TCP抓包分析

最新推荐文章于 2024-05-16 03:09:53 发布
最新推荐文章于 2024-05-16 03:09:53 发布
阅读量1.3k 收藏 3
点赞数
分类专栏: 计算机系统和网络 文章标签: linux ftp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/david2000999/article/details/117285451
版权

这里写目录标题

实验内容

  • 学会安装使用自由软件SNORT
  • 截获以太网数据包,并描述以太网数据包的各层的帧结构。
  • 截获ARP,TCP协议数据包并进行分析

实验步骤

实验需要两个主机A(192.168.1.104)和B(192.168.1.105),A访问B,B进行TCP和ARP抓包,本实验报告为抓包主机B视角。

环境配置

主机B需要进行环境配置:设置账户密码、打开FTP站点

设置账户密码

控制面板——用户账户——设置密码

打开FTP站点

控制面板——管理工具——Internet信息服务——FTP站点——属性——用户名——浏览——查找账户——选择ligong——应用——确认

A访问B

  • ftp
  • open 192.168.1.105
  • 输入用户名(ligong)和密码(123,也就是刚才设置的密码)
  • 一些操作,如dir
  • quit,退出,断开连接

B进行抓包

使用Snort软件进行抓包,进入D:/snort/bin目录。

输入snort -dev -l /snort/log,开始抓包,按下Ctrl+C停止抓包。

如果主机B抓到了A发出的FTP请求,在D:/snort/log目录下可以找到文件夹192.168.104,在其中可以看到名如TCP_1980-21.ids的文件,21为端口号。

数据包分析

ARP抓包失败,原因未知,其他同学似乎也未抓到,抓到的都是3号机器广播的ARP包。下边进队TCP数据包进行分析。

TCP数据包分析

  • TCP是面向连接的协议,所以TCP运输连接的建立和释放时每一次通信中必不可少的过程。

  • 运输连接分为三个阶段:连接建立数据传送连接释放

    每一次握手大概包括以下内容:

    第一行数据包括了时间戳、源物理地址、目的物理地址、类型、长度;

    第二行数据包括了源IP、目的IP、TCP、TTL、TOS、ID、IP长度、Dgm长度;

    第三行数据包括SYN位、ACK位、序号、确认号、窗口大小、TCP长度;

    第四行信息包括TCP选项等。

以下主要选取TCP数据包中连接建立(三次握手)和连接释放(四次握手)的相关内容进行分析。

连接建立

01/01-01:40:15.948470 0:16:EC:D2:50:7D -> 0:19:21:57:7:85 type:0x800 len:0x3E
192.168.1.104:1980 -> 192.168.1.105:21 TCP TTL:128 TOS:0x0 ID:11743 IpLen:20 DgmLen:48 DF
******S* Seq: 0x75C7623D  Ack: 0x0  Win: 0xFFFF  TcpLen: 28
TCP Options (4) => MSS: 1460 NOP NOP SackOK 

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

上边为连接建立的第一次握手,可以看到数据包从主机A(104)发往主机B(105)的21号端口;

SYN位设置为1;

序号为0x75C7623D

01/01-01:40:15.948524 0:19:21:57:7:85 -> 0:16:EC:D2:50:7D type:0x800 len:0x3E
192.168.1.105:21 -> 192.168.1.104:1980 TCP TTL:128 TOS:0x0 ID:11647 IpLen:20 DgmLen:48 DF
***A**S* Seq: 0xF085016  Ack: 0x75C7623E  Win: 0xFFFF  TcpLen: 28
TCP Options (4) => MSS: 1460 NOP NOP SackOK 

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

上边为连接建立的第二次握手,可以看到数据包从105发往104,

SYN位设置为1;

ACK位设为1;

序号为0xF085016

确认号为0x75C7623E,即确认号为上一次握手序号+1的值

01/01-01:40:15.948661 0:16:EC:D2:50:7D -> 0:19:21:57:7:85 type:0x800 len:0x3C
192.168.1.104:1980 -> 192.168.1.105:21 TCP TTL:128 TOS:0x0 ID:11744 IpLen:20 DgmLen:40 DF
***A**** Seq: 0x75C7623E  Ack: 0xF085017  Win: 0xFFFF  TcpLen: 20

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

上边为连接建立的第三次握手,可以看到数据包从104发往105,

ACK位设为1;

序号为0x75C7623E,即序号为上一次握手的确认号,本质是A上一次向B发出的请求的序号+1;

确认号为0xF085017,即确认号为上一次握手序号+1的值

数据传送

连接释放

注意:这里是服务器主动释放连接,与教材上写的客户机主动释放情况不同。

01/01-01:40:25.769622 0:19:21:57:7:85 -> 0:16:EC:D2:50:7D type:0x800 len:0x36
192.168.1.105:21 -> 192.168.1.104:1980 TCP TTL:128 TOS:0x0 ID:11666 IpLen:20 DgmLen:40 DF
***A***F Seq: 0xF085092  Ack: 0x75C7625B  Win: 0xFFE2  TcpLen: 20

