精华内容
下载资源
问答
  • wireshark抓包分析IP数据报

    千次阅读 2020-06-23 15:26:21
    本文将会展示IP数据报格式,并利用wireshark抓包,然后加以分析 话不多说,直接上图 wireshark抓包分析 版本:占4位,Version 4(IPv4),指IP协议的版本 首部:占4位,可表示最大十进制数是15(1111),...

    本文将会展示IP数据报格式,并利用wireshark抓包,然后加以分析

    话不多说,直接上图

    wireshark抓包分析

    版本:占4位,Version 4(IPv4),指IP协议的版本

    首部:占4位,可表示最大十进制数是15(1111),所以首部长度最大为60字节

    区分服务:占8位,只有在使用区分服务时,这个字段才起作用

    总长度:占16位,总长度指首部和数据之和的长度,单位为字节,数据报的最大长度为2^16-1=65535字节

    标识:占16位,IP软件在存储器中维持一个计数器,每产生一个数据报,计数器就加1,并将此值赋给标识字段

    标志:占3位,但只有2位有意义

        标志字段中的最低位记为MF(More Fragment)。MF=1即表示后面“还有分片”的数据报。MF=0表示这已是若干数据报片中的最后一个。

        标志字段中间的一位记为DF(Don’t Fragment),意思是“不能分片”。只有当DF=0时才允许分片。

    片偏移:占13位,片偏移指出:较长的分组在分片后,某片在原分组中的相对位置。也就是说,相对用户数据字段的起点,该片从何处开始。片偏移以8个字节为偏移单位。这就是说,除了最后一个分片,每个分片的长度一定是8字节(64位)的整数倍。

    生存时间:占8位,TTL(Time To Live)是数据报在网络中的寿命,目的是防止无法交付的数据报无限制地在因特网中兜圈子,因而白白消耗网络资源,路由器在转发数据报之前就把TTL值减1,若TTL值减少到零,就丢弃这个数据报,不再转发

    协议:占8位,协议字段指出此数据报携带的数据是使用何种协议,以便使目的主机的IP层知道应将数据部分上交给哪个处理过程

    首部校验和:占16位,这个字段只检验数据报的首部,但不包括数据部分

    源地址:占32位

    目的地址:占32位


     

    展开全文
  • Wireshark 抓包

    2017-05-24 15:55:49
    Wireshark 这个错误的解决方案No Interfaces Available In Wireshark Mac OS XWireshark 版本:1.9输入以下的权限命令 :sudo chmod 644 /dev/bpf*抓包数据解析:http.request.method=="GET"...

    Wireshark 报这个错误的解决方案

    No Interfaces Available In Wireshark Mac OS X

    Wireshark 版本:1.9

    输入以下的权限命令

    sudo chmod 644 /dev/bpf*



    抓包数据解析:


    http.request.method=="GET"

    http.request.method=="POST"

    ip.addr == 10.3.10.130

    抓包截图例子:


    1. 选择网络来源,我这里用的是USB转以太网



    2. 选择抓包的格式(这里有get和post两种筛选方法)

    格式比较固定 http.request.method=="GET"

    http.request.method=="POST"




    展开全文
  • Wireshark抓包分析

    2021-03-01 08:42:15
    2.IP数据报 在这里选取重要的进行标记。 根据协议(06代表TCP协议),说明下面是TCP报文段 3.TCP报文段 针对那6位标识位,可以写成二进制的格式。从而能够知道每一位是什么。在这里0x002转换为二进制为0000 0000...

    1.以太网MAC帧

    在这里插入图片描述
    在这里为了方便说明,采用的是MAC层的Mac帧的格式,完整的物理层的以太网帧还有前同步码和帧开始定界符,在这里不做说明。
    在这里插入图片描述
    颜色与上述帧格式的相互对应,数据根据类型(08 00)可以确定是IPv4,即之后是一个IP数据包。

    2.IP数据报

    在这里插入图片描述
    在这里选取重要的进行标记。
    在这里插入图片描述
    根据协议(06代表TCP协议),说明下面是TCP报文段

    3.TCP报文段

    在这里插入图片描述

    在这里插入图片描述
    针对那6位标识位,可以写成二进制的格式。从而能够知道每一位是什么。在这里0x002转换为二进制为0000 0000 0010。可以看出SYN为1,其余都为0。

