网络对抗作业.docx
《网络对抗作业.docx》由会员分享,可在线阅读,更多相关《网络对抗作业.docx(10页珍藏版)》请在冰点文库上搜索。
网络对抗作业
西安电子科技大学
网络对抗
班级
学号
姓名
Wireshark抓包数据分析
关于TCP与HTTPUDP与OICQ协议之间的比较
●Win7系统下wireshark的数据包抓取;
●抓取的数据包有TCPUDPHTTPARPOICQ等协议;
●此次做有对TCP与HTTPUDP与OICQ两组协议之间的对比分析
一TCP与HTTP协议之间的对比分析
1.
ØTCP/IP协议是个协议族,包括:
网络层传输层应用层;
ØHTTP协议是TCP/IP的子协议而HTTP只是建立在应用层上的;
ØTCP协议也是TCP/IP协议的子协议,建立在传输层上;
2.
数据链路层:
Ø两种协议呈现出来的数据链路层的信息无差别;
Ø上面可以看出目的主机的MAC地址以及自己电脑的MAC地址;
ØIGbit:
Individualaddress(uncast)LGbit:
Globallyuniqueaddress(factorydefault)
Uncast:
意思为单播,即是客户端与服务器之间的点到点连接。
单播的优点:
1.服务器及时响应客户机的请求 2.服务器针对每个客户不同的请求发送不同的数据,容易实现个性化服务。
Factorydefault:
意思是恢复出厂设置。
ØType:
IP(0x0800):
是指该数据帧是递交给它上层(网络层)的IP协议进一步处理的。
3.
IP网络层:
ØEthernetⅡ:
以太网帧的格式,如上小图;
ØVersion:
4表示IP版本号为4,占四个bit位;
ØHeadlength:
20bytes表示IP包头的总长度为20字节,占4个bit位,单位为4个字节。
ØIdentification:
0x05bf(1471)身份证明表示该IP包的识别号为1471
ØFlags:
0x02表示标记字段,SYN,请求建立TCP连接;
ØDon'tfragment不分段;
ØFragmentoffset:
0表示碎片偏移量为0;
ØTimetolive:
64TTL生存期,每经过一次路由TTL值减一,而校园内网不需要经过路由。
ØProtocol:
TCP(6)表示为tcp协议,6即0x06,是其IP协议号,比如UDP为0x11,ICMP为0x01
ØHeaderchecksum:
0x0000提示说应该是0x2a76,可能是因为IP校验和卸载。
ØChecksum:
校验和。
当收到一份IP数据报后,对首部中每个16bit进行二进制反码的求和。
由于接收方在计算过程中包含了发送方存在首部中的检验和,因此,如果首部在传输过程中没有发生任何差错,那么接收方计算的结果应该全为1。
如果结果不是全1(即检验和错误),那么IP就丢弃收到的数据报。
但是不生成差错报文,由上层去发现丢失的数据报并进行重传。
4.
传输层:
ØSourceport:
49216(49216)表示源端口为49216;
ØDestinationport:
http(80)表示目的端口为http80;
ØStreamindex:
22留索引端口号,为22;
ØSequencenumber:
1序列号为1,relativesequencenumber;
ØNextSequencenumber:
540对方应答号;
ØAcknowledgementnumber:
1表示确认码为1,相对确认码;
ØHeaderlength:
20bytes首部长度20字节,即0101;
ØFlags:
0x10标记字段,此为ack,共六种;
1.紧急(Urgent,简称URG):
通知对方主机该TCP数据包中包含有紧急数据;
2.确认(Acknowledgement,简称ACK):
用来确认接收到对方主机的TCP数据包;
3.急迫(Push,简称PSH):
通知对方主机立即将该数据包送往上层协议;
4.重置(Reset,简称RST):
表示此TCP连接已被对方主机重新启动;
5.同步(Synchronization,简称SYN):
用来建立和对方主机的TCP连接;
6.终止(Finish,简称FIN):
用来关闭TCP连接。
ØWindowsizevalue:
11584表示窗口大小值为11584;
ØCalculatedWindowsize:
46336表示计算窗口值为46336;
ØWindowsizescalingfactor:
4窗口大小换算系数为4;
ØChecksum:
0x0888[validationdisabled]验证禁用;
因为wireshark总是常常抓取正在运行自己的PC的网络帧,通常的结果是校验和溢出帧不正确,因为它们被wireshark记录之后又被网卡仅仅对传播计算。
(ThisusuallyresultsinthechecksumsofoutgoingframesbeingincorrectsincetheyareonlycalculatedfortransmissionbythenetworkcardaftertheywerealreadyrecordedbyWireshark)为避免平凡的提示校验值出错,默认验证禁用。
ØThisisanACKtothesegmentinframe:
这是一个默认的段框架;
5.
应用层:
ØGET/imgpro/login/login-new2.pngHTTP/1.1\r\n
对1.1版本的HTTP协议提出获得进入系统的请求;
ØSeveritylevel:
chat验证等级为chat型;
ØGroupsequence顺序分组;
ØRequestmethod:
GET获得方法为GET;
ØAccept-Language:
zh-cn\r\n可接受的语言类型;
ØRequestURI:
请求地址或账号;
ØRequestversion:
HTTP1.1请求的版本号;
ØAccept-Encoding:
gzip,deflate\r\n解码;
ØUseragent:
用户代理或终端;
mozilla/5.0(compatible;MSIE9.0;WindowsNT6.1;wow64;trident.5.0)\r\n
兼容IE9.0,Windows网络终端(操作系统)6.1,wow64;trident/5.0;
wow64简介 :
WoW64(Windows-on-Windows64-bit)是一个Windows操作系统的子系统,能够运行32-bit应用程序,并且在所有的64-bit版本的windows上都存在。
Trident简介:
Windows搭载的IE的排版引擎,又成IE内核;
ØAccept-Encoding:
gzip,deflate\r\n解码;
ØHost:
\r\n登录后是一个人人的网页,仅显示helloworld;
ØConnection:
keep-Alive\r\n开启Keep-Alive,保持连接特性;
简单地说,当一个网页打开完成后,客户端和服务器之间用于传输HTTP数据的TCP连接不会关闭,如果客户端再次访问这个服务器上的网页,会继续使用这一条已经建立的连接.
升级会员 