計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)利用wireshark進(jìn)行協(xié)議分析

實(shí)驗(yàn)？4:利用？Wireshark?進(jìn)行協(xié)議分析1、實(shí)驗(yàn)?zāi)康氖煜げ⒄莆?Wireshark的基本操作，了解網(wǎng)絡(luò)協(xié)議實(shí)體間進(jìn)行交互以及報(bào)文交換的情況。2、實(shí)驗(yàn)環(huán)境@Windows?9x/NT/2000/XP/2003金與因特網(wǎng)連接的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)金分組分析器Wireshark：要深入理解網(wǎng)絡(luò)協(xié)議，需要仔細(xì)觀察協(xié)議實(shí)體之間交換的報(bào)文序列。為探究協(xié)議操作細(xì)節(jié)，可使協(xié)議實(shí)體執(zhí)行某些動(dòng)作，觀察這些動(dòng)作及其影響。這些任務(wù)可以在仿真環(huán)境下或在如因特網(wǎng)這樣的真實(shí)網(wǎng)絡(luò)環(huán)境中完成。觀察在正在運(yùn)行協(xié)議實(shí)體間交換報(bào)文的基本工具被稱為分組嗅探器（packetsniffer）。顧名思義，一個(gè)分組嗅探器俘獲（嗅探）計(jì)算機(jī)發(fā)送和接收的報(bào)文。一般情況下，分組嗅探器將存儲(chǔ)和顯示出被俘獲報(bào)文的各協(xié)議頭部字snifferbc'ironinet.wrhsnifferbc'ironinet.wrh段的內(nèi)容。圖4-1為一個(gè)分組嗅探器的結(jié)構(gòu)。圖4-1右邊是計(jì)算機(jī)上正常運(yùn)行的協(xié)議（在這里是因特網(wǎng)協(xié)議）和應(yīng)用程序（如：web瀏覽器和ftp客戶端）。分組嗅探器（虛線框中的部分）是附加計(jì)算機(jī)普通軟件上的，主要有兩部分組成。分組俘獲庫（packetcapturelibrary）接收計(jì)算機(jī)發(fā)送和接收的每一個(gè)鏈路層幀的拷貝。高層協(xié)議（如：HTTP、FTP、TCP、UDP、DNS、IP等）交換的報(bào)文都被封裝在鏈路層幀中，并沿著物理媒體（如以太網(wǎng)的電纜）傳輸。圖1假設(shè)所使用的物理媒體是以太網(wǎng)，上層協(xié)議的報(bào)文最終封裝在以太網(wǎng)幀中。分組嗅探器的第二個(gè)組成部分是分析器。分析器用來顯示協(xié)議報(bào)文所有字段的內(nèi)容。為此，分析器必須能夠理解協(xié)議所交換的所有報(bào)文的結(jié)構(gòu)。例如：我們要顯示圖4-1中HTTP協(xié)議所交換的報(bào)文的各個(gè)字段。分組分析器理解以太網(wǎng)幀格式，能夠識(shí)別包含在幀中的IP數(shù)據(jù)報(bào)。分組分析器也要理解IP數(shù)據(jù)報(bào)的格式，并能從IP數(shù)據(jù)報(bào)中提取出TCP報(bào)文段。然后，它需要理解TCP報(bào)文段，并能夠從中提取出HTTP消息。最后，它需要理解HTTP消息。Wireshark?是一種可以運(yùn)行在?Windows,?UNIX,?Linux?等操作系統(tǒng)上的？分?Wireshark?是一種可以運(yùn)行在?Windows,?UNIX,?Linux?等操作系統(tǒng)上的？分?]Park創(chuàng)匚叫吁用組?分?析?器?。？運(yùn)行?Wireshark?程序時(shí)，其圖形用戶界面如圖?4-2?所示。最初，各窗口中并無數(shù)據(jù)顯示。在用戶選擇接口，點(diǎn)擊開始抓包按鈕之后，Wireshark?的用戶界面會(huì)變成如圖?4-3所示。此時(shí)?Wireshark?的用戶界面主要有?5?部分組成，如圖?4-3?所示。金?命令菜單(command?menus)：命令菜單位于窗口的最頂部，是標(biāo)準(zhǔn)的下拉式菜單。最常用菜單命令有兩個(gè)：File、CaptureoFile?菜單允許你保存俘獲的分組數(shù)據(jù)或打開一個(gè)已被保存的俘獲分組數(shù)據(jù)文件或退出?Wireshark?程序。Capture?菜單允許你開始俘獲分組。金?俘獲分組列表(listing?of?captured?packets)：按行顯示已被俘獲的分組內(nèi)容，其中包括：Wireshark?賦予的分組序號(hào)、俘獲時(shí)間、分組的源地址和目的地址、協(xié)議類型、分組中所包含的協(xié)議說明信息。單擊某一列的列名，可以使分組按指定列進(jìn)行排序。在該列表中，所顯示的協(xié)議類型是發(fā)送或接收分組的最高層協(xié)議的類型。

