占2个字节:检验和字段检验的范围包括 首部 和数据 这两部分。在计算检验和时,要在 TCP报

文段的前面加上 12 字节的伪首部。0xb8 0x81

紧急指针字段: 占 2个字节 ,紧急指针指出在本报文段中的紧急数据的最后一个字节的序号。

0x00,0x00.

选项字段 : 长度可变。 TCP 首部可以有多达 40 字节的可选信息,用于把附加信息传递给终点,或

用来对齐其它选项 , 此报文选项字段占12个字节; 02 04 05 b4 01 03 03 01 01

01 04 02

填充字段 : 这是为了使tcp整个首部长度是 4 字节的整数倍

IP头部信息的分析

IP数据包格式

45 00 00 34 29 23 40 00 40 06 00 00 c0 a8 c7 f0 b7 e8 77 d9

版本字段:占4位。0x45;版本字段=4 说明当前的IP协议的版本为4,通常称为IPV4,下一个版本为6,

通常称为IPv6;

首部长度:占4位。0x45; IP报文的首部长度=5 单位为4个字节;IP首部字节数=5*4=20个字节;IP首

部长度都是4的整数倍

服务类型:占 8 位,服务类型

0 1 2 3 4 5 6 7

优先级:占3位,用于表示数据报文的重要程度,优先级取值0(普通优先级)~7(网络控制高优先级)

D、T 和 R 位表示本数据报希望的传输类型。

D 表示低时延( Delay)需求

T 表示高吞吐量( Throughput )要求

R 代表高可靠性( Reliability )要求

总长度字段:占2个字节,因此数据报文的最大长度为2 ^16 -1=65535 字节; 0x00 0x34 表示总长度

(首部与数据之和长度)=0x0034=52字节=IP 首部(20个字节)+TCP首部(20个字

节)+TCP(选项长度12个字节)

片偏移:0x40,0x00(0100 0000 0000 0000)占13位,片偏移表示的是:较长的分组在分片后,某片

在原分组中的相对位置。 也就是说, 相对用户数据字段的起点,该片从何处开始。片偏移以

8 个字节为偏移单位。这就是说,每 个分片的长度一定是 8 字节( 64 位)的整数倍。

寿命(生存时间): 占 8 位 ,0x3d,生存时间字段常用的的英文缩写是 TTL(Time To Live) ,表明是数据报在网络中的寿命。 由发出数据报的源点设置这个字段。 其目的是防止无法交付的数据报无限制地在因特网中兜圈子,因而白白消耗网络资源。最初的设计是以秒作为 TTL 的单位。每经过一个路由器时,就把 TTL 减去数据报在路由器消耗掉的一段时间。若数据报在路由器消耗的时间小于 1 秒,就把 TTL 值减 1。当 TTL 值为 0 时,就丢弃这个数据报。

协议 :占 8 位,0x06;协议字段指出此数据报携带的数据是使用何种协议,以便使目的主机的 IP层知

道应将数据部分上交给哪个处理过程。

首部检验和:占2个字节,0x56,0x72;这个字段只检验数据报的首部,但不包括数据部分。这是因为数

据报每经 一个路由器, 路由器都要重新计算一下首部检验和 (一些字段, 如生存时

间、 标志、片 偏移等都可能发生变化) 。不检验数据部分可减少计算的工作量。

源地址: 占 32 位。 c0 a8 c7 f0 =192.168. 199.240

目的地址:占 32 位。 b7 e8 77 d9 =183.232.119.217

udp报文格式

Tcp协议的连接管理

主机192.168.199.2向主机183.232.119.2发起连接请求

主机183.232.119.2向主机192.168.199.2应答

主机192.168.199.2向183.232.119.2应答

第一次握手数据包

客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。 如下图

第二次握手的数据包

服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图

第三次握手的数据包

客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:

就这样通过了TCP三次握手,建立了连接。

Ip报文格式

类型和首部长度各四位   IP总长度,以太网帧长度92-以太网帧头部14=

Icmp报文格式

数据链路层的帧格式

原文地址:https://www.cnblogs.com/djh123/p/9980758.html

时间: 2024-11-05 22:47:15

抓包分析第八组的相关文章

抓包分析 第15组(064)

使用wireshark抓包软件抓取IP .UDP .HTTP和DNS和协议 IP报文分析 IP报文版本号:IPV4 首部长度:20bytes 数据包长度:40 标识符:0x2bdd 标志:0x4000 寿命:128 上层协议:TCP 首部校验和:0xfe7e 源IP地址:172.31.142.64 目的IP:120.241.29.35 UDP报文分析 源端口号:4001 目的端口号:8000 UDP报文长度:383 校验和:0xb99f 数据长度:20bytes HTTP报文分析 HOST:是请

