网络协议抓包练习
目录
地址配置
1.1 列出地址规划表
1.2 配置
1.3 连通性测试
应用层
2.1 捕获www数据包
2.2 捕获直播数据包
传输层
3.1 TCP连接建立
3.2 TCP连接释放
3.3 UDP协议
网络层
4.1 IP报文
4.2 ARP协议
4.3 ICMP协议
数据链路层
5.1 MAC帧格式
5.2 MAC地址分析
总结
地址配置
1.1 列出地址规划表
源IP:172.22.133.201
目的IP:212.64.63.30 183.232.136.130 58.83.230.160
域名: kf.sky286.com www.yy.com www.JD.com
1.2 配置
查看本机在 WLAN下自动配置的IP地址、子网掩码和默认网关,如下图
修改ip为如下图(本人学号后三位为201):
1.3 连通性测试
打开QQ浏览器判断是否能上网:
应用层
2.1 捕获www数据包: 启动抓包软件,在捕获的数据中选择一个http报文
http://tieba.baidu.com/:请求一个页面文件
Host:客户端向主机发出的请求
Connection:连接保持
User-Agent:浏览器类型
Accept-Encoding:可接受编码,文件格式
复制上面的网址在浏览器中打开:
2.2 捕获直播数据包:启动抓包软件,找到http报文中含live的,打开应用层并将其地址复制在浏览器中打开如下图:
传输层
3.1 TCP连接建立:打开抓包软件,添加过滤条件(tcp and ip.addr==212.64.63.30 and tcp.port==54223),此时获取的封包列表如下图:
(1)第一次握手:客户端发送一个TCP,标志位为SYN=1,序号seq=0, 代表客户端请求建立连接:
(2)第二次握手:服务器向客户端返回一个数据包,SYN=1,ACK=1,将确认序号设置为客户的序号seq加1:
(3)第三次握手:客户端收到服务器发来的包后检查确认序号是否正确。若正确, SYN=0,ACK=1。
3.2 TCP连接释放:tcp连接释放有四次握手,但本次因服务器端在给客户端传回的过程中,将两个连续发送的包进行了合并,所以本次握手只有四次
(1) 第一次握手:关闭客户端到服务器的数据传送,54223 -> 80,SYN=1,SCK=O
(2) 第二次握手:服务器关闭与客户端的连接,80 -> 54223,ACK=1,SYN=1
(3) 第三次握手:客户端关闭连接,发送确认:ACK=1,确认号ack=0+1=1,54223 -> 80
3.3 UDP协议
源端口:57607字节,目的端口:8000字节,长度:99字节
网络层
4.1 IP报文
源IP:172.22.133.201,目标IP:111.206.81.73,IP报文版本号为:IPV4,首部长度为:20 bytes,数据报长度为:40。
4.2 ARP协议
广播请求:
源mac地址:54:e1:ad:1d:d5:0a
源IP地址:172.22.133.201
目的mac地址:08:35:71:eb:09:49
目的IP地址:172.22.128.1
单播应答:
源mac地址:08:35:71:eb:09:49
源IP地址:172.22.128.1
目的mac地址:54:e1:ad:1d:d5:0a
目的IP地址:172.22.133.201
4.3 ICMP协议
数据链路层
5.1 MAC帧格式:数据链路层以物理层为基础,向网络提供可靠的服务。它定义物理源地址和物理目的地址。
打开抓包软件,过滤条件为http,选择一个打开其Frame以及Ethernet Ⅱ可得到MAC帧信息:
5.2 MAC地址分析
版本类型:IPv4(0x0800),Ethernet II:以太网协议II,源IP:54:e1:ad:1d:d5:0a,目的IP:08:35:71:eb:09:49,帧长度:1166,捕获长度:1166
总结
在完成本次作业过程中出现了许多不可预料的意外,让我直接的感受到信息的瞬息万变。通过本次作业不仅让我学会如何使用wireshark进行抓包,过滤器的存在让我更快速的找到自己所需要的信息。
UDP连接的建立和释放分别为3次握手,4次握手。但可能因为服务器端在给客户端传回的过程中,将两个连续发送的包进行了合并导致结果只出现3次握手。
原文:https://www.cnblogs.com/cyqq/p/11952996.html