comic的协议分析实例.docVIP

信安科创第一次作业 的协议分析实例 1、确认与建立连接 1.1通过命令提示符ping得到的IP地址。 图1 Ping命令图 登入，并开启Wireshark抓包。 1.2使用tracert命令进行跟踪，确定IP数据包访问目标所采取的路径。 图2 tracert命令图 由于数据请求响应使用校园网络，从上图可以看出，到达有6个路由，同时也可以用Wireshark进行分析。 图3 Wireshark抓获ICMP包结果图 ICMP是Internet控制报文协议是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。 图5 Wireshark抓获DNS包结果 可以看到DNS请求和回复的过程： （1）主机（69）向本地配置的交大DNS服务器（01）请求PTR记录，也就是01对应的域名。 图6 第一个DNS请求包内容 （2）01回复应答包，返回PTR结果。 图7 交大DNS服务器响应PTR结果 （3）主机（69）向查询的IP地址。 图8 主机查询的IP地址 （4）返回的A记录 图9 交大DNS返回的A记录 之后两个DNS包分别为主机（69）查询的IPV6地址以及交大DNS服务器对其的响应。 2、三次握手抓取分析 在Wireshark中，设置Capture—Options，修改过滤器为tcp，再进行抓包。 图10 Wireshark三次握手抓取图 三次握手的过程是上图的前三行。客户端发送一个包，置SYN位；服务器响应置SYN和ACK位；接着客户端再发送一个响应，置ACK位。至此，TCP连接便成功建立了。此时在TCP之上有HTTP请求，客户端“GET/HTTP/1.1”，服务器收到数据包发ACK确认。 3、Wireshark对互联网数据的分析 Wireshark的抓包结果整个窗口被分成三部分：协议树以十六进制形式表示的数据包内容最上面为数据包列表，用来显示截获的每个数据包的信息 上图的数据包列表中，第一列是编号，第二列是时间，第三列ource是源地址，第四列estination是目的地址第五列rotocol是这个包使用的协议，第六列nfo是一些其它的信息。 中间为协议树，用来显示选定的数据包所属的协议信息TCP/IP四层结构显示。第一行是数据链路层的信息，第二行是网络层信息（IP协议），第三行是传输层信息（TCP协议），第四行是应用层信息（HTTP协议），可以展开每一行来查看具体内容。通过协议树可以得到被截获的数据包的更多信息，如主机的MAC地址(Ethernet II)、IP地址、TCP端口号，以及HTTP协议的具体内容。通过扩展协议树中的相应节点，可以得到该数据包中携带的更详尽的信息。 最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。 图12应用层信息（HTTP协议）图 传输层：可以查询源端口：54444，目的端口，用来检查TCP首部长度为16位的端口号，这里为80端口，即为http协议开放。 图13 传输层信息（TCP协议）图 网络层：可以查询源地址：69和目的地址：78。 图14 网络层信息（IP协议）图 链路层：可以得到Ethernet II帧的源地址和目的地址。 图15 链路层信息图 要获取更加详细信息可以点击该封包，选择“Follow TCP Stearm”： 4、四次挥手抓取分析 图16 TCP四次挥手抓取图 根据图16，我们可以得出四次挥手的全过程: （1）TCP客户端发送一个FIN，用来关闭客户到服务器的数据传送（报文）。（2）服务器收到这个FIN，它发回一个ACK，确认序号为收到的序号加1（）。（3）服务器关闭客户端的连接，发送一个FIN给客户端（）。（4）客户段发回ACK报文确认，并将确认序号设置为收到序号加1。 1