IP 抓包

Posted 2020-11-22 xieshuohan

 

一、      网络地址规划表

主机IP	子网掩码	默认网关	MAC地址
10.11.11.128	255.255.255.0	10.11.8.254	78-45-C4-8E-82

IP地址配置为： 10.11.11.128

子网掩码为：255.255.252.0

默认网关：10.11.8.254

二、在命令提示符中输入ping www.baidu.com 测试连通性， 结果显示能ping 百度，说明网络连通。

三、应用层

1.www

请求报文：

 

响应报文：

 

这里http从请求到返回耗时0.035738000s，request in frame:97表示此请求报文frame:97。

 

2.直播：

打开企鹅电竞直播：

 

 

由图可知源端口号为9908，目的端口号为9000，用户数据报长度为62 比特，校验和为0x96ca，数据大小为54 bytes。

 

四、传输层

3次握手过程分析

客户端通过TCP首部发送一个SYN包作为建立连接的请求等待确认应答(SYN=1)。服务器发送ACK包确认应答（ACK=1），发送SYN包请求连接(SYN=1)。客户端针对SYN包发送ACK包确认应答(ACK=1)。主机的TCP通知上层应用进程，连接建立。

4次挥手过程分析

所谓四次挥手（Four-Way Wavehand）即终止TCP连接，就是指断开一个TCP连接时，需要客户端和服务端总共发送4个包以确认连接的断开。服务器主动向其TCP发出连接释放报文段，并停止在发送数据，主动关闭TCP连接，服务器把令FIN=1，等待主机确认；主机发出确认，ACK=1，服务器到主机的连接释放，若主机发送数据，服务器仍要接受；应用进程通知TCP释放连接，FIN=1，ACK=1,服务器收到释放报文后，必须发出确认；在确认报文中，Client进入TIME_WAIT状态，发送ACK=1,Server进入CLOSED状态，完成四次挥手

 

3、UDP分析：

源端口：1134

目标端口：4804

数据报长度：28

校验和：0x477b

数据包：9byte

 

五、网络层

1.IP报文分析

版本号字段：4

头部长度：20字节

总长度：52字节

16位标识字段：0x14d2

标志位：0x4000

生存时间：64

协议：TCP(6)

16位头部校验和：0x0000

源IP:10.11.11.128

目的IP：183.232.174

 

2.ARP分析：

协议种类：IP是0800

硬件地址长度：6比特

协议长度：4

发送方MAC地址：f4:30:b9:75:c1:9a

发送方IP地址:10.11.8.6

目的地MAC地址:000000000000

目的地IP地址:10.11.8.4

 

3.ICMP分析：

这是ICMP协议的请求，ICMP请求报文分析如下

类型：ping请求

代码：0

校验和：0x4d50

序列号：BE： 11；LE:2816

请求帧：82

数据包：32 bytes

 

这是ICMP协议的响应，ICMP响应报文分析如下

类型：ping响应

代码：0

校验和：0x5550

序列号：BE： 1；LE:2816

响应帧：32

 

六、数据链路层

1.MAC帧格式:

 目的MAC地址：ff:ff:ff:ff:ff:ff

源MAC地址：14：fe:b5:ef:51:39

类型：0x0806，即ARP

 

2.MAC地址分析

MAC地址：14：fe:b5:ef:51:39

前6位：14：fe:b5代表网络硬件制造商编号，由IEEE分配；

后6位：ef:51:39代表该制造商所制造的某个网络产品的系列号

 

七、总结

这次的抓包作业，我通过上网查阅相关资料，以及请教小组成员，完成了本次抓包作业。这次抓包让我巩固了课堂上所学的知识点，也学会了如何抓包。对TCP/IP协议有了更深层面的理解，学会了分析TCP、IP、ARP、ICMP各种报文。遇到的问题比较多的是在一开始接触的时候，对抓到的报文看不懂，经过百度后慢慢补齐了知识点后，就很容易理解了。正是在对各种网络协议的解析后，才让我更深刻地理解到学号IP通信这门课程对于以后工作的重要性。