奶?分組頭部明細(xì)(details?of?selected?packet?header):顯示俘獲分組列表窗口中被選中分組的頭部詳細(xì)信息。包括：與以太網(wǎng)幀有關(guān)的信息，與包含在該分組中的?IP?數(shù)據(jù)報(bào)有關(guān)的信息。單擊以太網(wǎng)幀或?IP?數(shù)據(jù)報(bào)所在行左邊的向右或向下的箭頭可以展開或最小化相關(guān)信息。另外，如果利用?TCP?或?UDP?承載分組，Wireshark?也會(huì)顯示?TCP?或?UDP?協(xié)議頭部信息。最后，分組最高層協(xié)議的頭部字段也會(huì)顯示在此窗口中。金?分組內(nèi)容窗口(packet?content)：以?ASCII?碼和十六進(jìn)制兩種格式顯示被俘獲幀的完整內(nèi)容。金?顯示篩選規(guī)則(display?filter?specification)：在該字段中，可以填寫協(xié)議的名稱或其他信息，根據(jù)此內(nèi)容可以對(duì)分組列表窗口中的分組進(jìn)行過濾。3、實(shí)驗(yàn)過程1)?學(xué)習(xí)?Wireshark?的使用金?啟動(dòng)主機(jī)上的?web?瀏覽器。金?啟動(dòng)?Wireshark。你會(huì)看到如圖?4-2?所示的窗口，只是窗口中沒有任何分組列表。金?開始分組俘獲：選擇“capture”下拉菜單中的“Capture?Options〃命令，會(huì)出現(xiàn)如圖?4-3?所示的“Wireshark:?Capture?Options”窗口，可以設(shè)置分組俘獲的選項(xiàng)。金?在實(shí)驗(yàn)中，可以使用窗口中顯示的默認(rèn)值。在“Wireshark:?CaptureOptions”窗口(如圖?4-4?所示)的最tion個(gè)“Interface?List”下拉菜單其中顯示計(jì)算機(jī)所具有的網(wǎng)絡(luò)接口(即網(wǎng)卡)。當(dāng)計(jì)算機(jī)具有多個(gè)活動(dòng)網(wǎng)卡時(shí)，需要選擇其中一個(gè)用來發(fā)送或接收分組的網(wǎng)絡(luò)接口(如某個(gè)有

tions”窗口(如圖?4-4?所示)的最tion個(gè)“Interface?List”下拉菜單8?開始分組俘獲后，會(huì)出現(xiàn)如圖?4-5?所示的窗口。該窗口統(tǒng)計(jì)顯示各類已俘獲數(shù)據(jù)包。在該窗口的工具欄中有一個(gè)“stop”按鈕，可以停止分組的俘獲。但此時(shí)你最好不要停止俘獲分組。8?8?8?在顯示篩選規(guī)則中輸入“http”單擊“回車”分組列表窗口將只顯示?HTTP?協(xié)議報(bào)文。8?2）?利用?Wireshark?分析?HTTP?協(xié)議（1）HTTP?GET/response交互8?啟動(dòng)?Web?browser，然后啟動(dòng)?Wireshark?分組嗅探器。在窗口的顯示過濾說明處輸入“http”分組列表子窗口中將只顯示所俘獲到的HTTP?報(bào)文。8?開始？Wireshark?分組俘獲。8?在打開的瀏覽器窗口中輸入以下地址：8?停止分組俘獲。根據(jù)俘獲窗口內(nèi)容，思考以下問題：8?你的瀏覽器運(yùn)行的是HTTP1.0，還是?HTTP1.1？你所訪問的服務(wù)器所運(yùn)行?HTTP?協(xié)議的版本號(hào)是多少？“|Jnum^iUHI如H-LdiL-nmiDn■ii1.-3II.I&0U圖?4-5?Wireshark?的抓包界面/9HE*LJWm+“|Jnum^iUHI如H-LdiL-nmiDn■ii1.-3II.I&0U圖?4-5?Wireshark?的抓包界面/9HE*LJWm+J<HT-■?<!gA??，■-里由，■-皿事J.FF■旺L■<1「-密■31__炒tw牌jJJ3X4iiX?4iJB3AIE?I'Z?alJLXIn￡3￡143LMEJKM號(hào)?l罵V§1.1日3U對(duì)11.我日麻E豪H■!'鹽EErsukLfrrs蕓s昌urr互g?你的瀏覽器向服務(wù)器指出它能接收何種語言版本的對(duì)象?8?你的計(jì)算機(jī)的）IP?地址是多少？服務(wù)邕的?IP?地址是多少？8?從服務(wù)器向你的瀏覽器返回的狀態(tài)代碼是多少？（2）HTTP?條件?GET/respons?