Ip地址合规性:把ip地址改为私网地址,我的学号是201710110040,则后三位为040 。
一、应用层
在筛选命令栏输入ip.src==192.168.43.40 and http筛选出ip原地址为192.168.43.40的数据包,同时筛选出应用层http协议下的数据包,如下图:
HTTP协议是运行在TCP协议之上的,该报文是实验主机向IP地址发出的HTTP请求。端口号为周知端口号80,主机上的源端口为52892,Next sequence number为155。
Accept:收到的文件
Connection:连接关闭
Host:请求的主机名
User-Agent:浏览器类型
二、传输层
1、TCP三次握手
第一次握手:服务器发送一个TCP,标志位SYN,序号为0,表示客户端请求建立连接
第二次握手:服务器发回确认,标志位SYN,ACK将确认序号加1
第三次握手:再次发送确认包
2、释放连接
第一次握手数据包:客户端给服务器发送TCP包,并停止再发送数据,主动关闭TCP连接。FIN=1发起一个关闭信息帧,seq=155,ack=480
第二次握手数据包:服务器发出确认,确认号ACK=1,ack=480+1=481,seq=156
第三次握手数据包:服务器通知TCP释放连接,FIN=1,ACK=1,seq=155,ack=480
第四次握手数据包:客户端确认之后,发回ACK=1,seq=155+1=156,ack=480+1=481
3、UDP报文分析
源端口5041字节,目的端口16614字节,数据包报长度102字节,校验和0x6d30字节
三、网络层
1、IP报文分析
Version:4 是指版本为IPv4。
Header Length:20bytes(5) 是指首部长度为20字节。
Total length:52 代表ip报文段总长度是52。
Identification:0x26b1(9905)表示标识符
1=Don’t fragment:Set 表示不能分片
Time to live:128 表示生存时间为128bits
Protocol:TCP(6) 表示上层的协议为TCP
Header checksum:0xd6a3[validation disabled] 表示首部校验和为0xd6a3
Source:192.168.43.40和Destination:13.107.4.52表示源地址是192.168.43.40,目的地址是13.107.4.52
2、ARP协议分析:广播请求,单播应答
请求:源mac地址f8:34:41:f1:90:05
源IP地址:192.168.43.40
目的mac地址:9c:2e:a1:01:a4:1d
目的IP地址:192.168.43.1
应答:源mac地址:f8:34:41:f1:90:05
源IP地址:192.168.43.40
目的mac地址:9c:2e:a1:01:a4:1d
目的IP地址:192.168.43.1
四、数据链路层
1、MAC帧格式
第一行表示602号帧,线路528字节,实际捕获528字节Frame Number:602 表示帧序号。
Packet Length:66 bytes 表示帧长度
Capture Length:66 bytes 表示捕获长度
[Frame is marked: False] 表示此帧是否做了标记:否
[Protocols in frame: eth:ip:tcp] 表示帧内封装的协议层次结构
2、mac地址分析
表示是IPv4版本(十六进制0x0800)
五、总结
本次抓包实验让我收获良多,这不仅是课堂所学知识的一次实践,而且通过上网学习拓展了Ip相关的知识。通过本次实验,首先我了解并熟悉了Wireshark的使用方法,并且初步掌握了抓包分析,从中更加理解ARP协议、HTTP协议、UDP协议以及TCP协议工作过程。每次都是书到用时方恨少,希望能多多拓展自己的知识面,学习更多相关知识,补充自己。
遇到的问题:
1、进行实验前对网络抓包分析一头雾水,通过网上查阅资料对抓包有了大概的认识。
2、修改ip地址后就连不上网或者打开抓包软件也捕获不到数据,通过阅读资料和自己的摸索,发现连手机热点可以修改ip地址不影响网络。
3、进行实验时每次寻找相关的协议报文都很乱,经过百度学会了几种有用的筛选指令:
ip.addr == 192.168.1.11//得到ip地址为192.168.1.11的所有报文
ip.src == 192.168.1.11//得到源ip地址为192.168.1.11的所有报文
ip.dst == 192.168.1.11 //得到目的ip地址为192.168.1.11的所有报文