目錄
抓包過(guò)程
使用了 Wireshark 進(jìn)行抓包士败,用兩個(gè)最常用的 curl 和 ping 命令來(lái)演示抓包情況,開(kāi)啟抓包。
先訪問(wèn)我自己的網(wǎng)站首頁(yè)</pre>
再查看我自己網(wǎng)站的地址</pre>
Wireshark根據(jù) ping 命令得到的地址進(jìn)行條件過(guò)濾谅将,得到上面兩個(gè)命令所得到的包漾狼,主要有 TCP(https基于tcp協(xié)議)協(xié)議和 ICMP(ping命令是基于 ICMP 協(xié)議)協(xié)議的包,如下圖所示:
以太網(wǎng)幀(也叫MAC幀)首部分析
MAC幀 = 6字節(jié)源mac地址 + 6字節(jié)目標(biāo)mac地址 + 2字節(jié)類型 + 4字節(jié)幀檢驗(yàn)序列FCS + 數(shù)據(jù)長(zhǎng)度(46~1500字節(jié))
MAC幀長(zhǎng)度是需要在64~1518字節(jié)之間的饥臂,太長(zhǎng)或者太短都是無(wú)效的幀逊躁。
IP數(shù)據(jù)包過(guò)來(lái)了,MAC 層會(huì)給分別使用6個(gè)字節(jié)為其加上“源mac地址”和“目標(biāo)mac地址”隅熙,并且花2個(gè)字節(jié)為其指明是哪種類型的IP數(shù)據(jù)報(bào)(目前有IPV4,IPV6兩種類型)稽煤,4字節(jié)“FCS幀檢驗(yàn)序列” 負(fù)責(zé)檢驗(yàn)幀是否有效,然后就是46~1500字節(jié)之間的IP數(shù)據(jù)報(bào)長(zhǎng)度猛们。
抓包里面的mac幀內(nèi)容如下念脯,選取了ping的reply類型包信息進(jìn)行查看分析:
小補(bǔ)充:幀檢驗(yàn)序列即FCS(frame check sequence), 讓接收幀的網(wǎng)卡或接口判斷是否發(fā)生了錯(cuò)誤狞洋。
判斷過(guò)程如下:發(fā)送網(wǎng)卡利用多項(xiàng)式計(jì)算弯淘,稱循環(huán)冗余校驗(yàn)(CRC),將計(jì)算結(jié)果寫入FCS字段,接收方收到這個(gè)幀吉懊,對(duì)其做相同的CRC計(jì)算庐橙。如果計(jì)算結(jié)果與接收的FCS字段相同,則幀沒(méi)有發(fā)生錯(cuò)誤借嗽。如果不同态鳖,接收方就相信幀肯定發(fā)生了錯(cuò)誤,并丟棄這個(gè)幀恶导。
IP數(shù)據(jù)包首部分析
抓包得到的頭部對(duì)應(yīng)關(guān)系如下所示(1~31表示的bit浆竭,8bit=1byte):
頭部每個(gè)內(nèi)容如下:
版本: TCP/IP 協(xié)議版本,是ipv4,還是ipv6惨寿;
首部長(zhǎng)度:告訴數(shù)據(jù)包邦泄,首部長(zhǎng)度有多長(zhǎng),因?yàn)槭撞坑凶冮L(zhǎng)部分(如圖中可變部分裂垦,試想一下如果當(dāng)初沒(méi)有設(shè)計(jì)這個(gè)可變長(zhǎng)度顺囊,是不需要設(shè)計(jì)這個(gè)“首部長(zhǎng)度”的);
服務(wù)類型:網(wǎng)絡(luò)中的數(shù)據(jù)包有著急的蕉拢,有不著急的特碳,比如你和別人聊微信,這個(gè)包就比較著急了晕换,如果你是在發(fā)郵件午乓,那么點(diǎn)擊了發(fā)送讓他慢慢溜達(dá)過(guò)去也是沒(méi)問(wèn)題的。就相當(dāng)于火車站排隊(duì)闸准,軍屬優(yōu)先硅瞧,殘疾人優(yōu)先,