交互8?啟動(dòng)瀏覽器，清空瀏覽器的緩存（在瀏覽器中，選掛具'菜單中的“Internet?選項(xiàng)命令，在出現(xiàn)的對(duì)話框中，選擇刪除文件）。8?啟動(dòng)?Wireshark?分組俘獲器。開始Wireshark?分組俘獲。8?在瀏覽器的地址欄中輸入以下URL:J,在你的瀏覽器中重新輸入相同的URL?或單擊瀏覽器中的，刷新”按鈕。8?停止?Wireshark?分組俘獲，在顯示過濾篩選說明處輸“入圮”,分組列表子窗口中將只顯示所俘獲到的HTTP?報(bào)文。根據(jù)俘獲窗口內(nèi)容，思考以下問題：8?分析你的瀏覽器向服務(wù)器發(fā)出的第一個(gè)HTTP?GET?請(qǐng)求的內(nèi)容，在該請(qǐng)求報(bào)文中，是否有一行是：IF-MODIFIED-SINCE？8?分析服務(wù)器響應(yīng)報(bào)文的內(nèi)容，服務(wù)器是否明確返回了文件的內(nèi)容？如何獲知？8?分析你的瀏覽器向服務(wù)器發(fā)出的較晚“HTTP?GET"^求,在該請(qǐng)求報(bào)文中是否有一行是：IF-MODIFIED-SINCE？如果有，在該首部行后面跟著的信息是什么？8?服務(wù)器對(duì)較晚拘HTTP?GET?請(qǐng)求的響應(yīng)中拘HTTP?狀態(tài)代碼是多少？服務(wù)器是否明確返回了文件的內(nèi)容？請(qǐng)解釋。3）?利用?Wireshark?分析?TCP?協(xié)議注：訪問以下網(wǎng)址需要設(shè)置代理服務(wù)器。如無法訪問可與實(shí)驗(yàn)聯(lián)系，下載tcp-Wireshark-trace文件，利用該文件進(jìn)行TCP協(xié)議分析。（1）俘獲大量的由本地主機(jī)到遠(yuǎn)程服務(wù)器的CP分組啟動(dòng)瀏覽器，打開網(wǎng)頁，得到ALICE'S?ADVENTURES?IN?WONDERLAND文本，將該文件保存到你的主機(jī)上。打開h，如圖4-6所示，窗口如下圖所示。在Browse按鈕旁的文本框中輸入保存在你的主機(jī)上的文件ALICE'S?ADVENTURES?INWONDERLAND的全名（含路徑），此時(shí)不要按“Uploadalice.txt?file”按鈕。?啟動(dòng)Wireshark，開始分組俘獲。?在瀏覽器中，單擊“Upload?alice.txt?file"按鈕，將文件上傳到服務(wù)器，一旦文件上傳完畢，一個(gè)簡(jiǎn)短的賀詞信息將顯示在你的瀏覽器窗口中。E.?停止俘獲。瀏覽追蹤信息在顯示篩選規(guī)則中輸入’tcp”，可以看到在本地主機(jī)和服務(wù)器之間傳輸?shù)囊幌盗?tcp?和?http??文,你應(yīng)該能看到包含而丫用報(bào)文的三次握手。也可以看到有主機(jī)向服務(wù)器發(fā)送的一個(gè)HTTP?POST?報(bào)文和一系列的“http?continuation"報(bào)文。根據(jù)操作思考以下問題：金?向？？服務(wù)器傳送文件的客戶端主機(jī)的IP?地址和TCP?端口號(hào)是多少？京?服務(wù)器的?IP?地址是多少？對(duì)這一連接，它用來發(fā)送和接收TCP?報(bào)文的端口號(hào)是多少？TCP?基a根據(jù)操作思考以下問題：金?客戶服務(wù)器之間用于初始化TCP?連接的?TCP?SYN?報(bào)文段的序號(hào)(sequence?number)是多少？在該報(bào)文段中，是用什么來標(biāo)示該報(bào)文段是丫N?報(bào)文段的？金?服務(wù)器向客戶端發(fā)送的？SYNACK?報(bào)文段序號(hào)是多少？該報(bào)文段中，Acknowledgement?字段的值是多少？?服務(wù)器是如何決定此值的？在該報(bào)文段中，是用什么來標(biāo)示該報(bào)文段是SYNACK?報(bào)文段的？金?你能從捕獲的數(shù)據(jù)包中分析出tcp?三次握手過程嗎？金?包含?HTTP?POST?命令fl^?TCP?報(bào)文段的序號(hào)是多少？金?如果將包含?HTTP?POST?命令fl^?TCP?報(bào)文段看作是?TCP?連接上的第一個(gè)報(bào)文段，那么該？TCP?連接上的第六個(gè)報(bào)文段的序號(hào)是多少？是何時(shí)發(fā)送的？該報(bào)文段所對(duì)應(yīng)的ACK?是何時(shí)接收的？金?前六個(gè)?丁。??報(bào)文段的長度各是多少？金?在整個(gè)跟蹤過程中，接收端公示的最小的可用緩存空間是多少？