wireshark抓包分析TCP与UDP.docxVIP

PAGE8 / NUMPAGES8 计 算 机 网 络 Wireshark抓包分析报告 目录  TOC \o 1-3 \h \z \u  HYPERLINK \l _Toc339470217 1. 使用wireshark获取完整的UDP报文  PAGEREF _Toc339470217 \h 3  HYPERLINK \l _Toc339470218 2. 使用wireshark抓取TCP报文  PAGEREF _Toc339470218 \h 3  HYPERLINK \l _Toc339470219 2.1 建立TCP连接的三次握手  PAGEREF _Toc339470219 \h 3  HYPERLINK \l _Toc339470220 2.1.1 TCP请求报文的抓取  PAGEREF _Toc339470220 \h 4  HYPERLINK \l _Toc339470221 2.1.2 TCP连接允许报文的抓取  PAGEREF _Toc339470221 \h 5  HYPERLINK \l _Toc339470222 2.1.3 客户机确认连接报文的抓取  PAGEREF _Toc339470222 \h 6  HYPERLINK \l _Toc339470223 2.2 使用TCP连接传送数据  PAGEREF _Toc339470223 \h 6  HYPERLINK \l _Toc339470224 2.3 关闭TCP连接  PAGEREF _Toc339470224 \h 7  HYPERLINK \l _Toc339470225 3. 实验心得及总结  PAGEREF _Toc339470225 \h 8  1. 使用wireshark获取完整的UDP报文 打开wireshark，设置监听网卡后，使用google chrome 浏览器访问我腾讯微博的首页/welcomeback.php?lv=1#!/list/qqfriends/5/?pgv_ref=im.perinfo.perinfo.icon?ptlang=2052pgv_ref=im.perinfo.perinfo.icon，抓得的UDP报文如图1所示。 图1 UDP报文 分析以上的报文内容，UDP作为一种面向无连接服务的运输协议，其报文格式相当简单。第一行中，Source port：64318是源端口号。第二行中，Destination port：53是目的端口号。第三行中，Length：34表示UDP报文段的长度为34字节。第四行中，Checksum之后的数表示检验和。这里0x表示计算机中16进制数的开始符，其后的4f0e表示16进制表示的检验和，把它们换成二进制表示为： 0100 1111 0000 1110. 从wireshark的抓包数据看出，我抓到的UDP协议多数被应用层的DNS协议应用。当一台主机中的DNS应用程序想要进行一次查询时，它构成了一个DNS查询报文并将其交给UDP。UDP无须执行任何实体握手过程，主机端的UDP为此报文添加首部字段，并将其发出。 2. 使用wireshark抓取TCP报文 2.1 建立TCP连接的三次握手 建立TCP连接需要经历三次握手，以保证数据的可靠传输，同样访问我的腾讯微博主页，使用wireshark抓取的TCP报文，可以得到如图2所示的客户机和服务器的三次握手的过程。 图2 建立TCP连接的三次握手 2.1.1 TCP请求报文的抓取 图2中所示的TCP请求连接报文如图3所示。 图3 TCP请求连接报文 分析图3中的请求报文数据可以发现： 第一行，source port指示源端口号为51329 第二行，destination port指示目的端口号为80，这也正是http客户机进程向服务器发起TCP连接的端口号。 第三行，sequence number指示报文的序号为0. 第四行， header length指示报文的长度为28个字节。 第五行表示标志字段，其中有保留未用区，紧急指针，push指针等。标志字段中SYN值为1，表示该报文是一个客户机请求连接的报文。 第六行，window size指示接受窗口的大小为8192个字节。 第七行，checksum指示校验和为0x8591，同样用16进制表示。 第八行是可选字段。一般而言，TCP报文的可选字段为空，所以报头长度为20个字节，这里多出了8个字节，用来表示最大报文段长等内容。具体分析其中内容，kind或者type表示options选项的种类。当kind/type为1时，表示NOP——no operation，