移动通信方向第八组抓包

移动通信方向第八组抓包

访问网址：https://www.taobao.com/

访问网址IP地址: 58.30.206.141

本地IP地址：192.168.56.1

 

1.tcp报文格式

 

图中数据包为HTTP协议的封装包，则它的封装包信息有：

Frame832（序号）：物理层的数据帧帧信息

Ethernet Ⅱ ：数据链路层的以太网帧头部信息

Internet Protocol Version 4 ：网络层IP数据包信息

Transmission Control Protocol ：传输层TCP段头部信息

Hypertext Transfer Prontocol ：应用层HTTP信息，此处是HTTP协议

 

 

 

TCP 报文 =以太网头部（14字节）+IP 头部（20个字节）+TCP 头部（20字节）+TCP数据部分

源端口占2个字节    

目的端口占2个字节

 

序号字段占4个字节

 

 

确认号字段占4个字节

 

数据偏移占4bit（位）

保留字段 占6位

 

检验和占2个字节：检验和字段检验的范围包括 首部 和数据 这两部分。在计算检验和时，要在 TCP报

 

文段的前面加上 12 字节的伪首部。

 

 

 

紧急指针字段: 占 2个字节 ，紧急指针指出在本报文段中的紧急数据的最后一个字节的序号。

 

 

 

选项字段 : 长度可变。 TCP 首部可以有多达 40 字节的可选信息，用于把附加信息传递给终点，或

 

用来对齐其它选项 , 此报文选项字段占12个字节； 

 

 

 

填充字段 ： 这是为了使tcp整个首部长度是 4 字节的整数倍

 

2. 分析udp报文格式

 

 

 

3.tcp三次握手

 

主机192.168.56.1向主机119.29.29.29发起连接请求

主机119.29.29.29向主机192.168.56.1应答

主机192.168.56.1向119.29.29.29应答

 

第一次握手数据包

 

客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接。 如下图

 

 

 

第二次握手的数据包

服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图

第三次握手的数据包

客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:

就这样通过了TCP三次握手，建立了连接。

4.IP报文格式分析

版本：IP协议的版本，目前的IP协议版本号为4，下一代IP协议版本号为6。

首部长度：IP报头的长度。固定部分的长度（20字节）和可变部分的长度之和。共占4位。最大为1111，即10进制的15，代表IP报头的最大长度可以为15个32bits（4字节），也就是最长可为15*4=60字节，除去固定部分的长度20字节，可变部分的长度最大为40字节。

服务类型：Type Of Service。

总长度：IP报文的总长度。报头的长度和数据部分的长度之和。

标识：唯一的标识主机发送的每一分数据报。通常每发送一个报文，它的值加一。当IP报文长度超过传输网络的MTU（最大传输单元）时必须分片，这个标识字段的值被复制到所有数据分片的标识字段中，使得这些分片在达到最终目的地时可以依照标识字段的内容重新组成原先的数据。

标志：共3位。R、DF、MF三位。目前只有后两位有效，DF位：为1表示不分片，为0表示分片。MF：为1表示“更多的片”，为0表示这是最后一片。

片位移：本分片在原先数据报文中相对首位的偏移位。（需要再乘以8）

生存时间：IP报文所允许通过的路由器的最大数量。每经过一个路由器，TTL减1，当为0时，路由器将该数据报丢弃。TTL 字段是由发送端初始设置一个 8 bit字段.推荐的初始值由分配数字 RFC 指定，当前值为 64。发送 ICMP 回显应答时经常把 TTL 设为最大值 255。

协议：指出IP报文携带的数据使用的是那种协议，以便目的主机的IP层能知道要将数据报上交到哪个进程（不同的协议有专门不同的进程处理）。和端口号类似，此处采用协议号，TCP的协议号为6，UDP的协议号为17。ICMP的协议号为1，IGMP的协议号为2.

首部校验和：计算IP头部的校验和，检查IP报头的完整性。

源IP地址：标识IP数据报的源端设备。

目的IP地址：标识IP数据报的目的地址。

 

 

5.icmp报文格式

 

报文获取：

运行—cmd

在cmd命令提示符中输入：tracert  taobao.cn

不知道是网络问题还是电脑问题，获取不到。

 

 

 

 

 

各字段说明

• 类型：占一字节，标识ICMP报文的类型，目前已定义了14种，从类型值来看ICMP报文可以分为两大类。第一类是取值为1~127的差错报文，第2类是取值128以上的信息报文。
• 代码：占一字节，标识对应ICMP报文的代码。它与类型字段一起共同标识了ICMP报文的详细类型。
• 校验和：这是对包括ICMP报文数据部分在内的整个ICMP数据报的校验和，以检验报文在传输过程中是否出现了差错。其计算方法与在我们介绍IP报头中的校验和计算方法是一样的。
• 标识：占两字节，用于标识本ICMP进程，但仅适用于回显请求和应答ICMP报文，对于目标不可达ICMP报文和超时ICMP报文等，该字段的值为0。

 

 

6.数据链路层的帧格式

源mac地址

目的mac地址

type类型

   Destination是源mac地址：d8：cb：8a：f3：f9：06

      Source是目的mac地址：d4：ee：07：53：dd：7c

      Type：ip（0x0800）；使用的IP协议