上边为连接释放的第一次握手,可以看到数据包从105发往104,

ACK位设为1;

FIN位设为1;

序号为0xF085092

确认号为0x75C7625B

01/01-01:40:25.769759 0:16:EC:D2:50:7D -> 0:19:21:57:7:85 type:0x800 len:0x3C
192.168.1.104:1980 -> 192.168.1.105:21 TCP TTL:128 TOS:0x0 ID:11763 IpLen:20 DgmLen:40 DF
***A**** Seq: 0x75C7625B  Ack: 0xF085093  Win: 0xFF84  TcpLen: 20

上边为连接释放的第二次握手,可以看到数据包从104发往105,

ACK位设为1;

序号为0x75C7625B,即序号等于上次握手确认号

确认号为0xF085093,即确认号等于上次握手序号+1

01/01-01:40:25.771844 0:16:EC:D2:50:7D -> 0:19:21:57:7:85 type:0x800 len:0x3C
192.168.1.104:1980 -> 192.168.1.105:21 TCP TTL:128 TOS:0x0 ID:11764 IpLen:20 DgmLen:40 DF
***A***F Seq: 0x75C7625B  Ack: 0xF085093  Win: 0xFF84  TcpLen: 20

上边为连接释放的第三次握手,可以看到数据包从104发往105,

ACK位设为1;

FIN位设置为1;

序号为0x75C7625B,即序号等于上次握手序号

确认号为0xF085093,即确认号等于上次握手确认号

01/01-01:40:25.771894 0:19:21:57:7:85 -> 0:16:EC:D2:50:7D type:0x800 len:0x36
192.168.1.105:21 -> 192.168.1.104:1980 TCP TTL:128 TOS:0x0 ID:11667 IpLen:20 DgmLen:40 DF
***A**** Seq: 0xF085093  Ack: 0x75C7625C  Win: 0xFFE2  TcpLen: 20

上边为连接释放的第四次握手,可以看到数据包从105发往104,

ACK位设为1;

