數(shù)據(jù)包捕獲與分析

時(shí)間：2022-02-14 04:20:01 | 來源：信息時(shí)代

時(shí)間：2022-02-14 04:20:01 來源：信息時(shí)代

截獲原理

以太網(wǎng)接口卡可以被設(shè)置成如下4種工作模式：

（1）廣播：數(shù)據(jù)幀可以發(fā)向網(wǎng)絡(luò)中所有計(jì)算機(jī)。任何設(shè)置為廣播模式的網(wǎng)卡都接收目的地址為廣播地址的數(shù)據(jù)幀。通常所有的網(wǎng)卡被配置為接收廣播幀

（2）多播：發(fā)往一組計(jì)算機(jī)的幀稱為多播幀，使用特定的多播地址作為目的地址。這些計(jì)算機(jī)的組構(gòu)成了多播組。這樣，多播組里的任何一個(gè)成員計(jì)算機(jī)將會(huì)接收具有多播目的地址的幀.

（3）直接：發(fā)往特定計(jì)算機(jī)的幀具有特定計(jì)算機(jī)的物理地址。具有特定物理地址的計(jì)算機(jī)將接收特定的幀，丟棄其它的幀。網(wǎng)卡可以設(shè)置為僅僅接收直接幀。

（4）混雜：設(shè)置為這個(gè)模式的網(wǎng)卡接收所有收到的數(shù)據(jù)包，任何到達(dá)此網(wǎng)卡的信息都不丟棄。這個(gè)模式是網(wǎng)絡(luò)監(jiān)測(cè)應(yīng)用程序的關(guān)鍵模式。

網(wǎng)卡的缺省工作模式包含廣播模式和直接模式，即它只接收廣播幀和發(fā)給自己的幀。如果采用混雜模式，網(wǎng)卡將接受所有到達(dá)本網(wǎng)卡網(wǎng)絡(luò)端口的信號(hào)。

截獲方法

在網(wǎng)絡(luò)監(jiān)聽情況下，要想監(jiān)聽到被監(jiān)聽主機(jī)之間的通信信息，也要滿足以下的兩點(diǎn)基本要求：

要將監(jiān)聽計(jì)算機(jī)與被監(jiān)聽主機(jī)使用集線器相連。

要將監(jiān)聽計(jì)算機(jī)上網(wǎng)卡的工作模式設(shè)置為混雜模式。

通常情況下，當(dāng)使用專用嗅探軟件進(jìn)入監(jiān)聽模式時(shí)會(huì)自動(dòng)將網(wǎng)卡設(shè)為混雜模式。

網(wǎng)絡(luò)監(jiān)聽可以使用Windows2000Server自帶的《網(wǎng)絡(luò)監(jiān)視器》程序，也可以使用專用的網(wǎng)絡(luò)監(jiān)視軟件。通常專用的網(wǎng)絡(luò)監(jiān)視軟件具有更強(qiáng)的數(shù)據(jù)捕獲與過濾功能，是網(wǎng)絡(luò)管理員手中的重要工具軟件。

SnifferPortable軟件介紹

Windows中的網(wǎng)絡(luò)監(jiān)視器出于安全考慮，僅允許捕獲進(jìn)出本機(jī)的數(shù)據(jù)包，禁止捕獲與本機(jī)無關(guān)的主機(jī)間數(shù)據(jù)包。

SnifferPortable是一款專用網(wǎng)絡(luò)監(jiān)視軟件，可以捕獲一切到達(dá)本機(jī)網(wǎng)絡(luò)端口的數(shù)據(jù)包。

SnifferPortable是NETWORKGENERAL公司推出的功能強(qiáng)大的協(xié)議分析軟件?？梢怨ぷ饔赪indows2000及WindowsXP系統(tǒng)中。它以被動(dòng)的方式默默的監(jiān)視和捕獲每一個(gè)在網(wǎng)絡(luò)中廣播的數(shù)據(jù)包，并可對(duì)數(shù)據(jù)包的內(nèi)容進(jìn)行過濾、分析、存儲(chǔ)。