限制發(fā)送端的傳輸以后，接收端的緩存是否仍然不夠用？金?在跟蹤文件中是否有重傳的報(bào)文段？進(jìn)行判斷的依據(jù)是什么？名?TCP?連接［^throughput?(bytes?transferred?per?unit?time)是多少？請(qǐng)寫出你的計(jì)算過程。4)?利用?Wireshark?分析?IP?協(xié)議通過分析執(zhí)行?traceroute?程序發(fā)送和接收到的IP?數(shù)據(jù)包，我們將研究?IP?數(shù)據(jù)包的各個(gè)字段，并詳細(xì)研如P?分片。(1)通過執(zhí)行?traceroute?執(zhí)行捕獲數(shù)據(jù)包為了產(chǎn)生一系列IP?數(shù)據(jù)報(bào)，我們利用?traceroute?程序發(fā)送具有不同大小的數(shù)據(jù)包給目的主機(jī)?Xo回?之前?ICMP?實(shí)驗(yàn)中使用的?traceroute?程序，源主機(jī)發(fā)送的第一個(gè)數(shù)據(jù)包的TL?設(shè)位?1,第二個(gè)為?2,第三個(gè)為?3,等等。每當(dāng)路由器收到一個(gè)包，都會(huì)將煎TL?值減?1。這樣，當(dāng)?shù)?n?個(gè)數(shù)據(jù)包到達(dá)了第?n?個(gè)路由器時(shí)，第n?個(gè)路由器發(fā)現(xiàn)該數(shù)據(jù)包的TTL?已經(jīng)過期了。根據(jù)?IP?協(xié)議的規(guī)則，路由器將該數(shù)據(jù)包丟棄并將一個(gè)ICMP?警告消息送回源主機(jī)。在?Windows?自帶的?tracert?命令不允許用戶改變li?tracert?命令發(fā)送的ICMP?echo?請(qǐng)求消息(ping?消息)的大小。一個(gè)更優(yōu)秀的Ptraceroute?程序是?pingplotter，下載并安裝?pingplotter。ICMP?echo?請(qǐng)求消息的大小可以通過下面方法在?pingplotter?中進(jìn)行設(shè)置。Edit->Options->Packe，然后填寫?Packet?Size(in?bytes，default=56)域。實(shí)驗(yàn)步驟：?jiǎn)?dòng)?Wireshark?并開始數(shù)據(jù)包捕獲啟動(dòng)?pingplotter?并“Address?to?Trace?Window,域中輸入目的地址。在“#?of?times?to?Trace，域中輸入3”這樣就不過采集過多的數(shù)據(jù)。Edit->Options->Packe，將?Packet?Size(in?bytes,default=56域設(shè)為?56，這樣將發(fā)送一系列大小為56?字節(jié)的包。然后按T“Trace^按鈕。得到的pingplotter?窗口如圖?4-7?所示。A.?Edit->Options->Packet然后將Packet?Size(in?bytes,default=56域改為？2000，這樣將發(fā)送一系列大小為2000?字節(jié)的包。然后按下“Resume，按鈕。B.最后，將?Packet?Size(in?bytes,default=56)域改為?3500,發(fā)送一系列大小為?3500?字節(jié)的包。然后按下“Resume按鈕。C.停止?Wireshark?的分組捕獲。（2）對(duì)捕獲的數(shù)據(jù)包進(jìn)行分析在你的捕獲窗口中，應(yīng)該能看到由你的主機(jī)發(fā)出的一系列MPEcho?Request包和中間路由器返回的一系列CMP?TTL-exceeded消息。選圖4-8?Wrieshark窗口擇第一個(gè)你的主機(jī)發(fā)出的CMP?Echo?Reques艄息，在packet?details窗口展開數(shù)據(jù)包的Internet?Protoc。部分，如圖4-8所示。思考下列問題：金?你主機(jī)的IP地址是什么？金?在IP數(shù)據(jù)包頭中，上層協(xié)議Upper?laye）字段的值是什么？g?IP頭有多少字節(jié)？該IP數(shù)據(jù)包的凈載為多少字節(jié)？并解釋你是怎樣確定金?該IP數(shù)據(jù)包的凈載大小的？金?該IP數(shù)據(jù)包分片了嗎？解釋你是如何確定該數(shù)據(jù)包是否進(jìn)行了分片單擊Source列按鈕，這樣將對(duì)捕獲的數(shù)據(jù)包按源P地址排序。選擇第一個(gè)你的主機(jī)發(fā)出的CMP?Echo?Reques艄息，在packet?details窗口展開數(shù)據(jù)包的Internet?Protoco部分。