-
wireshark抓包分析IP数据报
2020-06-23 15:26:21本文将会展示IP数据报格式,并利用wireshark抓包,然后加以分析 话不多说,直接上图 wireshark抓包分析 版本:占4位,Version 4(IPv4),指IP协议的版本 首部:占4位,可表示最大十进制数是15(1111),...本文将会展示IP数据报格式,并利用wireshark抓包,然后加以分析
话不多说,直接上图
wireshark抓包分析
版本:占4位,Version 4(IPv4),指IP协议的版本
首部:占4位,可表示最大十进制数是15(1111),所以首部长度最大为60字节
区分服务:占8位,只有在使用区分服务时,这个字段才起作用
总长度:占16位,总长度指首部和数据之和的长度,单位为字节,数据报的最大长度为2^16-1=65535字节
标识:占16位,IP软件在存储器中维持一个计数器,每产生一个数据报,计数器就加1,并将此值赋给标识字段
标志:占3位,但只有2位有意义
标志字段中的最低位记为MF(More Fragment)。MF=1即表示后面“还有分片”的数据报。MF=0表示这已是若干数据报片中的最后一个。
标志字段中间的一位记为DF(Don’t Fragment),意思是“不能分片”。只有当DF=0时才允许分片。
片偏移:占13位,片偏移指出:较长的分组在分片后,某片在原分组中的相对位置。也就是说,相对用户数据字段的起点,该片从何处开始。片偏移以8个字节为偏移单位。这就是说,除了最后一个分片,每个分片的长度一定是8字节(64位)的整数倍。
生存时间:占8位,TTL(Time To Live)是数据报在网络中的寿命,目的是防止无法交付的数据报无限制地在因特网中兜圈子,因而白白消耗网络资源,路由器在转发数据报之前就把TTL值减1,若TTL值减少到零,就丢弃这个数据报,不再转发
协议:占8位,协议字段指出此数据报携带的数据是使用何种协议,以便使目的主机的IP层知道应将数据部分上交给哪个处理过程
首部校验和:占16位,这个字段只检验数据报的首部,但不包括数据部分
源地址:占32位
目的地址:占32位
-
Wireshark 抓包
2017-05-24 15:55:49Wireshark 报这个错误的解决方案No Interfaces Available In Wireshark Mac OS XWireshark 版本:1.9输入以下的权限命令 :sudo chmod 644 /dev/bpf*抓包数据解析:http.request.method=="GET"...Wireshark 报这个错误的解决方案
No Interfaces Available In Wireshark Mac OS X
Wireshark 版本:1.9
输入以下的权限命令 :
sudo chmod 644 /dev/bpf*
抓包数据解析:
http.request.method=="GET"
http.request.method=="POST"
ip.addr == 10.3.10.130
抓包截图例子:
1. 选择网络来源,我这里用的是USB转以太网
2. 选择抓包的格式(这里有get和post两种筛选方法)
格式比较固定 http.request.method=="GET"
http.request.method=="POST"
-
Wireshark抓包分析
2021-03-01 08:42:152.IP数据报 在这里选取重要的进行标记。 根据协议(06代表TCP协议),说明下面是TCP报文段 3.TCP报文段 针对那6位标识位,可以写成二进制的格式。从而能够知道每一位是什么。在这里0x002转换为二进制为0000 0000... -
wireshark tcp抓包分析_一文真正了解TCP三次握手和四次挥手wireshark抓包分析
2020-11-23 18:32:30UDPUDP(用户数据包协议 User Datagram Protocol),UDP是一种无连接协议,UDP客户端与服务器不必存在长期的关系,例如一个UDP客户端创建一个套接字并发送一个数据报给一个服务器,然后立即用同一个套接字发送另一个...我们TCP/IP指的的TCP/IP协议族,现代网络通讯都是基于这个协议族建立起来的。UDP
