抓包分析第八组
Posted djh123
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了抓包分析第八组相关的知识,希望对你有一定的参考价值。
---------------------
TCP报文格式
解析TCP头部数据20字节固定首部:ec 61 8f 50 06 5c b7 11 00 00 00 00 80 02 ff ff b8 81 8f 50
TCP 报文 =以太网头部(14字节)+IP 头部(20个字节)+TCP 头部(20字节)+TCP数据部分
源端口占2个字节:ec 61;0xec61转化为十进制为60513 ;发送tcp包的进程端口为60513
目的端口占2个字节: 8f 50; 0x8f50转化为十进制为36688 ;接受tcp包的进程端口为36688
序号字段占4个字节:06 5c b7 11
确认号字段占4个字节:00 00 00 00
数据偏移占4bit(位):0x80 转化为2进制为 1000 0000 数据偏移为1000 为8;数据偏移的单位为4字节;数据偏移=4*8=32字节
保留字段 占6位:0x80 0x02;0x80的低4位和0x02的高2位;1000 0000 0000 0010绿色的字段表示的保留字段
01 0010 这6位的数据解析:
第1位:URG(紧急比特)当 URG =1 时,表明紧急指针字段有效.它告诉系统此报文段中有紧急数
据,应尽快传送 (相当于高优先级的数据 )。
第2位:ACK(确认比特)只有当 ACK=1 时确认号字段才有效。当 ACK=0 时,确认号无效。
第4位:RST(复位比特) 当 RST =1 时,表明 TCP 连接中出现严重差错(如由于主机崩溃或其他
原因),必须释放连接,然后再重新建立运输连接。
第5位:SYN(同步比特)同步比特 SYN 置为 1,就表示这是一个连接请求或连接接受报文。
第6位: FIN (终止比特) 用来释放一个连接。 当 FIN=1 时,表明此报文段的发送端的数据已发送完毕,
并要求释放运输连接。
窗口字段占2个字节:0xff 0xff; 0xff转化十进制为 65535;窗口字段是用来控制对方发送的数据
量,单位字节,tcp 连接的一端根据设置的缓存空间大小确定自己的接收窗大小,
然后通知对方以确定对方发送窗口的上限。
检验和占2个字节:检验和字段检验的范围包括 首部 和数据 这两部分。在计算检验和时,要在 TCP报
文段的前面加上 12 字节的伪首部。0xb8 0x81
紧急指针字段: 占 2个字节 ,紧急指针指出在本报文段中的紧急数据的最后一个字节的序号。
0x00,0x00.
选项字段 : 长度可变。 TCP 首部可以有多达 40 字节的可选信息,用于把附加信息传递给终点,或
用来对齐其它选项 , 此报文选项字段占12个字节; 02 04 05 b4 01 03 03 01 01
01 04 02
填充字段 : 这是为了使tcp整个首部长度是 4 字节的整数倍
IP头部信息的分析
IP数据包格式
45 00 00 34 29 23 40 00 40 06 00 00 c0 a8 c7 f0 b7 e8 77 d9
版本字段:占4位。0x45;版本字段=4 说明当前的IP协议的版本为4,通常称为IPV4,下一个版本为6,
通常称为IPv6;
首部长度:占4位。0x45; IP报文的首部长度=5 单位为4个字节;IP首部字节数=5*4=20个字节;IP首
部长度都是4的整数倍
服务类型:占 8 位,服务类型
0 1 2 3 4 5 6 7
优先级:占3位,用于表示数据报文的重要程度,优先级取值0(普通优先级)~7(网络控制高优先级)
D、T 和 R 位表示本数据报希望的传输类型。
D 表示低时延( Delay)需求
T 表示高吞吐量( Throughput )要求
R 代表高可靠性( Reliability )要求
总长度字段:占2个字节,因此数据报文的最大长度为2 ^16 -1=65535 字节; 0x00 0x34 表示总长度
(首部与数据之和长度)=0x0034=52字节=IP 首部(20个字节)+TCP首部(20个字
节)+TCP(选项长度12个字节)
片偏移:0x40,0x00(0100 0000 0000 0000)占13位,片偏移表示的是:较长的分组在分片后,某片
在原分组中的相对位置。 也就是说, 相对用户数据字段的起点,该片从何处开始。片偏移以
8 个字节为偏移单位。这就是说,每 个分片的长度一定是 8 字节( 64 位)的整数倍。
寿命(生存时间): 占 8 位 ,0x3d,生存时间字段常用的的英文缩写是 TTL(Time To Live) ,表明是数据报在网络中的寿命。 由发出数据报的源点设置这个字段。 其目的是防止无法交付的数据报无限制地在因特网中兜圈子,因而白白消耗网络资源。最初的设计是以秒作为 TTL 的单位。每经过一个路由器时,就把 TTL 减去数据报在路由器消耗掉的一段时间。若数据报在路由器消耗的时间小于 1 秒,就把 TTL 值减 1。当 TTL 值为 0 时,就丢弃这个数据报。
协议 :占 8 位,0x06;协议字段指出此数据报携带的数据是使用何种协议,以便使目的主机的 IP层知
道应将数据部分上交给哪个处理过程。
首部检验和:占2个字节,0x56,0x72;这个字段只检验数据报的首部,但不包括数据部分。这是因为数
据报每经 一个路由器, 路由器都要重新计算一下首部检验和 (一些字段, 如生存时
间、 标志、片 偏移等都可能发生变化) 。不检验数据部分可减少计算的工作量。
源地址: 占 32 位。 c0 a8 c7 f0 =192.168. 199.240
目的地址:占 32 位。 b7 e8 77 d9 =183.232.119.217
udp报文格式
Tcp协议的连接管理
主机192.168.199.2向主机183.232.119.2发起连接请求
主机183.232.119.2向主机192.168.199.2应答
主机192.168.199.2向183.232.119.2应答
第一次握手数据包
客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。 如下图
第二次握手的数据包
服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图
第三次握手的数据包
客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:
就这样通过了TCP三次握手,建立了连接。
Ip报文格式
类型和首部长度各四位 IP总长度,以太网帧长度92-以太网帧头部14=
Icmp报文格式
数据链路层的帧格式
以上是关于抓包分析第八组的主要内容,如果未能解决你的问题,请参考以下文章