网络抓包分析作业---第八组

一：实验目的：

1.学习使用网络数据抓包软件Wireshark

2.对互连网进行数据抓包，巩固对所学知识的理解

二：实验内容：

1.分析传输层协议（TCP、UDP）的报文格式，TCP协议的连接管理。

2.分析网络层协议的报文格式，IP、ICMP的报文格式。

3.分析数据链路层的帧格式。

三：实验工具

Wireshark抓包软件

四：实验步骤

1.Wireshark，简单描述安装步骤。

2.打开wireshark，选择接口选项列表。或单击“Capture”，配置“option”选项。

3.设置完成后，点击“start”开始抓包，显示结果。

4.选择某一行抓包结果，双击查看此数据包具体结构

五：分析

网络抓包网址：www2.flightclub.cn

源IP地址：172.31.120.208

目的IP地址：220.170.186.19

一．Tcp报文格式

第一次握手数据：客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接。

图中数据包为HTTP协议的封装包，则它的封装包信息有：

Frame 24（序号）：物理层的数据帧帧信息

Ethernet Ⅱ ：数据链路层的以太网信息

Internet Protocol Version 4 ：网络层IP数据包信息

Transmission Control Protocol ：传输层TCP信息

Hypertext Transfer Prontocol ：应用层HTTP信息

第二次握手的数据包：服务器发回确认包, 标志位为 SYN,ACK. 将确认序号设置为客户的I S N加1以.即0+1=1。

第三次握手的数据包：客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1。

TCP报文格式分析：

源端口/目的端口：

在TCP报文中包涵了源端口/目的端口，源端口标识了发送进程，目的端口标识了接收方进程。由上图可以看出在此报文中我们的源端口号是64676, 目的端口是80。

序列号：

序列号，是用来标识从源端向目的端发送的数据字节流，它表示在这个报文端中的第一个数据字节的顺序号，序列号是32位的无符号类型，序列号表达达到2^32 - 1后又从0开始， 当建立一个新的连接时，SYN标志为1，系列号将由主机随机选择一个顺序号ISN。此报文中的序列号是020405b4。

确认号：

确认号包涵了发送确认一端所期望收到的下一个顺序号。因此确认序列号应当是上次成功接收到数据的顺序号加1。只有ACK标志为1时确认序号字段才有效。由图可以看出此报文的确认号为01030308。

首部长度：

TCP报文首部长度为32字节。

URG:

当URG=1时，表面紧急指针有效。他告诉系统次报文中有紧急数据需要快速处理。

ACK: 确认号字段，该字段为1时表示应答字段有效，即TCP应答号将包含在TCP报文中。

PSH: 推送功能，所谓推送功能指的是接收端在接收到数据后立即推送给应用程序，而不是在缓冲区中排队。

RST: 重置连接。当为1时表面出现差错，必须释放连接，重新建立连接。

SYN:同步序列号，用来发起一个连接请求。

FIN:表示发送端发送任务已经完成。

窗口字段：

表示现在运行对方发送的数据量。也就是告诉对方，从本报文段的确认号开始允许对方发送的数据量。由报文可以看出该窗口允许发送34816（[Calculated window size: 34816]）的数据量。

校验和：

占2字节。校验和字段检验的范围包括首部和数据，用于校验TCP报头部分和数据部分的正确性。

二．UDP报文分析

UDP

源端口号为80

目的端口号为64676

与TCP相比，UDP仅有源/目的端口，长度，校验和及数据，因此不难看出UDP的无连接，不提供可靠性，无流量控制，传输速度快，协议开销小的特点。

三．IP的报文如下图：

版本号字段：

IP协议的版本。目前的IP协议版本号为4。

首部长度：

IP报头的长度。首部长度为20字节。

总长度：

IP报文的总长度。报头的长度和数据部分的长度之和。此IP报文的总长度为52字节。

标识字段：

唯一的标识主机发送的每一分数据报。可知当前分片为第8164个分片。

共3位。R(Reserved bit)、DF(Don’t fragment)、MF(More fragment)三位。目前只有后两位有效，DF位：为1表示不分片。MF：为0表示这是最后一片。

片偏移字段：

该字段是与ip分片后，相应的ip片在总的ip片的位置。当前为0

生存时间TTL：

IP报文所允许通过的路由器的最大数量。

协议字段：

指出IP报文携带的数据使用的是那种协议，以便目的主机的IP层能知道要将数据报上交到哪个进程（不同的协议有专门不同的进程处理）。和端口号类似，此处采用协议号，TCP的协议号为6。

首部校验和：

计算IP头部的校验和，检查IP报头的完整性。可知该IP报头是不完整的。

源IP地址：

标识IP数据报的源端设备，由图可知该源IP地址为172.31.120.208

目的IP地址：

标识IP数据报的目的地址,由图可知该目的IP地址为220.170.186.19

ip的格式图：

四．数据链路层的帧格式

目的地址为：04:f9:38:c9:60:36

源地址为：9c:5c：8e:19:bd:df

类型为：0x0800（即IPv4）

五．总结

  在这次网络抓包作业中我们小组各成员都能比较好的掌握如何使用wireshark及对抓包进行分析，同时也对tcp，udp，ip等协议有更深的理解，对这些协议在网路上的应用有更具体的了解。在这次作业中通过小组各成员的协调合作，我们获益良多。