您好,欢迎访问三七文档
当前位置:首页 > IT计算机/网络 > 开发文档 > wireshark抓包分析
TCP:(TCP是面向连接的通信协议,通过三次握手建立连接,通讯完成时要拆除连接,由于TCP是面向连接的所以只能用于点对点的通讯)源IP地址:发送包的IP地址;目的IP地址:接收包的IP地址;源端口:源系统上的连接的端口;目的端口:目的系统上的连接的端口。TCP是因特网中的传输层协议,使用三次握手协议建立连接。当主动方发出SYN连接请求后,等待对方回答SYN,ACK。这种建立连接的方法可以防止产生错误的连接,TCP使用的流量控制协议是可变大小的滑动窗口协议。第一次握手:建立连接时,客户端发送SYN包(SEQ=x)到服务器,并进入SYN_SEND状态,等待服务器确认。第二次握手:服务器收到SYN包,必须确认客户的SYN(ACK=x+1),同时自己也送一个SYN包(SEQ=y),即SYN+ACK包,此时服务器进入SYN_RECV状态。第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ACK=y+1),此包发送完毕,客户端和服务器进入Established状态,完成三次握手。第一行:帧Frame1指的是要发送的数据块;其中,捕获字节等于传输的字节数第二行:以太网,是数据链路层;源MAC地址是:00:19:c6:00:06:3d,目的MAC地址是:00:1c:25:d4:91:9a;第三行:IPV4,源IP地址:172.24.3.5;目的IP是:172.24.7.26;第四行:协议类型:TCP;源端口bctp(8999),目的端口:2376;序列号:每发送一个RTP数据包,序列号就加1;ACK是TCP数据包首部中的确认标志,对已接收到的TCP报文进行确认,其为1表示确认号有效;长度是1448字节;第五行:数据总有1448字节;其中,对应的TCP首部的数据信息:端口号:数据传输的16位源端口号和16位目的端口号(用于寻找发端和收端应用进程);该数据包相对序列号是1(此序列号用来确定传送数据的正确位置,且序列号,用来侦测丢失的包);下一个数据包的序列号是1449;Acknowledgementnumber是32位确认序号,其等于1表示数据包收到,确认其有效;收到的数据包的头字节长度是4位32比特;Flags含6个标志比特:URG紧急指针(urgentpointer)有效ACK确认序号有效。PSH接收方应该尽快将这个报文段交给应用层。RST重建连接。SYN同步序号用来发起一个连接。FIN发端完成发送任务。window:(TCP的流量控制由连接的每一端通过声明的窗口大小来提供。窗口大小为字节数,起始于确认序号字段指明的值,这个值是接收端正期望接收的字节。窗口大小是一个16bit字段,因而窗口大小最大为65535字节),上面显示窗口大小为65531字节。Checksum:16位校验和,检验和覆盖了整个的TCP报文段,由发端计算和存储,并由收端进行验证。时间标志(timestamp)类型:8;长度:10;用于帮助计算双向时间(RTT)传输的数据包;TSval值字段:78969467;TSecr回显应答字段:用于回显接收到的TSval值字段,该报文中是19365;rtt即等于现在的时间tcp_time_stamp减去TimestampEchoReply。TCP报文段中的数据(该部分是可选的),长度是1448字节。RTP:显示该帧Frame11120:上线字节数:1514bytes,捕获字节数:1514bytes;ArrivalTime:到达时间:5月9日,201221:27:33.884680000EpochTime:信息出现时间:1336570053.884680000秒[Timedeltafrompreviouscapturedframe:0.000598000seconds]与之前捕获的数据帧时间差:0.000598000秒[Timedeltafrompreviousdisplayedframe:0.000000000seconds]与之前的帧显示时间差:0秒;[Timesincereferenceorfirstframe:40.724390000seconds]距参考帧或第一帧的时间差:40.724390000秒;FrameNumber:11120帧编号:11120FrameLength:1514bytes(12112bits)帧长度:1514字节;CaptureLength:1514bytes(12112bits)捕获到的长度:1514字节;[Frameismarked:False]帧标记:无;[Frameisignored:False]帧被忽略:无;[Protocolsinframe:eth:ip:tcp:rtp:mp2t]协议帧:eth(以太网)、IP、tcp、rtp、mp2t;[ColoringRuleName:TCP]色彩规则名称:TCP[ColoringRulestring:tcp]色彩规则字符串:TCP以太网II,源MAC地址:00:19:c6:00:06:3d;目的MAC地址:00:1c:25:d4:91:9a;类型是IP数据包;….…0….….….….=IGbit:Individuleaddress(unicast)IG位:个人地址(单播)….…0.….….….….=LGbit:Globallyuniqueaddress(factorydefault)LG位:全局唯一地址(默认出厂设置)IPV4,源IP地址:172.24.3.5;目的IP地址:172.24.7.26;Header头部数据长度:20字节;DifferentiatedServicesField:0x00(DSCP0x00:Default;ECN:0x00:Not-ECT(NotECN-CapableTransport))区分的服务领域:0x00(默认的是DSCP:0x00;)(don’tFragment)不支持分组;分组偏移量是0;TTL:生存时间127;TTL通常表示包在被丢弃前最多能经过的路由器个数。