用wireshark捕获三组协议并分析.docVIP

一．TCP三次握手协议分析 第一次握手A的TCP客户进程首先创建传输控制模块TCB，然后向B发出连接请求报文段，这是首部中的同步位SYN=1，同时选择一个初始序号seq=x,TCP规定，SYN报文段不能携带数据，但要消耗一个序号，这时，TCP客户进程进入SYN-SENT状态； 第二次握手：B收到连接请求报文段后，如同意建立连接，则向A发送确认。在确认报文段中应把SYN位和ACK位置1，确认号ack=x+1，同时也为自己选择一个初始序号seq=y.但也要消耗一个序号，这时TCP服务器进程进入SYN-RCVD状态； 第三次握手：客户进程向B发送确认，确认报文段的ACK置1，ack=y+1，而自己的序号seq=x+1。这时，TCP连接已经建立，A进入ESTABLISHED 状态。 完成三次握手，客户端与服务器开始传送数据. ? 由图可知，源主机地址 49 目的主机地址为 37 源主机端口号 50011 目的端口号 80 第72行为TCP第一次握手连接，A主机发送码中首部的同步位SYN=1，初始序号seq=0;主机B由SYN=1知道，A要求建立联机； 第二次握手：主机B收到请求后要确认联机信息，向A发送ack number=(主机A的seq+1),SYN=1,ack=1,随机产生seq=1的包. 第三次握手：主机A收到后检查ack number是否正确，即第一次发送的seq number+1,以及位码ack是否为1，若正确，主机A会再发送ack number=(主机B的seq+1),ACK=1，主机B收到后确认seq值与ACK=1则连接建立成功。 完成三次握手，主机A与主机B开始传送数据。 第一次握手标志位： 可以看出同步位为1，即在做请求(SYN)。 第二次握手标志位： 可以看出此时同步位和确认为都为1.（ACK+SYN） 第三次握手标志位： 可以看出确认位为1，A向B发送确认（ACK）. 二.HTTP协议分析 由图可知： 源IP地址： 61 目的IP地址： 49 源端口： 80 目的端口： 50056 ACK=1 PSH=1 HTTP/1.1 200 OK （ “HTTP/1.1”表示所使用的协议，后面的“200 OK”是HTTP返回代码，200就表示操作成功，还有其他常见的如404表示对象未找到，500表示服务器错误，403表示不能浏览目录等） Date:Sat, 28 Apr 2012 11:02:23 GMT (处理此请求的时间) Server: suggestion.baidu.zbb.df (正在访问的网页) Content-Length: 125 （表示消息体的长度，从空行以后的内容算起，以字节为单位，浏览器接收到它所指定的字节数的内容以后就会认为这个消息已经被完整接收了） Conntction:Keep alive 连接状态为保持连接。 地址解析协议ARP 地址解析过程： 1. 首先，每台主机都会在自己的ARP缓冲区 ( ARP Cache )中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。 2. 当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有﹐就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。 3. 网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址； 4. 源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。 由图可知： 源MAC地址：00:26:2d:a5:ee:34 源IP地址： 9 目的MAC地址：ff:ff:ff:ff:ff:ff 目的IP地址： 47 08 00-------------ARP协议代码 06 04-------------硬件类型 00 00--------------上层协议类型