wireshark抓包分析实验报告.docx

Wire shark 抓包分析试验假设惜年一、试验目的：1学习安装使用 wireshark 软件，能在电脑上抓包。2.对抓出包进展分析，分析得到的报文，并与学习到的学问相互印证。二、试验内容：使用抓包软件抓取 协议通信的网络数据和 DNS 通信的网络数据，分析对应的 、TCP、IP 协议和 DNS. UDP. IP 协议。三、试验正文：IP 报文分析：s Internet Protocol, Src: 119.75.222.18 (119.75.222.18), Dst: 192.168.1.108 (192.168.1.1 Version: 4Header length: 20 bytes® Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) Total Length: 40Identification: 0xd74b (55115)® Flags: 0x02 (Don”t Fragment) Frag me nt offset: 0Time to live: 48 Protocol: TCP (6)® Header checksum: 0x5cl2 correct Source: 119.75.222.18 (119.75.222.18)Destination; 19 乙 168.1.108 (192.168.1.108)® Transmission Control Protocol, Src Port: (80), Dst Port: 56670 (56670), Seq: 1, Ack:从图中可以看出：IP 报文版本号为：IFV4 首部长度为:20 bytes 数据包长度为：40 标识符：0xd74b 标志:0x02比特偏移：0 寿命：48上层协议：TCP 首部校验和:0x5cl2 源IP 地址为： 目的IP 为:UDP:0 User Datagram Protocol Src Port: child key-notif (1891), Dst Port: irdmi ( Source port: child key-notif (1891)Destination port: irdmi (8000) Length: 280 Checksum: 0x58d7 validation disabledData (20 bytes)Data: 64f53d0094cc7ce5f65e475037002ca792bdc44b Length; 20从图中可以看岀： 源端口号:1891U 的端口号：8000 udp 报文长度为:28 检验和：0x58d7 数据长度：20 bytesUDP 协议是一种无需建立连接的协议，它的报文格式很简洁。当主机中的DNS 应用程序想要惊醒一次查询时，它构造一个DNS 查询报文段并把它给UDP,不需 要UDP 之间握手，UDP 为报文加上首部字段，将报文段交给网络层。TCP:第一次握手:s Transmission Control Protocol, Src Port: 56770 (56770), Dst Port: (80)f Seq: 0, 源 端 号:56770(56770)目的端号: (80)Stream index: 17Sequence number: 0 Header length: 32 bytes(relative sequence number)Flags: 0x02 (SYN)000. = Reserved! Not set0 . 二 Nonce: Not set.0. = Congestion Window Reduced (CWR): Not set. 0. = ECN-Echo: Not set. 0. = Urgent: Not set. 0 = Acknovvledgement: Not set. 0=Push: Not set. 0=Reset: Not set a1.= Syn: Set. .0= Fin: Not setWindow size: 8192Checksum; 0xf734 validation disabledGood Checksum: False Bad Checksum: False r» c r I i 、从图中看出： 源端口号：56770 II 的端口号：80序列号为：0首部长为：32 bytesSYN 为 1 表示建立连接成功 当fin 为 1 时表示删除连接。其次次握手:源端口号: (8O)目的端口 号:56770(56770)Stream index: 17Sequenee number: 0 (relative sequenee number) Acknowledgement number: 1 (relative ack number)Header length: 24 bytes日酝s: 0x12 (SYNZ ACK)000 .=Reserved: Not set.0 .=Nonce: Not set.0=Congestion Window Reduced (CWR): Not set.0=ECN-Echo: Not set=Urge nt: Not set. 0.1. 00=Acknowledgement: Set=Push: Not set=Reset: Not set=Syn: Set.1.0 = Fin: Not set Window size: 146000 Checksum: 0x5781 validation disabled Good Checksum: False Bad Checksum: False从图中看出： 源端口号是：80LI 的端口号为：56770 序列号为：0 ack 为:1Acknowledgement 为 1 表示包含确认的报文Syn 为 1 表示建立连接。第三次握手:0 Transmission Control Protocol* Src Port: 56770 (56770)* Dst Port: (80), Seq: 1, Ack源端口号:56770(56770)目的端口号: (80) Stream index: 17Sequence number: 1 (relative sequence number)Acknowledgement number: 1 (relative ack number) Header length; 20 bytes Flags: 0x10 (ACK)000 . =Reserved: Not set.0 .