1. 對乙太網幀、ip資料報、TCP報文結構的分析

以南郵圖書館網站為例，圖書館網址為：http://lib.njupt.edu.cn，對應的IP地 202.119.224.202。
設定wireshark的過濾條件為”ip.addr == 202.119.224.202”，得到下面結果：

雙擊第一條，得到詳細資訊：

從上往下，依次對應tcp/ip五層模型中的資料鏈路層、網路層和傳輸層。

1.1 乙太網MAC幀分析

資料鏈路層使用乙太網傳輸，乙太網MAC幀格式如下：

這個是乙太網幀內容（以十六進位制的形式顯示）：

可以知道目的地址為：74:5a:aa:de:fe:65，源地址為：84:3a:4b:70:27:bc，型別為：0x0800（即IPv4），後面是資料（IP資料報）。

1.2 IP資料報分析

IP資料報首部的格式如下：

根據下圖（二進位制顯示）：

版本：0100(version: 4)；首部長度：0101(5*4 byte)；區分服務：00000000；總長度：00000000 00101000(40 bytes)；標識：01001010 01111010；標誌：010(DF=1)；片偏移：00000 00000000；生存時間：10000000；協議：00000110(TCP)；首部檢驗和：11100011 10001101；源地址：10.164.22.226；目的地址：202.119.224.202。

1.3 TCP報文分析

接著看IP資料報的資料部分（TCP報文），TCP報文格式：

根據下圖（以二進位制形式表示）：

源埠：00110101 01001010(13624)；目的埠：00000000 01010000(HTTP預設埠號80)；序號：11001001 11100010 10110001 00000001；確認號：01011001 11011000 11011100 01110101；資料偏移：0101(5*4 bytes)；保留：000000；URG：0；ACK：1；PSH：0；PST：0；SYN：0；FIN：1；視窗：00000001 00000000(256)；檢驗和：11111011 00111110；緊急指標：00000000 00000000。

2. 對三次握手建立TCP連線的分析

再回到這個主介面上：

圖中可以看到wireshark截獲到了三次握手的三個資料包。第四個包才是HTTP的，這說明HTTP的確是使用TCP建立連線的。

2.1 第一次握手資料包

客戶端傳送一個TCP，標誌位為SYN，序列號為0， 代表客戶端請求建立連線。 如下圖

2.2 第二次握手的資料包

伺服器發回確認包, 標誌位為 SYN,ACK. 將確認序號(Acknowledgement Number)設定為客戶的I S N加1以.即0+1=1, 如下圖

2.3 第三次握手的資料包

客戶端再次傳送確認包(ACK) SYN標誌位為0,ACK標誌位為1.並且把伺服器發來ACK的序號欄位+1,放在確定欄位中傳送給對方, 如下圖:

在進過三次握手後和伺服器建立了TCP連線，隨後瀏覽器發出了取檔案命令GET。

伺服器給出響應，把檔案發給瀏覽器。
最後釋放TCP連線，如下圖所示：

本次作業到此結束。