主要功能

（1）捕獲網(wǎng)絡(luò)流量進(jìn)行詳細(xì)分析

（2）利用專家分析系統(tǒng)診斷問題

（3）實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)活動(dòng)

（4）收集網(wǎng)絡(luò)利用率和錯(cuò)誤等

主界面

SnifferPortable共有8個(gè)下拉菜單：

文件菜單：打開和保存各種記錄數(shù)據(jù)文件；軟件系統(tǒng)工作模式的設(shè)定；打印各種報(bào)表或報(bào)告；運(yùn)行腳本程序等。

監(jiān)視器菜單：選擇設(shè)定系統(tǒng)監(jiān)視對(duì)象和監(jiān)視的任務(wù)，可以定義過濾器對(duì)監(jiān)視的對(duì)象有選擇的做出顯示，也可以察看報(bào)警日志。

捕獲菜單：可以啟動(dòng)或停止捕獲操作。可以按照不同的工作需求設(shè)置捕獲過濾器，也可以為捕獲操作設(shè)置觸發(fā)條件。這些功能可以極大地提高捕獲工作效率。

顯示菜單：顯示捕獲數(shù)據(jù)的內(nèi)容，可以對(duì)顯示內(nèi)容進(jìn)行搜索與過濾。

工具菜單：包含了一些系統(tǒng)工具。如系統(tǒng)配置選項(xiàng)，監(jiān)視對(duì)象地址簿，數(shù)據(jù)包自動(dòng)發(fā)送工具等。

數(shù)據(jù)庫菜單：對(duì)保存數(shù)據(jù)的數(shù)據(jù)庫進(jìn)行整理維護(hù)。

窗口菜單：按不同的工作需要顯示或隱藏不同的窗口。

幫助菜單：提供系統(tǒng)幫助。

SnifferPortable軟件主界面

捕獲與過濾
SnifferPortable的啟動(dòng)

SnifferPortable的啟動(dòng)

捕獲

開始按鈕：啟動(dòng)捕獲程序，開始捕獲數(shù)據(jù)包。

暫停按鈕：暫時(shí)停止捕獲數(shù)據(jù)。

停止按鈕：停止捕獲工作。

停止和顯示按鈕：停止捕獲工作，自動(dòng)轉(zhuǎn)到顯示捕獲數(shù)據(jù)包窗口。

顯示按鈕：顯示捕獲數(shù)據(jù)包的內(nèi)容。

定義過濾器按鈕：設(shè)置過濾條件，有選擇的進(jìn)行捕獲。

數(shù)據(jù)包捕獲

讀取與分析

SnifferPortable捕獲到的數(shù)據(jù)包被暫存在內(nèi)存里，點(diǎn)擊'顯示'或'停止和顯示'按鈕可以把捕獲的數(shù)據(jù)包內(nèi)容顯示出來。在數(shù)據(jù)顯示窗口中，通過窗口標(biāo)簽可以選擇多種顯示模式。

（1）專家模式

（2）解碼顯示模式

（3）矩陣顯示模式

（4）主機(jī)列表顯示模式

過濾

點(diǎn)擊SnifferPortable捕獲工具欄上的'定義過濾器'按鈕，可以打開'定義過濾器'對(duì)話框。在對(duì)話框中可以設(shè)置按制定的地址及在制定地址上數(shù)據(jù)傳輸方向進(jìn)行過濾。

數(shù)據(jù)包過濾

數(shù)據(jù)包過濾

數(shù)據(jù)包過濾

數(shù)據(jù)的分析

TCP/IP協(xié)議

第一層鏈路層，也被稱為網(wǎng)絡(luò)接口層。定義了數(shù)據(jù)傳輸設(shè)備和傳輸媒體或網(wǎng)絡(luò)間的接口。這一層涉及到對(duì)于傳輸媒介的特性、信號(hào)的特性、數(shù)據(jù)傳輸率和相關(guān)內(nèi)容的確定。本層主要網(wǎng)絡(luò)有DLC幀協(xié)議（數(shù)據(jù)鏈路控制）。

