移动通信方向第一组抓包作业

---恢复内容开始---

访问网址：http://gcu.fy.chaoxing.com/portal

访问网址IP地址: 46.62.2.150

本地IP地址：172.31.116.203

TCP报文格式：

 

 

 

 

图中数据包为HTTP协议的封装包，则它的封装包信息有：

Frame560（序号）：物理层的数据帧帧信息

Ethernet Ⅱ ：数据链路层的以太网帧头部信息

Internet Protocol Version 4 ：网络层IP数据包信息

Transmission Control Protocol ：传输层TCP段头部信息

Hypertext Transfer Prontocol ：应用层HTTP信息，此处是HTTP协议

 

1：分析传输层协议（TCP、UDP）的报文格式，TCP协议的连接管理

 

 

 

首部：指出TCP首部共有多少个4字节，长度在20-60之间，此报文首部共20个字节。

窗口大小：让对方设置窗口大小，此报文中Window size=1023，表示一次可以发送1023个字节的数据，窗口实际上是一种流量控制的机制。

校验和：检验的范围包括首部和数据，用于检验TCP报头部分和数据部分的正确性。

标识字段：用于汇报此报文的属性，是否为优先报文，字段是否有效等。

紧急指针：指出报文段中紧急数据共有多少字节，紧急数据放在最前面。此报文紧急指针值为0，即无紧急数据。

 

分析UDP报文格式

 

 

 

UDP报文格式：

16位源端口（50008）	16位目的端口（49992）
16位UDP长度（28）	16位UDP校验和
数据

 

TCP三次握手：

①：客户端->服务器：SYN=1,seq=x（请求）；

②：服务器->客户端：SYN=1,seq=y（请求），ACK=1，ack=x＋1（确认上一个数据）；

③：客户端->服务器：ACK=1，seq=x＋1（客户端的第二次请求），ack=y＋1（确认服务器发来的数据）；

TCP的三次握手过程：

第一次握手：客户端向服务器端发送连接请求包SYN（syn=j），等待服务器回应；

 

第二次握手

 80（服务器）-> 51112(客户端) Seq=0 ACK=1【第二次握手：标志位为ACK,SYN，序号为0】

服务器端收到客户端连接请求包SYN（syn=j）后，将客户端的请求包SYN（syn=j）放入到自己的未连接队列，此时服务器需要发送两个包给客户端；

（1）向客户端发送确认自己收到其连接请求的确认包ACK（ack=j+1），向客户端表明已知道了其连接请求

（2）向客户端发送连接询问请求包SYN（syn=k），询问客户端是否已经准备好建立连接，进行数据通信；

即在第二次握手时服务器向客户端发送ACK（ack=j+1）和SYN（syn=k）包，此时服务器进入SYN_RECV状态。

 

 

 

第三次握手

51112(客户端) -> 80（服务器）Seq=1 ACK=1【第三次握手：标志位为ACK,序号为1】

客户端收到服务器的ACK（ack=j+1）和SYN（syn=k）包后，知道了服务器同意建立连接，此时需要发送连接已建立的消息给服务器；

　　向服务器发送连接建立的确认包ACK（ack=k+1），回应服务器的SYN（syn=k）告诉服务器，我们之间已经建立了连接，可以进行数据通信。

　　ACK（ack=k+1）包发送完毕，服务器收到后，此时服务器与客户端进入ESTABLISHED状态，开始进行数据传送。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2、分析网络层协议的报文格式，IP、ICMP的报文格式

 

 

 

 

16位总长度：由于该字段长为16比特，所以IP数据报最长为65535字节。此报文长度为160。

 

16位标识字段：唯一标识每一份数据包，每发一份报文它的值加1，IP把MTU与数据包的长度进行比较，若需要则进行分片。

 

标志: DF(don’t fragment)表示可以分片

MF（more fragment)表示set标识还有分片

 

13位片偏移：指该片偏移原始数据包开始的位置。此包片偏移为0。

 

ICMP报文获取：

使用tracert跟踪路由命令，确定IP数据包访问目标所采取的路径

在cmd命令提示符中输入：tracret gcu.fy.chaoxing.com

在wireshark中进行捕获

 

 

 

 

    Type：0；占一字节，标识ICMP报文的类型，目前已定义了14种，从类型值来看ICMP报文可以分为两大类。第一类是取值为1~127的差错报文，第2类是取值128以上的信息报文。

      Code：0；占一字节，标识对应ICMP报文的代码。它与类型字段一起共同标识了ICMP报文的详细类型。

      Checksum：0x551d[correct]；是对包括ICMP报文数据部分在内的整个ICMP数据报的校验和，以检验报文在传输过程中是否出现了差错。其计算方法与在我们介绍IP报头中的校验和计算方法是一样的。

      Identifier：0x0001；两字节，用于标识本ICMP进程，但仅适用于回显请求和应答ICMP报文，对于目标不可达ICMP报文和超时ICMP报文等，该字段的值为0。

      Sequence number：15872（0x3e00）：序列号。

 

 

 

3.分析数据链路层的帧格式

 

 

 

   Destination是目的mac地址：04：f9：38：c9：6a：22

      Source是源mac地址：94：de：80：d3：b3：8e

      Type：ip（0x0800）；使用的IP协议

 

总结

我们小组在这次的作业中学习到了很多，从Wiershark的安装使用到tcp,ip,udp,icmp的分析，我们经历了很多，从刚开始不知道软件到底如何使用到一步步地抓到有效的数据，从弄不清楚握手的流程到最后理解。我们算是摸着石头过河，虽然没能尽善尽美，但我们还是觉得收获良多。

 

---恢复内容结束---

转载于:https://www.cnblogs.com/zzdt/p/10012781.html