在“l(fā)isting?of?captured?pjcEits你會(huì)看到許多后續(xù)的CMP消息（或許還有你主機(jī)上運(yùn)行的其他協(xié)議的數(shù)據(jù)包）思考下列問題：8?你主機(jī)發(fā)出的一系列CMP消息中IP數(shù)據(jù)報(bào)中哪些字段總是發(fā)生改變？8?哪些字段必須保持常量？哪些字段必須改變？為什么？8?描述你看到的IP數(shù)據(jù)包戲門折用七用字段值的形式。以找?到?由?最?近?的?路?由?器？（?第?一?跳?）?返?回?^?>?主?機(jī)?的?ICMPTime-to-live?exceeded消息。思考下列問題：8?Identification字段和TTL字段的值是什么？金?最近?的?路?由?器？（?第一?跳?）返?回給?你主?機(jī)？的?ICMP?Time-to-liveexceeded消息中這些值是否保持不變？為什么？D.單擊Time列按鈕，這樣將對(duì)捕獲的數(shù)據(jù)包按時(shí)間排序。找到在將包大小改為2000字節(jié)后你的主機(jī)發(fā)送的第一個(gè)ICMP?Echo?Request消息。思考下列問題：金?該消息是否被分解成不止一個(gè)田數(shù)據(jù)報(bào)？金?觀察第一個(gè)IP分片，IP頭部的哪些信息表明數(shù)據(jù)包被進(jìn)行了分片IP頭部的哪些信息表明數(shù)據(jù)包是第一個(gè)而不是最后一個(gè)分片？該分片的長度是多少C.?找到在將包大小改為3500字節(jié)后你的主機(jī)發(fā)送的第一&MPEcho?Request消息。思考下列問題：金?原始數(shù)據(jù)包被分成了多少片？金?這些分片中IP數(shù)據(jù)報(bào)頭部哪些字段發(fā)生了變化？4、實(shí)驗(yàn)過程1）?學(xué)習(xí)?Wireshark?的使用2）?利用?Wireshark?分析?HTTP?協(xié)議HTTPGET/response交互：IP為，服務(wù)器IP為TCP頭部：IIFilter:httpvExpression...ClearApplySaveNo.TimeSourceDestinationProtocolLengthInfoAcknowledgmentnumber:BB31B(relativeacknumber)HeaderLength:20bytesHTTP報(bào)文：HTTP1.1，zh-CN表明接受中文而服務(wù)器的報(bào)文中，源IP與目的IP與客戶端恰好相反：Filter:httpvExpression...ClearApplySaveINo.TimeSourceDestinationProtocolLengthInfo44658.47799500251SSDP352NOTIFY*HTTP/1.144828.532274OO350SSDP175M-SEARCH*HTTP/1.145358.689616OOO671HTTP876HTTP/1.1200OK(text/html)45458.7O5O94OOO671HTTP206HTTP/1.1200OK(text/css)45388.702740007145458.7O5O94OOO671HTTP206HTTP/1.1200OK(text/css)45508.705318007106HTTP479GET/images/nav_bottom.pngHTTP/1.145528.70545300172,17,150.17106HTTP480GET/images/page_coin_l.pngHTTP/1.1，ll-rcrzxLrvcczxvr-*vlz\-ttwrrrrr—一，

服務(wù)器的協(xié)議版本為HTTP1.1,，返回狀態(tài)代碼為200OK□HypertextTramsferProtocol@|HTTP/1.1200OK\r\ncontent-Type:text/css\r\ncontent-Encoding:gzip\r\nLast-Modified:weds02Jul201403:07:41GMT\r\nIAccept-Ranges:bytes\r\nETag:,,807c35c9a295cfl:0,e\r\nvary:Accept-Encoding\r\nserver:Microsoft-lls/7.5\r\nx-Powered-By:asp.NET\r\nDate:Tue,16Jun201514:34:16GMT\r\n田Content-Length:2778\r\n\r\n[HTTPresponse3/4][Timesineerequest:0.