《抓包分析.docx》由会员分享,可在线阅读,更多相关《抓包分析.docx(11页珍藏版)》请在优知文库上搜索。
1、目录一、TCP抓包分析2ITCP三次握手过程21.1 TCP三次握手第一步:21.2 TCP三次握手第二步:21.3 TCP三次握手第三步:32各字段含义32.1 传输层42.2 ip层52.3 数据链路层7二、DNS抓包分析81 协议数据包窗口82 协议树窗口93 UDP节点94 DNS请求报文105 DNS应答报文10三、心得体会Ht:OOOO o 0020 003000 8 ” OO(MOb 18 f3 6a 69 18 Sd 08 OO 45 00 00 34 04 Se 40 00 40 06 S3 7c 6f Oa Sl 66 da c90040 04 0215 b cd a 00
2、 50 即Ti中 0020 00 9b Ol 00 00 0 M 05 M Ol00 00 00 80 02 03 03 02 Ol Ol一、TCP抓包分析1TCP三次握手过程1.1 TCP三次握手第一步:MbfcANPfS9WC27ME4E2OAD0C59OA3F9B2F?,Gte Gift VWw Sfi CMKwt 4*a SaCWcS tepho% Iocb Mtemali M)HM日 *21f ,、, 出于0 已3区圆F tcp.tfrm g 10日 EXPrtMioC- CiMr Apply SaveNo. Time SourceDestinebonProD vSS-1460 S-
3、4 SC .,Pf RV-I 63 19.026561218. 201.21,176111.10.83.102TCP6680 52640SYN.ack) q-0 Ack-1 w1n-5840 LerwO RSS-UOO SACK.RM-1ws-S1264 19.026704111.10.83.102210.201.21.176TCPM5264O 80ACKSq-1 Ack-I win16a L-0 Frane 48: 66 bytes on wire (528 bfts). 66 bytes captured (S28 bits) Ethernet XX. Src: lS:f4:6a:69:1
4、8:5yes). MaXlmIM segment size, wo-operat1on (nop), window scale, wo-operatlon (nop). N-oprat1on (nop), sack permitted*k:36SVNRev48k2f2*】:图1TCP三次握手第一步根据网络包列表窗口(如图1所示)可以判断出,第48个包是一次会话的开始,源(本机)IP地址为(后面称为节点A),目的IP地址为(后面称为节点B),协议为TCP。从包头详细信息窗口,可以看到当前选中的网络包的序列号为0,标志位SYN被设置为1,即为节点A向节点B发起建立连接请求的SYN包。1.2 TCP
5、三次握手第二步:.MiaOtOftD0*WF-gW6-7AEE-a6-5M3F9BC3e2(Wii8(SvNv4M421s11E*eEdeSewQo3reAr叫WasusTdephc. 1O.63 IOZ 216. Z0】 2】.【7。m雨mmIEV*me64 19.026704 111.10.S3.102218.201.21.176Protocol Length InfoTCP66 5280 8Sm0 Win*B】9? ie0 XSS146O W$1 SMKJG时lTCP66 8。 52Zo f”、;发【1 SeW .iri55;0 IOT VSSnE SACx-PEW 力TCP54 526
6、40 0 (.DSt:l:f4:6a:69:18:5d(ie:f4:6a:69:18:5d)XtrntProtocolVrson4vSrc:218.201.21.176(218.201.21.176).Dst:111.10.83.102(111.10.83.102)Streamrdex:105quereunterT(relativesequenceurber)IACknOwledorrrWber:1(relativeackubeTHadrlenth:32bvt3calculatedwindowsize:5840CzCkSU0:0x67bevalidationdisabledootions:(1
7、2lvtes).MaXffIUflSeanentsize.No-Ooeratlon(nop).No-0perat1(nop).sackoeraftted.No-Operatlon(nop),windowscale000018 f4 6a 6918Sd 00 00Se 00 04 Ob 08 00 45 00OOlO00 34 00 004000 3COG8b da c9 15 b 6f Oa2053 66 00 50cJa e4 5158 4d 3 80 12003016 d 67 b60000 02 0405 78 Ol Ol 04 02 Ol 030040 03 09TCP三次握手第二步接
8、下来,为TCP三次握手的第二步,如图2所示。源(本机)IP地址为,目的IP地址为。然后,从包头详细信息子窗口可以看到序列号为:0;确认号为:1,即0+1,并且注意到SYN和ACK标志位均已设置为1。说明该TCP包是对第一步中TCP包确实认,并同时请求同步,即ACK-SYN包。1.3 TCP三次握手第三步:BMwowDceNPFJ27968C2-7AEE-4e20-AD06-590A3F9W3e2)(W二,hk:36SVNRev48142fromAzchl却)改EdICywgCaptureStxoxs*ppretfon.CrAppfyStVeNo.TimeSourceDestinMionProt
9、ocollengthIMO4818.793290111.10.8B.102218.201.21.176TCP6652640SOSYNSoq-OWin-8192Ln-0MSS-1460WSiSACICPCRX-I6319.02656121820121.176111.10.83.102丫566SO52640ISVNICKSqOAR1dn5840FXMSS-14005ACK-PERM-1U1S-512【6419O267O4111.10.83.16?218.201.21.】,6K545264060MkSZ二1A(TMnT6600Ien0Frame64:$4bytesontdre(432bits).54
10、bytescaptured432bits),EthernetXX.src:18:f4:6a:69:ie:5d(18:f4:6a:69:18:5d).DSt:00:00:5e:OO:O4:0ber:1(reIaPIVeacknumber)FNdNrIefXnh:?Qbyr。*Flq:OxOlO(ACK)Iwnoowsizevalue:4200Calculatedwindowsize:16S00(windowsizescalingfactor:4tChecksun:OXaebvalidationdisabled9sqACKanalysisOOOO0000Se04Ob18f46a6918Sd0800
11、4SoO.ji.OOlO0028046b40004006837b6fOaS366dac9.(.kft.t.(o.Sf.002015bcda00503ddff55be451584e5010P-.(.qxnp.00301068aeD60000.h.图3TCP三次握手第三步接下来是TCP三次握手的第三步(如图3所示),即第64个包,节点A发送TCP包给节点B,其序列号是1,说明请求的下一个TCP包的序列号为1;确认号为1,说明是对第63个包确实认,而且其ACK位为1,即ACK包。至此,TCP协议的三次握手过程已经完成,节点A和B之间已经建立连接,可以进行数据传输。2各字段含义TCP报文段发送在前* IP首部TCP首部TCP数据部分IP数据郃分2.1传输层图4:TCP报文段的首部格式约 0 MeW 8 8tK SMt 父Mo TetemOnX IQOb ptt