=Nonce: Not set 00.=Congestion Window Reduced (CWR): Not set=ECN-Echo: Not set=Urge nt: Not set=Acknowledgement: Set=Push: Not set=Reset: Not set=Syn: Not set. 0 = Fin: Not setWindow size: 64240 Checksum: 0xf728 validation disabled从图中看出： 源端口： 56770目的端口： 80序列号为：1ACK 为：1首部长为：20bytesAcknowledgement 为 1 表示包含确认的报文 所以，看岀来这是TCP 连接成功了Tcp 是因特网运输层的面对连接的可幕的运输协议，在一个应用进程可以开 始向另一个应用进程发送数据前，这两个进程必需先握手，即它们必需相互发送 预备文段，建立确保传输的参数。发送报文:S GET / /l.lrnHost: vwv.baidu rn Connection: keep-alivernAccept: text/htmlzapplication/xhtml+xmlzapplicatbn/xml;q=0.9zrnage/webpz*/*;q=0.8rnUser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Geel Referer: s:/wvAv.baidu /lhk7urk8g4CZsXFGvv4ZyiP3z6IO2XIyRmgtObIvvMopZPOwJ- Accept-Encoding: gzip,deflate,sdchrnAccept-Language: zh-CN,zh;q=0.8rntruncated Cookie: BAIDUID=07F68A3D8A6E54DlE754230DA462EF2C:FG=l; BIDUPSID=OrnGET/ /：是恳求一个页面文件HOST：是恳求的主机名Connection：持续连接 Accept：收到的文件User-Agent :扫瞄器的类型Accept-encoding： gzip , deflate , sdeh 限制回应中可以承受的内容编码值, 指示附加内容的解码方式为gzip , deflate , sdeh。Accept-language :申请的语言种类是中文响应报文：|Hypertext Transfer Protocol E /1.1 200 OKrnServer: nginxrnDate: Monz 07 Dec 2015 14:23:27 GMTrn Content-Type: text/plain; charset=UTF-8rn® Content-Length: 118rn Connection: keep-aliverns Line-based text data: text/plainrntruncated 032p242272s22503724131325020736026420131402 / 200 OK:表示版恳求成功Server:表示报文是nginx 效劳器产生的Date：表示效劳器产生并发送报文的时间和日期Content type:表示文件类型是plain, charset 是字符集Content length：表示发送的字节数Connection：长久连接Dns:田 User Datagram Protocol, Src Port: domain (53), Dst Port: 52069 (52069) 0 Domain Name System (response)Request In: 227a Flags: 0x8180 (Standard query response No error)Time: 0.001348000 seconds Transaction ID: 0x22d0Questions: 1Answer RRs; 2Authority RRs: 7Additional RRs: 7日 Queries® ss2.baidu : type Af class IN日 Answers日 ss2.baidu : type CNAMEf class INr cname sslbaidu.jomodns Name: ss2baidu Type: CNAME (Canonical name for an alias) Class: IN (0x0001)Time to live: 5 minutes, 51 seconds Data length: 19Primary name: sslbaidu.jomodns 王 sslbaidu.jomodns : type A, class IN，addr 123.138.46.33m A i 卜 ce c,cirriDNS 使用的是UDP 协议Question 1 Answers RRs 2:发岀一个问题收到 2 个 RRS Queries：使用递归查询得到百度的地址Answers:得到了两个应答，每个应答包括： Name:主机查询域名Type :类别代码Class:地址Time to live：生存时间Date length：数据长度Primary name：首要域名效劳器四、试验总结：在试验中，我觉察 UDP 大局部被 DNS 协议使用，TCP 被 使用 o UDP 简洁发送便利, 但是不行靠，TCP 相对麻烦一些，但是牢靠，在不同的地方使用不同的协议，可以使我们的 沟通便利牢靠而又快捷。通过这次课程设计，也使我对课堂的学问有了更加深刻的理解，只 有自己动手操作了，才能更加直观的了解这些协议的不同。纸上学到的终究是不如自己动手 操作记得深刻，也不如这样的理解透彻，动手后有更加直观的生疏和理解。这样的课程设计 可以让我们学到很多东西，是格外有意义且好玩的课程设计。