TCP.IP报头分析 wireshark 抓包分析
By cisco 雨 发表于 2010/3/7 8:02:00
一.在这里先分析一下TCP报头和IP报头吧
1.TCP报头长度最少应该是20Bytes.报头中的每一行都是32bits.
源端口(surce) 目标端口(destination) 16bits
序列号(sequence number)32bits
确认号(acknowledgment)32bits
报头长度(headerlength)4b 保留(reserved)6b 编码位(code bits)6b 窗口(windowns)16b
校验机(checksum)16b 紧急(urgent)16b
以上为报头必须包括的
选项(options)0or32b
数据(date)每一行都应为32b
2.ip报头长度最少应该是20Bytes.报头中的每一行都是32bits.
版本(version)4b 报头长度(headerlength)4b优先级和服务类型(priority&typeservice)8b
总长(totallength)16 b
标识 (identification) 16b 标记(flags)3b 分片偏移( fragment offset)13b
存活时间(time-to-live)8 b 协议(protocol)8 b 报头校验(checksum)16 b
source IP address 32b
destination IP address 32 b
以上是IP报头必须包含的
options 0or 32 b
二.用WIRESHARK抓包对TCP分析
Source IP (我的主机IP) destination IP (Al类地址大型网络) tcp协议 ?????????
第一部分:
上图分析(个人):物理层
1.抓到包时间 2010.3.7 17:38:27.129461000
2.捕获先前帧用时0.667443000 seconds ; 显示先前的帧用时5.87571000seconds
3.从开始捕获第一帧开始到现在 frame2486用时 388.718230000seconds
4.帧号2486 帧长54字节 捕获54字节
5.??????????????不知道
第二部分:
上图分析(个人):数据连接层
1.source MAC 地址为00:of:ea:2b:6d:1a ; “Giga-Byt_(00:of:ea)”为厂商号 IEEE协会规定 ;“2b:6d:1a”产品号 ;
2.destination MAC 地址00:14:78:14:19:1a;shenzhen_(00:14:78)为厂商号 IEEE协会规定;14:19:1a产品号 ;
3. IG bit and LG bit :???????????????????????????????????????不知道
第三部分:
上图分析(个人):网络层
1.版本 4 ;IP 报头长20Btyes
2.服务区及类型?????????
3.总长是40 共长16b
4.没有进行分片偏移
5.TTl为64
6.协议为TCP(0x06)
7.header checksum 报头校验正确
8.source IP address 192.168.1.11 ; DST ip address 121.199.45.180
第四部分:
上图分析(个人):传输层
1.TCP 协议的源端口:darcorp-lm(1679);目标端口:http(80)
2.序列号 875 :确认号404
3.TCP报头长20 Btyes
4.标记中的 reset(重新启动)和acknowledgment(确认号)是set的;流量控制,紧急,急迫,同步,最后标识都没有标记ECN-ECHO??
5.Windows没有流量通过
6.校验机验证失败
转:http://www.norvel.com.cn/blog/user1/quanyu/10966.html
By cisco 雨 发表于 2010/3/7 8:02:00
一.在这里先分析一下TCP报头和IP报头吧
1.TCP报头长度最少应该是20Bytes.报头中的每一行都是32bits.
源端口(surce) 目标端口(destination) 16bits
序列号(sequence number)32bits
确认号(acknowledgment)32bits
报头长度(headerlength)4b 保留(reserved)6b 编码位(code bits)6b 窗口(windowns)16b
校验机(checksum)16b 紧急(urgent)16b
以上为报头必须包括的
选项(options)0or32b
数据(date)每一行都应为32b
2.ip报头长度最少应该是20Bytes.报头中的每一行都是32bits.
版本(version)4b 报头长度(headerlength)4b优先级和服务类型(priority&typeservice)8b
总长(totallength)16 b
标识 (identification) 16b 标记(flags)3b 分片偏移( fragment offset)13b
存活时间(time-to-live)8 b 协议(protocol)8 b 报头校验(checksum)16 b
source IP address 32b
destination IP address 32 b
以上是IP报头必须包含的
options 0or 32 b
二.用WIRESHARK抓包对TCP分析
Source IP (我的主机IP) destination IP (Al类地址大型网络) tcp协议 ?????????
第一部分:
上图分析(个人):物理层
1.抓到包时间 2010.3.7 17:38:27.129461000
2.捕获先前帧用时0.667443000 seconds ; 显示先前的帧用时5.87571000seconds
3.从开始捕获第一帧开始到现在 frame2486用时 388.718230000seconds
4.帧号2486 帧长54字节 捕获54字节
5.??????????????不知道
第二部分:
上图分析(个人):数据连接层
1.source MAC 地址为00:of:ea:2b:6d:1a ; “Giga-Byt_(00:of:ea)”为厂商号 IEEE协会规定 ;“2b:6d:1a”产品号 ;
2.destination MAC 地址00:14:78:14:19:1a;shenzhen_(00:14:78)为厂商号 IEEE协会规定;14:19:1a产品号 ;
3. IG bit and LG bit :???????????????????????????????????????不知道
第三部分:
上图分析(个人):网络层
1.版本 4 ;IP 报头长20Btyes
2.服务区及类型?????????
3.总长是40 共长16b
4.没有进行分片偏移
5.TTl为64
6.协议为TCP(0x06)
7.header checksum 报头校验正确
8.source IP address 192.168.1.11 ; DST ip address 121.199.45.180
第四部分:
上图分析(个人):传输层
1.TCP 协议的源端口:darcorp-lm(1679);目标端口:http(80)
2.序列号 875 :确认号404
3.TCP报头长20 Btyes
4.标记中的 reset(重新启动)和acknowledgment(确认号)是set的;流量控制,紧急,急迫,同步,最后标识都没有标记ECN-ECHO??
5.Windows没有流量通过
6.校验机验证失败
转:http://www.norvel.com.cn/blog/user1/quanyu/10966.html