第二層網(wǎng)絡(luò)層，也被稱作互連網(wǎng)層，處理分組在網(wǎng)絡(luò)中的活動(dòng)，例如分組的路由選擇。在TCP/IP協(xié)議組件中，網(wǎng)絡(luò)層協(xié)議包括IP協(xié)議（網(wǎng)際協(xié)議），ICMP協(xié)議（Internet互連網(wǎng)控制報(bào)文協(xié)議），以及IGMP協(xié)議（Internet組管理協(xié)議）。

第三層運(yùn)輸層，主要為兩臺(tái)主機(jī)上的應(yīng)用程序提供端到端的通信。在TCP/IP協(xié)議中，有兩個(gè)互不相同的傳輸協(xié)議：即面向連接的TCP協(xié)議和非連接的UDP協(xié)議。

第四層應(yīng)用層，由不同的應(yīng)用程序?qū)崿F(xiàn)特定的應(yīng)用目的。如：

Telnet遠(yuǎn)程登錄協(xié)議

FTP文件傳輸協(xié)議

SMTP簡單郵件傳輸協(xié)議

SNMP簡單網(wǎng)絡(luò)管理協(xié)議

……

利用SnifferPortable分析網(wǎng)絡(luò)協(xié)議

窗口工作區(qū)三個(gè)窗格

上面的窗格顯示數(shù)據(jù)包列表。每一行代表一個(gè)數(shù)據(jù)包?？梢钥吹矫恳粋€(gè)數(shù)據(jù)包在這批數(shù)據(jù)中的編號(hào)、此數(shù)據(jù)包的來源與目標(biāo)地址，數(shù)據(jù)包內(nèi)容摘要等。

下面窗格顯示當(dāng)前選中的數(shù)據(jù)包中的具體內(nèi)容。用十六進(jìn)制和ASCII碼顯示。

中間窗格顯示出當(dāng)前選中的數(shù)據(jù)包中包含哪些網(wǎng)絡(luò)協(xié)議，及各協(xié)議報(bào)頭在數(shù)據(jù)包中的位置。用鼠標(biāo)選中窗格中的一個(gè)協(xié)議后，在下面窗格中就會(huì)用灰色底紋將此與協(xié)議相關(guān)的內(nèi)容突出顯示出來。

窗口工作區(qū)被分為三個(gè)窗格

DLC幀

(1)前導(dǎo)碼：8個(gè)字節(jié)，用于同步和起始標(biāo)志。在SnifferPortable中不顯示。

(2)目的地址：6個(gè)字節(jié)，目的主機(jī)MAC地址。

(3)源地址：6個(gè)字節(jié)，源主機(jī)MAC地址。

(4)類型域：2個(gè)字節(jié)，標(biāo)識(shí)了在以太網(wǎng)上運(yùn)行的客戶端協(xié)議。即表明上層（網(wǎng)絡(luò)層）的協(xié)議。如IP、IPX等網(wǎng)絡(luò)層協(xié)議。

(5）數(shù)據(jù)：46～1500字節(jié)，這里是真正要傳輸?shù)臄?shù)據(jù)。如果長度不夠46字節(jié)則由DLC協(xié)議自動(dòng)補(bǔ)齊為46字節(jié)。

(6）幀校驗(yàn)序列：4個(gè)字節(jié)，利用的是CRC循環(huán)冗余校驗(yàn)法，在SnifferPortable中不顯示。

其中2～4稱為幀頭，6稱為幀尾。

DLC幀實(shí)例

在DLC頭部：共顯示6行信息，其中第3-5行顯示內(nèi)容是DLC真實(shí)內(nèi)容，其它行是SnifferPortable添加的狀態(tài)信息.

