利用WireShark对抓取的数据包进行分析【100012544】

共66个文件

png：56个

md：5个

pdf：4个

版权申诉

WireShark

课程设计

178 浏览量 2023-05-31 14:14:06 上传评论收藏 9.5MB ZIP 举报

资源推荐

资源详情

资源评论

收起资源包目录

100012544-利用WireShark对抓取的数据包进行分析.zip （66个子文件）

datagram_analyse

Stage1

report.pdf 1.72MB

report.md 16KB

images

2021-10-17-11-25-50.png 172KB

2021-10-17-11-25-03.png 65KB

2021-10-17-11-15-41.png 56KB

2021-10-17-11-05-57.png 57KB

2021-10-17-11-08-52.png 64KB

2021-10-17-11-23-05.png 14KB

2021-10-17-10-59-23.png 37KB

2021-10-17-11-44-44.png 64KB

2021-10-17-11-04-44.png 54KB

2021-10-17-11-13-29.png 46KB

2021-10-17-11-45-29.png 64KB

2021-10-17-10-57-24.png 167KB

2021-10-17-11-46-12.png 65KB

2021-10-17-11-23-45.png 65KB

2021-10-17-11-11-23.png 40KB

2021-10-17-11-00-57.png 66KB

2021-10-17-12-24-01.png 62KB

2021-10-17-11-24-30.png 70KB

tcp.png 532KB

2021-10-17-11-32-38.png 20KB

2021-10-17-12-22-30.png 80KB

2021-10-17-11-34-41.png 63KB

LICENSE 1KB

READMEbefore.md 563B

Unit3

exercise.pdf 203KB

mindmap.png 1.69MB

vocabulary.pdf 279KB

Stage2

report.pdf 2.35MB

report.md 25KB

images

2021-10-17-11-25-50.png 172KB

lengthplot.png 33KB

2021-10-17-11-25-03.png 65KB

2021-10-17-11-15-41.png 56KB

length.png 31KB

2021-10-17-11-05-57.png 57KB

2021-10-17-11-08-52.png 64KB

2021-10-17-11-23-05.png 14KB

2021-10-17-10-59-23.png 37KB

2021-10-30-19-20-59.png 30KB

iograph.png 90KB

stream.png 46KB

2021-10-17-11-44-44.png 64KB

2021-10-17-11-04-44.png 54KB

2021-10-17-11-13-29.png 46KB

2021-10-17-11-45-29.png 64KB

2021-10-30-19-20-27.png 79KB

2021-10-17-10-57-24.png 167KB

2021-10-17-11-46-12.png 65KB

2021-10-30-16-01-26.png 185KB

2021-10-17-11-23-45.png 65KB

stevens.png 31KB

2021-10-17-11-11-23.png 40KB

2021-10-17-11-00-57.png 66KB

2021-10-17-12-24-01.png 62KB

2021-10-17-11-24-30.png 70KB

tcp.png 532KB

protocol.png 66KB

2021-10-17-11-32-38.png 20KB

2021-10-17-12-22-30.png 80KB

2021-10-17-11-34-41.png 63KB

2021-10-30-15-39-53.png 57KB

throughput.png 20KB

README2.md 18KB

README.md 18KB

