TCP/IP 抓包分析
2015-09-23 22:38
1841 查看
TCP + IP 数据包格式:
应用层->TCP层->IP层->网络接口层
TCP层数据包结构:TCP头部+实际数据 (TCP头包括源和目标主机端口号、顺序号、确认号、校验字等)
1.TCP包头内存占用24byte:
源主机端口号 (2bytes)
目标主机端口号 (2bytes)
序号 (4bytes)
确认序号 (4bytes)
数据偏移 (4bits)
保留 (6bits)
URG/ACK/PSH/
RST/SYN/FIN (6bits)
窗口 (2bytes)
校验和 (2bytes)
紧急指针 (2bytes)
选项 (3bytes)
IP层数据包结构 :IP头部+TCP数据信息(IP头包括源和目标主机IP地址、类型、生存期等)
2.IP包头内存占用(20-24bytes):
版本号 (4bits) IPv4-0100
IPv6-0110
IP包头长度 (4bits) 以4字节为单位 总长度=包头长度*4
服务类型 (1byte)
IP包总长 (2bytes)
标识符 (2bytes)
标记 (3bits)
分段序号 (13bits)
生存时间 (1byte)
协议 (1byte)
头部校验 (2bytes)
源主机IP地址 (4bytes)
目标IP地址 (4bytes)
可选项
网络接口层 :帧头+IP数据包+帧尾 (帧头包括源和目标主机MAC地址及类型,帧尾是校验字)
3.内存占用:
源主机MAC地址 (6bytes)
目标主机MAC地址 (6bytes)
类型 (2bytes)
表1:常见的TCP/IP协议号
表2:专用程序端口号
例一:访问192.168.1.51截下的一下握手包
0000 00
24 81 0d f3 30 4a 42 08 00 00 00 08 00 45 00
0010 00
3c 1c 60 40 00 40 06 99 fc c0 a8 01 dc c0 a8
0020 01
33 0a c5 00 50 07 2d af f0 00 00 00 00 a0 02
0030 16
d0 37 13 00 00 02 04 05 b4 04 02 08 0a ff ff
0040 b3
90 00 00 00 00 01 03 03 01
帧头:
目标主机 Mac: 00
24 81 0d f3 30
源主机Mac: 4a
42 08 00 00 00
处理类型: IP协议(ETHERNET
V2)
IP包(20字节):
版本号 4 IPV为4
IP包头长度 5 IP包头为20字节
IP包总长 60 IP包(包头)+TCP包为60字节
标识符 0x1c60
标记 4000>>13
分段序号 4000&0x1fff
生存时间 0x40
协议 6 上层TCP
头部校验 0x99fc
源主机IP地址 c0
a8 01 dc - 192.168.1.220
目标IP地址 c0
a8 01 33 - 192.168.1.51
TCP包(24):
源主机端口号 0x0ac5
目标主机端口号 0x0050
序号 0x072daff0 发送的第一字节的序号
确认序号 0x00000000
数据偏移 0xa002>>12
= 0xa 数据区偏移40字节同时得到选项长度留 0xa002>>6&0x3f
= 0x0
URG/ACK/PSH/
RST/SYN/FIN 0xa002&0x3f
= 0x2
窗口 0x16d0
校验和 0x3713
紧急指针 0x0000
选项 可变长度 IP总长度-IP包头-20为当前选项和数据的长度
例二:访问192.168.1.51截获的一次HTTP请求包
0000 00
24 81 0d f3 30 4a 42 08 00 00 00 08 00 45 00
0010 01
1e 26 df 40 00 40 06 8e 9b c0 a8 01 dc c0 a8
0020 01
33 0a c7 00 50 06 54 95 42 2b 42 d2 b1 80 18
0030 0b
68 2b 5e 00 00 01 01 08 0a ff ff b3 9a 00 00
0040 00
00 47 45 54 20 2f 69 6e 64 65 78 2e 67 69 66
0050 20
48 54 54 50 2f 31 2e 31 0d 0a 48 6f 73 74 3a
0060 20
31 39 32 2e 31 36 38 2e 31 2e 35 31 0d 0a 41
0070 63
63 65 70 74 3a 20 2a 2f 2a 0d 0a 52 65 66 65
0080 72
65 72 3a 20 68 74 74 70 3a 2f 2f 31 39 32 2e
0090 31
36 38 2e 31 2e 35 31 0d 0a 55 73 65 72 2d 41
00a0 67
65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61 2f 34 2e
00b0 30
20 28 63 6f 6d 70 61 74 69 62 6c 65 3b 20 4d
00c0 53
49 45 20 36 2e 30 3b 20 45 49 53 20 69 50 61
