(2)http包
Accept:收到的文件
Connection:连接关闭
Host:请求的主机名为sougo的DNS服务器
User-Agent:用户代理为搜狗
三、传输层
3.1 TCP协议(三次握手)
3.1.1原理:
步骤1 A的TCP向B发出连接请求报文段,其首部中的同步位SYN=1,并选择序号seq=x,表明第一次传送数据时的第一个数据字节的序号是x。
步骤2 B的TCP收到连接请求报文段,如同意,则发回确认。ACK=1,其确认号ack=x+1。同时B向A发起连接请求,应使SYN=1,自己选择的序号seq=y。
步骤3 A收到此报文段后向B给出确认,其ACK=1,序列号seq=x+1,确认号ack=y+1。A的TCP通知上层应用进程,连接已经建立。
3.1.2 三次握手分析
百度IP
第一次握手:
标志位SYN,序号为1,表示客户端请求建立连接
第二次握手:服务器发回确认,FIN=1服务器被动开启,ACK等于上一个序列号数1
第三次握手:序列号为第一次握手的序列号加1,ack等于第二次握手的序列号加1
3.2四次挥手(双工FIN标志)
第一次挥手序号seq=2856,确认号ACK=47903 ,FIN
第二次挥手:序号seq=47789,确认号ACK=2919
第三次挥手:序号seq=47789,确认号ACK=2919,FIN
第四次挥手:序号seq=2919,确认号ACK=47790
3.3 UDP协议
1、源端口(Source Port):62821
2、目的端口(Destination Port):443
3、长度(Length):52
4、校验和(Checksum):0xdb1
5、应用层数据(Stream index):21字节
3.3.1判断目的IP是否存在:
四、网络层
4.1 IP报文分析:
1、IP报文版本号为(Version):IPV4
2、首部长度(Header length):20字节,总长度(total length):41字节
4、标识码(Identification):0x569d;不分片
5、生存时间(TTL):52
6、协议(Protocol):TCP协议,ET/ESPF包
7、包头校验和(Header checksum):0x5534
8、源IP地址(Source):211.159.235.30,目的IP地址(Destination):172.24.48.36
4.2 ARP
1、硬件类型(hardware type):以太网地址
2、协议类型(protocol type):IPV4
3、硬件地址长度(hardware size):6字节
4、协议地址长度(protocol size):4字节
5、操作类型(op): ARP请求(2表示ARP应答)
6、发送端MAC地址(sender MAC address):60:45:8b:72:c2:87
7、发送端IP地址(sender IP address):172.24.48.36
8、目标MAC地址(Target MAC address):60:45:cb:2a:Oc:b7
9、目标IP地址(Target IP address)(网关):172.24.48.1
4.3 ICMP(ping)
1、IP首部:IPV4 源地址183.232.231.172,目的地址 10.130.196.190(本机)
2、类型(Type) 8、代码(code)0——ping请求包
3、校验和(checksum):0x51fd
五、数据链路层
5.1 MAC帧格式
1、类型:以太帧
2、帧长(Packet Length):66字节
3、帧编号(Frame Number):3
4、捕获帧长度(Capture Length):60 bytes
5、帧内封装的协议层次结构 (Protocols in frame: eth:ip:tcp]):以太网—> IP—>TCP协议
5.2 MAC地址分析
供应商标识(前24bit):E4-54-E8
供应商对网卡的唯一编号(后24bit):31-B5-E4
六、总结:
通过本次作业,我学会了Wireshark的用法及在抓包过滤的小技巧(如:TCP and IP.ADDR ==183.232.231.174等),对TCP,UDP,HTTP协议和报文结构有了更清楚的认识。并且,结合实验课上老师所讲的内容,使我对模型各层之间的功能的了解及报文的分析能力有一定的提高。在实操的过程中,也发现很多的问题,例如在做TCP协议(释放连接过程)时,出现了多次“三次挥手”的现象,后来查阅才得知是因为服务器端在给客户端传回的过程中,将两个连续发送的包进行了合并。因此,想要掌握好所学的网络知识就必须将理论与实践相结合,不然根本就是纸上谈兵。