comic的协议分析实例

1、信安科创第一次作业的协议分析实例1、确认与建立连接1.1通过命令提示符ping得到的IP地址。图1 Ping命令图登入，并开启Wireshark抓包。1.2使用tracert命令进行跟踪，确定IP数据包访问目标所采取的路径。图2 tracert命令图由于数据请求响应使用校园网络，从上图可以看出，到达有6个路由，同时也可以用Wireshark进行分析。图3 Wireshark抓获ICMP包结果图ICMP是Internet控制报文协议，也是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。由以上抓包图可知，本

2、地主机发送了三个icmp请求回显数据包，中途经过相应的路由器，最终到达目的端，目的主机也发送相应的icmp回显报文。1.3 使用nslookup命令查询的IP地址。图4 nslookup命令结果查看Wireshark，在Edit中Find Package功能帮助下查找DNS包：图5 Wireshark抓获DNS包结果可以看到DNS请求和回复的过程：（1）主机（69）向本地配置的交大DNS服务器（01）请求PTR记录，也就是01对应的域名。图6 第一个DNS请求包内容（2）01回复应答包，返回PTR结果。图7

3、交大DNS服务器响应PTR结果（3）主机（69）向查询的IP地址。图8 主机查询的IP地址（4）返回的A记录图9 交大DNS返回的A记录之后两个DNS包分别为主机（69）查询的IPV6地址以及交大DNS服务器对其的响应。2、三次握手抓取分析在Wireshark中，设置Capture>Options，修改过滤器为tcp，再进行抓包。图10 Wireshark三次握手抓取图三次握手的过程是上图的前三行。客户端发送一个包，置SYN位；服务器响应置SYN和ACK位；接着客户端再发送一个响应，置ACK位。至此，TCP连接便成功建立了。此时在TCP之上有HTT

4、P请求，客户端“GET/HTTP/1.1”，服务器收到数据包发ACK确认。3、Wireshark对互联网数据的分析Wireshark的抓包结果整个窗口被分成三部分：数据包列表、协议树和以十六进制形式表示的数据包内容。最上面为数据包列表，用来显示截获的每个数据包的基本信息，如下图：图11 访问抓包结果图上图的数据包列表中，第一列是编号，第二列是抓取时间，第三列Source是源地址，第四列Destination是目的地址，第五列Protocol是这个包使用的协议，第六列Length是报文长度，第七列Info是一些其它的信息。Wireshark抓包结果整个窗口的中间为协议树，用来显示选定的数据包所属

5、的协议信息，并且按照TCP/IP四层结构显示。第一行是数据链路层的信息，第二行是网络层信息（IP协议），第三行是传输层信息（TCP协议），第四行是应用层信息（HTTP协议），可以展开每一行来查看具体内容。通过协议树可以得到被截获的数据包的更多信息，如主机的MAC地址(Ethernet II)、IP地址、TCP端口号，以及HTTP协议的具体内容。通过扩展协议树中的相应节点，可以得到该数据包中携带的更详尽的信息。最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。这是被截获的数据包在物理媒体上传输时的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中

6、，这样就可以很方便地对各种协议的数据包进行分析。3.1 以Http请求报文为例进行分析对图10 Wireshark三次握手抓取图第四行Http请求报文进行分析。应用层：这条请求报文使用GET方法，即要求服务器将URL定位的资源放在响应报文的数据部分，再回送给客户端。协议是HTTP/1.1版本。Accept指示可被接受的请求回应的介质类型范围。这里显示的信息如image/gif，image/jpeg等等。Accept-Language限制请求回应中的首选语言为简体中文。Accept-Encoding限制了回应中可接受的内容编码值，说明附加内容编码方式为gzip，deflate。User-Agen

7、t定义用户代理，这里就是浏览器信息，为Mozilla/4.0。Host定义目标所在的主机，这里是。图12应用层信息（HTTP协议）图传输层：可以查询源端口：54444，目的端口，用来检查TCP首部长度为16位的端口号，这里为80端口，即为http协议开放。图13 传输层信息（TCP协议）图网络层：可以查询源地址：69和目的地址：78。图14 网络层信息（IP协议）图链路层：可以得到Ethernet II帧的源地址和目的地址。图15 链路层信息图要获取更加详细信息可以点击该封包，选择“Follow TCP Stearm”：4、四次挥手抓取分析图16 TCP四次挥手抓取图根据图16，我们可以得出四次挥手的全过程:（1）TCP客户端发送一个FIN，用来关闭客户到服务器的数据传送（第一行报文）。Seq=1369，Ack=69913。（2）服务器收到这个FIN，它发回一个ACK，确认序号为收到的序号加1（第二行报文）。Seq=69913，Ack=1370。（3）服务器关闭客户端的连接，发送一个FIN给客户端（第三行报文）。Seq=69913，Ack=1370。（4）客户段发回ACK报文确认，并将确认序号设置为收到序号加1。Ack=69914，Seq=1370。