分析所用软件下载:Wireshark-win32-1.10.2.exe
阅读导览
1. 分析应用TCP协议,以及TCP链接管理
2. 分析应用UDP协议
分析要求
(1)TCP部分:
- 学习3CDaemon FTP 服务器的配置和使用
- 设计应用以获取tcp报文
- 分析tcp报文的格式与内容(分析至少5个报文,并理解它们之间的关系)
- 分析TCP 连接建立的 "三次握手"过程,找到 对应的报文
(2)UDP部分:
- 学习Cisco TFTP Server的配置和使用
- 设计应用以获取udp报文
- 分析udp报文的格式与内容(分析至少5个报文,并理解它们之间的关系)
- 分析UDP 报文与TCP 报文有何不同?体会UDP 协议和TCP 协议的区别
分析内容
(1)TCP部分:
- 学习3CDaemon FTP 服务器的配置和使用
下载安装3CDaemon软件并配置FTP服务器部分
- 设计应用以获取tcp报文
使用3CDaemon 系统内置的匿名帐户 "anonymous"登陆FTP 服务器以获取TCP报文
- 分析tcp报文的格式与内容(分析至少5个报文,并理解它们之间的关系)
分析见第四部分
- 分析TCP 连接建立的 "三次握手"过程,找到 对应的报文
(2)UDP部分:
- 学习Cisco TFTP Server的配置和使用
配置Cisco TFTP Server
- 设计应用以获取udp报文
使用Windows 命令行模式下的TFTP 客户端命令连接TFTP服务器,下载f1.txt文件:
TFTP –i 172.18.3.188 GET f1.txt
上传f2.txt文件:
TFTP -i 172.18.3.188 PUT f2.txt
同时抓包以获取UDP报文
- 分析udp报文的格式与内容(分析至少5个报文,并理解它们之间的关系)
分析见第四部分
- 分析UDP 报文与TCP 报文有何不同?体会UDP 协议和TCP 协议的区别
分析结果及总结
1. 获取并分析tcp报文
(1)登录ftp服务器:172.18.3.154建立TCP连接的SYN报文:
07a200151ea58e8f000000008002ffff5ad20000020405b40103030301010402
源端口:07a2
Source port: abr-api (1954)
目的端口:0015
Destination port: ftp (21)
序号:1e a5 8e 8f
Sequence number: 0 (relative sequence number)
首部长度:8
Header length: 32 bytes
码元比特:02
Flags: 0x002 (SYN)
窗口:ff ff
Window size value: 65535
Calculated window size: 65535
校验和:5ad2
Checksum: 0x5ad2 [validation disabled]
选项:02 04 05 b4 01 03 03 03 01 01 04 02
Options: (12 bytes), Maximum segment size, No-Operation (NOP), Window scale, No-Operation (NOP), No-Operation (NOP), SACK permitted
(2)登录ftp服务器:172.18.3.154建立TCP连接的SYN+ACK报文:
00e04c512b4e00e04c500ff9080045000034287040004006b2fcac12039aac120399001507a263bcdaf71ea58e908012ffff1c0d0000020405b40103030301010402 
源端口:00 15
Source port: ftp (21)
目的端口:07 a2
Destination port: abr-api (1954)
序号:63 bc da f7
Sequence number: 0 (relative sequence number)
确认号:1e a5 8e 90
Acknowledgment number: 1 (relative ack number)
首部长度:8
Header length: 32 bytes
码元比特:12
Flags: 0x012 (SYN, ACK)
窗口:ff ff
Window size value: 65535
Calculated window size: 65535
校验和:1c 0d
Checksum: 0x1c0d [validation disabled]
选项:020405b40103030301010402
Options: (12 bytes), Maximum segment size, No-Operation (NOP), Window scale, No-Operation (NOP), No-Operation (NOP), SACK permitted
(3)登录ftp服务器:172.18.3.154建立TCP连接的第二个ACK报文:
07a200151ea58e9063bcdaf85010b5c9a7110000
源端口:07a2
Source port: abr-api (1954)
目的端口:0015
Destination port: ftp (21)
序号:1e a5 8e 90
Sequence number: 1 (relative sequence number)
确认号:63 bc da f8
Acknowledgment number: 1 (relative ack number)
首部长度:5
Header length: 20 bytes
码元比特:10
Flags: 0x010 (ACK)
窗口:b5 c9
Window size value: 46537
Calculated window size: 372296
Window size scaling factor: 8
校验和:a7 11
Checksum: 0xa711 [validation disabled]
(4)ftp服务器:172.18.3.154断开TCP连接的FIN+ACK seq=x报文:
00e04c512b4e00e04c500ff908004500002854fb40004006867dac12039aac12039900150966cb76f9c531de53865011b5b846a70000000000000000
源端口:00 15
Source port: ftp (21)
目的端口:09 66
Destination port: jediserver (2406)
序号:cb 76 f9 c5
Sequence number: 437 (relative sequence number)
确认号:31 de 53 86
Acknowledgment number: 135 (relative ack number)
首部长度:5
Header length: 20 bytes
码元比特:11
Flags: 0x011 (FIN, ACK)
窗口:b5 b8
Window size value: 46520
Calculated window size: 372160
Window size scaling factor: 8
校验和:46 a7
Checksum: 0x46a7 [validation disabled]
(5)ftp服务器:172.18.3.154断开TCP连接的ACK x+1报文:
0966001531de5386cb76f9c65010b59346cc0000
源端口:09 66
