wareshark之tcp、ip报头分析

TCP.IP报头分析  wireshark 抓包分析
By  cisco 雨 发表于 2010/3/7 8:02:00  


一.在这里先分析一下TCP报头和IP报头吧

1.TCP报头长度最少应该是20Bytes.报头中的每一行都是32bits.

  源端口（surce）     目标端口（destination）       16bits

  序列号（sequence number）32bits

   确认号（acknowledgment）32bits

   报头长度（headerlength）4b  保留（reserved）6b 编码位（code bits）6b  窗口（windowns）16b

   校验机（checksum）16b                      紧急（urgent）16b         

    以上为报头必须包括的

   选项（options）0or32b                               

   数据（date）每一行都应为32b

2.ip报头长度最少应该是20Bytes.报头中的每一行都是32bits.

版本（version）4b    报头长度（headerlength）4b优先级和服务类型（priority&typeservice）8b  

总长（totallength）16 b

   标识   （identification） 16b      标记（flags）3b       分片偏移（ fragment offset）13b

   存活时间（time-to-live）8 b      协议（protocol）8 b      报头校验（checksum）16 b

   source IP address    32b

   destination  IP address    32 b

     以上是IP报头必须包含的

    options      0or 32    b

二.用WIRESHARK抓包对TCP分析



Source IP （我的主机IP）     destination  IP (Al类地址大型网络)        tcp协议                                ？？？？？？？？？

第一部分：



上图分析（个人）：物理层

1.抓到包时间 2010.3.7      17：38：27.129461000         

2.捕获先前帧用时0.667443000 seconds    ；    显示先前的帧用时5.87571000seconds

3.从开始捕获第一帧开始到现在 frame2486用时 388.718230000seconds

4.帧号2486  帧长54字节 捕获54字节

5.？？？？？？？？？？？？？？不知道

第二部分：



上图分析（个人）：数据连接层

1.source MAC 地址为00：of：ea：2b：6d：1a   ;  “Giga-Byt_（00：of：ea）”为厂商号   IEEE协会规定   ;“2b：6d：1a”产品号 ;   

2.destination MAC 地址00：14：78：14：19：1a；shenzhen_(00：14：78)为厂商号   IEEE协会规定;14：19：1a产品号 ;  

3.  IG bit   and   LG bit   ：???????????????????????????????????????不知道

第三部分：





上图分析（个人）：网络层

1.版本 4      ；IP 报头长20Btyes         

2.服务区及类型？？？？？？？？？

3.总长是40      共长16b

4.没有进行分片偏移

5.TTl为64

6.协议为TCP（0x06）

7.header checksum    报头校验正确

8.source IP   address 192.168.1.11 ；   DST   ip   address  121.199.45.180  

第四部分：



上图分析（个人）：传输层

1.TCP 协议的源端口：darcorp-lm（1679）；目标端口：http（80）

2.序列号  875  ：确认号404

3.TCP报头长20 Btyes

4.标记中的 reset（重新启动）和acknowledgment（确认号）是set的;流量控制，紧急，急迫，同步，最后标识都没有标记ECN-ECHO??

5.Windows没有流量通过

6.校验机验证失败

转：http://www.norvel.com.cn/blog/user1/quanyu/10966.html