wireshark抓包分析.docxVIP

TCP：（TCP是面向连接的通信协议，通过三次握手建立连接，通讯完成时要拆除连接，由于TCP是面向连接的所以只能用于点对点的通讯）源IP地址：发送包的IP地址；目的IP地址：接收包的IP地址；源端口：源系统上的连接的端口；目的端口：目的系统上的连接的端口。TCP是因特网中的传输层协议，使用三次握手协议建立连接。当主动方发出SYN连接请求后，等待对方回答SYN，ACK。这种建立连接的方法可以防止产生错误的连接，TCP使用的流量控制协议是可变大小的滑动窗口协议。第一次握手：建立连接时，客户端发送SYN包(SEQ=x)到服务器，并进入SYN_SEND状态，等待服务器确认。第二次握手：服务器收到SYN包，必须确认客户的SYN(ACK=x+1),同时自己也送一个SYN包(SEQ=y),即SYN+ACK包，此时服务器进入SYN_RECV状态。第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ACK=y+1),此包发送完毕，客户端和服务器进入Established状态，完成三次握手。第一行：帧Frame1指的是要发送的数据块；其中，捕获字节等于传输的字节数第二行：以太网，是数据链路层；源MAC地址是：00:19:c6:00:06:3d,目的MAC地址是：00:1c:25:d4:91:9a；第三行：IPV4,源IP地址：172.24.3.5;目的IP是：172.24.7.26；第四行：协议类型：TCP；源端口bctp（8999），目的端口：2376；序列号：每发送一个RTP数据包，序列号就加1；ACK是TCP数据包首部中的确认标志，对已接收到的TCP报文进行确认，其为 1表示确认号有效;长度是1448字节；第五行：数据总有1448字节；其中，对应的TCP首部的数据信息：端口号：数据传输的16位源端口号和16位目的端口号（用于寻找发端和收端应用进程）；该数据包相对序列号是1（此序列号用来确定传送数据的正确位置，且序列号，用来侦测丢失的包）；下一个数据包的序列号是1449；Acknowledgement number是32位确认序号，其等于1表示数据包收到，确认其有效；收到的数据包的头字节长度是4位32比特；Flags含6个标志比特：URG紧急指针（urgentpointer）有效ACK确认序号有效。PSH接收方应该尽快将这个报文段交给应用层。RST重建连接。 SYN同步序号用来发起一个连接。FIN发端完成发送任务。window：（TCP的流量控制由连接的每一端通过声明的窗口大小来提供。窗口大小为字节数，起始于确认序号字段指明的值，这个值是接收端正期望接收的字节。窗口大小是一个16bit字段，因而窗口大小最大为65535字节），上面显示窗口大小为65531字节。Checksum：16位校验和，检验和覆盖了整个的TCP报文段，由发端计算和存储，并由收端进行验证。时间标志（timestamp）类型：8；长度：10；用于帮助计算双向时间 (RTT) 传输的数据包；TSval值字段TSecr回显应答字段：用于回显接收到的TSval值字段，该报文中是19365；rtt即等于现在的时间tcp_time_stamp减去Timestamp Echo Reply。TCP报文段中的数据（该部分是可选的），长度是1448字节。RTP：显示该帧Frame11120：上线字节数 ：1514bytes，捕获字节数：1514bytes；Arrival Time: 到达时间：5月 9 日,2012 21:27:33.884680000Epoch Time : 信息出现时间：1336570053.884680000秒[Time delta from previous captured frame : 0.000598000 seconds] 与之前捕获的数据帧时间差：0.000598000秒[Time delta from previous displayed frame : 0.000000000 seconds] 与之前的帧显示时间差：0秒；[Time since reference or first frame:40.724390000 seconds] 距参考帧或第一帧的时间差：40.724390000秒；Frame Number:11120 帧编号：11120Frame Length: 1514 bytes (12112 bits) 帧长度：1514字节；Capture Length: 1514 bytes (12112 bits) 捕获到的长度：1514字节；[Frame is marked :False] 帧标记：无；[Frame is ignored :False] 帧被忽略：无；[Protocols in f