00d0 6e
65 6c 20 32 2e 30 20 3b 20 41 52 4d 39 32 36
00e0 29
0d 0a 41 63 63 65 70 74 2d 45 6e 63 6f 64 69
00f0 6e
67 3a 20 69 64 65 6e 74 69 74 79 0d 0a 43 6f
0100 6e
6e 65 63 74 69 6f 6e 3a 20 63 6c 6f 73 65 0d
0110 0a
50 72 6f 78 79 2d 43 6f 6e 6e 65 63 74 69 6f
0120 6e
3a 20 63 6c 6f 73 65 0d 0a 0d 0a
帧头:
目标主机 Mac: 00
24 81 0d f3 30
源主机Mac: 4a
42 08 00 00 00
处理类型: IP协议(ETHERNET
V2)
IP包(20字节):
版本号 0x45>>4
IP包头长度 0x45&0xf 5*4=20字节
服务类型 0x00
IP包总长 0x011e (IP头+数据)
标识符 0x26df
标记 4000>>13
分段序号 4000&0x1fff
生存时间 0x40
协议 6 上层TCP
头部校验 0x8e9b
源主机IP地址 c0
a8 01 dc - 192.168.1.220
目标IP地址 c0
a8 01 33 - 192.168.1.51
TCP包(24):
源主机端口号 0x0ac7
目标主机端口号 0x0050
序号 0x06549542
确认序号 0x95422b42
数据偏移 0x8018>>12
= 0x8(数据区偏移为32字节)
保留 0x8018>>6&0x3f
= 0x0
URG/ACK/PSH/
RST/SYN/FIN 0x8018&0x3f
= 0x18
窗口 0x0b68
校验和 0x2b5e
紧急指针 0x0000
选向 01
01 08 0a ff ff b3 9a 00 00 00 00(32-20)字节
数据区
47 45 54 20 2f 69 6e 64 65 78 2e 67 69 66
0050 20
48 54 54 50 2f 31 2e 31 0d 0a 48 6f 73 74 3a
0060 20
31 39 32 2e 31 36 38 2e 31 2e 35 31 0d 0a 41
0070 63
63 65 70 74 3a 20 2a 2f 2a 0d 0a 52 65 66 65
0080 72
65 72 3a 20 68 74 74 70 3a 2f 2f 31 39 32 2e
0090 31
36 38 2e 31 2e 35 31 0d 0a 55 73 65 72 2d 41
00a0 67
65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61 2f 34 2e
00b0 30
20 28 63 6f 6d 70 61 74 69 62 6c 65 3b 20 4d
00c0 53
49 45 20 36 2e 30 3b 20 45 49 53 20 69 50 61
00d0 6e
65 6c 20 32 2e 30 20 3b 20 41 52 4d 39 32 36
00e0 29
0d 0a 41 63 63 65 70 74 2d 45 6e 63 6f 64 69
00f0 6e
67 3a 20 69 64 65 6e 74 69 74 79 0d 0a 43 6f
0100 6e
6e 65 63 74 69 6f 6e 3a 20 63 6c 6f 73 65 0d
0110 0a
50 72 6f 78 79 2d 43 6f 6e 6e 65 63 74 69 6f
0120 6e
3a 20 63 6c 6f 73 65 0d 0a 0d 0a
原出处:http://blog.sina.com.cn/ybstudio
应用层->TCP层->IP层->网络接口层
TCP层数据包结构:TCP头部+实际数据 (TCP头包括源和目标主机端口号、顺序号、确认号、校验字等)
1.TCP包头内存占用24byte:
源主机端口号 (2bytes)
目标主机端口号 (2bytes)
序号 (4bytes)
确认序号 (4bytes)
数据偏移 (4bits)
保留 (6bits)
URG/ACK/PSH/
RST/SYN/FIN (6bits)
窗口 (2bytes)
校验和 (2bytes)
紧急指针 (2bytes)
选项 (3bytes)
IP层数据包结构 :IP头部+TCP数据信息(IP头包括源和目标主机IP地址、类型、生存期等)
2.IP包头内存占用(20-24bytes):
版本号 (4bits) IPv4-0100
IPv6-0110
IP包头长度 (4bits) 以4字节为单位 总长度=包头长度*4
服务类型 (1byte)
IP包总长 (2bytes)
标识符 (2bytes)
标记 (3bits)
分段序号 (13bits)
生存时间 (1byte)
协议 (1byte)
头部校验 (2bytes)
源主机IP地址 (4bytes)
目标IP地址 (4bytes)
可选项
