2022年WIRESHARK抓包分析TCP和UDP .pdf

1/8计算机网络Wireshark 抓包分析报告名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 8 页 - - - - - - - - - 2/8目录1. 使用 wireshark 获取完整的 UDP报文. 32. 使用 wireshark 抓取 TCP报文. 32.1 建立 TCP连接的三次握手 . 32.1.1TCP请求报文的抓取 . 42.1.2TCP连接允许报文的抓取 . 52.1.3 客户机确认连接报文的抓取. 62.2 使用 TCP连接传送数据 .62.3 关闭 TCP连接.73. 实验心得及总结 .8名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 8 页 - - - - - - - - - 3/81. 使用 wireshark 获取完整的UDP 报文打开 wireshark，设置监听网卡后，使用googlechrome 浏览器访问我腾讯微博的首页http:/ UDP报文如图 1所示。图 1 UDP报文分析以上的报文内容， UDP作为一种面向无连接服务的运输协议，其报文格式相当简单。 第一行中， Sourceport ：64318 是源端口号。第二行中， Destinationport：53 是目的端口号。第三行中， Length：34 表示 UDP报文段的长度为34字节。第四行中， Checksum之后的数表示检验和。这里0 x 表示计算机中 16 进制数的开始符，其后的 4f0e 表示 16 进制表示的检验和， 把它们换成二进制表示为：01001111 00001110.从 wireshark 的抓包数据看出，我抓到的UDP协议多数被应用层的DNS协议应用。当一台主机中的DNS应用程序想要进行一次查询时，它构成了一个DNS查询报文并将其交给UDP。UDP无须执行任何实体握手过程，主机端的UDP为此报文添加首部字段，并将其发出。2. 使用 wireshark 抓取 TCP报文2.1 建立 TCP连接的三次握手建立 TCP连接需要经历三次握手，以保证数据的可靠传输，同样访问我的腾讯微博主页，使用wireshark 抓取的 TCP报文，可以得到如图2 所示的客户机和服务器的三次握手的过程。图 2 建立 TCP连接的三次握手名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 8 页 - - - - - - - - - 4/82.1.1 TCP请求报文的抓取图 2 中所示的 TCP请求连接报文如图3 所示。图 3 TCP请求连接报文分析图 3 中的请求报文数据可以发现：第一行， sourceport 指示源端口号为51329第二行，destination port 指示目的端口号为80，这也正是 http 客户机进程向服务器发起 TCP连接的端口号。第三行， sequencenumber 指示报文的序号为0.第四行， header length 指示报文的长度为28 个字节。第五行表示标志字段，其中有保留未用区，紧急指针，push 指针等。标志字段中 SYN值为 1，表示该报文是一个客户机请求连接的报文。第六行， window size指示接受窗口的大小为8192 个字节。第七行， checksum指示校验和为 0 x8591，同样用 16 进制表示。第八行是可选字段。一般而言，TCP报文的可选字段为空，所以报头长度为20 个字节，这里多出了8 个字节，用来表示最大报文段长等内容。具体分析其名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 8 页 - - - - - - - - - 5/8中内容，kind 或者 type 表示 options 选项的种类。当 kind/type 为 1 时，表示 NOPno operation，即无操作。当 kind/type 为 2 时，表示 Maximum segment size ，最大报文段长。这里， MSS为 1460 个字节。当 kind/type 为 4 时，表示 SACKpermitted ， 它表示一旦连接建立， 发送的 TCP请求报文的客户机期待接收到服务器的 SACK 选项。整个可选字段的长度为8 个字节，其中 MSS占了 4 个字节，NOP占了 2 个字节， SACK permitted 占了 2 个字节。仔细分析报文，我们不难发现，TCP请求连接报文中没有ack确认号，同时报文中也没有包含应用层数据。2.1.2 TCP连接允许报文的抓取图 2 中所示的 TCP允许连接报文如图4 所示。分析图 4 中的报文信息如下：图 4 TCP连接允许报文前两行分别表示了源端口号和目的端口号为80和 51329.第三行， sequencenumber 指示服务器返回的报文的序号为0.