第一行：SnifferPortable添加的DLC起始標(biāo)志。

第二行：SnifferPortable添加的幀序號(hào)、捕獲日期、時(shí)間、幀的長度等信息。以上2行內(nèi)容在數(shù)據(jù)包中是沒有的。

第三行：DLC真實(shí)內(nèi)容。目標(biāo)主機(jī)的MAC地址。占6個(gè)字節(jié)，幀內(nèi)地址00-05H。

第四行：DLC真實(shí)內(nèi)容。源主機(jī)的MAC地址。占6個(gè)字節(jié)，幀內(nèi)地址06-0BH。

第五行：DLC真實(shí)內(nèi)容。數(shù)據(jù)包的類型（即上層協(xié)議的類型）。占2個(gè)字節(jié)，幀內(nèi)地址0C-0DH。上層協(xié)議的類型主要有0800為IP協(xié)議，0806為ARP協(xié)議等。

第六行：SnifferPortable添加的DLC結(jié)束標(biāo)志。

DLC結(jié)束標(biāo)志之后是此幀的所要傳輸信息的真實(shí)內(nèi)容。此幀內(nèi)容包括IP和TCP協(xié)議2部分。其中IP協(xié)議內(nèi)容長度為20字節(jié)，TCP協(xié)議內(nèi)容長度為20字節(jié)。內(nèi)容總長度40字節(jié)。

幀的最后一行是DLC填充段。因?yàn)榇藬?shù)據(jù)幀內(nèi)容長度不足46字節(jié)，DLC自動(dòng)添加了6個(gè)字節(jié)的'00'將其補(bǔ)足為46字節(jié)。

網(wǎng)絡(luò)層協(xié)議報(bào)頭結(jié)構(gòu)

網(wǎng)絡(luò)層協(xié)議主要有：

網(wǎng)際協(xié)議（IP）

地址解析協(xié)議（ARP）

網(wǎng)際控制報(bào)文協(xié)議（ICMP）

網(wǎng)際協(xié)議（IP）：

地址0E：1字節(jié)。高4位是IP協(xié)議版本號(hào)，低4位是本包IP首部長度。此例中0EH地址內(nèi)容為45H。4代表IP協(xié)議版本號(hào)為4，即IPv4，此包所經(jīng)過的各個(gè)路由器等網(wǎng)絡(luò)設(shè)備均按IPv4格式對(duì)數(shù)據(jù)包進(jìn)行解讀與處理。5為此數(shù)據(jù)包IP首部長度代碼。實(shí)際首部長度為此代碼乘以4，本例中首部長度為5×4＝20字節(jié)。首部最大長度為0FH×4＝15×4＝60（字節(jié)）

地址0F：1字節(jié)。服務(wù)類型：定義IP協(xié)議包的處理方法，它包含如下子字段

過程字段：3位，設(shè)置了數(shù)據(jù)包的重要性，取值越大數(shù)據(jù)越重要，取值范圍為：0（正常）~7（網(wǎng)絡(luò)控制）

延遲字段：1位，取值：0（正常）、1（低延遲）

流量字段：1位，取值：0（正常）、1（高流量）

可靠性字段：1位，取值：0（正常）、1（高可靠性）

成本字段：1位，取值：0（正常）、1（最小成本）

未使用：1位

本例中均取正常值'0'

地址10H-11H：2字節(jié)。IP包總長度。此例中IP包總長度為0052H，即82字節(jié)。從0EH到5FH，包含了IP包頭及數(shù)據(jù)長度。

地址12H-13H：2字節(jié)。IP報(bào)文標(biāo)識(shí)字段，每一個(gè)IP數(shù)據(jù)包都有一個(gè)與分組過程相關(guān)的唯一標(biāo)識(shí)，做為到達(dá)目標(biāo)后恢復(fù)數(shù)據(jù)時(shí)組合的依據(jù)。此例中標(biāo)識(shí)為78FAH