当数据包传送到一个路由器之后,TTL就自动减1,如果减到0了还是没有传送到目的主机,那么就自动丢失。端口号:数据传输的16位源端口号和16位目的端口号(用于寻找发端和收端应用进程);该数据包相对序列号是1012(此序列号用来确定传送数据的正确位置,且序列号,用来侦测丢失的包);下一个数据包的序列号是2460;Acknowledgementnumber是32位确认序号,表示数据包收到,确认其有效;收到的数据包的头字节长度是4位32比特;Flags含6个标志比特:URG紧急指针(urgentpointer)有效;ACK确认序号有效;PSH接收方应该尽快将这个报文段交给应用层;RST重建连接;SYN同步序号用来发起一个连接;FIN发端完成发送任务,关闭连接。源主机在收到确认消息之前可以传输的数据的大小称为窗口大小。用于管理丢失数据和流量控制。window:(TCP的流量控制由连接的每一端通过声明的窗口大小来提供。窗口大小为字节数,起始于确认序号字段指明的值,这个值是接收端正期望接收的字节。窗口大小是一个16bit字段,因而窗口大小最大为65535字节),上面显示窗口大小为65531字节。Checksum:16位校验和,检验和覆盖了整个的TCP报文段,由发端计算和存储,并由收端进行验证。Options可选项:空,无操作;时间标志(timestamp)类型:8;长度:10;用于帮助计算双向时间(RTT)传输的数据包;TSval值字段:78969467;TSecr回显应答字段:用于回显接收到的TSval值字段,该报文中是19365;rtt即等于现在的时间tcp_time_stamp减去TimestampEchoReply。RTP头部:版本(version):2位,标识RTP版本是RFC1889Version填充(Padding):1比特Padding:False,表示不设置;扩展(X):1比特Extension:False,表示不设置;CSRC计数(CC):4比特CSRC计数包含了跟在固定头后面CSRC识别符的数目。负载类型(Payloadtype):7比特此域定义了负载的格式:MPEG-II传输数据流;序列号(sequencenumber):16比特每发送一个RTP数据包,序列号加1,接收端可以据此检测丢包和重建包序列。序列号的初始值是随机的(不可预测),以使即便在源本身不加密时(有时包要通过翻译器,它会这样做),对加密算法泛知的普通文本攻击也会更加困难。时间戳(timestamp)32比特时间戳反映了RTP数据包中第一个字节的采样时间。时钟频率依赖于负载数据格式,并在描述文件(profile)中进行描述。也可以通过RTP方法对负载格式动态描述。同步源标识符(SSRC,SynchronizationSourceIdentifier):32位,SSRC段标识同步源。此标识不是随机选择的,目的在于使同一RTP包连接中设有两个同步源有相同的SSRC标识。尽管多个源选择同一个标识的概率很低,所有RTP实现都必须探测并解决冲突。如源改变源传输地址,也必须选择一个新SSRC标识以避免插入成环行源。该RTP包的SSRC是0x301f0000;TS包包头:ISO/IEC13818-1:系统部分;PID(PacketIdentification):包识别标志;PID=0x1e1;CC(CSRC计数):4比特CSRC计数包含了跟在固定头后面CSRC识别符的数目。Header包含信息:(对TS包有同步、识别、检错和加密功能)同步字节(1B):建立包同步;传输误码指示符(1bit):0表示不采用误码校正解码器;有效载荷单元起始指示符(1bit):0表示不存在确定的起始信息;传输优先(1bit):0表示不给TS包分配优先级;包识别(13bit):区别ES传来的包,PID=0x1e1;传输加扰控制(2bit):Notscrambled表示数据包内容无加扰;自适应区控制(2bit):01表示有有用信息有自适应区;连续计数器(4bit):对传送PID包顺序计数,当前是第4个包。//Ping命令就是发送ICMP的echo包,通过回送的echorelay进行网络测试。RTCP工作机制当应用程序开始一个rtp会话时将使用两个端口:一个给rtp,一个给rtcp。rtp本身并不能为按顺序传送数据包提供可靠的传送机制,也不提供流量控制或拥塞控制,它依靠rtcp提供这些服务。在rtp的会话之间周期的发放一些rtcp包以用来传监听服务质量和交换会话用户信息等功能。rtcp包中含有已发送的数据包的数量、丢失的数据包的数量等统计资料。因此,服务器可以利用这些信息动态地改变传输速率,甚至改变有效载荷类型。rtp和rtcp配合使用,它们能以有效的反馈和最小的开销使传输效率最佳化,因而特别适合传送网上的实时数据。根据用户间的数据传输反馈信息,可以制定流量控制的策略,而会话用户信息的交互,可以制定会话控制的策略。RTCP数据报在RTCP通信控制中,RTCP协议的功能是通过不同的RTCP数据报来实现的,主要有如下几种类型:①SR:发送端报告,所谓发送端是指发出RTP数据报的应用程序或者终端,发送端同时也可以是接收端。②RR:接收端报告,所谓接收端是指仅接收但不发送RTP数据报的应用程序或者终端。③SDES:源描述,主要功能是作为会话成员有关标识信息的载体,如用户名、邮件地址、电话号码等,此外还具有向会话成员传达会话控制信息的功能。④BYE:通知离开,主要功能是指示某一个或者几个源不再有效,即通知会话中的其他成员自己将退出会话。⑤APP:由应用程序自己定义,解决了RTCP的扩展性问题,并且为协议的实现者提供了很大的灵活性。Test完
本文标题:wireshark抓包分析
链接地址:https://www.777doc.com/doc-2867706 .html