2022年wireshark抓包分析 .pdf

《2022年wireshark抓包分析 .pdf》由会员分享，可在线阅读，更多相关《2022年wireshark抓包分析 .pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、TCP ：（TCP 是面向连接的通信协议，通过三次握手建立连接，通讯完成时要拆除连接，由于TCP是面向连接的所以只能用于点对点的通讯）源IP 地址：发送包的IP 地址；目的IP 地址：接收包的 IP 地址；源端口：源系统上的连接的端口；目的端口：目的系统上的连接的端口。TCP是因特网中的传输层协议，使用三次握手协议建立连接。当主动方发出SYN连接请求后，等待对方回答SYN ，ACK 。这种建立连接的方法可以防止产生错误的连接，TCP 使用的流量控制协议是可变大小的滑动窗口协议。第一次握手：建立连接时，客户端发送SYN 包 (SEQ=x) 到服务器，并进入SYN_SEND 状态， 等待服务器确认

2、。第二次握手：服务器收到SYN包，必须确认客户的SYN(ACK=x+1),同时自己也送一个SYN包(SEQ=y), 即 SYN+ACK 包，此时服务器进入SYN_RECV 状态。第三次握手：客户端收到服务器的SYN+ACK 包，向服务器发送确认包ACK(ACK=y+1), 此包发送完毕，客户端和服务器进入 Established状态，完成三次握手。第一行：帧Frame1指的是要发送的数据块；其中，捕获字节等于传输的字节数第二行：以太网，是数据链路层； 源 MAC 地址是：00:19:c6:00:06:3d,目的 MAC 地址是：00:1c:25:d4:91:9a；第三行： IPV4, 源 IP

3、 地址： 172.24.3.5;目的 IP 是： 172.24.7.26；第四行：协议类型：TCP ；源端口 bctp （8999） ，目的端口： 2376；序列号：每发送一个RTP数据包，序列号就加 1；ACK是 TCP数据包首部中的确认标志，对已接收到的TCP报文进行确认，其为1 表示确认号有效; 长度是1448 字节；第五行：数据总有1448 字节；其中，对应的TCP首部的数据信息：端口号：数据传输的16 位源端口号和16 位目的端口号（用于寻找发端和收端应用进程）；该数据包相对序列号是1（此序列号用来确定传送数据的正确位置，且序列号，用来侦测丢失的包） ；下一个数据包的序列号是1449

4、；Acknowledgement number 是 32 位确认序号，其等于1 表示数据包收到，确认其有效；收到的数据包的头字节长度是4 位 32 比特；Flags 含 6 个标志比特：URG 紧急指针（ urgentpointer）有效ACK确认序号有效。PSH接收方应该尽快将这个报文段交给应用层。RST重建连接。SYN同步序号用来发起一个连接。FIN 发端完成发送任务。window： （TCP的流量控制由连接的每一端通过声明的窗口大小来提供。窗口大小为字节数，起始于确认序号字段指明的值，这个值是接收端正期望接收的字节。窗口大小是一个16bit字段，因而窗口大名师资料总结 - - -精品资料

5、欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 5 页 - - - - - - - - - 小最大为 65535 字节），上面显示窗口大小为65531 字节。Checksum ：16 位校验和，检验和覆盖了整个的TCP报文段，由发端计算和存储，并由收端进行验证。时间标志（ timestamp ）类型： 8；长度： 10；用于帮助计算双向时间 (RTT) 传输的数据包；TSval 值字段： 78969467；TSecr 回显应答字段：用于回显接收到的TSval 值字段，该报文中是19365；rtt即等于现

6、在的时间tcp_time_stamp减去 Timestamp Echo Reply。TCP报文段中的数据（该部分是可选的），长度是 1448 字节。RTP ：显示该帧 Frame11120：上线字节数：1514bytes ，捕获字节数： 1514bytes ；Arrival Time: 到达时间： 5 月 9 日,2012 21:27:33.884680000 Epoch Time : 信息出现时间： 1336570053.884680000 秒Time delta from previous captured frame : 0.000598000 seconds 与之前捕获的数据帧时间差：