002354000seconds]「Prevreciue't~imframe:44461「Prewresgmseiniframe:45351「Reciiuestin〕firame:45381「Nextreciiiest~irtframe:46021「Nextreggn*~imframe:46101Content-encodedentitybody(gzip):2778bytes->10262bytesHTTP條件GET/response交互第一個(gè)HTTP-GET請(qǐng)求的內(nèi)容中，并沒有IF-MODIFIED-SINCE第一次回復(fù)報(bào)文，服務(wù)器返回文件內(nèi)容：□hypertextTransferProtocol0GET/newsHTTP/1.l\r\nHost:\r\nconnection:keep-alive\r\nAccept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8\r\nUser-Agent:Mozilla/5.0(windowsNT6.2;WOW64)ApplewebKit/537.36(khtml,likeGecko)chrome/43.0.2357.124safari/537.36\r\nAccept-Encoding:gzip,deflate,sdch\r\nAccept-Language:zh-CN,zh;q=0.8\r\n\r\n「FullreaueslURI：httD:///newsl[httprequest1/7]「ResDonse~inframe:20801「Nextreouesl~inframe:21011第二次發(fā)請(qǐng)求時(shí)，出現(xiàn)了IF-MODIFIED-SINCE第二次回復(fù)報(bào)文時(shí)，服務(wù)器告知瀏覽器可在緩存中查找文件：3)?利用?Wireshark?分析?TCP?協(xié)議三次握手，可知，客戶端主機(jī)的IP地址為，TCP端口號(hào)為60；服務(wù)器的IP地址是，？用來發(fā)送和接受TCP報(bào)文的TCP端口號(hào)為1514：Seq=0，通過設(shè)置TCP頭部的flags字段的SYN標(biāo)志位來標(biāo)示：SYNACK報(bào)文段序號(hào)是0，Acknowledgment字段的值是1（服務(wù)器收到客戶端發(fā)來的SYN報(bào)文，此報(bào)文消耗1個(gè)序列號(hào)，因此服務(wù)器回復(fù)下？一個(gè)期望得到的序列號(hào)為1）。通過標(biāo)記TCP頭的flags字段的SYN標(biāo)志位來標(biāo)示的:三次握手過程：含POST的TCP報(bào)文段的序號(hào)：TimeSourceDestinationNo.20567.057616002001:da8:b800TimeSourceDestinationNo.20567.057616002001:da8:b800:lal5:2001:da8:b800:lal5:TCPLI■■■/ProtocolLengthInfo326[TCPsegmentofareassembledPDU]20577.057668002001:da8:b800:lal5:2001:da8:b8OO:lal5:HTTP/)^807POST/cd9e5273-242a-43da-bbfl-662aecldf24e/HTTP/1.j20587.058491002001:da8:b800:lal5:2001:da8:b800:lai5:TCP7.060236002001:da8:b800:lal5:2001:da8:b800:lai5:TCP7.060239002001:da8:b800:lal5:2001:da8:b800:lal5:TCP7.060299002001:da8:b800:lal5:2001:da8:b800:lai5:TCP7.060334002001:da8:b800:lal5:2001:da8:b800:lai5:TCP745357-65111[ACK]Seq=lAck=986Win=66048Len=01514[TCPsegmentofareassembledPDU]1514[tcpsegmentofareassembledpdu]7465111-5357[ACK]Seq=986Ack=2881Win=66048Len=01514[TCPsegmentofareassembledPDU]7465111-5357[ACK]7465111-5357[ACK]Seq=986Ack=5299Win=66048Len=07465111-5357[FIN,ACK]Seq=986Ack=5299Wi