地址14H的高3位：有關(guān)數(shù)據(jù)分段的標(biāo)識(shí)。

地址14H的低5位-15H：段偏移。當(dāng)數(shù)據(jù)分組時(shí)，它和更多段位進(jìn)行連接，幫助目的主機(jī)將分段的包組合。

地址16H：1字節(jié)。IP包生存時(shí)間TTL。由于IP包發(fā)出后就不再對(duì)它進(jìn)行管理，任其自由尋找目標(biāo)主機(jī)。如果網(wǎng)絡(luò)或目標(biāo)主機(jī)出現(xiàn)故障造成IP包無法到達(dá)目的主機(jī)，此數(shù)據(jù)包就會(huì)不斷在網(wǎng)上游逛，形成網(wǎng)絡(luò)數(shù)據(jù)包孤兒。網(wǎng)絡(luò)孤兒大量存在就會(huì)占用網(wǎng)絡(luò)資源，嚴(yán)重影響正常的網(wǎng)絡(luò)通信。因此，如果IP包經(jīng)過一定時(shí)間還無法找到目標(biāo)主機(jī)就應(yīng)該讓它自動(dòng)消亡。這個(gè)時(shí)間就是TTL。當(dāng)某一網(wǎng)絡(luò)設(shè)備發(fā)出IP包的同時(shí)要給IP包設(shè)定一個(gè)生存時(shí)間常數(shù)，每經(jīng)過一個(gè)路由器此時(shí)間常數(shù)自動(dòng)減一，當(dāng)TTL值減為0還無法找到目標(biāo)主機(jī)就自動(dòng)消亡。

地址17H：1字節(jié)。協(xié)議代碼。表示此IP包攜帶的是何種協(xié)議報(bào)文。

常見的有：

1：ICMP

6：TCP

17：UDP

此例中協(xié)議代碼值為6，表示報(bào)文是TCP協(xié)議。

地址18H-19H：2字節(jié)。首部校驗(yàn)和。用于校驗(yàn)和糾錯(cuò)。

地址1AH-1DH：4字節(jié)。源IP地址。此例為DBH、85H、3FH、36H。用點(diǎn)分十進(jìn)制表示即為219.133.63.54。

地址1EH-21H：4字節(jié)。目標(biāo)IP地址。此例為C0H、A8H、01H、64H。用點(diǎn)分十進(jìn)制表示即為192.168.1.100。

地址解析協(xié)議（ARP）：

ARP是一種將IP轉(zhuǎn)化成以IP對(duì)應(yīng)的網(wǎng)卡的物理地址的一種協(xié)議，或者說ARP協(xié)議是一種將IP地址轉(zhuǎn)化成MAC地址的一種協(xié)議，它靠在內(nèi)存中保存的一張表來使IP得以在網(wǎng)絡(luò)上被目標(biāo)機(jī)器應(yīng)答。

在源主機(jī)在發(fā)送一個(gè)IP包之前，它要到該轉(zhuǎn)換表中尋找與目標(biāo)主機(jī)IP包相對(duì)應(yīng)的MAC地址，如果沒有找到，該源主機(jī)就發(fā)送一個(gè)ARP廣播包，即目的MAC為FF-FF-FF-FF-FF-FF,目的IP為目標(biāo)主機(jī)，再帶上自己的源IP，和源MAC。

數(shù)據(jù)包前14個(gè)字節(jié)為DLC包頭，ARP協(xié)議包從偏移地址0DH開始到29H結(jié)束。

地址0D-0EH：2字節(jié)。硬件類型，以太網(wǎng)為'0001H'。

地址10-11H：2字節(jié)。上層協(xié)議類型，0800H為IP協(xié)議。

地址12H：硬件地址長度。MAX地址長度恒為6字節(jié)。

地址13H：協(xié)議地址長度。IP地址恒為4字節(jié)。

地址14-15H：操作。請(qǐng)求包恒為1，應(yīng)答包恒為2。此例是請(qǐng)求包，值為1。

地址16-1BH：源主機(jī)的MAC地址。此例為：00-0D-60-8A-F0-3F。

地址1C-1FH：源主機(jī)協(xié)議地址。此例為192.168.1.100。（十六進(jìn)制表示為C0H、A8H、01H、64H）。

地址20-25H：目標(biāo)主機(jī)MAC地址。此例為ARP請(qǐng)求包，地址為0。

地址26-29H：目標(biāo)主機(jī)協(xié)議地址。此例為192.168.1.101。（十六進(jìn)制表示為C0H、A8H、01H、65H）。

地址2A-3BH：DLC將數(shù)據(jù)包不足長度部分補(bǔ)足。

網(wǎng)際控制報(bào)文協(xié)議（ICMP）：

ICMP協(xié)議用于在主機(jī)、路由器之間傳遞控制消息以檢查網(wǎng)絡(luò)是否通暢、主機(jī)是否可達(dá)、路由是否可用等。ICMP包并不傳輸用戶數(shù)據(jù)，但是對(duì)于用戶數(shù)據(jù)的傳遞起著重要的作用。ICMP常被黑客利用成為網(wǎng)絡(luò)攻擊的重要手段。