    展开全文
  • UDPUDP(用户数据包协议 User Datagram Protocol),UDP是一种无连接协议,UDP客户端与服务器不必存在长期的关系,例如一个UDP客户端创建一个套接字并发送一个数据报给一个服务器,然后立即用同一个套接字发送另一个...
    我们TCP/IP指的的TCP/IP协议族,现代网络通讯都是基于这个协议族建立起来的。

    UDP

    UDP(用户数据包协议 User Datagram Protocol),UDP是一种无连接协议,UDP客户端与服务器不必存在长期的关系,例如一个UDP客户端创建一个套接字并发送一个数据报给一个服务器,然后立即用同一个套接字发送另一个数据报给另外一个服务器。同样,一个UDP服务器可以用同一个UDP套接字从若干个不同的客户端一连串接受多个数据报。
          UPD不是可靠的,不能保证最终到达他们的目的地,不保证各个数据的先后顺序跨网络保持变,也不保证每个数据包可到达一次。9bd464fc39337fd3ea98ec728c8523f7.png

    TCP

    TCP(传输控制协议 Transmission Control Protocol)

    1. TCP是一种面向连接的协议,提供客户与服务器的连接。

    2. TCP提供可靠性,使用TCP向另外一端发送数据时,要求对方范返回一个确认,若没有收到确认,TCP自动重传数据并等待更长时间

    3. TCP通过给所发送数据的每一个字节关联一个序列号进行排序,UDP没有

    4. TCP提供流量控制,UDP没有,TCP总是告诉对方它能接收多少字节的数据

    5. TCP的连接是双工的

    c8ef9e936a933937533ecbf9eff4e640.png

    TCP与UDP的区别

    TCP与UDP的区别在于UDP不一定提供可靠的数据传输,但UDP在很多方面非常有效,如UDP具有对系统资源要求较少,具有较好的实时性,网络开销小的优点,当某个程序的目标是尽快传输尽可能多的信息时,可用UDP。

    TCP连接的建立和终止

    以下是一个基本TCP客户端与服务器的套接字接口函数42d1ad520c1d561df276584d99475d0b.png

          从服务器端说起,服务器先调用socket函数(返回一个套接字),将该套接字与地址,端口绑定(bind),调用accept阻塞,等待客户端来连接。
    这是某个客户端在调用socket返回socket后调用connect()连接服务器,如果连接成功,两端的连接就建立了,双方可以发送数据。
    最后关闭连接,一次交互就完成了。
          下面是TCP连接过程中一些名词

    字符缩写描述
    SYN同步序列,表示此报文是一个连接请求或连接接受报文
    ACK确认位,对接收到报文的确认
    FIN终止位表示发送完成的数据发送。用来释放一个连接。
    RST复位连接。要是TCP连接中出现严重错误
    PSH推送位,尽可能快地将数据送往接收进程

    TCP三次握手建立连接详解

    大致流程如下:

    1. 客户端向服务器发送一个SYN J;

    2. 服务器向客户端响应一个SYN K, 并对YSN J进行确认 ACK J+1;

    3. 客户端在向服务器发送一个确认ACK+1

    这样就完成了三次握手,下面是三次握手发生的函数a63dadc0bcc9b9c62d1d554ce945cbf0.png
        从图中可以看出,雾气必须准备好接受外来的连接。是通过socket的band和listen函数来完成,称为被动打开。
        不断通过调用connect进行主动打开。这引起的客户端向服务器发送SYN J(表示同步,它告诉服务器,客户将在连接中发送的数据的初始序列号),这时connect进入阻塞状态。
        服务器监听到连接请求,即收到了SYN J, 调用accept函数接受请求,并向客户端发送SYN K(他告诉客户端,服务器在连接中发送的数据的初始序列号),ACK+1,这是accept进入阻塞状态。
        客户端收到服务器的SYN K,ACK+1之后,这时connect返回,并对SYN K进行确认;服务器收到ACK+1后,accept返回,至此三次握手完毕,完成连接
        最后总结,客户端的connect在三次握手的第二次返回服务器的accept在三次握手的第三次返回

