【网络】网络抓包与协议分析

网络抓包与协议分析

一. 以太网帧格式分析

这是以太网数据帧的基本格式，包含目的地址(6 Byte)、源地址(6 Byte)、类型(2 Byte)、数据(46~1500 Byte)、FCS(4 Byte)。

Mac 地址类型

分为单播地址、组播地址、广播地址。

单播地址：是指第一个字节的最低位是 0 的 MAC 地址。

组播地址：是指第一个字节的最低位是 1 的 MAC 地址。

在这里插入图片描述

广播地址：广播地址是发送至网络上所有设备的特殊地址，全为1(FF:FF:FF:FF:FF:FF)。
在这里插入图片描述

OUI(Organizationally-Unique Identifier): 厂商代码

头部信息

目的Mac地址：标识帧的接收者，6个字节；

源Mac地址：标识帧的发送者，6个字节；

以太类型：指示帧中数据的类型，2个字节，例如：IPv4 (0x0800)、ARP (0x0806)。
长度

以太网帧的头部位14个字节，以太帧尾占4个字节，所搭载的数据长度位46_{1500个字节。总的长度应为64}1518字节。
封装

以太网帧将上层协议的数据封装在帧的数据部分，并通过类型(2 Byte)进行标识。

二. ARP协议分析

2.1 ARP数据包分析

在这里插入图片描述

我们通过Wireshark随机抓取一个ARP数据包，并分析其格式：

在这里插入图片描述

比如抓到的这个ARP数据包：

由于ARP是网络层的协议，故前面14个字节为底层（数据链路层）封装的以太帧头：分别表示目的Mac（广播）、源Mac、类型（0x0806：ARP）。
接下来是ARP协议的内容：
在最后，有一串0来补全，让数据帧长度满足最小长度64字节。

在这里插入图片描述

此处是补全为60个字节，加上以太帧尾4个字节，达到64个字节。

2.2 ARP协议工作过程

当主机 A 需向主机 B 发送数据且在 ARP 缓存中未找到 B 的 IP 与 MAC 对应关系时，A 广播 ARP 请求报文，包含 A 的 IP、MAC 及 B 的 IP。网络中只有 B 响应请求，以单播发回包含自己 IP、MAC 及 A 的 IP、MAC 的应答报文。A 收到应答后将 B 的 IP 与 MAC 对应关系存入 ARP 缓存。

三. ICMP协议分析

ICMP（Internet Control Message Protocol）即互联网控制报文协议，是 TCP/IP 协议族的一个子协议。
通过Ping程序，我们能够很容易地抓取到ICMP数据包。

3.1 ICMP格式：

在这里插入图片描述

Type字段表示ICMP消息的类型；
Code字段表示ICMP消息类型细分的子类型；
Checksum字段表示ICMP报文的校验和。

3.2 ICMP抓包

我们可以在命令提示符种Ping某个公网地址，就会产生ICMP报文。
在这里插入图片描述
此处的ICMP类型就是Echo请求报文。

3.3 ICMP功能

确认IP包是否成功到达目的地址
通知在发送过程中IP包被丢弃的原因

四.抓取DNS数据并分析UDP协议

dns是一个应用层协议，其传输层有时会使用TCP协议，有时会使用UDP协议。对于个人用户来说，大部分的使用场景都是UDP协议。

UDP使用场景：一般的域名解析查询，例如查询一个网站的 IP 地址等操作，通常使用 UDP 进行通信。
TCP使用场景：主要用于DNS服务器同步数据。

抓取DNS数据：

在这里插入图片描述

在抓取的DNS数据中，前14个字节为以太帧头，接下来20个字节为IPv4头，接下来8个字节为UDP头，其余的为DNS数据。

UDP协议分析：

在这里插入图片描述

UDP头长度为8个字节，依次为源端口(2 Byte)、目的端口(2 Byte)、数据总长度(2 Byte)、校验和(2 Byte)。

在这里插入图片描述

五. TCP协议分析

在这里插入图片描述

抓取TCP报文段：

在这里插入图片描述

比如抓到的这个TCP数据段，可以观察到源端口、目的端口、序号、确认序号等信息。
但我们也发现现在呢不再是6个标志位，而是9个标志位。我们抓取的是FIN、ACK为1的数据段，这是“四次挥手”中的第三次挥手。
此处抓到的TCP数据段，头部长度为20个字节，即没有选项。但我们依然可以看到一些选项的踪迹，比如此处的窗口扩展因子 ( Window size scaling factor)就是选项的一部分，因为没有选项，故此处是未知的。