Sunday, September 13, 2009

wireshark网络分析

wireshark从网卡中取出的frame:

23 frame: SYN标志, TCP三次握手之一, 这里Seq=0不会存在安全问题? 如这里的: http://en.wikipedia.org/wiki/TCP_sequence_prediction_attack
25 frame: SYN,ACK标志, TCP三次握手之二, 返回多一个Ack=1, (Acknowledgment number)
26 frame: ACK标志, TCP三次握手之三. 握手结束, TCP的会话开始
27 frame: 本帧带一个完整的HTTP请求, 因为从28帧的Ack=422看出:本帧带的TCP数据长度为421bytes, 但每个帧的长度为1500(网卡的MTU为1500), TCP的data最为1428bytes, 所以可以一个帧完整个http的GET请求, 如下本帧的完整情况:
图中可以看到, Seq=1, Ack=1, Len=421
28 frame: 反馈帧, 表示收到421bytes, 期待从第422字节开始
29 frame: 由于GET请求的response数据较长, 被分成多个frame, 29帧的情况从上面绿色的图看不出, 需要从wireshark的frame详细窗中看到:

从第一行看这为Frame 29. Ack=422与28帧一样, 因为source机器除了发GET请求就没有其它请求了.一直是Ack=422
TCP帧带了1428bytes数据(图中的Len=1428).
30 frame: 反馈帧, Ack=1429表示收到1428bytes, 期待从第1429字节开始
31 frame: 与第29帧的情况一样. 帧带了1428bytes的http数据, 为http数据中的一部分

32 frame: 反馈帧, Ack=2857表示收到2857 - 1429(与上一帧相关) = 1428 bytes, 期待从第2857字节开始
33 frame:
36 frame: 与第29帧的情况一样. 帧带了1428bytes的http数据, 为http数据中的一部分, 如图:

37 frame: 反馈帧, Ack=4285表示收到4285 - 2857(与上一帧相关) = 1428 bytes, 期待从第4285字节开始
38 frame: 与第29帧的情况一样. 帧带了1428bytes的http数据, 为http数据中的一部分, 如图:

39 frame: 反馈帧, Ack=5713表示收到5713 - 4285(与上一帧相关) = 1428 bytes, 期待从第4285字节开始
40 frame: 与第29帧的情况一样. 帧带了1428bytes的http数据, 为http数据中的一部分, 如图:

41 frame: 反馈帧, Ack=7141表示收到7141 - 5713(与上一帧相关) = 1428 bytes, 期待从第7141字节开始
42 frame: 与第29帧的情况一样. 帧带了1428bytes的http数据, 为http数据中的一部分, 如图:

43 frame:
反馈帧, Ack=7141表示收到7141 - 5713(与上一帧相关) = 1428 bytes, 期待从第7141字节开始
46 frame, 47 frame:frame33 一起, 起到重配置seq和ack计数器, 如图:

48 frame: 下一次通信开始

No comments:

Post a Comment

Note: Only a member of this blog may post a comment.