2. 程式人生 > >UDP/TCP抓包分析

UDP/TCP抓包分析

阿新 發佈:2019-01-05

TCP/UDP資料包結構

1. 單獨的TCP/UDP報文結構

UDP頭:8byte

TCP頭:24byte

 

2.帶幀頭(14byte),IP頭(20byte)的UDP資料包結構


PS:後面的資料分析都是帶IP頭的資料包。

(四)UDP資料包分析

0x0000:  4500 0054 9a08 4000 4011 b88d ac17 8639  [email protected]@......9

0x0010:  ac17 099b e317 93e5 0040 e854 0000 0065  [email protected]

0x0020:  012d d668 0000 0000 0000 0000 0000 0038 .-.h...........8

0x0030:  3030 3030 3030 3030 3030 3030 3030 3030 0000000000000000

0x0040:  0000 0001 0000 0000 0000 0000 0000 0000 ................

0x0050:  0000 0000 

4500        [4: ipv4], [5: headerlength, *4 ==> 20], [00: Type of Service(TOS)]

0054        [total length: 0x54(84),ip header(20) + udp header(8) + packlen(56) -> 84]

9a08        id

4000        3bits(ip flags), 40 ->do not flag, 5bits: fragment offset

4011        [ttl: 40], [protocol:0x11(17) ==> udp]

b88d        checksum

ac178639   source ip: 172.23.134.57

ac17099b   dest ip: 172.23.9.155

e317        sourc port: 58135(ntohs(0xe317)) [exchange]

93e5        dest port: 37861

0040        length: 64

e854        checksum

00000065...  data

(五)TCP資料包分析

0x0000:  4500 0073 cdc5 4000 4006 6285 ca6e 4099  [email protected]@.b..n

@.

0x0010:  7474 8abe 1f40 070a 6d88 acdd 23d7 a448  [email protected]#..H

0x0020:  5018 16d0 0aa0 0000 0100 8000 0000 0047 P..............G

0x0030:  3004 8000 0016 8117 04d7 cd00 000b 0006 0...............

0x0040:  4500 1a4d 6bd0 180a 909a bc08 883d edea E..Mk........=..

0x0050: 091f                                    ..

4500        [4: ipv4] [5: ip headerlength, 4*5 -> 20] [00 TOS]

0073        [total length: 0x73(115),ip header(20) + tcp header(20) + packlen(75) -> 115]

cdc5        id(ignore it)

4000        3bits(ip flags), 40 ->do not flag, 5bits: fragment offset

4006        [40 ttl] [06 protocol,0x06 -> tcp]

6285        checksum

ca6e4099   source ip: 202.110.64.153

74748abe   dest ip: 116.116.138.190

1f40        sourc port: 8000(ntohs(0x401f)) [exchange]

070a        dest port: 1802

6d88acdd   32 bits sequence number(ignore)

23d7a448   32 bits ack(ignore)

5018        [5: tcp header length 5 *4 -> 20] [018: 0000 00/01 1000: reserved 6bit -> ACK+PUSH](URG|ACK|PSH|RST|SYN|FIN)

16d0        16bit window size: 5840

0aa0        16bit tcpchecksum(ignore)

0000        16bit urgent pointer

三次握手過程為



Frame:   物理層的資料幀概況

Ethernet II: 資料鏈路層乙太網幀頭部資訊

Internet ProtocolVersion 4: 網際網路層IP包頭部資訊

Transmission ControlProtocol:  傳輸層T的資料段頭部資訊,此處是TCP

Hypertext TransferProtocol:  應用層的資訊,此處是HTTP協議

一般三次握手都是TCP 通訊三次之後,再到HTPP通訊

所以用WireShark抓到的包,可以分析相同Res埠以及Des埠的HTTP包即可

而HTTP包中的資料分析和瀏覽器抓包分析相似。

但是需要注意的是其中的DATA很可能是壓縮或者加密過的

DATA的解壓和解密正在探究中。。。。



相關推薦

UDP/TCP分析

TCP/UDP資料包結構 1. 單獨的TCP/UDP報文結構 UDP頭:8byte TCP頭:24byte   2.帶幀頭(14byte),IP頭(20byte)的UDP資料包結構 PS:後面的資料分析都是帶IP頭的資料包。 (四)UDP資料包分析 0x0000

TCP ------ 分析

com 分析 抓包 數據 技術 不用 一個 其他 -- 分析: ACK包可以和其他包合在一起 可以接收多個數據包後,一次性給一個應答,不用每個數據包一一對應給應答 TCP ------ 抓包分析

Wireshark分析TCP.IP.UDP.ICMP報文格式

TCP 報文格式分析: TCP 報文段的報頭有 10 個必需的欄位和 1 個可選欄位。報頭至少為 20 位元組。 1)源埠(16位):標識傳送報文的計算機埠或程序。一個 TCP 報文段必須包括源埠號,使目的主機知道應該向何處傳送確認報文。 2)目的埠(16位):標識接收報文的目的主機的埠或程序。   由

以太網,IP,TCP,UDP數據分析

tro src 等待 tcp 光纖 frame arc rar tab http://www.cnblogs.com/feitian629/archive/2012/11/16/2774065.html 1、ISO開放系統有以下幾層: 7 應用層 6

FTP協議的粗淺學習--利用wireshark分析相關tcp連接

sha ftp命令 動向 c中 細胞 nsf ref 後退 圖片 一、為什麽寫這個 昨天遇到個ftp相關的問題,關於ftp匿名訪問的。花費了大量的腦細胞後,終於搞定了服務端的配置,現在客戶端可以像下圖一樣,直接在瀏覽器輸入url,即可直接訪問。 期間不會彈出輸入用戶名密

用wireshark分析TCP三次握手、四次揮手以及TCP實現可靠傳輸的機制(轉)

