wireshark抓包分析報告TCP和UDP_第1頁
wireshark抓包分析報告TCP和UDP_第2頁
wireshark抓包分析報告TCP和UDP_第3頁
wireshark抓包分析報告TCP和UDP_第4頁
wireshark抓包分析報告TCP和UDP_第5頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、文檔計算機(jī)網(wǎng)絡(luò)wireshark 抓包分析報告文檔目錄1. 使用 wireshark 獲取完整的 udp報文 . 32. 使用 wireshark 抓取 tcp報文 . 32.1 建立 tcp連接的三次握手 . 32.1.1 tcp 請求報文的抓取 . 42.1.2 tcp 連接允許報文的抓取 . 52.1.3 客戶機(jī)確認(rèn)連接報文的抓取 . 62.2 使用 tcp連接傳送數(shù)據(jù) . 62.3 關(guān)閉 tcp連接 . 73. 實驗心得及總結(jié) . 8文檔1. 使用 wireshark 獲取完整的udp報文打開 wireshark,設(shè)置監(jiān)聽網(wǎng)卡后,使用google chrome 瀏覽器訪問我騰訊微博的首

2、頁p.t.qq./welcomeback.php?lv=1#!/list/qqfriends/5/?pgv_ref=im.perinfo.perinfo.icon?ptlang=2052&pgv_ref=im.perinfo.perinfo.icon,抓得的 udp報文如圖 1 所示。圖 1 udp報文分析以上的報文容, udp作為一種面向無連接服務(wù)的運(yùn)輸協(xié)議,其報文格式相當(dāng)簡單。第一行中,source port: 64318是源端口號。第二行中,destination port:53 是目的端口號。第三行中, length:34 表示 udp報文段的長度為 34 字節(jié)。第四行中, c

3、hecksum之后的數(shù)表示檢驗和。這里0 x 表示計算機(jī)中 16 進(jìn)制數(shù)的開始符,其后的 4f0e 表示 16 進(jìn)制表示的檢驗和,把它們換成二進(jìn)制表示為:0100 1111 0000 1110. 從 wireshark 的抓包數(shù)據(jù)看出,我抓到的udp協(xié)議多數(shù)被應(yīng)用層的dns協(xié)議應(yīng)用。當(dāng)一臺主機(jī)中的dns應(yīng)用程序想要進(jìn)行一次查詢時,它構(gòu)成了一個dns查詢報文并將其交給udp。udp無須執(zhí)行任何實體握手過程,主機(jī)端的udp為此報文添加首部字段,并將其發(fā)出。2. 使用 wireshark 抓取 tcp報文2.1 建立 tcp連接的三次握手建立 tcp連接需要經(jīng)歷三次握手,以保證數(shù)據(jù)的可靠傳輸,同樣訪

4、問我的騰訊微博主頁,使用wireshark 抓取的 tcp報文,可以得到如圖2 所示的客戶機(jī)和服務(wù)器的三次握手的過程。圖 2 建立 tcp連接的三次握手文檔2.1.1 tcp 請求報文的抓取圖 2 中所示的 tcp請求連接報文如圖3 所示。圖 3 tcp請求連接報文分析圖 3 中的請求報文數(shù)據(jù)可以發(fā)現(xiàn):第一行, source port 指示源端口號為 51329 第二行,destination port 指示目的端口號為80,這也正是 http 客戶機(jī)進(jìn)程向服務(wù)器發(fā)起 tcp連接的端口號。第三行, sequence number指示報文的序號為0. 第四行, header length 指示報

5、文的長度為28 個字節(jié)。第五行表示標(biāo)志字段,其中有保留未用區(qū),緊急指針,push 指針等。標(biāo)志字段中 syn值為 1,表示該報文是一個客戶機(jī)請求連接的報文。第六行, window size 指示接受窗口的大小為8192 個字節(jié)。第七行, checksum指示校驗和為 0 x8591,同樣用 16 進(jìn)制表示。第八行是可選字段。一般而言,tcp報文的可選字段為空,所以報頭長度為20 個字節(jié),這里多出了8 個字節(jié),用來表示最大報文段長等容。具體分析其中文檔容,kind 或者 type 表示 options 選項的種類。當(dāng)kind/type 為 1 時,表示 nop no operation,即無操作

6、。當(dāng) kind/type 為 2 時,表示 maximum segment size ,最大報文段長。這里, mss為 1460 個字節(jié)。當(dāng) kind/type 為 4 時,表示 sack permitted ,它表示一旦連接建立, 發(fā)送的 tcp請求報文的客戶機(jī)期待接收到服務(wù)器的 sack 選項。整個可選字段的長度為8 個字節(jié),其中 mss占了 4個字節(jié),nop占了 2 個字節(jié), sack permitted占了 2 個字節(jié)。仔細(xì)分析報文,我們不難發(fā)現(xiàn),tcp請求連接報文中沒有ack確認(rèn)號,同時報文中也沒有包含應(yīng)用層數(shù)據(jù)。2.1.2 tcp 連接允許報文的抓取圖 2 中所示的 tcp允許連接