UDP(用户数据包协议 User Datagram Protocol),UDP是一种无连接协议,UDP客户端与服务器不必存在长期的关系,例如一个UDP客户端创建一个套接字并发送一个数据报给一个服务器,然后立即用同一个套接字发送另一个数据报给另外一个服务器。同样,一个UDP服务器可以用同一个UDP套接字从若干个不同的客户端一连串接受多个数据报。
UPD不是可靠的,不能保证最终到达他们的目的地,不保证各个数据的先后顺序跨网络保持变,也不保证每个数据包可到达一次。TCP
TCP(传输控制协议 Transmission Control Protocol)
TCP是一种面向连接的协议,提供客户与服务器的连接。
TCP提供可靠性,使用TCP向另外一端发送数据时,要求对方范返回一个确认,若没有收到确认,TCP自动重传数据并等待更长时间
TCP通过给所发送数据的每一个字节关联一个序列号进行排序,UDP没有
TCP提供流量控制,UDP没有,TCP总是告诉对方它能接收多少字节的数据
TCP的连接是双工的
TCP与UDP的区别
TCP与UDP的区别在于UDP不一定提供可靠的数据传输,但UDP在很多方面非常有效,如UDP具有对系统资源要求较少,具有较好的实时性,网络开销小的优点,当某个程序的目标是尽快传输尽可能多的信息时,可用UDP。TCP连接的建立和终止
以下是一个基本TCP客户端与服务器的套接字接口函数从服务器端说起,服务器先调用socket函数(返回一个套接字),将该套接字与地址,端口绑定(bind),调用accept阻塞,等待客户端来连接。
这是某个客户端在调用socket返回socket后调用connect()连接服务器,如果连接成功,两端的连接就建立了,双方可以发送数据。
最后关闭连接,一次交互就完成了。
下面是TCP连接过程中一些名词字符缩写 描述 SYN 同步序列,表示此报文是一个连接请求或连接接受报文 ACK 确认位,对接收到报文的确认 FIN 终止位表示发送完成的数据发送。用来释放一个连接。 RST 复位连接。要是TCP连接中出现严重错误 PSH 推送位,尽可能快地将数据送往接收进程 TCP三次握手建立连接详解
大致流程如下:
客户端向服务器发送一个SYN J;
服务器向客户端响应一个SYN K, 并对YSN J进行确认 ACK J+1;
客户端在向服务器发送一个确认ACK+1
这样就完成了三次握手,下面是三次握手发生的函数
从图中可以看出,雾气必须准备好接受外来的连接。是通过socket的band和listen函数来完成,称为被动打开。
不断通过调用connect进行主动打开。这引起的客户端向服务器发送SYN J(表示同步,它告诉服务器,客户将在连接中发送的数据的初始序列号),这时connect进入阻塞状态。
服务器监听到连接请求,即收到了SYN J, 调用accept函数接受请求,并向客户端发送SYN K(他告诉客户端,服务器在连接中发送的数据的初始序列号),ACK+1,这是accept进入阻塞状态。
客户端收到服务器的SYN K,ACK+1之后,这时connect返回,并对SYN K进行确认;服务器收到ACK+1后,accept返回,至此三次握手完毕,完成连接
最后总结,客户端的connect在三次握手的第二次返回服务器的accept在三次握手的第三次返回。使用wireshark来分析三次握手过程
wireshark是专业抓包软件,很多网络问题都可以通过wireshark来分析处理,下面抓一个tcp握手的包。
客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接,第一个包:
服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1
客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方,第3个包TCP四次挥手断开连接详解
建立一个连接需要三次握手,而终止一个连接要经过4次挥手。这是由于TCP的**半关闭(hald-close)**所致,那么TCP是一个全双工的(两个方向上都可同时传递),因此两个方向必须单独关闭连接。