讓列寧同志先走的意思恕汇;總長(zhǎng)度:首部+數(shù)據(jù) 的長(zhǎng)度腕唧,總長(zhǎng)度最大是2的16次方-1或辖,即65535字節(jié)(上面講到的數(shù)據(jù)鏈路層數(shù)據(jù)大小最大1500字節(jié)別忘了,除去IP首部的20個(gè)字節(jié)枣接,數(shù)據(jù)鏈路層能接受的IP數(shù)據(jù)大小是1480字節(jié)颂暇,正因?yàn)檫@兩貨大小不一樣,如果一個(gè)數(shù)據(jù)包大于了1480字節(jié)但惶,網(wǎng)絡(luò)層要把包送給數(shù)據(jù)鏈路層傳輸耳鸯,才需要后面的
分片)標(biāo)識(shí):用途就是數(shù)據(jù)包分片之后可以根據(jù)標(biāo)識(shí)的編號(hào),將分片的包重新組裝為一個(gè)完整數(shù)據(jù)包
- 標(biāo)志:3bit表示標(biāo)志膀曾,計(jì)算機(jī)收到了一個(gè)包县爬,那他咋知道這是一個(gè)完整的數(shù)據(jù)包,還只是一個(gè)分片呢添谊,標(biāo)志說(shuō)看我的
此處單獨(dú)截圖抓包分析的標(biāo)志內(nèi)容财喳,Reserved bit為保留了一位,沒(méi)有進(jìn)行設(shè)置斩狱;Don't fragement為1表示他是一個(gè)完整的數(shù)據(jù)包耳高,不是一個(gè)片;More fragements為0表示這是最后一個(gè)分片所踊,為1表示后面還有分片泌枪;
我curl的我的站點(diǎn)首頁(yè),內(nèi)容是不多的秕岛,沒(méi)有大于1500字節(jié)碌燕,所以不需要分片,如果我開(kāi)啟迅雷下載了一個(gè)很大的東西继薛,那這個(gè)地方是需要分片的修壕。
- 片偏移:偏移量,標(biāo)識(shí)數(shù)據(jù)包的第一個(gè)字節(jié)是整個(gè)數(shù)據(jù)包的第幾個(gè)偏移量惋增,此處抓包的片偏移量是0叠殷,因?yàn)樗麤](méi)有分片
生存時(shí)間ttl:Linux給數(shù)據(jù)包的默認(rèn)ttl是64,Windows系統(tǒng)是128诈皿,Unix系統(tǒng)是255林束,每次過(guò)一個(gè)路由器那么ttl-1,每次經(jīng)過(guò)一個(gè)路由器就要減1稽亏,ttl耗盡了那么這個(gè)包就自動(dòng)消失了壶冒,防止路由里面出現(xiàn)了環(huán)路死循環(huán)了,包永不消失截歉。
協(xié)議:標(biāo)識(shí)這個(gè)包要交給誰(shuí)來(lái)處理胖腾,如果是 tcp 或者 udp 那么就需要交給傳輸層處理,如果是ICMP,IGMP咸作,OSPF那么就交給網(wǎng)絡(luò)層來(lái)處理這個(gè)包锨阿。此處是tcp協(xié)議,協(xié)議號(hào)是6.
- 首部檢驗(yàn)和
源地址和目標(biāo)地址無(wú)需多說(shuō)了
可選字段记罚,填充:ipv6已經(jīng)將這個(gè)可選的去掉了墅诡,因?yàn)榭勺兙鸵煽兀鸵龃筇幚頃r(shí)間桐智,這里是為了增大IP數(shù)據(jù)包的功能末早,但是實(shí)際上很少用到。
網(wǎng)絡(luò)里面時(shí)時(shí)刻刻有那么多的包说庭,設(shè)計(jì)者們秉著絕不浪費(fèi)一個(gè) bit 的精神然磷,每一個(gè)標(biāo)志的設(shè)計(jì)都是精心設(shè)計(jì)的,這個(gè)時(shí)候包的首部就要絕對(duì)的精簡(jiǎn)了刊驴。這兩個(gè)內(nèi)容寫完就很多了姿搜,下一篇我會(huì)寫一個(gè)姊妹篇,抓包分析傳輸層的tcp三次牽手四次分手過(guò)程~~感謝觀看缺脉。