7、0.000598000 秒Time delta from previous displayed frame : 0.000000000 seconds 与之前的帧显示时间差：0 秒；Time since reference or first frame:40.724390000 seconds 距参考帧或第一帧的时间差：40.724390000 秒；Frame Number:11120 帧编号： 11120 Frame Length: 1514 bytes (12112 bits) 帧长度： 1514 字节；Capture Length: 1514 bytes (12112 bits) 捕获到

8、的长度： 1514 字节；Frame is marked :False 帧标记：无；Frame is ignored :False 帧被忽略：无；Protocols in frame : eth:ip:tcp:rtp:mp2t 协议帧： eth （以太网）、IP、tcp 、rtp 、mp2t；Coloring Rule Name :TCP 色彩规则名称： TCP Coloring Rule string: tcp 色彩规则字符串：TCP 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第

9、 2 页，共 5 页 - - - - - - - - - 以太网 II ，源 MAC 地址： 00:19:c6:00:06:3d；目的 MAC 地址： 00:1c:25:d4:91:9a;类型是 IP 数据包；. 0 . . . .=IG bit:Individule address (unicast)IG位：个人地址（单播）. 0. . . . .=LG bit:Globally unique address (factory default)LG位：全局唯一地址（默认出厂设置）IPV4，源 IP 地址： 172.24.3.5;目的 IP 地址： 172.24.7.26；Header 头部数

10、据长度： 20 字节；Differentiated Services Field :0 x00 (DSCP 0 x00:Default;ECN: 0 x00: Not-ECT (Not ECN-Capable Transport) 区分的服务领域：0 x00（默认的是 DSCP ：0 x00； ）（dont Fragment ）不支持分组；分组偏移量是0；TTL：生存时间127；TTL 通常表示包在被丢弃前最多能经过的路由器个数。当数据包传送到一个路由器之后， TTL 就自动减1，如果减到0 了还是没有传送到目的主机，那么就自动丢失。端口号：数据传输的16 位源端口号和16 位目的端口号（用于

11、寻找发端和收端应用进程）；该数据包相对序列号是1012（此序列号用来确定传送数据的正确位置，且序列号，用来侦测丢失的包）；下一个数据包的序列号是2460；Acknowledgement number 是 32 位确认序号，表示数据包收到，确认其有效；收到的数据包的头字节长度是 4 位 32 比特；Flags 含 6 个标志比特：URG 紧急指针（ urgentpointer）有效； ACK确认序号有效；PSH接收方应该尽快将这个报文段交给应用层； RST重建连接； SYN同步序号用来发起一个连接；FIN 发端完成发送任务，关闭连接。源主机在收到确认消息之前可以传输的数据的大小称为窗口大小。用于

12、管理丢失数据和流量控制。window： （TCP的流量控制由连接的每一端通过声明的窗口大小来提供。窗口大小为字节数，起始于确认序号字段指明的值，这个值是接收端正期望接收的字节。窗口大小是一个16bit字段，因而窗口大小最大为 65535 字节），上面显示窗口大小为65531 字节。Checksum ：16 位校验和，检验和覆盖了整个的TCP报文段，由发端计算和存储，并由收端进行验证。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 5 页 - - - - - - - - -

13、 Options 可选项：空，无操作；时间标志（ timestamp ）类型： 8；长度： 10；用于帮助计算双向时间 (RTT) 传输的数据包；TSval 值字段： 78969467；TSecr 回显应答字段：用于回显接收到的TSval 值字段，该报文中是19365；rtt即等于现在的时间tcp_time_stamp减去 Timestamp Echo Reply。RTP头部：版本（ version ） ：2 位，标识 RTP版本是 RFC1889Version 填充 (Padding) ：1 比特 Padding ：False ，表示不设置；扩展 (X) ：1 比特 Extension：Fa

