《計算機(jī)網(wǎng)絡(luò)基礎(chǔ)及應(yīng)用》實(shí)訓(xùn)第6章TCP協(xié)議抓包實(shí)踐

1、實(shí)驗(yàn)6-1 TCP協(xié)議抓包實(shí)踐、實(shí)驗(yàn)?zāi)康?1)理解TCP數(shù)據(jù)包格式(2)掌握通過抓包軟件抓取TCP數(shù)據(jù)包并進(jìn)行分析的辦法、相關(guān)理論(1)傳輸層：負(fù)責(zé)端到端的傳輸，只在數(shù)據(jù)傳輸?shù)陌l(fā)送端和接收端工作，在傳輸過程中數(shù)據(jù)最高只被封裝到網(wǎng)絡(luò)層。彳輸層使用的協(xié)議主要有TCP和UDP等。TCP是面向連接的、可靠的傳輸層協(xié)議，UDP是非連接的、不可靠的傳輸層協(xié)議。(2)端口：端口是傳輸層與應(yīng)用層的服務(wù)接口。傳輸層的復(fù)用和分用功能都要通過端口才能實(shí)現(xiàn)。使用傳輸層的每個終端有多個端口，用于區(qū)分同時進(jìn)行的多項(xiàng)傳輸任務(wù)。例如一臺服務(wù)器即作為web服務(wù)器又作為數(shù)據(jù)庫服務(wù)器，客戶端連接時應(yīng)選擇訪問 web服務(wù)還是數(shù)據(jù)庫服

2、務(wù)，由于兩個服務(wù)在一個IP上，只用IP無法進(jìn)行區(qū)分，此時可以用不同的端口號區(qū)分。端口號范圍為065535。TCP分組的格式如下：015 L631源端口 c aource port)日的端口 Cieatibation port)序列學(xué)ftquence nuobci礴認(rèn).號 (acknarlE-desent nuEib&T JfiP (nadflvfl i權(quán)嬲和 1 ckc-cksuM )鑒息指針 fuTffeTi-tpinfar)地通填充(Padding斂提data )格式中各字段說明如下：源端口( Source Port): 16位的源端口字段包含初始化通信的端口號。源端口和IP地址的作用是標(biāo)

3、識報文的返回地址。目的端口 (Destination Port): 16位的目的端口字段定義傳輸?shù)哪康摹＿@個端口指明接收 方計算機(jī)上的應(yīng)用程序接口。序列號(Sequence Number):該字段用來標(biāo)識 TCP源端設(shè)備向目的端設(shè)備發(fā)送的字節(jié) 流，它表示在這個報文段中的第幾個數(shù)據(jù)字節(jié)。確認(rèn)號(Acknowledge Number )： TCP使用32位的確認(rèn)號字段標(biāo)識期望收到的下一個 段的第一個字節(jié)，并聲明此前的所有數(shù)據(jù)已經(jīng)正確無誤地收到，因此，確認(rèn)號應(yīng)該是上次已成功收到的數(shù)據(jù)字節(jié)序列號加1。收到確認(rèn)號的源計算機(jī)會知道特定的段已經(jīng)被收到。確認(rèn)號的字段只在ACK標(biāo)志被設(shè)置時才有效。數(shù)據(jù)偏移(Da

4、ta Offset ):這個4位字段包括TCP頭大小。由于首部可能含有選項(xiàng)內(nèi)容， 因此TCP首部的長度是不確定的。首部長度的單位是 32比特或4個八位組。首部長度實(shí)際上也指示了數(shù)據(jù)區(qū)在報文段中的起始偏移值。保留(Reserved ) :6位置0的字段。為將來定義新的用途保留。 、控制位(Control Bits):共6位，每一位標(biāo)志可以打開一個控制功能。窗口(Window ):目的主機(jī)使用16位的窗口字段告訴源主機(jī)它期望每次收到的數(shù)據(jù)通的字節(jié)數(shù)。校驗(yàn)和(Checksum) :TCP頭包括16位的校驗(yàn)和字段用于錯誤檢查。緊急指針(Urgent Pointer):緊急指針字段是一個可選的16位指針

5、，指向段內(nèi)的最后一個字節(jié)位置，這個字段只在URG標(biāo)志被設(shè)置時才有效。TCP分節(jié)的封裝TCP分節(jié)的封裝TCP分節(jié)IP為郁TCI頭部應(yīng)用救醫(yī)頓TP頭那TP頭祁應(yīng)用Si圈TCP建立連接過程：俗稱三次握手：壬機(jī)A主機(jī)BJ主動打開被動打開1里繚i青末SYN, SEQ = xA TOC o 1-5 h z SYN, ACK. SEQ = y, ACK- x + 1加夠認(rèn) AC* SEC = x+ =1第一次握手：A的TCP向B發(fā)出連接請求報文段，其首部中置同步比特SYN =1 ,并選擇序號x,表明傳送數(shù)據(jù)時的第一個數(shù)據(jù)字節(jié)的序號是X。第二次握手：B的TCP收到連接請求報文段后，如同意，則發(fā)回確認(rèn)。B在確認(rèn)

6、報文段中應(yīng)置SYN=1 ,其確認(rèn)號應(yīng)為x+1,同時也為自己選擇序號 V。第三次握手：A收到此報文段后，向 B給出確認(rèn)，其確認(rèn)號應(yīng)為y+1。A和B的TCP通知上層應(yīng)用進(jìn)程，連接已經(jīng)建立。、實(shí)驗(yàn)內(nèi)容(1)使用Wireshark軟件抓取指定 TCP數(shù)據(jù)包。(2)對抓取的數(shù)據(jù)包按協(xié)議格式進(jìn)行各字段含義的分析四、實(shí)驗(yàn)步驟(1)打開 Wireshark軟件，關(guān)閉已有的聯(lián)網(wǎng)程序(防止抓取過多的包)，開始抓包；(2)打開瀏覽器，輸入，網(wǎng)頁打開后停止抓包。(3)如果抓到的數(shù)據(jù)包還是比較多，可以在 Wireshark的過濾器(filter )中輸入 tcp ,按“Apply ”進(jìn)行過濾。在過濾的結(jié)果中找到如下三行

7、：ELXE的192.1K.1l2,S15.甌江二一五KPlm-旬3，Eq仃刊犯工出n年=：M與小61 JZ27&J210.2.224.22霰輻，Ulicphrtp ttm-dtnida:vm, flc 3eQ=0 Adc=l wlnSdO Le7 1.722B55152.168.102.i1210.2,22.227CPibn-atrtaG t hnp度用- 1 Ml=L Wim咕45 L即=0即為3次握手的過程。分析這3個TCP包，回答如下問題:IP為1、第一個TCP包的目的端口為,封裝它的IPIP為,為什么2、第一個 TCP包白S SYN值為, ACK 值為, SEQ值為3、第二個 TCP包白SYN值為, ACK 值