网络抓包分析作业
一、地址规划表
源地址 |
目的地址 |
192.168.1.174 |
221.228.75.116 |
二、配置源地址
l 打开电脑的“网络和共享中心”,选择控制面板主页的“更改适配器设置”;
l 打开本地网络连接的属性界面,选择“Internet协议版本4(TCP/IPv4)”项,手动更改IP地址,ip地址为:192.168.1.174,默认网关:192.168.1.254;
l 设置完成后进行网络连接检测,看是否能成功上网
三、应用层
直播抓包:打开wireshark,打开目的网址www.douyu.com
获取数据包
www抓包:打开网站,用wireshark抓包
四、传输层
1、TCP协议(三次握手)
网络抓包数据
第一次握手:客户端请求连接,客户端发送一个TCP,标志位SYN,序号为0;
第二次握手,服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)加1
第三次握手,客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方
2、TCP协议(释放连接)
第一次释放:
第二次释放:
第三次释放:
第四次释放:
3、UDP协议
源端口号为65172目的端口号为8000数据包报长度为130字节检验和为0x536d
五、网络层
1、IP报文分析
Ip报文格式
版本:IP协议的版本,目前的IP协议版本号为4,下一代IP协议版本号为6。
首部长度:IP报头的长度。固定部分的长度(20字节)和可变部分的长度之和。共占4位。最大为1111,即10进制的15,代表IP报头的最大长度可以为15个32bits(4字节),也就是最长可为15*4=60字节,除去固定部分的长度20字节,可变部分的长度最大为40字节。
服务类型:Type Of Service。
总长度:IP报文的总长度。报头的长度和数据部分的长度之和。
标识:唯一的标识主机发送的每一分数据报。通常每发送一个报文,它的值加一。当IP报文长度超过传输网络的MTU(最大传输单元)时必须分片,这个标识字段的值被复制到所有数据分片的标识字段中,使得这些分片在达到最终目的地时可以依照标识字段的内容重新组成原先的数据。
标志:共3位。R、DF、MF三位。目前只有后两位有效,DF位:为1表示不分片,为0表示分片。MF:为1表示“更多的片”,为0表示这是最后一片。
片位移:本分片在原先数据报文中相对首位的偏移位。(需要再乘以8)
生存时间:IP报文所允许通过的路由器的最大数量。每经过一个路由器,TTL减1,当为0时,路由器将该数据报丢弃。TTL 字段是由发送端初始设置一个 8 bit字段.推荐的初始值由分配数字 RFC 指定,当前值为 64。发送 ICMP 回显应答时经常把 TTL 设为最大值 255。
协议:指出IP报文携带的数据使用的是那种协议,以便目的主机的IP层能知道要将数据报上交到哪个进程(不同的协议有专门不同的进程处理)。和端口号类似,此处采用协议号,TCP的协议号为6,UDP的协议号为17。ICMP的协议号为1,IGMP的协议号为2.
首部校验和:计算IP头部的校验和,检查IP报头的完整性。
源IP地址:标识IP数据报的源端设备。
目的IP地址:标识IP数据报的目的地址。
抓包数据:
IP报文版本号为:IPV4
首部长度20字节,总长度60字节
源IP地址192.168.1.174,目的IP地址221.228.75.116
2、ARP分析
(广播请求)
源mac地址78:a4:53:2c:18:64
源IP地址:192.168.1.1
目的mac地址:00:00:00:00:00:00
目的IP地址:192.168.1.174
(单波应答)
源mac地址:f4:8e:38:f1:78:41
源IP地址:192.168.1.174
目的mac地址:78:a4:53:2c:18:64
目的IP地址:192.168.1.1
六、数据链路层
1、MAC帧格式
2、MAC地址分析
七、总结
这一次的网络抓包分析作业让我深刻的认识到了自己的不足,从网络配置,到数据分析,到最后的作业编写,无一不让我受益匪浅。网络配置阶段,由于自己对专业知识储备不足,导致在作业开始的ip地址的配置阶段就遇到了莫大的困难,最后在师兄和同学的帮助下才得以进行;数据分析阶段因为对各协议的了解不够深入,作分析时要需要耗费大量的时间回顾所学知识,尽管如此都尚有仍旧有许多不足之处。经过这次抓包分析作业,实践和理论相结合,让我对知识有了更深一步的理解,让我能更好的掌握这门课程。