14、lse ，表示不设置；CSRC 计数(CC)：4 比特 CSRC计数包含了跟在固定头后面CSRC 识别符的数目。负载类型 (Payload type)：7 比特 此域定义了负载的格式：MPEG-II 传输数据流；序列号（ sequence number ） ：16 比特 每发送一个RTP数据包，序列号加1，接收端可以据此检测丢包和重建包序列。序列号的初始值是随机的( 不可预测 )，以使即便在源本身不加密时( 有时包要通过翻译器，它会这样做) ，对加密算法泛知的普通文本攻击也会更加困难。时间戳（ timestamp ） 32 比特时间戳反映了RTP数据包中第一个字节的采样时间。时钟频率依赖于负载

15、数据格式，并在描述文件（profile）中进行描述。也可以通过RTP方法对负载格式动态描述。同步源标识符（SSRC ，Synchronization Source Identifier） ：32 位， SSRC 段标识同步源。此标识不是随机选择的，目的在于使同一RTP包连接中设有两个同步源有相同的SSRC 标识。尽管多个源选择同一个标识的概率很低，所有 RTP实现都必须探测并解决冲突。如源改变源传输地址，也必须选择一个新 SSRC 标识以避免插入成环行源。该RTP包的 SSRC 是 0 x301f0000 ；TS包包头：ISO/IEC 13818-1 ：系统部分；名师资料总结 - - -精品资

16、料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 5 页 - - - - - - - - - PID（Packet Identification） ：包识别标志； PID=0 x1e1；CC （CSRC 计数） ：4 比特 CSRC计数包含了跟在固定头后面CSRC 识别符的数目。Header 包含信息：（对 TS包有同步、识别、检错和加密功能）同步字节（ 1B） ：建立包同步；传输误码指示符（1bit ） ：0 表示不采用误码校正解码器；有效载荷单元起始指示符（1bit ） ：0 表示不存在确定的起始信

17、息；传输优先（ 1bit ） ：0 表示不给 TS包分配优先级；包识别（ 13bit ） ：区别 ES传来的包， PID=0 x1e1；传输加扰控制（2bit ） ：Not scrambled表示数据包内容无加扰；自适应区控制（2bit ） ：01 表示有有用信息有自适应区；连续计数器（ 4bit ） ：对传送 PID 包顺序计数，当前是第4 个包。/Ping命令就是发送ICMP 的 echo 包，通过回送的echo relay进行网络测试。RTCP工作机制当应用程序开始一个rtp会话时将使用两个端口：一个给rtp ，一个给 rtcp 。rtp 本身并不能为按顺序传送数据包提供可靠的传送机制，

18、也不提供流量控制或拥塞控制，它依靠 rtcp提供这些服务。 在 rtp 的会话之间周期的发放一些rtcp包以用来传监听服务质量和交换会话用户信息等功能。rtcp 包中含有已发送的数据包的数量、丢失的数据包的数量等统计资料。因此，服务器可以利用这些信息动态地改变传输速率，甚至改变有效载荷类型。 rtp和 rtcp配合使用，它们能以有效的反馈和最小的开销使传输效率最佳化，因而特别适合传送网上的实时数据。根据用户间的数据传输反馈信息，可以制定流量控制的策略，而会话用户信息的交互，可以制定会话控制的策略。RTCP数据报在 RTCP通信控制中， RTCP 协议的功能是通过不同的RTCP数据报来实现的，主

19、要有如下几种类型：SR:发送端报告，所谓发送端是指发出RTP数据报的应用程序或者终端，发送端同时也可以是接收端。RR:接收端报告，所谓接收端是指仅接收但不发送RTP数据报的应用程序或者终端。SDES:源描述，主要功能是作为会话成员有关标识信息的载体，如用户名、邮件地址、电话号码等，此外还具有向会话成员传达会话控制信息的功能。BYE:通知离开，主要功能是指示某一个或者几个源不再有效，即通知会话中的其他成员自己将退出会话。APP:由应用程序自己定义，解决了RTCP的扩展性问题，并且为协议的实现者提供了很大的灵活性。Test 完名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 5 页 - - - - - - - - -