sniffer抓包分析
通过分析sniffer抓取的数据包,可以看到DNS的域名解析的过程,可以看到TCP的三次握手,也可以看到数据在不同地址之间的传输。
比如:
首先,通过TTL和ICMP协议,可以知道这个是tracert 命令的结果。首先经过了DNS,说明tracert的是一个域名而不是ip地址。域名可以看到就是mail.tj.edu.cn,前面四行是域名解析的过程,可以看到Dest Address就是dns的地址,这里是202.113.64.7,因为C是请求,R是dns服务器的回复,所以也可以知道本机的ip是202.113.64.133。填空的1的位置,由于已经dns解析成功,所以dest addr就是mail.tj.edu.cn。Protocol可以知道是ICMP,source address就是上面的本机ip。而且可以通过这个数据包看出,第一个经过的路由是:202.113.64.129,第二个经过的是202.113.77.253。destination address是目的ip和域名,就是mail.tj.edu.cn。
首先,这个是一个在浏览器访问网站时用url访问的结果。可以看出,destination address是mail.lb.pku.edu.cn,destination port可知用的是https协议,所以url为https://mail.lb.pku.edu.cn ,这里可以看到TCP的三次握手,具体的过程如下:
客户机先给服务器发一个随机的seq = x,并把SYN=1,服务器接收到以后,返回一个值为x+1的ack给客户机,并且也发一个seq = y,这时SYN=1,ACK=1。然后客户机再给服务器发送,seq = x + 1,ack = y + 1。这样就成功的建立了链接。
根据这个过程,可以看出,第一次seq = 486042694,所以第二次的ack=486062695;然后根据第三次的ack,可以推断第二次的seq为1327742113.
这是ftp相关的的一个数据包,前面的都一样,TCP握手和之前一样。这个可以看出要访问的地址是ftp.pku.edu.cn,通过TCP握手的过程或者后面的数据传输的过程,可以看到这个站点的ip地址是:202.38.97.197。得到这个响应执行的操作为:ftp ftp.pku.edu.cn。 由于选中的这条是SYN报文,对应的flag = 02
找到一个和ping有关的,这个由echo和echo-reply,以及ICMP协议的报文,可以知道这是一个ping的操作的结果,首先Type = 8 表示Echo,如果是0表示Echo-reply,11表示Time Exceeded。
需要注意的是,这里的不是一个简单的ping命令,因为ping默认4个报文每个64 byte的数据,这里可以看到,1024 bytes of data,说明这个是用了参数设置的。对于ping命令,如下:
ping -l size (按照指定长度size发送报文)
ping -n count (按照指定数量发送报文)ps:
DNS中,C代表请求,R代表回复
DNS缺省端口是53
HTTP协议通信源端口是80。
FTP的服务器提供的端口:21用于数据连接;20数据传送
Email的访问:
SMTP:tcp端口25
POP3:tcp端口110
IMAP4:tcp端口143
ICMP:典型应用,ping和tracert,icmp是作为ip数据报的数据部分进行传送的。
报文:8:echo,0:echo-reply,11:time exceeded
echo和echo-reply表示的ping,而有ttl exceeded的则是tracert的操作。由原理即可推理出。
2018年03月23日14:30:24