在網(wǎng)絡(luò)維護(hù)管理中經(jīng)常會(huì)使用到ICMP協(xié)議，比如經(jīng)常使用的用于檢查網(wǎng)絡(luò)連通性的Ping命令，跟蹤路由的Tracert命令等。

地址00-0DH：DLC包頭。

地址0EH-21H：IP包頭。

地址22H：1字節(jié)。ICMP數(shù)據(jù)包類型字段。不同的代碼代表此數(shù)據(jù)包內(nèi)容的類型。

類型代碼類型描述

0響應(yīng)應(yīng)答（ECHO-REPLY）

3不可到達(dá)

4源抑制

5重定向

8響應(yīng)請(qǐng)求（ECHO-REQUEST）

11超時(shí)

12參數(shù)失靈

13時(shí)間戳請(qǐng)求

14時(shí)間戳應(yīng)答

15信息請(qǐng)求（*已作廢）

16信息應(yīng)答（*已作廢）

17地址掩碼請(qǐng)求

18地址掩碼應(yīng)答

此例中代碼08，響應(yīng)請(qǐng)求。

地址22H：1字節(jié)。代碼。據(jù)前一字節(jié)設(shè)定不同類型下此字節(jié)含義不同。詳細(xì)解釋請(qǐng)查閱ICMP協(xié)議手冊(cè)。此例中為0。

地址23H-24H：2字節(jié)校驗(yàn)和。用于校驗(yàn)數(shù)據(jù)包的正確性

地址25H-26H：標(biāo)識(shí)。

地址27H-28H：2字節(jié)。發(fā)送二進(jìn)制位序列號(hào)。

地址29H-結(jié)束：發(fā)送探測(cè)包內(nèi)容。使用Windows系統(tǒng)的Ping命令時(shí)內(nèi)容為英文小寫字母a-w循環(huán)發(fā)送，直到達(dá)到命令要求的字節(jié)數(shù)為止。默認(rèn)字節(jié)數(shù)為32。

傳輸層協(xié)議報(bào)頭結(jié)構(gòu)

傳輸層協(xié)議主要有：

傳輸控制協(xié)議（TCP）

用戶數(shù)據(jù)報(bào)協(xié)議（UDP）

傳輸控制協(xié)議（TCP）：

TCP協(xié)議在傳輸層提供面向連接的可靠傳輸服務(wù)。

TCP的工作主要是建立連接，然后從應(yīng)用層程序中接收數(shù)據(jù)并進(jìn)行傳輸。TCP采用虛電路連接方式進(jìn)行工作，在發(fā)送數(shù)據(jù)前它需要在發(fā)送方和接收方建立一個(gè)連接，數(shù)據(jù)在發(fā)送出去后，發(fā)送方會(huì)等待接收方給出一個(gè)確認(rèn)性的應(yīng)答，否則發(fā)送方將認(rèn)為此數(shù)據(jù)丟失，并重新發(fā)送此數(shù)據(jù)。

發(fā)送和接收方TCP實(shí)體以數(shù)據(jù)報(bào)的形式交換數(shù)據(jù)。一個(gè)數(shù)據(jù)報(bào)包含一個(gè)固定的20字節(jié)的頭、一個(gè)可選部分以及0或多字節(jié)的數(shù)據(jù)。

地址00-0DH：DLC包頭。

地址0EH-21H：IP包頭。

地址22H-23H：2字節(jié)。源主機(jī)端口號(hào)，此例為使用HTTP協(xié)議訪問網(wǎng)頁，默認(rèn)端口號(hào)為80（0050H）。

地址24H-25H：2字節(jié)。目標(biāo)主機(jī)端口號(hào)，由應(yīng)用程序隨機(jī)產(chǎn)生。此例為3545（0DD9H）。