网络接口层 :帧头+IP数据包+帧尾 (帧头包括源和目标主机MAC地址及类型,帧尾是校验字)
3.内存占用:
源主机MAC地址 (6bytes)
目标主机MAC地址 (6bytes)
类型 (2bytes)
| 协议名 | 协议号 | 基 本 描 述 |
| IP | 0 | 互连网协议 |
| ICMP | 1 | 互连网消息协议 |
| GGP | 3 | 网关——网关协议 |
| TCP | 6 | 传输控制协议 |
| EGP | 8 | 外部网关协议 |
| UDP | 17 | 用户数据报协议 |
| Xns_IDP | 22 | Xerox NS IDP |
| rdp | 27 | 可靠数据流协议 |
| rvd | 66 | MIT远程虚拟磁盘 |
| 端口号 | 关键字 | 基 本 描 述 |
| 7 | Echo | 回波 |
| 9 | Discard | 丢弃 |
| 11 | Users | 活动的用户 |
| 13 | Daytime | 日期 |
| 15 | Netstat | 网络状态 |
| 20 | ftp | Port方式 |
| 21 | ftp | 文件传输协议 |
| 23 | Telnet | 远程登录 |
| 25 | SMTP | 电子邮件 |
| 37 | Time | 时间 |
| 43 | Nicname | 别名查询 |
| 69 | TFTP | 普通文件传送协议 |
| 79 | Finger | 用户信息查询 |
| 80 | HTTP | 超文本传输协议 |
| 101 | Hostname | NIC主机名服务 |
| 110 | POP3 | 邮局协议离线协议标准 |
例一:访问192.168.1.51截下的一下握手包
0000 00
24 81 0d f3 30 4a 42 08 00 00 00 08 00 45 00
0010 00
3c 1c 60 40 00 40 06 99 fc c0 a8 01 dc c0 a8
0020 01
33 0a c5 00 50 07 2d af f0 00 00 00 00 a0 02
0030 16
d0 37 13 00 00 02 04 05 b4 04 02 08 0a ff ff
0040 b3
90 00 00 00 00 01 03 03 01
帧头:
目标主机 Mac: 00
24 81 0d f3 30
源主机Mac: 4a
42 08 00 00 00
处理类型: IP协议(ETHERNET
V2)
IP包(20字节):
版本号 4 IPV为4
IP包头长度 5 IP包头为20字节
IP包总长 60 IP包(包头)+TCP包为60字节
标识符 0x1c60
标记 4000>>13
分段序号 4000&0x1fff
生存时间 0x40
协议 6 上层TCP
头部校验 0x99fc
源主机IP地址 c0
a8 01 dc - 192.168.1.220
目标IP地址 c0
a8 01 33 - 192.168.1.51
TCP包(24):
源主机端口号 0x0ac5
目标主机端口号 0x0050
序号 0x072daff0 发送的第一字节的序号
确认序号 0x00000000
数据偏移 0xa002>>12
= 0xa 数据区偏移40字节同时得到选项长度留 0xa002>>6&0x3f
= 0x0
URG/ACK/PSH/
RST/SYN/FIN 0xa002&0x3f
= 0x2
窗口 0x16d0
校验和 0x3713
紧急指针 0x0000
选项 可变长度 IP总长度-IP包头-20为当前选项和数据的长度
例二:访问192.168.1.51截获的一次HTTP请求包
0000 00
24 81 0d f3 30 4a 42 08 00 00 00 08 00 45 00
0010 01
1e 26 df 40 00 40 06 8e 9b c0 a8 01 dc c0 a8
0020 01
33 0a c7 00 50 06 54 95 42 2b 42 d2 b1 80 18
0030 0b
68 2b 5e 00 00 01 01 08 0a ff ff b3 9a 00 00
0040 00
00 47 45 54 20 2f 69 6e 64 65 78 2e 67 69 66
0050 20
48 54 54 50 2f 31 2e 31 0d 0a 48 6f 73 74 3a
0060 20
31 39 32 2e 31 36 38 2e 31 2e 35 31 0d 0a 41
0070 63
63 65 70 74 3a 20 2a 2f 2a 0d 0a 52 65 66 65
0080 72
65 72 3a 20 68 74 74 70 3a 2f 2f 31 39 32 2e
0090 31
36 38 2e 31 2e 35 31 0d 0a 55 73 65 72 2d 41
00a0 67
65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61 2f 34 2e
00b0 30
20 28 63 6f 6d 70 61 74 69 62 6c 65 3b 20 4d
00c0 53
49 45 20 36 2e 30 3b 20 45 49 53 20 69 50 61