TCP断开连接的四次挥手过程如下:具体过程如下:
某个进程首先调用close,这一端为主动关闭,这段的TCP发动一个FIN包,表示数据已经发动完毕。
另一端收到FIN包后,执行被动关闭,对这个FIN进行确认。他的接收也作为文件结束符传给接收端应用程序,因为FIN接收意味着应用进程在相应的连接上再也收不到额外数据。
一段时间之后,接收到文件结束符的应用进程,调用close关闭他的套接字,这导致它的TCP也发送一个FIN。
接收到这个FIN的源发送端TCP对它进行确认
这样每个方向上的都有一个FIN和ACK,需要四个包
注意,一般说的是要4个包,但是特殊情况下不用四个包,主要有两种情况。开始要发动FIN包的这端,它的FIN包随数据一起发送
被动关闭的那端,即上述的步骤2和步骤3发出的ACK和FIN可以合并成一个包发送
上述图中是客户端主动执行关闭,其实不管是客户端还是服务器都可以执行关闭,只是通常是客户端执行,但某些协议HTTP则是服务器执行主动关闭的
使用wireshark来分析四次挥手过程
wireshark四次挥手的包
第一个包,发送一个FIN包, seq = 1467 ack = 267
第2个包,ack = 1468(1467+1) seq=267
第3个包,ack=1468(1467+1) seq=267
第4个包,seq=1468(1467+1) ack=268(267+1) -
【计算机网络】:关于wireshark抓包实验的思考
2015-11-24 17:10:15前言关于这种抓包实验,也不好多说啥了,老师什么都不讲明白,就让学生咔咔就是怼,我想如果悟性不行的学生直接就会被out of the way了 = =思考这种东西,首先你要明白,wireshark就是一个很方便你看数据的软件,仅... -
一文真正了解TCP三次握手和四次挥手-wireshark抓包分析
2020-08-11 17:23:14UDP(用户数据包协议 User Datagram Protocol),UDP是一种无连接协议,UDP客户端与服务器不必存在长期的关系,例如一个UDP客户端创建一个套接字并发送一个数据报给一个服务器,然后立即用同一个套接字发送另一个数据... -
利用wireshark分析IP协议.mp4.zip
2020-04-28 15:00:13Wireshark分析IP协议 视频讲解 1.掌握Wireshark软件简单的过滤语法 2.掌握IP数据报的组成格式 3.掌握IP分片的计算方法 4.学会利用Wireshark抓包分析IP协议 -
抓包概念大比较:数据报、数据包、分组
2020-09-02 21:51:43抓包概念大比较:数据报、数据包、分组 数据报、数据包和分组是常见的三个概念。他们是否一样?如果不一样,他们差别在哪里?下面依次说明这三个词。大学霸IT达人 1.数据报:当应用程序按照协议格式构建好要发送的... -
IP 数据报首部分析
2020-10-25 15:21:33今咱就抓个数据报具体看一看真实网络中的 IP 报首部. 操作方法很简单, 使用wireshark进行抓包. 抓包后随便找个包看一下就行, 毕竟所有通信的包都需要经过网络层.(同时,wireshark会对协议的相关信息给出标识, 更... -
IP数据报首部检验和原理
2020-10-31 21:09:45首部检验和 首部检验和,只检验数据报的首部,不包括数据部分。 在发送方,先把IP数据报首部划分为许多16位字的序列,并把检验和字段置为0,用...Wireshark抓包,图中蓝色的为ip数据报首部信息。 45 00 00 3c 4:版本 -
实验二.利用Wireshark分析IP协议
2020-04-28 19:04:58学会利用Wireshark抓包分析IP协议 实验环境 Wireshark软件 Windows 计算机 实验预备知识 1.IP数据报的格式 固定部分:20字节 首部:20字节 总长度=首部+数据部分20+1480 网络层总长度<... -
ip首部可选字段_IP 数据报首部分析
