網(wǎng)絡嗅探工具wireshark在網(wǎng)絡安全中的應用

1、.WD.WD.WD.網(wǎng)絡與信息安全課程設計網(wǎng)絡嗅探工具wireshark在網(wǎng)絡安全中的應用學生姓名： 宋 琪 學 號：20134088130 專業(yè)年級：13級信息與計算科學指導教師：信息技術學院二一五 年12月 日網(wǎng)絡嗅探wireshark工具應用摘 要隨著網(wǎng)絡技術的開展和網(wǎng)絡應用的普及，越來越多的信息資源放在了互聯(lián)網(wǎng)上，網(wǎng)絡的安全性和可靠性顯得越發(fā)重要。因此，對于能夠分析、診斷網(wǎng)絡，測試網(wǎng)絡性能與安全性的工具軟件的需求也越來越迫切。網(wǎng)絡嗅探器具有兩面性，攻擊者可以用它來監(jiān)聽網(wǎng)絡中數(shù)據(jù)，到達非法獲得信息的目的，網(wǎng)絡管理者可以通過使用嗅探器捕獲網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包并對其進展分析，分析結(jié)果可供網(wǎng)絡安

2、全分析之用。本文對網(wǎng)絡嗅探技術進展簡要分析，了解wireshark抓包軟件的一局部功能，并用wireshark抓包軟件來作為網(wǎng)絡數(shù)據(jù)包的捕獲工具，對相應的數(shù)據(jù)包進展捕獲，并對所抓到數(shù)據(jù)包進展簡要的分析。關鍵詞：網(wǎng)絡嗅探器；數(shù)據(jù)包捕獲；數(shù)據(jù)包分析；目錄 TOC o 1-3 h z u HYPERLINK l _Toc439146356 第一章引言 PAGEREF _Toc439146356 h 4 HYPERLINK l _Toc439146357 1.1 網(wǎng)絡安全的現(xiàn)狀 PAGEREF _Toc439146357 h 4 HYPERLINK l _Toc439146358 1.1.1 計算機網(wǎng)

3、絡安全的問題 PAGEREF _Toc439146358 h 4 HYPERLINK l _Toc439146359 1.1.2 網(wǎng)絡安全機制及技術措施 PAGEREF _Toc439146359 h 4 HYPERLINK l _Toc439146360 1.2本課題的研究意義 PAGEREF _Toc439146360 h 6 HYPERLINK l _Toc439146361 1.3本文研究的內(nèi)容 PAGEREF _Toc439146361 h 6 HYPERLINK l _Toc439146362 第二章網(wǎng)絡嗅探器的 基本原理 PAGEREF _Toc439146362 h 7 HYP

4、ERLINK l _Toc439146363 2.1網(wǎng)絡嗅探器概述 PAGEREF _Toc439146363 h 7 HYPERLINK l _Toc439146364 2.2 嗅探器實現(xiàn)根基 PAGEREF _Toc439146364 h 7 HYPERLINK l _Toc439146365 第三章數(shù)據(jù)包的捕獲 PAGEREF _Toc439146365 h 8 HYPERLINK l _Toc439146366 3.1 wireshark抓包軟件的解析 PAGEREF _Toc439146366 h 8 HYPERLINK l _Toc439146367 3.2 Wireshark嗅探

5、器對ICMP協(xié)議數(shù)據(jù)包的捕獲以及分析 PAGEREF _Toc439146367 h 9 HYPERLINK l _Toc439146368 3.2.1 ICMP協(xié)議的原理 PAGEREF _Toc439146368 h 9 HYPERLINK l _Toc439146369 3.2.2 利用網(wǎng)絡嗅探工具開場捕獲ICMP協(xié)議的數(shù)據(jù)包 PAGEREF _Toc439146369 h 9 HYPERLINK l _Toc439146370 3.2.3 對所抓到的數(shù)據(jù)包的分析 PAGEREF _Toc439146370 h 11 HYPERLINK l _Toc439146371 3.3 Wires

