抓包分析.docx

《抓包分析.docx》由会员分享，可在线阅读，更多相关《抓包分析.docx（11页珍藏版）》请在第壹文秘上搜索。

1、目录一、TCP抓包分析2ITCP三次握手过程21.1 TCP三次握手第一步:21.2 TCP三次握手第二步:21.3 TCP三次握手第三步:32各字段含义32.1 传输层42.2 ip层52.3 数据链路层7二、DNS抓包分析81 协议数据包窗口82 协议树窗口93 UDP节点94 DNS请求报文105 DNS应答报文10三、心得体会Ht：OOOO o 0020 003000 8 ” OO(MOb 18 f3 6a 69 18 Sd 08 OO 45 00 00 34 04 Se 40 00 40 06 S3 7c 6f Oa Sl 66 da c90040 04 0215 b cd a 00

2、 50 即Ti中 0020 00 9b Ol 00 00 0 M 05 M Ol00 00 00 80 02 03 03 02 Ol Ol一、TCP抓包分析1TCP三次握手过程1.1 TCP三次握手第一步:MbfcANPfS9WC27ME4E2OAD0C59OA3F9B2F?,Gte Gift VWw Sfi CMKwt 4*a SaCWcS tepho% Iocb Mtemali M)HM日 *21f ,、, 出于0 已3区圆F tcp.tfrm g 10日 EXPrtMioC- CiMr Apply SaveNo. Time SourceDestinebonProD vSS-1460 S-

3、4 SC .,Pf RV-I 63 19.026561218. 201.21,176111.10.83.102TCP6680 52640SYN.ack) q-0 Ack-1 w1n-5840 LerwO RSS-UOO SACK.RM-1ws-S1264 19.026704111.10.83.102210.201.21.176TCPM5264O 80ACKSq-1 Ack-I win16a L-0 Frane 48: 66 bytes on wire (528 bfts). 66 bytes captured (S28 bits) Ethernet XX. Src: lS:f4:6a:69:1

4、8:5yes). MaXlmIM segment size, wo-operat1on (nop), window scale, wo-operatlon (nop). N-oprat1on (nop), sack permitted*k：36SVNRev48k2f2*】：图1TCP三次握手第一步根据网络包列表窗口（如图1所示）可以判断出，第48个包是一次会话的开始，源（本机）IP地址为（后面称为节点A）,目的IP地址为（后面称为节点B）,协议为TCP。从包头详细信息窗口，可以看到当前选中的网络包的序列号为0,标志位SYN被设置为1,即为节点A向节点B发起建立连接请求的SYN包。1.2 TCP

5、三次握手第二步:.MiaOtOftD0*WF-gW6-7AEE-a6-5M3F9BC3e2(Wii8(SvNv4M421s11E*eEdeSewQo3reAr叫WasusTdephc. 1O.63 IOZ 216. Z0】 2】.【7。m雨mmIEV*me64 19.026704 111.10.S3.102218.201.21.176Protocol Length InfoTCP66 5280 8Sm0 Win*B】9? ie0 XSS146O W$1 SMKJG时lTCP66 8。 52Zo f”、;发【1 SeW .iri55；0 IOT VSSnE SACx-PEW 力TCP54 526

6、40 0 (.DSt:l:f4:6a:69:18:5d(ie：f4:6a:69:18：5d)XtrntProtocolVrson4vSrc:218.201.21.176(218.201.21.176).Dst:111.10.83.102(111.10.83.102)Streamrdex:105quereunterT(relativesequenceurber)IACknOwledorrrWber:1(relativeackubeTHadrlenth:32bvt3calculatedwindowsize:5840CzCkSU0:0x67bevalidationdisabledootions:(1

7、2lvtes).MaXffIUflSeanentsize.No-Ooeratlon(nop).No-0perat1(nop).sackoeraftted.No-Operatlon(nop),windowscale000018 f4 6a 6918Sd 00 00Se 00 04 Ob 08 00 45 00OOlO00 34 00 004000 3COG8b da c9 15 b 6f Oa2053 66 00 50cJa e4 5158 4d 3 80 12003016 d 67 b60000 02 0405 78 Ol Ol 04 02 Ol 030040 03 09TCP三次握手第二步接

8、下来，为TCP三次握手的第二步，如图2所示。源（本机）IP地址为，目的IP地址为。然后，从包头详细信息子窗口可以看到序列号为：0；确认号为：1,即0+1,并且注意到SYN和ACK标志位均已设置为1。说明该TCP包是对第一步中TCP包确实认，并同时请求同步，即ACK-SYN包。1.3 TCP三次握手第三步:BMwowDceNPFJ27968C2-7AEE-4e20-AD06-590A3F9W3e2)(W二,hk：36SVNRev48142fromAzchl却)改EdICywgCaptureStxoxs*ppretfon.CrAppfyStVeNo.TimeSourceDestinMionProt

9、ocollengthIMO4818.793290111.10.8B.102218.201.21.176TCP6652640SOSYNSoq-OWin-8192Ln-0MSS-1460WSiSACICPCRX-I6319.02656121820121.176111.10.83.102丫566SO52640ISVNICKSqOAR1dn5840FXMSS-14005ACK-PERM-1U1S-512【6419O267O4111.10.83.16?218.201.21.】，6K545264060MkSZ二1A(TMnT6600Ien0Frame64：$4bytesontdre(432bits).54

10、bytescaptured432bits)，EthernetXX.src:18:f4:6a:69:ie：5d(18：f4:6a:69:18:5d).DSt:00:00:5e:OO:O4:0ber:1(reIaPIVeacknumber)FNdNrIefXnh：?Qbyr。*Flq:OxOlO(ACK)Iwnoowsizevalue:4200Calculatedwindowsize:16S00(windowsizescalingfactor:4tChecksun:OXaebvalidationdisabled9sqACKanalysisOOOO0000Se04Ob18f46a6918Sd0800

11、4SoO.ji.OOlO0028046b40004006837b6fOaS366dac9.(.kft.t.(o.Sf.002015bcda00503ddff55be451584e5010P-.(.qxnp.00301068aeD60000.h.图3TCP三次握手第三步接下来是TCP三次握手的第三步（如图3所示），即第64个包，节点A发送TCP包给节点B,其序列号是1,说明请求的下一个TCP包的序列号为1；确认号为1,说明是对第63个包确实认，而且其ACK位为1,即ACK包。至此，TCP协议的三次握手过程已经完成，节点A和B之间已经建立连接，可以进行数据传输。2各字段含义TCP报文段发送在前* IP首部TCP首部TCP数据部分IP数据郃分2.1传输层图4：TCP报文段的首部格式约 0 MeW 8 8tK SMt 父Mo TetemOnX IQOb ptt