IP网络协议抓包分析

一、网规地址规划表

主机IP	子网掩码	默认网关	MAC地址
192.168.43.89	255.255.255.0	192.168.43.221	14-AB-C5-7C-7E-BE

二、连通性测试

    1.使用快捷键Win+r，输入cmd命令。

   

       2.输入ping www.baidu.com,若可接收返回数据，则网络连通，反之，则网络未连通。

 

三、应用层：

1. www（http）请求报文

在这个过程中，本机IP192.168.43.89，浏览器与服务器建立TCP连接（服务器IP地址为114.115.214.33，端口号为80），然后服务器发出GET请求，服务器发出响应把文件（text/html）发送给浏览器。

 

    2.www（http）回复报文

        这是目的主机给本主机发的HTTP回复报文，此时 Sequence Number 为242，Ack number为451，表示本实验主机发送的该号之前的字节它都已经收到。

 

1. 直播

打开直播，由图可得源端口8000，目的端口为52885用户数据长度为62bit，校验和0xb2db

 

四、传输层

    1．建立连接

        先找出GET/HTTP/1.1，右键追踪TCP流，下面三个就是TCP三次握手

 

       1.1 TCP第一次握手

        客户端发送一个TCP，源端口为61602，目的端口为80，标志位为SYN（表示请求建立连接），seq为0 （表示没有收到接收数据）

 

1.2 TCP第二次握手

    服务器发会确认包，标志位为SYN,ACK（表示同意建立连接），seq为0（表示还没发送数据），ack为1（表示当前成功接收数据位数）

 

    1.3 TCP第三次握手

        客户端收到SYN+ACK包，向服务器发送确认ACK包，标志位为ACK（表示当前收到记录），seq=1（表示当前已经发送1个数据），ack=1（表示当前端成功接收的数据位数）

 

1. 释放连接

客户端和服务端交互数据完毕后，开始通过四次挥手结束TCP会话连接，释放的四次如下

 

2.1  TCP第一次释放连接

客户端发送ACK，通知FIN通知对方关闭连接，标志位为FIN,ACK，seq=3176，ack=8031

 

2.2  TCP第二次释放连接

服务端关闭连接，通过FIN通知对方关闭连接，标志位为ACK，seq=8031，ack=3177

 

2.3  TCP第三次释放连接

服务端关闭连接，通过FIN通知对方关闭连接，标志位为FIN,ACK，seq=8031，ack=3177

 

2.4  TCP第四次释放连接

客户端关闭连接，并发送ACK值和ACK确认号，标志位ACK，seq=3177，ack=8032

 

五、网络层

    1.IP 报文分析

 

Version：4 表示版本为IPv4

Header Length：20 bytes（5） 表示首部长度为20字节

Total length：40 表示IP报文总长度为40

Identification：0x0edc（3804） 表示标识符

Time to live：64 表示生存时间

Protocol：TCP(6) 表示上层的协议为TCP

Header checksum：0x1321[validation disabled] 表示首部检验和为0x1321

Source：192.168.43.89 表示源Ip地址

Destination：140.205.160.4 表示目的IP地址

2.ARP分析

 

协议种类：IP是0800

硬件地址长度：6比特

协议长度：4

发送方MAC地址：94:65:2d:ae:9a:22

发送方IP地址:192.168.43.118

目的地MAC地址: 000000000000

目的地IP地址:192.168.43.89

3.ICMP分析

  1.ICMP请求

 

  

类型：ping请求

代码：0

校验和：0x4d1d

序列号：BE： 62；LE:15872

请求帧：139

2.ICMP回复

 

类型：ping响应

代码：0

校验和：0x551d

序列号：BE： 62；LE:15872

响应帧：138

六、数据链路表

1．Mac帧格式

  

    目的MAC地址：94:65:2d:ae:9a:22

    源MAC地址：14:ab:c5:7c:7e:be

   

2．Mac地址分析

 

 红色框为以太网帧头，接着后面黄色框的20位为IP帧头，然后是ICMP信息头，最后为ICMP数据

七、总结

    这次的网络协议抓包作业，花了几天时间去看教程，然后实践。一开始看到这个作业是一脸懵逼，遇到的问题较多，更改Ip出现网络无法上网，对报文和各种协议的不明白，有些地方虽然看不明白，但只要问一下小组成员或其他同学，百度一下，也是可以解决问题从而完成作业。通过这个作业，学会用wireshark，并对协议有了一定的理解，学会了TCP、IP、ARP、ICMP、UDP、MAC的分析报文。在做到TCP三次握手时，找不到三次握手的链接，最后通过同学的帮忙，终于又快又便捷的找到了三次握手和四次挥手。本次作业让我深有体会，虽然一开始很难，但只要掌握相关知识，现在再回头看一下，其实感觉也并不难，感觉难就难在自己一开始不敢动手试。