    使用wireshark来分析三次握手过程

        wireshark是专业抓包软件,很多网络问题都可以通过wireshark来分析处理,下面抓一个tcp握手的包。eb66a5341aca7ca719d1b2c1adddd031.png
        客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接,第一个包:c680b112b74d6ac2b17e2f688d7eb319.png
        服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1661d6e15bbd91493c60697b1a14dc717.png
        客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方,第3个包c941a54dc34a7353023e0048a0305176.png

    TCP四次挥手断开连接详解

        建立一个连接需要三次握手,而终止一个连接要经过4次挥手。这是由于TCP的**半关闭(hald-close)**所致,那么TCP是一个全双工的(两个方向上都可同时传递),因此两个方向必须单独关闭连接。
    TCP断开连接的四次挥手过程如下:

    0c9bab6a3e846212eff5e0fe8f40f6fc.png

    具体过程如下:

    1. 某个进程首先调用close,这一端为主动关闭,这段的TCP发动一个FIN包,表示数据已经发动完毕。

    2. 另一端收到FIN包后,执行被动关闭,对这个FIN进行确认。他的接收也作为文件结束符传给接收端应用程序,因为FIN接收意味着应用进程在相应的连接上再也收不到额外数据。

    3. 一段时间之后,接收到文件结束符的应用进程,调用close关闭他的套接字,这导致它的TCP也发送一个FIN。

    4. 接收到这个FIN的源发送端TCP对它进行确认

        这样每个方向上的都有一个FIN和ACK,需要四个包
       注意,一般说的是要4个包,但是特殊情况下不用四个包,主要有两种情况。

    1. 开始要发动FIN包的这端,它的FIN包随数据一起发送

    2. 被动关闭的那端,即上述的步骤2和步骤3发出的ACK和FIN可以合并成一个包发送

       上述图中是客户端主动执行关闭,其实不管是客户端还是服务器都可以执行关闭,只是通常是客户端执行,但某些协议HTTP则是服务器执行主动关闭的

    使用wireshark来分析四次挥手过程

        wireshark四次挥手的包a51ac9688927dc0d4aea0f6c84216cb5.png

        第一个包,发送一个FIN包,    seq = 1467 ack = 26756b635e079387129263004e6504140d4.png

    第2个包,ack = 1468(1467+1) seq=2679ae7186b72bc5a610a43f04de7e72ea3.png
    第3个包,ack=1468(1467+1) seq=2675da234e1881ebbe5e1218ea76d2f0be4.png
    第4个包,seq=1468(1467+1) ack=268(267+1)114472f67ee87bb28b8fa0fbb5e9355e.png

    展开全文
  • 前言关于这种抓包实验,也不好多说啥了,老师什么都不讲明白,就让学生咔咔就是怼,我想如果悟性不行的学生直接就会被out of the way了 = =思考这种东西,首先你要明白,wireshark就是一个很方便你看数据的软件,仅...
  • UDP(用户数据包协议 User Datagram Protocol),UDP是一种无连接协议,UDP客户端与服务器不必存在长期的关系,例如一个UDP客户端创建一个套接字并发送一个数据报给一个服务器,然后立即用同一个套接字发送另一个数据...
  • Wireshark分析IP协议 视频讲解 1.掌握Wireshark软件简单的过滤语法 2.掌握IP数据报的组成格式 3.掌握IP分片的计算方法 4.学会利用Wireshark抓包分析IP协议
  • 抓包概念大比较:数据报、数据包、分组 数据报、数据包和分组是常见的三个概念。他们是否一样?如果不一样,他们差别在哪里?下面依次说明这三个词。大学霸IT达人 1.数据报:当应用程序按照协议格式构建好要发送的...
  • IP 数据报首部分析

    2020-10-25 15:21:33
    今咱就抓个数据报具体看一看真实网络中的 IP 报首部. 操作方法很简单, 使用wireshark进行抓包. 抓包后随便找个包看一下就行, 毕竟所有通信的包都需要经过网络层.(同时,wireshark会对协议的相关信息给出标识, 更...
  • 首部检验和 首部检验和,只检验数据报的首部,不包括数据部分。 在发送方,先把IP数据报首部划分为许多16位字的序列,并把检验和字段置为0,用...Wireshark抓包,图中蓝色的为ip数据报首部信息。 45 00 00 3c 4:版本
  • 实验二.利用Wireshark分析IP协议