第四行， acknowledgment number 指示服务器返回报文的确认号为1.第五行表示报文长度为28 字节。第六行为标志字段，与TCP请求连接报文的标志字段不同的是，这里的ack值为 1，表示服务器成功接收请求连接报文。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 8 页 - - - - - - - - - 6/8第七行至第第九行和TCP请求连接报文的意义相同，这里不再赘述。分析连接允许报文，发现，报文的最后出现了一个SEQ/ACK analysis字段。这回应了客户机的请求连接申请，并指示往返时延RTT为 0.005262 秒。2.1.3 客户机确认连接报文的抓取图 2 中所示的客户机确认连接报文如图5 所示。由于报文部分内容和上文的报文内容那个意义相同，这里不再赘述。分析图5 中的部分报文信息如下：图 5 客户机确认连接报文第五行， acknowledgment number 值为 1，表示客户机成功接收到服务器发来的连接允许响应报文。第六行表示报头的长度为20 个字节，这里不再有选项内容。最后，客户机发出的报文中同样有SEQ/ACK analysis字段。它说明了此次报文的意义是对服务器发来的报文的确认，并指示往返时延RTT为 0.00011 秒。仔细分析客户机的确认连接报文，可以发现，报文中没有数据内容。至此，建立 TCP连接的三次握手已经完成，客户机和服务器之间可以相互交换数据了。2.2 使用 TCP连接传送数据在三次连接建立完成过后， 客户机便可以利用建立好的TCP连接向服务器发送数据了。通过 wireshark 抓包发现，此次试验中，客户机在成功建立TCP连接后，马上向服务器发送了一个http 的 GET请求报文。抓包结果如图6 所示。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 8 页 - - - - - - - - - 7/8图 6 建立在 TCP连接上的 http 请求报文对图 6 中的部分报文内容分析如下：报文内容指示源端口号为51329，目的端口号为 80，序号为 1，期待接收的下一个序号为 1.同时发送报文使用了PUSH功能，表示接收方应立即将数据交给上层。在传输层之下， 客户机发送了一个 http 请求报文。具体内容意义，这里不再赘述。2.3 关闭 TCP连接关闭一个 TCP连接需要经历客户机和服务器间的四次通信。使用googlechrome 浏览器访问 http:/ ，并使用 wireshark 抓包，其中一个 TCP连接的关闭过程如图7 所示。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 8 页 - - - - - - - - - 8/8图 7 TCP连接的关闭分析图 7 中的 TCP报文，首先由客户机192.168.1.102向成都电信服务器221.236.31.234发送一个特殊的 TCP报文字段。该报文字段的首部中，FIN比特被置为 1，表示请求关闭与服务器间的连接。ACK=1表示对上一次连接的确认，期待服务器返回的下一字节的序号为1.然后，服务器在收到请求关闭连接的报文之后，向客户机发送一个确认报文。可以看到报文第一个字节的序号为1，ACK=2表示服务器期待接收的下一字节的序号为 2.接着，服务器向客户机发送终止报文段，其FIN比特被置为 1.ACK=2表示服务器期待接收的下一个字节的序号为2.最后，客户机向服务器的终止报文进行确认，返回的报文第一个字节的序号为 2.并设置定时器，在定时器超时后，关闭连接。可以看到，整个 TCP连接关闭过程，客户机和服务器之间的通信完全符合TCP报文传输的格式规范。3. 实验心得及总结在此次 wireshark抓包实验中，我更加深刻的理解了UDP和 TCP协议的报文格式，传输规范和功能作用。 UDP报文结构相当简单， 它可以使应用层更好地控制要发送的数据和发送时间， 而且无需建立连接。 报文的简单也降低了分组首部的开销。 TCP报文格式相对复杂，它需要建立连接。可以很有效的实现数据的可靠传输，连接管理、拥塞管理和流量控制等功能。在抓得的网络协议包中， 我发现 UDP协议大部分被 DNS协议使用， TCP协议大部分被 HTTP和 FTP协议使用。流水线机制无处不在。事实上，分析wireshark抓得的我访问一个网站的网络协议包，可以看到客户机几乎每次都向服务器发出许多TCP连接请求，由于网络时延，服务器也会在一个时间段内集中返回确认报文内容。由于访问一个网页要建立很多 TCP连接，所以在关闭连接时， 客户机也使用了流水线机制。 这更加充分的利用了计算机资源和网络资源，提高了响应速度。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 8 页 - - - - - - - - -