# 项目三阶段一报告 > 姓名：蔡与望 > > 学号：2020010801024 --- - [项目三阶段一报告](#%E9%A1%B9%E7%9B%AE%E4%B8%89%E9%98%B6%E6%AE%B5%E4%B8%80%E6%8A%A5%E5%91%8A) - [一、层次化封装分析](#%E4%B8%80%E5%B1%82%E6%AC%A1%E5%8C%96%E5%B0%81%E8%A3%85%E5%88%86%E6%9E%90) - [1.1 TCP 报文](#11-tcp%E6%8A%A5%E6%96%87) - [1.1.1 Frame](#111-frame) - [1.1.2 Ethernet II](#112-ethernet-ii) - [1.1.3 IPv4](#113-ipv4) - [1.1.4 TCP](#114-tcp) - [1.1.5 TCP 报文总结](#115-tcp%E6%8A%A5%E6%96%87%E6%80%BB%E7%BB%93) - [1.2 DNS 报文](#12-dns%E6%8A%A5%E6%96%87) - [1.2.1 UDP](#121-udp) - [1.2.2 DNS](#122-dns) - [1.2.3 DNS 报文总结](#123-dns%E6%8A%A5%E6%96%87%E6%80%BB%E7%BB%93) - [1.3 HTTP](#13-http) - [1.3.1 HTTP](#131-http) - [1.3.2 HTTP 报文总结](#132-http%E6%8A%A5%E6%96%87%E6%80%BB%E7%BB%93) - [二、TCP 报文交互时序分析](#%E4%BA%8Ctcp%E6%8A%A5%E6%96%87%E4%BA%A4%E4%BA%92%E6%97%B6%E5%BA%8F%E5%88%86%E6%9E%90) - [2.1 建立连接-三次握手](#21-%E5%BB%BA%E7%AB%8B%E8%BF%9E%E6%8E%A5-%E4%B8%89%E6%AC%A1%E6%8F%A1%E6%89%8B) - [2.2 数据传输](#22-%E6%95%B0%E6%8D%AE%E4%BC%A0%E8%BE%93) - [2.3 断开连接-四次挥手](#23-%E6%96%AD%E5%BC%80%E8%BF%9E%E6%8E%A5-%E5%9B%9B%E6%AC%A1%E6%8C%A5%E6%89%8B) - [三、不同报文的协议与功能](#%E4%B8%89%E4%B8%8D%E5%90%8C%E6%8A%A5%E6%96%87%E7%9A%84%E5%8D%8F%E8%AE%AE%E4%B8%8E%E5%8A%9F%E8%83%BD) - [3.1 TCP 报文](#31-tcp%E6%8A%A5%E6%96%87) - [3.2 UDP 报文](#32-udp%E6%8A%A5%E6%96%87) - [3.3 DNS 报文](#33-dns%E6%8A%A5%E6%96%87) - [3.4 HTTP 报文](#34-http%E6%8A%A5%E6%96%87) - [3.5 ICMP 报文](#35-icmp%E6%8A%A5%E6%96%87) ## 一、层次化封装分析 ![](https://www.writebug.com/myres/static/uploads/2021/11/17/feba9a23e81ba068c13e88f58bb02075.writebug) 如图为 WireShark 抓包时的窗口界面。在该项目中，我选择对[必应](https://cn.bing.com)发起请求，并使用 WireShark 截获流量与分析。可以看到，请求的源地址大多都是 `192.168.31.232`，这就是本机的 IPv4 地址。通过命令行执行 `ping cn.bing.com`，我们可以得到该域名的 IP 地址：`202.89.233.101`。所以我们在过滤器中输入 `ip.dst==202.89.233.101 || ip.src==202.89.233.101`，来筛选出本机与必应通信的网络报文。为了挑选最为典型的三种报文，我们可以先进行事先的分析。首先，目前的网络协议体系大多采用 TCP/IP 协议体系，所以我们与必应通信时，最常见的应该是 **TCP 报文**；其次，我们在地址栏输入的是域名 `cn.bing.com` 而不是 IP 地址 `202.89.233.101`，所以必然会有 **DNS 报文**，将域名转换为 IP；最后，无论是客户端还是服务器，请求与响应都需要用到超文本(HTTP/HTTPS)，又因为 WireShark 只支持单独查看 **HTTP 报文**，所以 HTTP 也是我们关注的重点。因此，下面我们将对 TCP、DNS、HTTP 三种典型的报文进行细致的层次化封装分析。 ### 1.1 TCP 报文 ![](https://www.writebug.com/myres/static/uploads/2021/11/17/be62923c70e683bcd6e77dadba423d33.writebug) 上图是一个实际的 TCP 报文。可以看到，这个报文共分为 4 层： - `Frame`：**物理层**传输的数据帧的信息。 - `Ethernet II`：**数据链路层**协议头，采用以太网协议。 - `InternetProtocolVersion4`：**网络层**协议头，采用 IPv4 协议。 - `TransmissionControlProtocol`：**传输层**协议头，采用 TCP 协议。下面依次对这 4 层进行分析。 #### 1.1.1 Frame ![](https://www.writebug.com/myres/static/uploads/2021/11/17/c85ee43d751e3022650d7d4e7ece6500.writebug) | 信息 | 说明 | | :------------------------------------------------------------: | :----------------------------------------: | | Interface id: 0 | 接口号为 0 | | Encapsulation type: Ethernet (1) | 上层采用以太网协议 | | Arrival Time: Oct 17, 2021 10:54:08 | 捕获时间是 2021.10.17 的 10:54:08 | | [Time Shift for this packet: 0 seconds] | 这个包没有调相对时间 | | Epoch Time: 1634439248 seconds | 自 1970.1.1 经过了 1634439248 秒 | | [Time delta from previous captured frame: 0.029264000 seconds] | 该帧与上个捕获的帧相差了 0.028264000 秒 | | [Time delta from previous displayd frame: 0 seconds] | 该帧与上个展示的帧相差了 0 秒 | | [Time since reference or first frame: 3.847185 seconds] | 该帧与起始帧（默认第一帧）相差 3.847185 秒 | | Frame Number: 425 | 这是捕获到的第 425 帧 | | Frame Length: 66 bytes (528 bits) | 帧长度为 66 字节，528 位 | | Capture Length: 66 bytes (528 bits) | 捕获了 66 字节，528 位 | | [Frame is marked: False] | 该帧未被手动标记 | | [Frame is ignored: False] | 该帧未被手动忽略 | | [Protocols in frame: eth:ethertype:ip:tcp] | 帧内封装的网络协议体系：以太网 +IP+TCP | | [Coloring Rule Name: TCP SYN/FIN] | 着色方案：TCP 的 SYN/FIN | | [Coloring Rule String: tcp.flags & 0x02 \|\| tcp.flags.fin == 1] | 着色方案的字符串 | #### 1.1.2 Ethernet II ![](https://www.writebug.com/myres/static/uploads/2021/11/17/240ae395d1ce395d856f3de964cab910.writebug) | 信息 | 说明 | | :------------------------------: | :----------------------------------: | | Destination: `28:d1:27:0f:7a:ae` | 目的地 MAC 地址是 `28:d1:27:0f:7a:ae` | | Source: `80:30:49:15:ce:c5` | 源 MAC 地址是 `80:30:49:15:ce:c5` | | LG bit: Globally unique address | MAC 第 7 位，设为 1 可以成为特殊设备 | | IG bit: Individual address | MAC 第 8 位，辨识是单播还是广播 | | Type: IPv4 (0x0800) | 上层采用 IPv4 协议 | #### 1.1.3 IPv4 ![](https://www.writebug.com/myres/static/uploads/2021/11/17/b594c90db72c8608f69b1ac62177da0a.writebug) | 信息 | 说明 | | :--------------------------------------: | :------------------------------: | | `0100....` = Version: 4 | 采用 IPv4 协议 | | `....0101` = Header Length: 20 bytes (5) | 协议头长度为 20 字节 | | Differentiated Services Field: `0x00` | 差分服务，用来保证通信服务质量 | | Total Length: 52 | 目前总长度为 52 字节 | | Identification: `0x0a9e` | 标志字段是 2718 | | Time to live: 128 | 最多通过 128 个路由器，否则丢弃 | | Protocol: TCP | 上层采用 TCP 协议 | | Header checksum: `0x5bd7` | 头部数据校验和为 23511 | | [Header checksum status: Unverified] | 不校验头部数据校验和 | | Source Address: 192.168.31.232 | 源 IP 地址为 `192.168.31.232` | | Destination Address: 202.89.233.101 | 目的地 IP 地址为 `202.89.233.101` | #### 1.1.4 TCP ![](https://www.writebug.com/myres/static/uploads/2021/11/17/8d033db3a84ecf3c8bd6185d0567d1cd.writebug) | 信息 |

评论收藏

内容反馈

版权申诉