Source port: jediserver (2406)
目的端口:00 15
Destination port: ftp (21)
序号:31 de 53 86
Sequence number: 135 (relative sequence number)
确认号:cb 76 f9 c6
Acknowledgment number: 438 (relative ack number)
首部长度:5
Header length: 20 bytes
码元比特:10
Flags: 0x010 (ACK)
窗口:b5 93
Window size value: 46483
Calculated window size: 371864
Window size scaling factor: 8
校验和:46 cc
Checksum: 0x46cc [validation disabled]
(6)ftp服务器:172.18.3.154断开TCP连接的FIN seq =y ,ACK +1报文:
0966001531de5386cb76f9c65011b59346cb0000
源端口:09 66
Source port: jediserver (2406)
目的端口:00 15
Destination port: ftp (21)
序号:31 de 53 86
Sequence number: 135 (relative sequence number)
确认号:cb 76 f9 c6
Acknowledgment number: 438 (relative ack number)
首部长度:5
Header length: 20 bytes
码元比特:11
Flags: 0x011 (FIN, ACK)
窗口:b5 93
Window size value: 46483
Calculated window size: 371864
Window size scaling factor: 8
校验和:46 cb
Checksum: 0x46cb [validation disabled]
(7)ftp服务器:172.18.3.154断开TCP连接的ACK y+1报文:
00e04c512b4e00e04c500ff908004500002854fc40004006867cac12039aac12039900150966cb76f9c631de53875010b5b846a60000000000000000
源端口:00 15
Source port: ftp (21)
目的端口:09 66
Destination port: jediserver (2406)
序号:cb 76 f9 c6
Sequence number: 438 (relative sequence number)
确认号:31 de 53 87
Acknowledgment number: 136 (relative ack number)
首部长度:5
Header length: 20 bytes
码元比特:10
Flags: 0x010 (ACK)
窗口:b5 b8
Window size value: 46520
Calculated window size: 372160
Window size scaling factor: 8
校验和:46 a6
Checksum: 0x46a6 [validation disabled]
对于TCP连接建立过程:
客户端发送序号为x的SYN报文,服务器接收后发送序号为y的SYN与序号为x+1 的ACK 报文,客户端接收后,发送序号为y+1的ACK报文,TCP以此顺序建立三次握手。
对于TCP连接的正常关闭:
网点1发送序号为x的FIN报文,网点2接收后发送序号为x+1的ACK 报文,网点2再发送序号为y的FIN与序号为x+1的ACK报文,网点1接收后发送序号为y+1的ACK报文,网点2接收该报文,连接正常关闭,此为改进的三次握手方法。
2. 获取并分析UDP报文
(1)TFTP –i 172.18.3.188 GET f1.txt的第一个UDP报文:
0c3e00450017bd5c
源端口:0c 3e
Source Port: 3134 (3134)
目的端口:0045
Destination Port: 69 (69)
报文长度:00 17
Length: 23
校验和:bd 5c
Checksum: 0xbd5c [validation disabled]
数据为TFTP报文
(2)TFTP –i 172.18.3.188 GET f1.txt的第二个UDP报文:
09f30c3e001b8124
源端口:09 f3
Source Port: 2547 (2547)
目的端口:0c3e
Destination Port: 3134 (3134)
报文长度:00 1b
Length: 27
校验和:81 24
Checksum: 0x8124 [validation disabled]
数据为TFTP报文
(3)TFTP –i 172.18.3.188 GET f1.txt的第三个UDP报文:
0c3e09f3000c8a32
源端口:0c 3e
Source Port: 3134 (3134)
目的端口:09 f3
Destination Port: 2547 (2547)
报文长度:00 0c
Length: 12
校验和:8a 32
Checksum: 0x8a32 [validation disabled]
数据为TFTP报文
(4)TFTP –i 172.18.3.188 PUT f2.txt的第一个UDP报文:
0d1d00450017bc7b
源端口:0d 1d
Source Port: 3357 (3357)
目的端口:00 45
Destination Port: 69 (69)
报文长度:00 17
Length: 23
校验和:bc 7b
Checksum: 0xbc7b [validation disabled]
数据为TFTP报文
(5)TFTP –i 172.18.3.188 PUT f2.txt的第二个UDP报文:
0b410d1d000c8806
源端口:0b 41
Source Port: 2881 (2881)
目的端口:0d 1d
Destination Port: 3357 (3357)
报文长度:00 0c
Length: 12
校验和:88 06
Checksum: 0x8806 [validation disabled]
数据为TFTP报文
(6)TFTP –i 172.18.3.188 PUT f2.txt的第三个UDP报文:
0d1d0b4100138b61
源端口:0d 1d
Source Port: 3357 (3357)
目的端口:0b 41
Destination Port: 2881 (2881)
报文长度:00 13
Length: 19
校验和:8b 61
Checksum: 0x8b61 [validation disabled]
数据为TFTP报文
(7)TFTP –i 172.18.3.188 PUT f2.txt的第四个UDP报文:
0b410d1d000c8805
源端口:0b 41
Source Port: 2881 (2881)
目的端口:0d 1d
Destination Port: 3357 (3357)
报文长度:00 0c
Length: 12
校验和:88 05
Checksum: 0x8805 [validation disabled]
数据为TFTP报文
UDP 报文与TCP 报文有何不同:
UDP报文比TCP报文简短,且不用建立连接,TCP是可靠传输协议,UDP是不可靠传输协议。UDP传输速度比TCP快,适用于一些对速度要求高,精确度要求较低的连接。