一．配置自己的源地址

打開電腦“控制面板”，點擊“網(wǎng)絡(luò)和共享中心” ，點擊“以太網(wǎng)”，點擊“屬性”，選擇“Internet協(xié)議版本4”，點擊“屬性”后進行如下操作。

二.網(wǎng)絡(luò)地址規(guī)劃表

源地址	目的地址	備注
172.31.148.227	183.232.231.172	Cmd
172.31.148.227	106.11.223.70	Cmd

?

?

三．應(yīng)用層分析

訪問百度：www.baidu.com

訪問優(yōu)酷：www.youku.com

在過濾器是填寫“http”進行過濾，在捕獲的眾多數(shù)據(jù)中選擇一個報文。

四．傳輸層（TCP三次握手,TCP終止連接及UDP分析）

1.TCP三次握手

在追蹤到的TCP流中，可以看到在HTTP之前有三次TCP數(shù)據(jù)交互，分別是

第1次：本機->百度服務(wù)器

第2次：百度服務(wù)器->本機

第3次：本機->百度服務(wù)器

第一次握手（SYN）

(1)源IP:本機IP ；目的IP：百度服務(wù)器IP;表示本機發(fā)往百度服務(wù)器的TCP報文段。

(2)源端口56099，目的端口為443

(3)Syn=1，Seq=0，Ack=0

本機通過發(fā)送一個TCP報文段向服務(wù)器發(fā)起連接請求，該報文段被稱為SYN報文段， 不包含應(yīng)用數(shù)據(jù)，Syn的值被置為1，后面可以看到在連接未建立成功時，Syn的值都為1，連接建立成功之后，Syn為0，它表示本機和服務(wù)器都已經(jīng)連接成功，可以進行數(shù)據(jù)傳輸。

第二次握手 （SYNACK）
(1)源IP：百度服務(wù)器IP；目的IP：本機IP；表示服務(wù)器返回給本機的應(yīng)答TCP報文段。

(2)源端口443，目的端口為56099。

(3)Syn=1，Ack=1，Seq=0。

該報文段被稱為SYNACK報文段，這是服務(wù)器對本機發(fā)送的SYN報文段進行確認（ACK）,示意本機連接被允許。該報文段也不包含應(yīng)用數(shù)據(jù)。

SYN被置為1，因為連接還未建立成功。Ack的值為本機的初始Seq加1，于是Ack=1;

服務(wù)器端的初始序列號Seq=0。

第三次握手（ACK）

(1)源IP：本機IP;目的IP：百度服務(wù)器IP;表示本機發(fā)往服務(wù)器的確認TCP報文段。

(2)源端口56099，目的端口為433。

(3)Syn=0，Ack=1，Seq=0 。

該報文段被稱為ACK報文段，是本機對服務(wù)器的應(yīng)答進行確認（ACK），服務(wù)器成功收到ACK報文段之后，連接就建立成功了。此時Syn的值被置為0；Ack的值為服務(wù)器的初始Seq加1。

?

2.TCP四次握手終止連接

（1）本機釋放報文，關(guān)閉TCP連接。發(fā)出FIN=1，等待服務(wù)器確認。

（2）服務(wù)器響應(yīng)發(fā)出確認還ACK=1.從本機到服務(wù)器這一方向的連接釋放。TCP處于半關(guān)閉狀態(tài)。

（3）FIN=1,ACK=1，本機收到報文段后，給出確定。

（4）本機在接收確定ACK=1后，完成TCP四次握手終止連接。

3.UDP分析

UDP首部8個字節(jié)，由上圖藍色選中部分可以很清晰的看到；由上圖標記可看出，源端口號54915，目的端口號54915，UDP首部和數(shù)據(jù)長度為271，UDP校驗和為0x07bb。

五．網(wǎng)絡(luò)層分析（IP報文，ARP協(xié)議，ICMP協(xié)議）

1.IP報文分析：

如下圖所示：

IP報文第一段：4表示版本，頭長度為20bytes，0x00為區(qū)分服務(wù)，總長度52。

IP報文第二段：0x52a6為位標識，Flags為標志。片轉(zhuǎn)移為0，標識這是初始的ip片轉(zhuǎn)移。

2.ARP協(xié)議分析

如下圖所示

六．數(shù)據(jù)鏈路層（MAC地址分析）

1. MAC地址分析

MAC地址的作用是標識局域網(wǎng)內(nèi)一個幀從哪個接口到哪個物理相連的其他接口.因此,擁有多個網(wǎng)絡(luò)接口的主機或路由器將具有與之相關(guān)聯(lián)的多個鏈路層地址,就像他們也具有多個IP地址一樣.需要注意的是,鏈路層交換機沒有MAC地址.

MAC地址也被稱為LAN地址,物理地址.

MAC地址長度為6個字節(jié),,共有2^48個可能的MAC地址.

2. 以太網(wǎng)的MAC幀格式

七．個人總結(jié)

? ? ? ?通過這次wireshark抓包，我一開始對修改IP地址一頭霧水，但是通過上網(wǎng)查詢相關(guān)經(jīng)驗和舍友的幫助，我還是順利的將IP地址修改了。但是，這只是抓包的第一步，后面的傳輸層tcp的三次握手，四次釋放我又遇到了難題，我發(fā)現(xiàn)，我很難在幾百個已經(jīng)篩選過的tcp中找到合適的數(shù)據(jù)分析，tcp的分析成了我第二個抓包作業(yè)的坎兒，不過在查閱相關(guān)資料以后，我還是攻克了這一難題。后續(xù)的網(wǎng)絡(luò)層，鏈路層分析就得心應(yīng)手很多，不過遇到問題還是有可愛的同學(xué)幫助我，通過這次作業(yè)，我對課堂上所學(xué)到的有了很深刻的理解，感謝武老師給的這次機會，讓我有了很大的收獲。

轉(zhuǎn)載于:https://www.cnblogs.com/qqk2017/p/10917748.html

總結(jié)

以上是生活随笔為你收集整理的第7组-17级通信三班-227-抓包分析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。