關於TCP三次握手和四次揮手大家都在《計算機網路》課程裡學過,還記得當時高超老師耐心地講解。大學裡我遇到的最好的老師大概就是這位了,雖然他只給我講過《java程式設計》和《計算機網路》,但每次課幾乎都動手敲程式碼或者當場做實驗。好了不扯了,下面進入正題。      關

FTP協議的粗淺學習--利用wireshark分析相關tcp連線

一、為什麼寫這個 昨天遇到個ftp相關的問題,關於ftp匿名訪問的。花費了大量的腦細胞後,終於搞定了服務端的配置,現在客戶端可以像下圖一樣,直接在瀏覽器輸入url,即可直接訪問。 期間不會彈出輸入使用者名稱密碼來登入的視窗。 今天我主要是有點好奇,在此過程中,究竟是否是用匿名賬戶“anonymo

基於wireshark分析TCP的三次握手

img src 建立 tab 安全 連接狀態 協議 處理 基於 在TCP/IP協議通訊過程中,采用三次握手建立連接,從而保證連接的安全可靠。 通常三次握手步驟如下: 1. 第1次握手:建立連接時,客戶端發送 SYN 包到服務器端,攜帶一個序列碼給服務器端用於確認,並進入

TCP協議基礎知識及wireshark分析實戰

TCP相關知識 應swoole長連線開發調研相關TCP知識並記錄。 資料封包流程 如圖,如果我需要傳送一條資料給使用者,實際的大小肯定是大於你傳送的大小,在各個資料層都進行了資料的封包,以便你的資料能完整的發給你想要的使用者。 乙太網的資料包的負載是1500位元組,IP包頭需要20個位元組,TCP

分析TCP的三次握手和四次握手

問題描述:        在上一篇《如何對Android裝置進行抓包》中提到了,伺服器的開發人員需要我bug重現然後提供抓包給他們分析,所以抓好包自己也試著分析了一下。發現裡面全是一些TCP協議和HTTP協議。所以要想進行抓包分析,必須先了解TCP的原理。這裡介紹了TCP的

TCP協議三次握手和四次揮手分析

 TCP協議在雙方建立連線的時候需要三次握手,首先客戶端傳送SYN標誌為1的TCP資料包,然後伺服器端收到之後,也會發送一個SYN標誌置位,並且帶有ack應答的資料包,最後客戶端再發送給服務端一個應答,這樣就建立起了通訊。  首先看TCP資料包頭部各個欄位: 在三

網路協議分析——TCP傳輸控制協議(連線建立、釋放)

前言 TCP協議為資料提供可靠的端到端的傳輸,處理資料的順序和錯誤恢復,保證資料能夠到達其應到達的地方。TCP協議是面向連線的,在兩臺主機使用TCP協議進行通訊之前,會先建立一個TCP連線(三次握手),雙方不再繼續通訊時,會將連線釋放(正常情況下四次揮手)。下面就抓包分析TCP三次握手和四次揮手的過程。

tcpdump分析TCP三次握手過程

tcpdump port 6000 -c 3 -n內容如下:21:07:17.790296 IP  192.168.1.104.2511 > 192.168.1.90.6000: S 3359422806:3359422806(0) win 64240 <mss1460,nop,nop,sackO

TCP三次握手wireshark分析

本文內容有以下三個部分: wireshark過濾規則 osi模型簡述 tcp三次握手 一、wireshark過濾規則 wireshark只是一個抓包工具,用其他抓包工具同樣能夠分析tcp三次握手協議。以下這張圖片完整地展現了wireshark的面板。

Wireshark分析TCP的三次握手

今天學習了Wireshark工具,對於抓包有了極大的興趣;特意通過抓包來加深一下TCP三次握手的過程,同時做以記錄。 TCP報文段結構 過濾規則介紹 網路中包含著許多的資料報文,但是許多的都不是我們需要的。網上給的大多數規則不夠具體,

wireshark分析tcp的三次握手詳細過程

下載安裝wireshark 抓包分析詳細過程 在wireshark中輸入http過濾, 然後選中一條http記錄,如下圖: 右鍵點選選中 追蹤流 > tcp流,如下: 會看到下圖所示: 可以發現,wireshark截獲到了三次握手的三

wireshark分析——TCP/IP協議

本文來自網易雲社群當我們需要跟蹤網路有關的資訊時,經常會說“抓包”。這裡抓包究竟是什麼?抓到的包又能分析出什麼?在本文中以TCP/IP協議為例,簡單介紹TCP/IP協議以及如何通過wireshark抓包分析。Wireshark 是最著名的網路通訊抓包分析工具。功能十分強大,可

TCP三次握手與Tcpdump分析過程

code .com and light img 內網 80端口 con port 一、TCP連接建立(三次握手) 過程 客戶端A,服務器B,初始序號seq,確認號ack 初始狀態:B處於監聽狀態,A處於打開狀態 A -> B : seq = x (A向

[TCP/IP] ethereal 分析數據幀

real nbsp soft ping命令 數據 icm 查看 icmp tcp 1.下載 http://dx1.pc0359.cn/soft/e/ethereal.rar 2.打開軟件,指定抓取的網卡,下面是我抓取自己的主要網卡數據 3.開啟個ping命令 ,

【極客思考】計算機網路:Wireshark分析TCP中的三次握手與四次揮手

【摘要】本文重點分析計算機網路中TCP協議中的握手和揮手的過程。 【前提說明】 前段時間突然看到了一篇關於TCP/IP模型的文章,心想這段時間在家裡也用wireshark抓了點包,那麼想著想著就覺得需要複習一下網路知識,於是就有這篇博文的誕生。當然網上關於TCP相關的知識點也是芸芸,閒著無事也可以多googl