抓包分析

Posted -dai

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了抓包分析相关的知识,希望对你有一定的参考价值。

一、网络地址规划

1、网络地址规划表

目的网站名称

IP地址

本地IP地址

类型

腾讯网

www.qq.com

121.51.142.21

172.31.148.144

 

TCP

腾讯QQ

183.232.93.32

172.31.148.144

 

OICQ(UDP)

2、配置步骤

首先打开命令指示符,然后输入nslookup www.qq.com 就会出现腾讯网的IP地址,由于我选择使用QQ聊天软件抓取UDP报文,所以没有配置图。

 

 

 

 

 

3、连通性测试

测试网络的连通性,还是先打开命令指示符,然后输入ping www.qq.com 便会得到来着121.51.142.21的回复,说明连通成功;同理输入ping 183.232.93.32 便会得到来自183.232.93.32的回复,说明连通成功。

 

 

 

 

 

 

 

 

二、应用层

1、wwwhttp

(1)http请求报文

HTTP协议是运行在TCP协议之上的,该报文是实验主机向IP地址发出的HTTP请求。端口号为周知端口号80,主机上的源端口为52638Next sequence number861

2http回复报文

这是目的主机给实验源主机发的HTTP回复报文,此时 Sequence Number 为372Ack number861,表示源实验主机发送的该号之前的字节它都已经收到。

三、传输层

1、UDP协议

配置好Wireshark登录QQ,就可以获取到UDP协议的数据包其中OICQ就是腾讯QQ的协议,此协议是基于UDP协议的。

 

 

 

随便选中上述包中的一个可知源端口为4021,目标端口为8000,长度字节为47,我的QQ812432708,并且Wireshark认为腾讯QQ的协议在中国是一种流行的协议。

 

 

 

2、TCP协议

(1)、三次握手

从红框看出是一次完整的TCP建立链接的过程:

1.客户端先向服务端443端口发送一个syn标志位,56560->443 seq=x

2.服务端接收到请求,返回一个数据包syn标志位为1ACK位置为客户端x+1,seq=y,通知客户端,443端口开放,为了保证数据传输可靠性,56560端口务必打开。

3.客户端再一次向服务端发送一个数据包的ACK=y+1,Seq=x+1,56560->443,到此TCP链接建立完成。

 

下面更直观地感受一下,三次握手过程中标志位的变化情况,首先客户端发送的数据包syn位置1,然后服务器端回复的数据包syn位置1ack位置1,最后客户端发送的数据包ack位置1.以下三幅图分别为TCP三次握手的数据包中传输层的标志位字段

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

(2)、四次握手

所谓四次挥手(Four-Way Wavehand)即终止TCP连接,就是指断开一个TCP连接时,需要客户端和服务端总共发送4个包以确认连接的断开。在socket编程中,这一过程由客户端或服务端任一方执行close来触发。中断连接端可以是Client端,也可以是Server端。

 

由于TCP连接时全双工的,因此,每个方向都必须要单独进行关闭,这一原则是当一方完成数据发送任务后,发送一个FIN来终止这一方向的连接,收到一个FIN只是意味着这一方向上没有数据流动了,即不会再收到数据了,但是在这个TCP连接上仍然能够发送数据,直到这一方向也发送了FIN。首先进行关闭的一方将执行主动关闭,而另一方则执行被动关闭。

四次挥手分析如下:

  1. 客户端向服务端停止提出链接请求 56560->443  FIN =1  ACK =0
  2. 服务端向客户端提出停止连接请求,FIN = 1  433->56560
  3. 服务端接收到请求 ACK=1  433->56560
  4. 客户端收到,ACK = 1  56560->433

 

(1)第一次挥手:Client发送一个FIN,用来关闭ClientServer的数据传送,Client进入FIN_WAIT_1状态。

 

(2)第二次挥手:Server收到FIN后,发送一个ACKClient,确认序号为收到序号+1(与SYN相同,一个FIN占用一个序号),Server进入CLOSE_WAIT状态。

 

 

 

3)第三次挥手:Server发送一个FIN,用来关闭ServerClient的数据传送,Server进入LAST_ACK状态。

 

 

 

4)第四次挥手:Client收到FIN后,Client进入TIME_WAIT状态,接着发送一个ACKServer,确认序号为收到序号+1Server进入CLOSED状态,完成四次挥手。

四、网络层

1IP报文

 

版本:IP协议的版本,此版本为4

首部长度:IP报头的长度。固定部分的长度(20字节)和可变部分的长度之和。共占4位。最大为1111,即10进制的15,代表IP报头的最大长度可以为1532bits4字节),也就是最长可为15*4=60字节,除去固定部分的长度20字节,可变部分的长度最大为40字节。

总长度:IP报文的总长度。此报文长度为40

标识:唯一的标识主机发送的每一分数据报。通常每发送一个报文,它的值加一。当IP报文长度超过传输网络的MTU(最大传输单元)时必须分片,这个标识字段的值被复制到所有数据分片的标识字段中,使得这些分片在达到最终目的地时可以依照标识字段的内容重新组成原先的数据。

标志:共3位。RDFMF三位。目前只有后两位有效,DF位:为1表示不分片,为0表示分片。MF:为1表示“更多的片”,为0表示这是最后一片。

IP地址:172.31.148.144 

目的IP地址:121.51.142.21

 

 

 

 

 

 

2ARP协议

如果是请求ARP报文的话,以太网目的地址: 是(全1)的,是广播报,目的是让局域网上所有主机都收到ARP请求包以太网源地址: 就是发送端地址。帧类型: 如果是ARP报文,值为0x0806硬件类型: 表明ARP协议实现在那种类型的网络上,它的值为1,即表示以太网地址协议类型:表示解析协议(上层协议),这里一般是0800,即IP硬件地址长度:也就是MAC地址长度,即6个字节协议地址长度:也就是IP地址长度,即4个字节操作类型:表示ARP协议数据报类型。1表示请求报文,2表示应答报文发送端以太网地址:也就是源MAC地址发送端IP地址:也就是源IP地址目的端以太网地址:目标端MAC地址(如果是请求报文,是全0目地端IP地址:也就是目地端的IP地址

 

 

 

 

 

 

 

 

 

 

 

3、ICMP协议

首先在命令提示符中输入:tracert www.qq.com

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

172.31.148.144发送到121.51.142.21

 

 

 

 

 

 

121.51.142.21发送到172.31.148.144

 

五、数据链路层

MAC帧格式

 

 

MAC地址:c8 5b 76 8f d4 7d

 

 

 

目的MAC地址:70 f9 6d 47 d9 00

 

 

六、总结

通过这次试验,培养了自己动手的能力,另外,通过对wireshark抓包软件的使用,用其来抓取数据包,对TCP协议、UDP 协议、IP报文、 ARP协议、ICMP协议、MAC帧格式的格式有了进一步的了解,通过对报文格式的分析,并且把课本上多学的理论知识与实践结合起来,对以前的知识得到深化和巩固,为以后学习新的知识打下基础,也提高了学习的兴趣,收获很大。

在此次作业中,我遇到的问题有:打开直播网站没有UDP报文。

解决方法:因为QQ的OICQ报文是以UDP为基础的一种报文,所以我抓取了OICQ报文来取代UDP报文。

以上是关于抓包分析的主要内容,如果未能解决你的问题,请参考以下文章

如何用wireshark分析抓包

抓包怎么分析数据

fiddler抓包后怎么分析

TCP抓包分析

抓包工具 Fiddler抓包之后的数据分析

wireshark抓包