6、hark嗅探器對DHCP協(xié)議數(shù)據(jù)包捕獲及分析 PAGEREF _Toc439146371 h 12 HYPERLINK l _Toc439146372 3.3.1 DHCP 協(xié)議的原理 PAGEREF _Toc439146372 h 12 HYPERLINK l _Toc439146373 3.3.2利用Wireshark嗅探器抓捕DHCP協(xié)議的數(shù)據(jù)包并分析 PAGEREF _Toc439146373 h 13 HYPERLINK l _Toc439146374 3.3.3 分析所抓到的數(shù)據(jù)包 PAGEREF _Toc439146374 h 16 HYPERLINK l _Toc4391463

7、75 3.4用wireshark實現(xiàn)和分析三次握手 PAGEREF _Toc439146375 h 23 HYPERLINK l _Toc439146376 3.5 FTP協(xié)議數(shù)據(jù)包的捕獲 PAGEREF _Toc439146376 h 25 HYPERLINK l _Toc439146377 3.5.1 FTP原理 PAGEREF _Toc439146377 h 25 HYPERLINK l _Toc439146378 3.5.2實驗準備 PAGEREF _Toc439146378 h 25 HYPERLINK l _Toc439146379 3.5.3 FTP協(xié)議數(shù)據(jù)包的捕獲 PAGERE

8、F _Toc439146379 h 29 HYPERLINK l _Toc439146380 總結(jié) PAGEREF _Toc439146380 h 31 HYPERLINK l _Toc439146381 參考文獻 PAGEREF _Toc439146381 h 31第一章 引言1.1 網(wǎng)絡安全的現(xiàn)狀1.1.1 計算機網(wǎng)絡安全的問題隨著各種新的網(wǎng)絡技術的不斷出現(xiàn)、應用和開展，計算機網(wǎng)絡的應用越來越廣泛，其作用也越來越重要。但是由于計算機系統(tǒng)中軟硬件的脆弱性和計算機網(wǎng)絡的脆弱性以及地理分布的位置、自然環(huán)境、自然破壞以及人為因素的影響，不僅增加了信息存儲、處理的風險，也給信息傳送帶來了新的問題。計

9、算機網(wǎng)絡安全問題越來越嚴重，網(wǎng)絡破壞所造成的損失越來越大。Internet的安全已經(jīng)成為亟待解決的問題。從目前使用的情況來看，對計算機網(wǎng)絡的入侵、威脅和攻擊， 基本上可以歸納為以下幾種：1.外部人員攻擊2.黑客入侵3.信息的泄漏、竊取和破壞4.搭線竊聽5.線路干擾6.拒絕服務或注入非法信息7.修改或刪除關鍵信息8.身份截取或中斷攻擊9.工作疏忽，造成漏洞10.人為的破壞網(wǎng)絡設備，造成網(wǎng)絡癱瘓1.1.2 網(wǎng)絡安全機制及技術措施目前國內(nèi)外維護網(wǎng)絡安全的機制主要有以下幾類：1.訪問控制機制訪問控制機制是指在信息系統(tǒng)中，為檢測和防止未授權(quán)訪問，以及為使授權(quán)訪問正確進展所設計的硬件或軟件功能、操作規(guī)程、

10、管理規(guī)程和它們的各種組合。2.身份鑒別身份鑒別技術是讓驗證者相信正在與之通信的另一方就是所聲稱的那個實體，其目的是防止偽裝。3.加密機制對純數(shù)據(jù)的加密，加密機制是對你不愿意讓他人看到的這些數(shù)據(jù)數(shù)據(jù)的明文用可靠的加密算法，只要破解者不知道被加密數(shù)據(jù)的密碼，他就不可解讀這些數(shù)據(jù)。4.病毒防護計算機病毒的防范既是一個技術問題，也是一個管理問題，它采取以“預防為主，治療為輔的防范策略將計算機病毒的危害降到最小限度。針對以上機制的網(wǎng)絡安全技術措施主要有：1防火墻技術防火墻是指一種將內(nèi)部網(wǎng)和公眾網(wǎng)絡分開的方法，它實際上是一種隔離技術，是在兩個網(wǎng)絡通信是執(zhí)行的一種訪問控制手段，它能允許用戶“同意的人和數(shù)據(jù)進

