互联网方向第二组网络抓包作业

抓包网站： jwxt.gcu.edu.cn

 一、分析传输层（TCP）的报文格式

主机地址：172.31.40.62

目的地址：10.1.2.57

1）源端口（16位）共占2个字节，标识发送报文的计算机端口或进程。图中发送tcp包的进程端口为63453。

2）目的端口（16位）占2个字节： 接受tcp包的进程端口为80。

3）序列号（32位）占4个字节：序列号字段是用来标识TCP源端设备想目的设备发送的字节流，它表示在这个报文段中的第一个数据字节。图中的序列号是31 51 e0 1c。

4）确认号（32位）占4个字节：包含发送确认的一端的所期望接收的下一个序号。图中的确认号是：00 00 00 00。

数据偏移占4bit（位）：0x80 转化为2进制为 1000 0000 数据偏移为1000 为8；数据偏移的单位为4字节；数据偏移=4*8=32字节

保留字段 占6位：0x80 0x02；0x80的低4位和0x02的高2位；1000 0000 0000 0010绿色的字段表示的保留字段。

5）首部长度：TCP 报文段的数据起始处距离 TCP 报文段的起始处有多远，即首部长度。图中显示首部长度为32Bytes。由于 TCP 报头的长度随 TCP 选项字段内容的不同而变化，因此报头中包含一个指定报头字段的字段。

6）保留字段（6位)

第1位：URG（紧急）当 URG ＝1 时，表明紧急指针字段有效.它告诉系统此报文段中有紧急数据，应尽快传送 (相当于高优先级的数据 )。

第2位：ACK（确认）只有当 ACK＝1 时确认号字段才有效。当 ACK＝0 时，确认号无效。

第4位：RST（复位比） 当 RST ＝1 时，表明 TCP 连接中出现严重差错（如由于主机崩溃或其他原因），必须释放连接，然后再重新建立运输连接。

第5位：SYN（同步）同步比特 SYN 置为 1，就表示这是一个连接请求或连接接受报文。

第6位： FIN (终止) 用来释放一个连接。 当 FIN＝1 时,表明此报文段的发送端的数据已发送完毕，并要求释放运输连接。

7）窗口大小（16位）占2字节：用来让对方设置发送窗口的依据，单位为字节。图中的窗口为ff  ff。

8）校验和（16位）占2个字节：检验和字段检验的范围包括 首部 和数据 这两部分。

报文格式的校验和为 a5 92。

9）紧急指针（16位）占2个字节：仅在 URG = 1 时才有意义，它指出本报文段中的紧急数据的字节数（紧急数据结束后就是普通数据），即指出了紧急数据的末尾在报文中的位置，注意：即使窗口为零时也可发送紧急数据。图中报文格式的紧急指针位00 00。

二、分析传输层（UDP）的报文格式

1. 主机地址：172.31.40.99
2. 目的地址：10.1.2.57
3. 访问网址：http://jwxt.gcu.edu.cn

∵我们组选择的是教务系统

∴是抓不到UDP报文格式的

∵UDP是不对传送数据包进行可靠的保证，而教务系统上有着我们大量的信息

∴

（一）TCP协议的连接管理

1. TCP建立连接/三次握手

主机172.31.40.99的TCP向目的10.1.2.57发出连接请求报文段

                                                           SYN=1

                                                      Seq=0

(1)       目的10.1.2.57的TCP收到连接请求后

同意，发回确认。ACK=1。同时，目的10.1.2.57向主机172.31.40.99发起连接请求，SYN=1。

                                                 确认号ack=1，seq=0

主机172.31.40.99收到此报文段后向目的10.1.2.57给出确认

                                                   ACK=1，确认号ack=1

                      主机172.31.40.99的TCP通知上层应用进程，连接已经建立

2、连接通信

3、TCP终止连接/四次握手

（1）主机172.31.40.99的应用程序先向其TCP发出连接释放报文段，并停止再发送数据，主动关闭TCP连接

                                 FIN=1，其序号seq=2481，等待目的10.1.2.57确认

(2)       目的10.1.2.57发出确认，确认号ACK=1，ack=2482，seq=460

TCP服务器进程通知高层应用进程。从主机172.31.40.99到目的10.1.2.57这个方向的连接就释放了，TCP连接处于半关闭状态。目的10.1.2.57若发送数据，主机172.31.40.99仍要接收。

（3）若目的10.1.2.57已经没有要向主机172.31.40.99发送的数据，其应用进程就通知TCP释放连接。

FIN=1，seq=8476，ACK=1，ack=879，主机172.31.40.99收到连接释放报文段后，必须发出确认。

（4）   在确认报文段中ACK=1，确认号ack=8477，自己的序号seq=879

三、分析网络层协议的报文格式，IP、ICMP的报文格式

IP报文：

版本：IP协议的版本，此版本为4

 首部长度：IP报头的长度。固定部分的长度（20字节）和可变部分的长度之和。共占4位。最大为1111，即10进制的15，代表IP报头的最大长度可以为15个32bits（4字节），也就是最长可为15*4=60字节，除去固定部分的长度20字节，可变部分的长度最大为40字节。

总长度：IP报文的总长度。此报文长度为60

标识：唯一的标识主机发送的每一分数据报。通常每发送一个报文，它的值加一。当IP报文长度超过传输网络的MTU（最大传输单元）时必须分片，这个标识字段的值被复制到所有数据分片的标识字段中，使得这些分片在达到最终目的地时可以依照标识字段的内容重新组成原先的数据。

标志：共3位。R、DF、MF三位。目前只有后两位有效，DF位：为1表示不分片，为0表示分片。MF：为1表示“更多的片”，为0表示这是最后一片。

源IP地址：172.31.121.125

目的IP地址：10.1.2.57

ICMP 报文：

报文获取：

运行—cmd

在cmd命令提示符中输入：tracert jwxt.gcu.edu.cn

在wireshark中进行抓捕查看

四、数据链路层的帧格式：

主机地址：172.31.40.62

目的地址：10.1.2.57

1.源MAC地址：9c 5c 8e 11 4e 31

2.目的MAC地址：70 f9 6d 47 d9 00

3、TYPE（类型）：0x0800

互联网方向第二组网络抓包作业

原文：https://www.cnblogs.com/jay-/p/10013782.html