地址26H-29H：4字節(jié)。序號(hào)：指明了段在即將傳輸?shù)亩涡蛄兄械奈恢?。TCP連接是可靠的，而且保證了傳送數(shù)據(jù)包的順序，保證順序是用序號(hào)來保證的。此例中序號(hào)為2938112427（AF2009ABH）。

地址2AH-2DH：4字節(jié)。確認(rèn)號(hào)：作為收到數(shù)據(jù)的響應(yīng)，連接成功后傳輸數(shù)據(jù)過程中此號(hào)為請(qǐng)求包序號(hào)＋應(yīng)答數(shù)據(jù)包長度，若不進(jìn)行通信僅進(jìn)行連接時(shí)長度為1字節(jié)同步字節(jié)。此例為648543792＋1＝648543793（26A7FE31H）。

地址2EH：1字節(jié)。高4位為首部長度，值為首部字節(jié)數(shù)/4。低4位保留未用。此例TCP首部長度20字節(jié)，故此此字節(jié)高4位值=20/4=5。

地址2FH：1字節(jié)。高2位保留未用。低6位為標(biāo)志位。

URG緊急指針有效。

ACK確認(rèn)序號(hào)有效。

PSH接收方應(yīng)該盡快將這個(gè)報(bào)文段交給應(yīng)用層。

RST重建連接。

SYN同步序號(hào)用來發(fā)起一個(gè)連接。

FIN發(fā)端完成發(fā)送任務(wù)。

此例ACK位被置位，表示這是一個(gè)確認(rèn)連接包。

地址30H-31H：2字節(jié)。窗口：指定發(fā)送端能傳輸下一段的大小。此例為65259（FEEBH）。

地址32H-33H：2字節(jié)。校驗(yàn)和。用來校驗(yàn)段頭和數(shù)據(jù)部分的可靠性。此例為082DH

地址34H-35H：2字節(jié)。緊急。指明段中包含緊急信息，只有當(dāng)URG標(biāo)志置1時(shí)緊急指針才有效。此例為0。

以下地址若有選項(xiàng)則連續(xù)32字節(jié)選項(xiàng)。此例沒有選項(xiàng)字段。后面內(nèi)容全部為被傳輸?shù)臄?shù)據(jù)。此例為以HTTP協(xié)議傳輸?shù)某谋揪W(wǎng)頁信息，全部以明文方式傳輸。

用戶數(shù)據(jù)報(bào)協(xié)議（UDP）：

用戶數(shù)據(jù)報(bào)協(xié)議UDP也是傳輸層協(xié)議，和TCP協(xié)議處于一個(gè)分層中，但是與TCP協(xié)議不同，UDP協(xié)議并不提供超時(shí)重傳，出錯(cuò)重傳等功能，是不可靠的協(xié)議。

UDP將數(shù)據(jù)的校驗(yàn)交給應(yīng)用軟件來完成，大大提高了信息傳輸?shù)撵`活性，由應(yīng)用軟件判斷數(shù)據(jù)報(bào)是否可以丟棄。對(duì)于可以忽略的部分應(yīng)用軟件可以自主將其丟棄，以保障信息傳遞的時(shí)效性。因此，UDP協(xié)議廣泛應(yīng)用于時(shí)效性要求高的場(chǎng)合，比如網(wǎng)絡(luò)電話、網(wǎng)絡(luò)電視、視頻監(jiān)控等。

地址00-0DH：DLC包頭。

地址0EH-21H：IP包頭。

地址22H-23H：2字節(jié)。源主機(jī)端口號(hào)，此例為53124（CF84H）。

地址24H-25H：2字節(jié)。目標(biāo)主機(jī)端口號(hào)，此例為53124（CF84H）。

地址26H-27H：2字節(jié)。UDP部分?jǐn)?shù)據(jù)長度，此例為835B（0343H）。

地址28H-29H：2字節(jié)。校驗(yàn)和。

地址2AH-結(jié)束：UDP數(shù)據(jù)段。此例為網(wǎng)絡(luò)電視數(shù)據(jù)。