wireshark抓包分析

TCP：（TCP是面向连接的通信协议，通过三次握手建立连接，通讯完成时要拆除连接，由于TCP是面向连接的所以只能用于点对点的通讯）源IP地址：发送包的IP地址；目的IP地址：接收包的IP地址；源端口：源系统上的连接的端口；目的端口：目的系统上的连接的端口。TCP是因特网中的传输层协议，使用三次握手协议建立连接。当主动方发出SYN连接请求后，等待对方回答SYN，ACK。这种建立连接的方法可以防止产生错误的连接，TCP使用的流量控制协议是可变大小的滑动窗口协议。第一次握手：建立连接时，客户端发送SYN包(SEQ=x)到服务器，并进入SYN_SEND状态，等待服务器确认。第二次握手：服务器收到SYN包，必须确认客户的SYN(ACK=x+1),同时自己也送一个SYN包(SEQ=y),即SYN+ACK包，此时服务器进入SYN_RECV状态。第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ACK=y+1),此包发送完毕，客户端和服务器进入Established状态，完成三次握手。第一行：帧Frame1指的是要发送的数据块；其中，捕获字节等于传输的字节数第二行：以太网，是数据链路层；源MAC地址是：00:19:c6:00:06:3d,目的MAC地址是：00:1c:25:d4:91:9a；第三行：IPV4,源IP地址：172.24.3.5;目的IP是：172.24.7.26；第四行：协议类型：TCP；源端口bctp（8999），目的端口：2376；序列号：每发送一个RTP数据包，序列号就加1；ACK是TCP数据包首部中的确认标志，对已接收到的TCP报文进行确认，其为1表示确认号有效;长度是1448字节；第五行：数据总有1448字节；其中，对应的TCP首部的数据信息：端口号：数据传输的16位源端口号和16位目的端口号（用于寻找发端和收端应用进程）；该数据包相对序列号是1（此序列号用来确定传送数据的正确位置，且序列号，用来侦测丢失的包）；下一个数据包的序列号是1449；Acknowledgementnumber是32位确认序号，其等于1表示数据包收到，确认其有效；收到的数据包的头字节长度是4位32比特；Flags含6个标志比特：URG紧急指针（urgentpointer）有效ACK确认序号有效。PSH接收方应该尽快将这个报文段交给应用层。RST重建连接。SYN同步序号用来发起一个连接。FIN发端完成发送任务。window：（TCP的流量控制由连接的每一端通过声明的窗口大小来提供。窗口大小为字节数，起始于确认序号字段指明的值，这个值是接收端正期望接收的字节。窗口大小是一个16bit字段，因而窗口大小最大为65535字节），上面显示窗口大小为65531字节。Checksum：16位校验和，检验和覆盖了整个的TCP报文段，由发端计算和存储，并由收端进行验证。时间标志（timestamp）类型：8；长度：10；用于帮助计算双向时间(RTT)传输的数据包；TSval值字段：78969467；TSecr回显应答字段：用于回显接收到的TSval值字段，该报文中是19365；rtt即等于现在的时间tcp_time_stamp减去TimestampEchoReply。TCP报文段中的数据（该部分是可选的），长度是1448字节。RTP：显示该帧Frame11120：上线字节数：1514bytes，捕获字节数：1514bytes；ArrivalTime:到达时间：5月9日,201221:27:33.884680000EpochTime:信息出现时间：1336570053.884680000秒[Timedeltafrompreviouscapturedframe:0.000598000seconds]与之前捕获的数据帧时间差：0.000598000秒[Timedeltafrompreviousdisplayedframe:0.000000000seconds]与之前的帧显示时间差：0秒；[Timesincereferenceorfirstframe:40.724390000seconds]距参考帧或第一帧的时间差：40.724390000秒；FrameNumber:11120帧编号：11120FrameLength:1514bytes(12112bits)帧长度：1514字节；CaptureLength:1514bytes(12112bits)捕获到的长度：1514字节；[Frameismarked:False]帧标记：无；[Frameisignored:False]帧被忽略：无；[Protocolsinframe:eth:ip:tcp:rtp:mp2t]协议帧：eth（以太网）、IP、tcp、rtp、mp2t；[ColoringRuleName:TCP]色彩规则名称：TCP[ColoringRulestring:tcp]色彩规则字符串：TCP以太网II，源MAC地址：00:19:c6:00:06:3d；目的MAC地址：00:1c:25:d4:91:9a;类型是IP数据包；….…0….….….….=IGbit:Individuleaddress(unicast)IG位：个人地址（单播）….…0.….….….….=LGbit:Globallyuniqueaddress(factorydefault)LG位：全局唯一地址（默认出厂设置）IPV4，源IP地址：172.24.3.5;目的IP地址：172.24.7.26；Header头部数据长度：20字节；DifferentiatedServicesField:0x00(DSCP0x00:Default;ECN:0x00:Not-ECT(NotECN-CapableTransport))区分的服务领域：0x00（默认的是DSCP：0x00；）（don’tFragment）不支持分组；分组偏移量是0；TTL：生存时间127；TTL通常表示包在被丢弃前最多能经过的路由器个数。