第5组-17级通信工程3班-037-网络协议抓包分析

一.  地址规划表 本机地址 目的地址 网站 172.31.148.37 183.232.231.174/172 百度:www.baidu.com 39.137.28.125 中国移动:www.10086.cn 配置步骤:打开抓包软件,点击以太网进行抓包,然后打开浏览器进入www.baidu.com/www.10086.cn.等浏览器反应后等10s左右,然后关闭浏览器.在抓包软件上按上停止抓包按键,随后进行抓包分析. 二.应用层 2.1直播所测试的目的地址ip 图表 1 www.baidu.co

第二组通信三班205孙斯美抓包分析

抓包分析 1. 网络规划表图如下 源ip地址 目的IP地址 域名 备注 192.168.43.1 183.232.175.239 www.haoqq.com QQ浏览器 192.168.43.1 192.168.43.205 www.yy.com Yy直播 2. 打开“控制面板”→选择“网络和Internet”→选择“网络和共享中心”→选择已连接的WLAN→选择“属性”→打开“Internet协议版本4(TCP/IPv4)的属性”.更改IP地址如下: 3. 连通性:打开网页,能上网. 二.应用层

tcpdump抓包分析具体解释

說實在的,對於 tcpdump 這個軟體來說,你甚至能够說這個軟體其實就是個駭客軟體, 因為他不但能够分析封包的流向,連封包的內容也能够進行『監聽』, 假设你使用的傳輸資料是明碼的話,不得了,在 router 上面就可能被人家監聽走了! 非常可怕吶!所以,我們也要來瞭解一下這個軟體啊!(註:這個 tcpdump 必須使用 root 的身份執行) [[email protected] ~]# tcpdump [-nn] [-i 介面] [-w 儲存檔名] [-c 次數] [-Ae] [-qX] [

使用Fiddler对手机进行抓包分析

场景:一个html页面,安卓app使用webview来显示,但是显示效果不是预期的.于是自己写了一个基本webview的demo,使用webview的loadurl方法请求这个html页面.可以正确显示,但是客户端组抓包说我请求的地址不一样,让我自己抓包分析. 分析:app在请求这个页面时请求附加了字符串及cookie等信息. 解决方法:使用Fiddler抓包,抓包过程网上有很多教程,注意一点有的手机可能设置代理时不能设置全局代理,可以使用ProxyDroid来设置全局代理. Fiddler抓包

Wireshark数据抓包分析——网络协议篇

Wireshark是目前最受欢迎的抓包工具.它可以运行在Windows.Linux及MAC OS X操作系统中,并提供了友好的图形界面.同时,Wireshark提供功能强大的数据抓包功能.使用它,可以以各种方式抓取用户所需要的网络数据包. 但是用户往往无法从数据包中直接获取所需要的数据.这是由于所有的信息在传输过程中,都会被按照各种网络协议进行封装.用户想要从海量的数据抓包中获取的有用的信息,必须了解各种常见的网络协议.为了方便用户对数据包的分析,本书详细介绍了常用的各种网络协议,如ARP.IP

Wireshark抓包分析TCP 3次握手、4次挥手过程

Wireshark简介 更多有关Wireshark的教程.软件下载等,请见:http://www.52im.net/thread-259-1-1.html,本文只作简要介绍. 1Wireshark 是什么? Wireshark 是最著名的网络通讯抓包分析工具.功能十分强大,可以截取各种网络封包,显示网络封包的详细信息. 你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好像使电工用来测量进入电信的电量的电度表一样(当然比那个更高级).过去的此类工具要么是过于昂贵,要么是

数据抓包分析基础

数据包分析基础 数据包分析 数据包嗅探或协议分析:指捕获和解析网络上在线传输数据的过程,为了能更好的了解网络上正在发生的事情. 目的 软件:Tcpdump.Omnipeek.Wireshark 监听网络线路 集线器嗅探方式 流经集线器的所有网络数据包都会被发送到每一个集线器连接的端口. 交换机嗅探方式 端口镜像.集线器输出.使用网络分流器.ARP欺骗方式等四种方式 端口镜像 设置连接的交换机的端口镜像功能,将交换机其他一个或多个端口的经过的数据包复制一份到嗅探器连接的端口上. 集线器输出 目标设

云计算之路-阿里云上:Wireshark抓包分析一个耗时20秒的请求

这篇博文分享的是我们针对一个耗时20秒的请求,用Wireshark进行抓包分析的过程. 请求的流程是这样的:客户端浏览器 -> SLB(负载均衡) -> ECS(云服务器) -> SLB -> 客户端浏览器. 下面是分析的过程: 1. 启动Wireshark,针对内网网卡进行抓包. 2. 在IIS日志中找出要分析的请求(借助Log Parser Studio) 通过c-ip(Client IP Address)可以获知SLB的内网IP,在分析Wireshar抓包时需要依据这个IP进