00d0 6e
65 6c 20 32 2e 30 20 3b 20 41 52 4d 39 32 36
00e0 29
0d 0a 41 63 63 65 70 74 2d 45 6e 63 6f 64 69
00f0 6e
67 3a 20 69 64 65 6e 74 69 74 79 0d 0a 43 6f
0100 6e
6e 65 63 74 69 6f 6e 3a 20 63 6c 6f 73 65 0d
0110 0a
50 72 6f 78 79 2d 43 6f 6e 6e 65 63 74 69 6f
0120 6e
3a 20 63 6c 6f 73 65 0d 0a 0d 0a
帧头:
目标主机 Mac: 00
24 81 0d f3 30
源主机Mac: 4a
42 08 00 00 00
处理类型: IP协议(ETHERNET
V2)
IP包(20字节):
版本号 0x45>>4
IP包头长度 0x45&0xf 5*4=20字节
服务类型 0x00
IP包总长 0x011e (IP头+数据)
标识符 0x26df
标记 4000>>13
分段序号 4000&0x1fff
生存时间 0x40
协议 6 上层TCP
头部校验 0x8e9b
源主机IP地址 c0
a8 01 dc - 192.168.1.220
目标IP地址 c0
a8 01 33 - 192.168.1.51
TCP包(24):
源主机端口号 0x0ac7
目标主机端口号 0x0050
序号 0x06549542
确认序号 0x95422b42
数据偏移 0x8018>>12
= 0x8(数据区偏移为32字节)
保留 0x8018>>6&0x3f
= 0x0
URG/ACK/PSH/
RST/SYN/FIN 0x8018&0x3f
= 0x18
窗口 0x0b68
校验和 0x2b5e
紧急指针 0x0000
选向 01
01 08 0a ff ff b3 9a 00 00 00 00(32-20)字节
数据区
47 45 54 20 2f 69 6e 64 65 78 2e 67 69 66
0050 20
48 54 54 50 2f 31 2e 31 0d 0a 48 6f 73 74 3a
0060 20
31 39 32 2e 31 36 38 2e 31 2e 35 31 0d 0a 41
0070 63
63 65 70 74 3a 20 2a 2f 2a 0d 0a 52 65 66 65
0080 72
65 72 3a 20 68 74 74 70 3a 2f 2f 31 39 32 2e
0090 31
36 38 2e 31 2e 35 31 0d 0a 55 73 65 72 2d 41
00a0 67
65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61 2f 34 2e
00b0 30
20 28 63 6f 6d 70 61 74 69 62 6c 65 3b 20 4d
00c0 53
49 45 20 36 2e 30 3b 20 45 49 53 20 69 50 61
00d0 6e
65 6c 20 32 2e 30 20 3b 20 41 52 4d 39 32 36
00e0 29
0d 0a 41 63 63 65 70 74 2d 45 6e 63 6f 64 69
00f0 6e
67 3a 20 69 64 65 6e 74 69 74 79 0d 0a 43 6f
0100 6e
6e 65 63 74 69 6f 6e 3a 20 63 6c 6f 73 65 0d
0110 0a
50 72 6f 78 79 2d 43 6f 6e 6e 65 63 74 69 6f
0120 6e
3a 20 63 6c 6f 73 65 0d 0a 0d 0a
原出处:http://blog.sina.com.cn/ybstudio
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 网络请求封装2
- HDU 5437 Alisha’s Party(优先队列)(2015网络赛长春站)
- 网络请求的封装
- HTTP状态码
- 2015 ACM北京网络赛J题 hiho1236
- 转 Android_开源框架_AndroidUniversalImageLoader网络图片加载
- 黑马程序员—java技术blog—第三篇 TCP协议及基础应用
- iOS_AFNetworking_AFNetworkReachabilityManager(检测网络可达性)
- 浅谈网络游戏的设计——服务器端编程
- 网络游戏服务器端架构设计
- 读取网络中的数据并写入数据库
- Python在HTTP接口测试中的应用
- 1.网络工具:ifconfig,ping,netstate,Redhat命令和图形化设置ip,finger,nslookup
- 被注入病毒的苹果 还能得到用户宠爱吗?
- hdu4746:2013杭州网络赛I 莫比乌斯反演
- iOS开发中的网络请求
- 交叉线还是直通线?
- 多线程
- 关于超文本传送协议HTTP的小小总结
- c#网络编程学习笔记00_补上一些基础概念