抓包分析.docx

《抓包分析.docx》由会员分享，可在线阅读，更多相关《抓包分析.docx（11页珍藏版）》请在第一文库网上搜索。

1、目录一、TCP抓包分析2ITCP三次握手过程21.1 TCP三次握手第一步:21.2 TCP三次握手第二步:21.3 TCP三次握手第三步:32各字段含义32.1 传输层42.2 ip 层52.3 数据链路层7二、DNS抓包分析81 协议数据包窗口82 协议树窗口93 UDP节点94 DNS请求报文105 DNS应答报文10三、心得体会Ht：OOOO o 0020 003000 8 ” OO(MOb 18 f3 6a 69 18 Sd 08 OO 45 00 00 34 04 Se 40 00 40 06 S3 7c 6f Oa Sl 66 da c90040 04 0215 b cd a 0

2、0 50 即Ti中 0020 00 9b Ol 00 00 0 M 05 M Ol00 00 00 80 02 03 03 02 Ol Ol一、TCP抓包分析1 TCP三次握手过程1.1 TCP三次握手第一步: MbfcANPfS9WC27ME4E2OAD0C59OA3F9B2F? , Gte Gift VWw Sfi CMKwt 4*a SaCWcS tepho% Iocb Mtemali M)HM日 *21曰 ,、, 出于0 已3区圆F tcp.tfrm g 10日 EXPrtMioC- CiMr Apply SaveNo. Time SourceDestinebonProD vSS-14

3、60 S-4 SC .,Pf RV-I 63 19.026561218. 201.21,176111.10.83.102TCP6680 52640SYN.ack) q-0 Ack-1 w1n-5840 LerwO RSS-UOO SACK.RM-1ws-S1264 19.026704111.10.83.102210.201.21.176TCPM5264O 80ACKSq-1 Ack-I win16a L-0 Frane 48: 66 bytes on wire (528 bfts). 66 bytes captured (S28 bits) Ethernet XX. Src: lS:f4:6a

4、:69:18:5yes). MaXlmIM segment size, wo-operat1on (nop), window scale, wo-operatlon (nop). N-oprat1on (nop), sack permitted *k ： 36 SVN Rev48k2 f 2*】：图1 TCP三次握手第一步根据网络包列表窗口（如图1所示）可以判断出，第48个包是一次会话的开始，源（本机）IP地址 为（后面称为节点A）,目的IP地址为（后面称为节点B）,协议为TCP。从包头详细信息窗口，可以看到 当前选中的网络包的序列号为0,标志位SYN被设置为1,即为节点A向节点B发起建立连接

5、请求的SYN 包。1.2 TCP三次握手第二步:.MiaOtOft D0*WF-gW6-7AEE-a6-5M3F9BC3e2 (Wi i8 (SvN v4M421s E*e Ede Sew Qo 3re Ar叫W asus Tdephc. 1O.63 IOZ 216. Z0】 2】.【7。m雨mmIEV*me64 19.026704 111.10.S3.102218.201.21.176Protocol Length InfoTCP66 5280 8Sm0 Win*B】9? ie0 XSS146O W$1 SMKJG时lTCP66 8。 52Zo f”、;发【1 SeW .iri55；0 IO

6、T VSSnE SACx-PEW 力TCP54 52640 0 (. DSt: l:f4:6a:69:18:5d (ie：f4:6a:69:18：5d) Xtrnt Protocol Vrson 4v Src: 218.201.21.176 (218.201.21.176). Dst: 111.10.83.102 (111.10.83.102)Stream rdex: 105quere unterT (relative sequence urber)IACknOwledorrr Wber :1 (relative ack ubeTHadr lenth: 32 bvt3calculated wi

7、ndow size: 5840 CzCkSU0: 0x67be validation disabled ootions: (12 lvtes). MaXffIUfl Seanent size. No-Ooeratlon (nop). No-0perat1 (nop). sack oeraftted. No-Operatlon (nop), window scale000018 f4 6a 6918Sd 00 00Se 00 04 Ob 08 00 45 00OOlO00 34 00 004000 3COG8b da c9 15 b 6f Oa2053 66 00 50cJa e4 5158 4

8、d 3 80 12003016 d 67 b60000 02 0405 78 Ol Ol 04 02 Ol 030040 03 09TCP三次握手第二步接下来，为TCP三次握手的第二步，如图2所示。源（本机）IP地址为，目的IP地址为。然后， 从包头详细信息子窗口可以看到序列号为：0；确认号为：1,即0+1,并且注意到SYN和ACK标志位均已 设置为1。说明该TCP包是对第一步中TCP包确实认，并同时请求同步，即ACK-SYN包。1.3 TCP三次握手第三步:BMwowDceNPFJ27968C2-7AEE-4e20-AD06-590A3F9W3e2) (W 二,hk ：36 SVN Rev

9、48142 from Azchl 却)改 EdIC yw g CaptureStxoxs *ppretfon. Cr Appfy StVeNo. Time SourceDestinMionProtocol length IMO48 18.793290111. 10.8B. 102218. 201.21.176TCP6652640 SOSYNSoq-O Win-8192 Ln-0 MSS-1460 WSi SACICPCRX-I63 19.026561218 201 21.176111. 10. 83.102丫566SO 52640ISVNICK SqO AR1 dn5840 FX MSS-14

10、00 5ACK-PERM-1U1S-512【64 19O267O4111.10.83.16?218. 201.21.】，6K5452640 60MkSZ 二 1 A(T MnT6600 Ien0 Frame 64： $4 bytes on tdre (432 bits). 54 bytes captured 432 bits)，Ethernet XX. src: 18:f4:6a:69:ie：5d (18：f4:6a:69:18:5d). DSt: 00:00:5e:OO:O4:0b er: 1 (reIaPIVe ack number) FNdNr IefXnh： ?Q byr。*Flq:

11、OxOlO (ACK) Iwnoow size value: 4200Calculated window size: 16S00(window size scaling factor: 4t Checksun: OXaeb validation disabled9 sqACK analysisOOOO 00 00 Se 04 Ob 18 f4 6a 69 18 Sd 08 00 4SoO . ji. .OOlO 00 28 04 6b 40 00 40 06 83 7b 6f Oa S3 66 da c9 . (.kft.t. . (o.Sf. 0020 15 b cd a 00 50 3d df f5 5b e4 51 58 4e 50 10P-.