TCP/IP协议分析实验

下面几张图片展示一台Windows主机使用Ethereal捕获数据包的情况

第一张图片是总体捕获情况，后面三张图片是每一条数据的详细情况。

分析：
36、37为DNS解析过程，38、39、40这三行显示的是TCP建立连接时的三次握手情况，41为HTTP传输过程。

下面以第38行的数据包为例，根据数据包封装的各个协议位置，部分解析如下：

MAC帧首部:

目的MAC地址(DA): 50 bd 5f 0f ab 50
源MAC地址(SA): 00 26 c7 07 49 a0
类型字段(Type): 08 00  (表示后面为IP数据包)

IP数据报：

IP版本号: 4    (表示使用的是IPv4)
头部长度字段(IHL): 5  (指明头部包含的长度为5*4=20字节)
服务类型： 00
总长： 00 34
标识： 25 7b
DF、MF、分段偏移：  40 00
生命期： 40
协议： 06
首部校验和： 48 36
源IP地址： c0 a8 01 65 (192.168.1.101)
目的IP地址: ca 73 40 92 (202.115.64.33)

TCP报文:

源端口: ea fa  (60154)
目的端口: 00 50  (80)
发送序号(Sequence Number): 5b 93 5d fc
接收序号(确认序号)(Acknowledgement Number): 00 00 00 00
数据偏移(4位)、保留(6位)、URG、ACK、PSH、RST、SYN、FIN： 80 02

可以运用同样的方法分析第39行数据。

TCP建立连接过程中的三个报文

字段名称 第一条报文 第二条报文 第三条报文 报文序号 38 39 40 Sequence Numbe 0x5b935dfc 0x219e7a06 0x5b935dfd Acknowledgement Numbe 0x000000 0x5b935dfd 0x219e7a07 ACK 0 1 1 SYN 1 1 0

第41行数据综合分析

EthernetII协议Source字段值00 26 c7 07 49 a0Destination字段值50 bd 5f 0f ab 50Type字段值00 80Internet ProtocolSource字段值c0 a8 01 65Destination字段值ca 73 40 92传输层协议Source Port字段值ea faDestination Port字段值00 50Sequence Number字段值5b 93 5d fdInternet Protocol协议名称HTTP