当数据包传送到一个路由器之后，TTL就自动减1，如果减到0了还是没有传送到目的主机，那么就自动丢失。端口号：数据传输的16位源端口号和16位目的端口号（用于寻找发端和收端应用进程）；该数据包相对序列号是1012（此序列号用来确定传送数据的正确位置，且序列号，用来侦测丢失的包）；下一个数据包的序列号是2460；Acknowledgementnumber是32位确认序号，表示数据包收到，确认其有效；收到的数据包的头字节长度是4位32比特；Flags含6个标志比特：URG紧急指针（urgentpointer）有效；ACK确认序号有效；PSH接收方应该尽快将这个报文段交给应用层；RST重建连接；SYN同步序号用来发起一个连接；FIN发端完成发送任务，关闭连接。源主机在收到确认消息之前可以传输的数据的大小称为窗口大小。用于管理丢失数据和流量控制。window：（TCP的流量控制由连接的每一端通过声明的窗口大小来提供。窗口大小为字节数，起始于确认序号字段指明的值，这个值是接收端正期望接收的字节。窗口大小是一个16bit字段，因而窗口大小最大为65535字节），上面显示窗口大小为65531字节。Checksum：16位校验和，检验和覆盖了整个的TCP报文段，由发端计算和存储，并由收端进行验证。Options可选项：空，无操作；时间标志（timestamp）类型：8；长度：10；用于帮助计算双向时间(RTT)传输的数据包；TSval值字段：78969467；TSecr回显应答字段：用于回显接收到的TSval值字段，该报文中是19365；rtt即等于现在的时间tcp_time_stamp减去TimestampEchoReply。RTP头部：版本（version）：2位，标识RTP版本是RFC1889Version填充(Padding)：1比特Padding：False，表示不设置；扩展(X)：1比特Extension：False，表示不设置；CSRC计数(CC)：4比特CSRC计数包含了跟在固定头后面CSRC识别符的数目。负载类型(Payloadtype)：7比特此域定义了负载的格式：MPEG-II传输数据流；序列号（sequencenumber）：16比特每发送一个RTP数据包，序列号加1，接收端可以据此检测丢包和重建包序列。序列号的初始值是随机的(不可预测)，以使即便在源本身不加密时(有时包要通过翻译器，它会这样做)，对加密算法泛知的普通文本攻击也会更加困难。时间戳（timestamp）32比特时间戳反映了RTP数据包中第一个字节的采样时间。时钟频率依赖于负载数据格式，并在描述文件（profile）中进行描述。也可以通过RTP方法对负载格式动态描述。同步源标识符（SSRC，SynchronizationSourceIdentifier）：32位，SSRC段标识同步源。此标识不是随机选择的，目的在于使同一RTP包连接中设有两个同步源有相同的SSRC标识。尽管多个源选择同一个标识的概率很低，所有RTP实现都必须探测并解决冲突。如源改变源传输地址，也必须选择一个新SSRC标识以避免插入成环行源。该RTP包的SSRC是0x301f0000；TS包包头：ISO/IEC13818-1：系统部分；PID（PacketIdentification）：包识别标志；PID=0x1e1；CC（CSRC计数）：4比特CSRC计数包含了跟在固定头后面CSRC识别符的数目。Header包含信息：（对TS包有同步、识别、检错和加密功能）同步字节（1B）：建立包同步；传输误码指示符（1bit）：0表示不采用误码校正解码器；有效载荷单元起始指示符（1bit）：0表示不存在确定的起始信息；传输优先（1bit）：0表示不给TS包分配优先级；包识别（13bit）：区别ES传来的包，PID=0x1e1；传输加扰控制（2bit）：Notscrambled表示数据包内容无加扰；自适应区控制（2bit）：01表示有有用信息有自适应区；连续计数器（4bit）：对传送PID包顺序计数，当前是第4个包。//Ping命令就是发送ICMP的echo包，通过回送的echorelay进行网络测试。RTCP工作机制当应用程序开始一个rtp会话时将使用两个端口：一个给rtp，一个给rtcp。rtp本身并不能为按顺序传送数据包提供可靠的传送机制，也不提供流量控制或拥塞控制，它依靠rtcp提供这些服务。在rtp的会话之间周期的发放一些rtcp包以用来传监听服务质量和交换会话用户信息等功能。rtcp包中含有已发送的数据包的数量、丢失的数据包的数量等统计资料。因此，服务器可以利用这些信息动态地改变传输速率，甚至改变有效载荷类型。rtp和rtcp配合使用，它们能以有效的反馈和最小的开销使传输效率最佳化，因而特别适合传送网上的实时数据。根据用户间的数据传输反馈信息，可以制定流量控制的策略，而会话用户信息的交互，可以制定会话控制的策略。RTCP数据报在RTCP通信控制中，RTCP协议的功能是通过不同的RTCP数据报来实现的，主要有如下几种类型：①SR:发送端报告，所谓发送端是指发出RTP数据报的应用程序或者终端，发送端同时也可以是接收端。②RR:接收端报告，所谓接收端是指仅接收但不发送RTP数据报的应用程序或者终端。③SDES:源描述，主要功能是作为会话成员有关标识信息的载体，如用户名、邮件地址、电话号码等，此外还具有向会话成员传达会话控制信息的功能。④BYE:通知离开，主要功能是指示某一个或者几个源不再有效，即通知会话中的其他成员自己将退出会话。⑤APP:由应用程序自己定义，解决了RTCP的扩展性问题，并且为协议的实现者提供了很大的灵活性。Test完