    千次阅读 2020-04-28 19:04:58
    学会利用Wireshark抓包分析IP协议 实验环境 Wireshark软件 Windows 计算机 实验预备知识 1.IP数据报的格式 固定部分:20字节 首部:20字节 总长度=首部+数据部分20+1480 网络层总长度<...
  • 今咱就抓个数据报具体看一看真实网络中的 IP 报首部.操作方法很简单, 使用wireshark进行抓包. 抓包后随便找个包看一下就行, 毕竟所有通信的包都需要经过网络层.(同时, wireshark会对协议的相关信息给出标识, 更方便...
  • 捕获本地网络Rawcap+Wireshark

    千次阅读 2016-11-10 15:44:12
    通常wireshark不能直接抓取本地的回环数据包,当然经过一些配置可以到达这个目的。本文通过工具软件RawCap相对方便地抓取本地网络包,然后使用...2.1)打开RawCap:输入 RawCap.exe+IP地址+抓包数据存储的filename.pcap
  • 自己动手写网络抓包工具

    千次阅读 2017-12-07 10:37:14
    所以这个工具只能抓取本地IP数据报,同时它还使用了BPF,目的是了解如何进行简单有效的网络抓包。当打开一个标准SOCKET套接口时,我们比较熟悉的协议往往是用AF_INET来建立基于TCP(SOCK_STREAM)或UDP(...
  • 应用程序发送的数据报都是流式的,IP不保证同一个一个应用数据包会被抓包后在同一个IP数据包中,因此对于使用自制dissector的时候需要考虑这种情况。 Lua Dissector相关资料可以见:...
  • 网络抓包工具

    2017-12-26 00:00:00
    看了太多的“自己动手”,这次咱也“自己动手”一下,写个简单的网络抓包工具吧。要写出像tcpdump和wireshark(ethereal)这样的大牛程序来,咱也没那...所以这个工具只能抓取本地IP数据报,同时它还使用了BPF,...
  • UDP_用户数据报协议

    2018-07-31 20:32:40
    3、UDP报文wireshark抓包分析 4、IP分片 5、IP分片举例 6、IP分片举例分析 7、ICMP不可达差错(需要分片) 8、UDP和ARP之间的交互作用 9、UDP和ARP之间的交互作用解释 10、最大UDP数据报长度 ...
  • 在项目(一)中,我们成功到了数据包并提取出了数据包中的基本信息,这次我们...IP数据报头部: TCP数据报: UDP数据报: 在我的代码中,引用了一些Linux系统的库的头文件,而没有自己重新写一份头文件,库文...
  • 抓包工具 wireshark 抓取一个UDP包 UDP数据包组成 Frame:帧信息 Ethernet:以太网信息,有源MAC与目的MAC Internet:因特网信息,有源IP与目的IP User Datapram Protocol:用户数据报协议,也就是...
  • 3.1 引言不可靠(unreliable): 不能保证数据报能准确到达目的地。 无连接(connectionless): 意思是IP并不维护任何关于后续数据报的状态信息。...3.2 IP首部通过wireshark抓包对比学习IP数据报格式:
  • 抓包软件来分析tcp 数据包

    万次阅读 2010-08-05 19:57:00
    TCP/IP 协议中各层的数据报结构是一个比较抽象的内容,大家在日常学习过程中往往难以理解和掌握,常常是死记硬背把它记住了事。本文首先利用Sniffer工具捕 获了FTP命令操作过程中的所有数据包,然后对Sniffer工具中...
  • IP首部

    千次阅读 多人点赞 2019-03-17 12:32:15
    IP数据报首部的格式。 首部最小20个字节,最大60个字节。最小时就是只有固定部分(每个单位32bit,也就是4个字节,共5行,就是20个字节),一个单位指的是一行。 wireshark抓包分析 版本 在数据传输时,发送方...
  • IP:网际协议

    2018-07-25 23:51:05
    2、wireshark抓包验证 3、各字段的说明解释: 目前的协议版本号是4 首部长度指的是首部占32bit字的数目,包括任何选项。由于它是一个4比特字段,因此首部最长为60个字节。普通IP数据报(没有任何选择项)字段的...

空空如也

空空如也

1 2 3
收藏数 46
精华内容 18
关键字:

wireshark抓包ip数据报