下面几张图片展示一台Windows主机使用Ethereal捕获数据包的情况
第一张图片是总体捕获情况,后面三张图片是每一条数据的详细情况。
分析:
36、37为DNS解析过程,38、39、40这三行显示的是TCP建立连接时的三次握手情况,41为HTTP传输过程。
下面以第38行的数据包为例,根据数据包封装的各个协议位置,部分解析如下:
MAC帧首部:
目的MAC地址(DA): 50 bd 5f 0f ab 50
源MAC地址(SA): 00 26 c7 07 49 a0
类型字段(Type): 08 00 (表示后面为IP数据包)
IP数据报:
IP版本号: 4 (表示使用的是IPv4)
头部长度字段(IHL): 5 (指明头部包含的长度为5*4=20字节)
服务类型: 00
总长: 00 34
标识: 25 7b
DF、MF、分段偏移: 40 00
生命期: 40
协议: 06
首部校验和: 48 36
源IP地址: c0 a8 01 65 (192.168.1.101)
目的IP地址: ca 73 40 92 (202.115.64.33)
TCP报文:
源端口: ea fa (60154)
目的端口: 00 50 (80)
发送序号(Sequence Number): 5b 93 5d fc
接收序号(确认序号)(Acknowledgement Number): 00 00 00 00
数据偏移(4位)、保留(6位)、URG、ACK、PSH、RST、SYN、FIN: 80 02
可以运用同样的方法分析第39行数据。
TCP建立连接过程中的三个报文
字段名称 | 第一条报文 | 第二条报文 | 第三条报文 |
---|---|---|---|
报文序号 | 38 | 39 | 40 |
Sequence Numbe | 0x5b935dfc | 0x219e7a06 | 0x5b935dfd |
Acknowledgement Numbe | 0x000000 | 0x5b935dfd | 0x219e7a07 |
ACK | 0 | 1 | 1 |
SYN | 1 | 1 | 0 |
第41行数据综合分析
EthernetII协议 | Source字段值 | 00 26 c7 07 49 a0 |
---|---|---|
Destination字段值 | 50 bd 5f 0f ab 50 | |
Type字段值 | 00 80 | |
Internet Protocol | Source字段值 | c0 a8 01 65 |
Destination字段值 | ca 73 40 92 | |
传输层协议 | Source Port字段值 | ea fa |
Destination Port字段值 | 00 50 | |
Sequence Number字段值 | 5b 93 5d fd | |
Internet Protocol | 协议名称 | HTTP |