序号为0xF085093,即序号等于上次握手确认号

确认号为0x75C7625C,即确认号等于上次握手序号+1

死磕的斯坦张
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TCP 实战抓包分析
一蓑烟雨任平生
08-22 2万+
提纲 正文 显形“不可见”的网络包 网络世界中的数据包交互我们肉眼是看不见的,它们就好像隐形了一样,我们对着课本学习计算机网络的时候就会觉得非常的抽象,加大了学习的难度。 还别说,我自己在大学的时候,也是如此。 直到工作后,认识了两大分析网络的利器:tcpdump 和 Wireshark,这两大利器把我们“看不见”的数据包,呈现在我们眼前,一目了然。 唉,当初大学学习计网的时候,要是能知道这两个工具,就不会学的一脸懵逼。 tcpdump 和 Wireshark 有什么区别? tc...
TCP DUP ACK抓包分析
造梦先森Kai的专栏
05-09 2万+
vm client:172.18.21.57 vm server:172.18.42.13 在 vm client 执行 wget 从 server 下载文件 并进行抓包分析: 1, No.50 为server发送的数据,收到了Seq=113587,Ack=660, Len=2576。 那么client回复的Ack=113587+2576=116163. 即No.51, Seq=660,Ack=116163, Len=0 2, 同时116163也是期望的下一个数据的Seq. 即收到了No.52, Se
使用Wireshark抓包分析TCP协议_wireshark分析tcp协议
最新发布
2401_85015040的博客
05-16 1330
服务端返回一个ACK(对客户端连接请求的应答)+SYN(表示服务端发起连接请求),并且包含服务端的一个初始序列号seq=0,同时返回一个确认号ack=1:客户端给服务端返回一个ACK(对服务端连接请求的应答),并更新自己的序列号seq=1,返回一个确认号ack=1。
Wireshark抓包分析TCP协议:三次握手和四次挥手
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
11-10 5331
面试中我们经常会被问到TCP协议的三次握手和四次挥手的过程,为什么总喜欢问这个问题呢?其实我们平时使用的很多协议都是应用层协议,比如HTTP协议,https协议,DNS协议,FTP协议等;而应用层协议都是要基于传输层的两个协议之上的,也就是TCP协议和UDP协议。我们在使用应用层协议遇到一些问题需要去分析定位的时候,会需要涉及到底层协议的连接问题上。所以,作为测试UDP协议作为一个不可靠的传输层协议,工作过程相对比较简单!所以我们就重点来大家讲一下。
网络基本功(二十三):Wireshark抓包实例诊断TCP连接问题
zdy0_2004的专栏
01-28 2041
网络基本功(二十三):Wireshark抓包实例诊断TCP连接问题   转载请在文首保留原文出处:EMC中文支持论坛https://community.emc.com/go/chinese    介绍   前文论述了TCP基础知识,从本节开始,通过TCP抓包实例来诊断TCP常见问题。 TCP进程通讯时,双方打开连接,发送数据,最后关闭连接。当TCP打开连接时,从源端口到目
WireShark抓包TCP三次握手和四次挥手
子冉冰清的博客
02-23 2657
TCP和UDP TCP报文格式 TCP首部的报文格式如下: 宏观上来看如下: 来源连接端口(16位长)-识别发送连接端口 目的连接端口(16位长)-识别接收连接端口 序列号(seq,32位长): 如果含有同步化旗标(SYN),则此为最初的序列号;第一个数据比特的序列码为本序列号加一。 如果没有同步化旗标(SYN),则此为第一个数据比特的序列码。 确认号(ack,32位长)— 期望收到的数据的开始序列号。也即已经收到的数据的字节长度加1。 数据偏移(4位长)— 以4字节为单位
TCP抓包分析.doc
11-07
TCP抓包分析 TCP(Transmission Control Protocol)是一种面向连接的传输层协议,提供可靠的连接orientated服务。抓包分析是指对TCP数据包的捕获和分析,以了解TCP协议的工作机制。 一、TCP报文结构 TCP报文由...
IP和TCP抓包分析实验
07-22
FTP服务的抓包实验
TCP握手详细过程以及抓包分析
09-27
TCP(Transmission Control Protocol)是一种面向连接的、可靠的传输层协议,广泛应用于互联网...在TCP握手和挥手过程中,抓包分析可以帮助我们直观地看到每个阶段的报文交互,从而更好地理解TCP连接的建立和终止机制。
计算机网络抓包实验记录和总结
jachinleon的博客
10-02 1万+
这次实验在软件应用层面,让我了解了许多**计算机网络数据传输**的细节,让我对**各种数据和它们绑定的协议**,结构有了更深入的了解。
TCP,IP协议抓包分析实验报告
08-26
tcp/ip 抓包 wireshark sniffer 实验报告
snort提高抓包效率和方法(青)
08-27
本资源在许多上面需要用钱,这里不用,呵呵,好东西,大家一起分享.
linux抓包命令--tcpdump的使用
01-04
linux抓包命令--tcpdump的使用
Snort入侵检测系统使用示例
qq_43678263的博客
12-10 2866
本文主要介绍了Snort系统是什么,主要用法和Snort入侵检测系统使用示例现如今Snort已发展成为一个具有多平台、实时流量分析、网络IP数据包记录等特性的强大的网络入侵检测/防御系统,是世界最顶尖的开源入侵检测系统。
聊聊 tcpdump 与 Wireshark 抓包分析
juary_的专栏
06-24 4228
1 起因 前段时间,一直在调线上的一个问题:线上应用接受POST请求,请求body中的参数获取不全,存在丢失的状况。这个问题是偶发性的,大概发生的几率为5%-10%左右,这个概率已经相当高了。在排查问题的过程中使用到了tcpdump和Wireshark进行抓包分析。感觉这两个工具搭配起来干活,非常完美。所有的网络传输在这两个工具搭配下,都无处遁形。 为了更好、更
FTP协议安全分析
马马的专栏
12-29 7135
[原创]FTP协议安全分析-------------------------------------------------------------------------------- FTP协议安全分析 作者:xinhe 前 言 FTP(File Transfer Protocol,文件传输协议)是互联网上常用的协议之一,人们用FTP实现互连网上的文件传输。由于TCP/IP协议族在设计
tcpdump抓包分析详解
不用此栏
01-08 8万+
 說實在的,對於 tcpdump 這個軟體來說,你甚至可以說這個軟體其實就是個駭客軟體, 因為他不但可以分析封包的流向,連封包的內容也可以進行『監聽』, 如果你使用的傳輸資料是明碼的話,不得了,在 router 上面就可能被人家監聽走了! 很可怕吶!所以,我們也要來瞭解一下這個軟體啊!(註:這個 tcpdump 必須使用 root 的身份執行)
WireShark抓包分析
热门推荐
hebbely的博客
01-14 19万+
简述:本文介绍了抓包数据含义,有TCP报文、Http报文、DNS报文。如有错误,欢迎指正。 1、TCP报文 TCP:(TCP是面向连接的通信协议,通过三次握手建立连接,通讯完成时要拆除连接,由于TCP 是面向连接的所以只能用于点对点的通讯)源IP地址:发送包的IP地址;目的IP地址:接收包的IP地址;源端口:源系统上的连接的端口;目的端口:目的系统上的连接的端口。 T
wiresharkTCP抓包分析
05-19
下面是一个简单的 TCP 抓包分析案例。 首先,打开 Wireshark,选择需要抓包的网络接口。在本示例中,我们使用 Wi-Fi 网络接口。接着,点击开始捕获按钮开始抓包抓包过程中,我们可以进行一些操作,例如打开...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值