7、報文如圖4 所示。分析圖 4 中的報文信息如下:圖 4 tcp連接允許報文前兩行分別表示了源端口號和目的端口號為80和 51329. 第三行, sequence number指示服務(wù)器返回的報文的序號為0. 第四行, acknowledgment number 指示服務(wù)器返回報文的確認(rèn)號為1. 第五行表示報文長度為28 字節(jié)。第六行為標(biāo)志字段,與tcp請求連接報文的標(biāo)志字段不同的是,這里的ack值為 1,表示服務(wù)器成功接收請求連接報文。文檔第七行至第第九行和tcp請求連接報文的意義相同,這里不再贅述。分析連接允許報文,發(fā)現(xiàn),報文的最后出現(xiàn)了一個seq/ack analysis 字段。這回應(yīng)了客

8、戶機(jī)的請求連接申請,并指示往返時延rtt為 0.005262 秒。2.1.3 客戶機(jī)確認(rèn)連接報文的抓取圖 2 中所示的客戶機(jī)確認(rèn)連接報文如圖5 所示。由于報文部分容和上文的報文容那個意義相同,這里不再贅述。分析圖5 中的部分報文信息如下:圖 5 客戶機(jī)確認(rèn)連接報文第五行, acknowledgment number 值為 1,表示客戶機(jī)成功接收到服務(wù)器發(fā)來的連接允許響應(yīng)報文。第六行表示報頭的長度為20 個字節(jié),這里不再有選項容。最后,客戶機(jī)發(fā)出的報文中同樣有seq/ack analysis 字段。它說明了此次報文的意義是對服務(wù)器發(fā)來的報文的確認(rèn),并指示往返時延rtt為 0.00011 秒。仔細(xì)

9、分析客戶機(jī)的確認(rèn)連接報文,可以發(fā)現(xiàn),報文中沒有數(shù)據(jù)容。至此,建立 tcp連接的三次握手已經(jīng)完成,客戶機(jī)和服務(wù)器之間可以相互交換數(shù)據(jù)了。2.2 使用 tcp連接傳送數(shù)據(jù)在三次連接建立完成過后, 客戶機(jī)便可以利用建立好的tcp連接向服務(wù)器發(fā)送數(shù)據(jù)了。通過 wireshark 抓包發(fā)現(xiàn),此次試驗中,客戶機(jī)在成功建立tcp連接后,馬上向服務(wù)器發(fā)送了一個http 的 get請求報文。抓包結(jié)果如圖6 所示。文檔圖 6 建立在 tcp連接上的 http 請求報文對圖 6 中的部分報文容分析如下:報文容指示源端口號為51329,目的端口號為80,序號為 1,期待接收的下一個序號為 1.同時發(fā)送報文使用了pus

10、h功能,表示接收方應(yīng)立即將數(shù)據(jù)交給上層。在傳輸層之下,客戶機(jī)發(fā)送了一個http 請求報文。具體容意義,這里不再贅述。2.3 關(guān)閉 tcp連接關(guān)閉一個 tcp連接需要經(jīng)歷客戶機(jī)和服務(wù)器間的四次通信。使用google chrome 瀏覽器訪問 blog.sina./s/blog_6cd6462d010104av.html ,并使用 wireshark抓包,其中一個 tcp連接的關(guān)閉過程如圖7 所示。文檔圖 7 tcp連接的關(guān)閉分析圖 7 中的 tcp報文,首先由客戶機(jī)02向電信服務(wù)器34發(fā)送一個特殊的 tcp報文字段。該報文字段的首部中,fin比特被置

11、為 1,表示請求關(guān)閉與服務(wù)器間的連接。ack=1表示對上一次連接的確認(rèn),期待服務(wù)器返回的下一字節(jié)的序號為1. 然后,服務(wù)器在收到請求關(guān)閉連接的報文之后,向客戶機(jī)發(fā)送一個確認(rèn)報文??梢钥吹綀笪牡谝粋€字節(jié)的序號為1,ack=2表示服務(wù)器期待接收的下一字節(jié)的序號為 2. 接著,服務(wù)器向客戶機(jī)發(fā)送終止報文段,其fin比特被置為 1.ack=2表示服務(wù)器期待接收的下一個字節(jié)的序號為2. 最后,客戶機(jī)向服務(wù)器的終止報文進(jìn)行確認(rèn),返回的報文第一個字節(jié)的序號為 2.并設(shè)置定時器,在定時器超時后,關(guān)閉連接??梢钥吹剑麄€ tcp連接關(guān)閉過程,客戶機(jī)和服務(wù)器之間的通信完全符合tcp報文傳輸?shù)母袷揭?guī)。3. 實驗心得及總結(jié)在此次 wireshark 抓包實驗中,我更加深刻的理解了udp和 tcp協(xié)議的報文格式,傳輸規(guī)和功能作用。 udp報文結(jié)構(gòu)相當(dāng)簡單, 它可以使應(yīng)用層更好地控制要發(fā)送的數(shù)據(jù)和發(fā)送時間, 而且無需建立連接。 報文的簡單也降低了分組首部的開銷。tcp報文格式相對復(fù)雜,它需要建立連接??梢院苡行У膶崿F(xiàn)數(shù)據(jù)的可靠傳輸,連接管理、擁塞管理和流量控制等功能。在抓得的網(wǎng)絡(luò)協(xié)議包中, 我發(fā)現(xiàn) udp協(xié)議大部分被 dns協(xié)議使用,tcp協(xié)議大部分

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論