2021-01-09 14:54:16今咱就抓个数据报具体看一看真实网络中的 IP 报首部.操作方法很简单, 使用wireshark进行抓包. 抓包后随便找个包看一下就行, 毕竟所有通信的包都需要经过网络层.(同时, wireshark会对协议的相关信息给出标识, 更方便... -
捕获本地网络包Rawcap+Wireshark
2016-11-10 15:44:12通常wireshark不能直接抓取本地的回环数据包,当然经过一些配置可以到达这个目的。本文通过工具软件RawCap相对方便地抓取本地网络包,然后使用...2.1)打开RawCap:输入 RawCap.exe+IP地址+抓包数据存储的filename.pcap -
自己动手写网络抓包工具
2017-12-07 10:37:14所以这个工具只能抓取本地IP数据报,同时它还使用了BPF,目的是了解如何进行简单有效的网络抓包。当打开一个标准SOCKET套接口时,我们比较熟悉的协议往往是用AF_INET来建立基于TCP(SOCK_STREAM)或UDP(... -
Wireshark lua dissector 对TCP消息包合并分析
2014-03-22 07:42:00应用程序发送的数据报都是流式的,IP不保证同一个一个应用数据包会被抓包后在同一个IP数据包中,因此对于使用自制dissector的时候需要考虑这种情况。 Lua Dissector相关资料可以见:... -
网络抓包工具
2017-12-26 00:00:00看了太多的“自己动手”,这次咱也“自己动手”一下,写个简单的网络抓包工具吧。要写出像tcpdump和wireshark(ethereal)这样的大牛程序来,咱也没那...所以这个工具只能抓取本地IP数据报,同时它还使用了BPF,... -
UDP_用户数据报协议
2018-07-31 20:32:403、UDP报文wireshark抓包分析 4、IP分片 5、IP分片举例 6、IP分片举例分析 7、ICMP不可达差错(需要分片) 8、UDP和ARP之间的交互作用 9、UDP和ARP之间的交互作用解释 10、最大UDP数据报长度 ... -
libpcap抓包分析项目(二)
2019-07-10 17:21:28在项目(一)中,我们成功抓到了数据包并提取出了数据包中的基本信息,这次我们...IP数据报头部: TCP数据报: UDP数据报: 在我的代码中,引用了一些Linux系统的库的头文件,而没有自己重新写一份头文件,库文... -
【0】工具——————UDP抓包分析
2020-05-20 22:21:43抓包工具 wireshark 抓取一个UDP包 UDP数据包组成 Frame:帧信息 Ethernet:以太网信息,有源MAC与目的MAC Internet:因特网信息,有源IP与目的IP User Datapram Protocol:用户数据报协议,也就是... -
TCP/IP 学习三-IP网际协议
2017-05-12 18:42:123.1 引言不可靠(unreliable): 不能保证数据报能准确到达目的地。 无连接(connectionless): 意思是IP并不维护任何关于后续数据报的状态信息。...3.2 IP首部通过wireshark抓包对比学习IP数据报格式: -
用抓包软件来分析tcp 数据包
2010-08-05 19:57:00TCP/IP 协议中各层的数据报结构是一个比较抽象的内容,大家在日常学习过程中往往难以理解和掌握,常常是死记硬背把它记住了事。本文首先利用Sniffer工具捕 获了FTP命令操作过程中的所有数据包,然后对Sniffer工具中... -
IP首部
2019-03-17 12:32:15IP数据报首部的格式。 首部最小20个字节,最大60个字节。最小时就是只有固定部分(每个单位32bit,也就是4个字节,共5行,就是20个字节),一个单位指的是一行。 wireshark抓包分析 版本 在数据传输时,发送方... -
IP:网际协议
2018-07-25 23:51:052、wireshark抓包验证 3、各字段的说明解释: 目前的协议版本号是4 首部长度指的是首部占32bit字的数目,包括任何选项。由于它是一个4比特字段,因此首部最长为60个字节。普通IP数据报(没有任何选择项)字段的...