网络抓包分析 移动互联第十组

TCP报文格式

 

1. 源端口号  16bit 标识源主机的一个应用进程端口。
2. 目的端口号  16bit 标识目的主机的一个应用进程端口。
3. 顺序号  32bit三次握手建立连接后传输的TCP报文序列号。2^32-1 后从 0 循环开始。当建立一个新的连接时， SYN 标志变 1 ，顺序号字段包含由这个主机选择的该连接的初始顺序号（即在三次握手时就告诉对方，我发送的分组按照这个序号开始编号）
4. 确认号  32bit 包含发送确认的一端所期望收到的下一个顺序号（即在三次握手后传输数据时，告诉对方，这个顺序号以前的我都已经正确收到，你从这个顺序号开始发送）。因此，确认序号应当是上次已成功收到数据字节顺序号加 1 。只有 ACK 标志为 1时确认序号字段才有效。
5. 首部长度  4bit 单位是字(32bit-4Bytes)，与IP数据报的首部含义同，即首部长度=0x5(0101)，代表首部有5x32bit=160bit(5x4bytes=20bytes)。首部长度大小取值范围5(20Bytes,常规值,不附加任何可选项)-15(60B)。当首部长度不是4字节的整数倍时，必须利用最后的填充字段加以填充。因此数据部分永远在4字节的整数倍开始。
6. 保留位  6bit 保留给将来使用，目前必须置为 0 。
7. 控制位  6bit 在 TCP 报头中有 6 个标志比特，它们中的多个可同时被设置为 1 。依次为：
   URG ：为 1 表示紧急指针有效，为 0 则忽略紧急指针值。
   ACK ：为 1 表示确认号有效，为 0 表示报文中不包含确认信息，忽略确认号字段。
   PSH ：为 1 表示带有 PUSH 标志的数据，指示接收方应该尽快将这个报文段交给应用层而不等待缓冲区装满。
   RST ：用于复位由于主机崩溃或其他原因而出现错误的连接。它还可以用于拒绝非法的报文段和拒绝连接请求。一般情况下，如果收到一个 RST 为 1的报文，那么一定发生了某些问题。
   SYN ：同步序号，为 1 表示连接请求，用于建立连接和使顺序号同步（ synchronize ）。
   FIN ：用于释放连接，为 1 表示发送方已经没有数据发送了，即关闭本方数据流。
8. 窗口大小  16bit TCP采用滑动窗口协议(自行查资料)，此子段标志窗口的大小。表示从确认号(确认已经正确接受的数据顺序号)开始，本报文的源方可以接收的字节数，即源方接收窗口大小。窗口大小是一个 16bit 字段，因而窗口大小最大为 65535
9. 校验和  16bit 此校验和是对首部+数据的校验和。此处与IP数据报不同。这是一个强制性的字段，一定是由发送端计算和存储，并由接收端进行验证。
10. 紧急指针  16bit 只有当 URG 标志置 1 时紧急指针才有效。紧急指针是一个正的偏移量，和顺序号字段中的值相加表示紧急数据最后一个字节的序号。 TCP 的紧急方式是发送端向另一端发送紧急数据的一种方式。
11. 选项+填充  不定长 最常见的可选字段是最长报文大小，又称为 MSS(Maximum Segment Size) 。每个连接方通常都在通信的第一个报文段（为建立连接而设置 SYN标志的那个段）中指明这个选项，它指明本端所能接收的最大长度的报文段。选项长度不一定是 32 位字的整数倍，所以要加填充位，使得报头长度成为整字数。
12. 数据  不定长 报文段中的数据部分是可选的(即有时可以没有数据，只有TCP首部)。在一个连接建立和一个连接终止时，双方交换的报文段仅有 TCP 首部。如果一方没有数据要发送，也使用没有任何数据的首部来确认收到的数据。在处理超时的许多情况中，也会发送不带任何数据的报文段。

对baidu.com进行网络抓包

过滤器设置后得到三次握手的记录

 

 

第一次握手:

客户端发送一个TCP的SYN标志位置1的包指明客户打算连接的服务器的端口，以及初始序号X,保存在包头的序列号(Sequence Number)字段里。

 

第二次握手:

服务器发回确认包(ACK)应答。即SYN标志位和ACK标志位均为1同时，将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即X+1。

 

第三次握手.

客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1

 

 

UDP报文格式

 

        UDP协议分为首部字段和数据字段，其中首部字段只占用8个字节，分别是个占用两个字节的源端口、目的端口、长度和检验和。

 

1.  源端口号  16bit 标识源主机的一个应用进程端口。
2. 目的端口号  16bit 标识目的主机的一个应用进程端口。
3. 总长度 16bit 首部长度+数据长度，单位是字节（TCP报文并没有总长度）
4. 校验和 16bit  检验UDP首部和数据部分的正确性

随机抓包为例

 

IP

IP的报文：

版本号为V4 头长度为 20 bytes。

服务类型

 

 

 

总长度为60，标识符为0x7307。

 

 

当DF=1时，表示不允许分片；MF=0时，表示后面没有分片

 

 

生存时间为49；192.168.199.206为源IP地址；119.75.217.26为目的IP地址

ICMP

 

 

 

ICMP的报文

 

 

类型为8，字段为0.

 

 

检验和字段

 

确认号。

 

 数据链路层的帧格式

 

目的地址为：26:f0:94:a5:92:64

源地址为：68:07:15:c5:dc:62

类型为：0x0800（即IPv4）