11、入網(wǎng)絡，同時將用戶“不同意的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪自己的網(wǎng)絡，防止他們更改、復制和毀壞自己的重要信息。2基于主機的安全措施通常利用主機操作系統(tǒng)提供的訪問權(quán)限，對主機資源進展保護，這種安全措施往往只局限于主機本身的安全，而不能對整個網(wǎng)絡提供安全保證。3加密技術用于網(wǎng)絡安全的加密技術通常有兩種形式：(a)面向服務的加密技術。面向服務的加密技術即通常所說的信息加密。它是指利用好的密碼算法對有些敏感數(shù)據(jù)、文件和程序進展加密，并以密文方式存取，以防泄密。其優(yōu)點在于實現(xiàn)相對簡單，不需要對網(wǎng)絡數(shù)據(jù)所經(jīng)過的網(wǎng)絡的安全性提出特殊的要求。(b)面向網(wǎng)絡的加密技術。面向網(wǎng)絡的加密技術是指通

12、信協(xié)議加密，它是在通信過程中對包中的數(shù)據(jù)進展加密，包括完整性檢測、數(shù)字簽名等，這些安全協(xié)議大多采用了諸如RSA公鑰密碼算法、DES分組密碼、MD系列Hash函數(shù)及其它一些序列密碼算法實現(xiàn)信息安全功能，用于防止黑客對信息進展偽造、冒充和篡改，從而保證網(wǎng)絡的連通性和可用性不受損害。加密技術是網(wǎng)絡信息最 基本、最核心的技術措施。但加密的有效性完全取決于所采用的密碼算法，故一般由中央授權(quán)部門研制生產(chǎn)，不能自行采用一些密碼算法用于網(wǎng)絡中，否那么后果不堪設想。4其它安全措施包括鑒別技術、數(shù)字簽名技術、入侵檢測技術、審計監(jiān)控、防病毒技術、備份和恢復技術等。鑒別技術是指只有經(jīng)過網(wǎng)絡系統(tǒng)授權(quán)和登記的合法用戶才能

13、進入網(wǎng)絡。審計監(jiān)控是指隨時監(jiān)視用戶在網(wǎng)絡中的活動，記錄用戶對敏感的數(shù)據(jù)資源的訪問，以便隨時調(diào)查和分析是否遭到黑客的攻擊。這些都是保障網(wǎng)絡安全的重要手段。1.2本課題的研究意義計算機網(wǎng)絡技術的飛速開展，極大的改變了人們傳統(tǒng)的生活和工作模式，越來越多的社會經(jīng)濟活動開場依賴網(wǎng)絡來完成，可以說計算機網(wǎng)絡的開展已經(jīng)成為現(xiàn)代社會進步的一個重要標志。但與此同時，計算機犯罪、黑客攻擊、病毒入侵等惡性事件也頻頻發(fā)生。因此，信息安全已越來越受到世界各國的重視。嗅探器作為一種網(wǎng)絡通訊程序，是通過對網(wǎng)卡的編程來實現(xiàn)網(wǎng)絡通訊的，對網(wǎng)卡的編程是使用通常的套接字socket方式來進展。但是，通常的套接字程序只能響應與自己硬

14、件地址相匹配的或是以播送形式發(fā)出的數(shù)據(jù)幀，對于其他形式的數(shù)據(jù)幀比方已到達網(wǎng)絡接口但卻不是發(fā)給此地址的數(shù)據(jù)幀，網(wǎng)絡接口在驗證投遞地址并非自身地址之后將不引起響應，也就是說應用程序無法收取到達的數(shù)據(jù)包。而網(wǎng)絡嗅探器的目的恰恰在于從網(wǎng)卡接收所有經(jīng)過它的數(shù)據(jù)包，這些數(shù)據(jù)包即可以是發(fā)給它的也可以是發(fā)往別處的。本文通過對網(wǎng)絡嗅探器對網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包的捕獲與分析功能的進一步了解，做到知己知彼。通過網(wǎng)絡嗅探器對網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包進展捕獲和分析，獲取所需要的信息，利用對這些信息進展網(wǎng)絡安全分析。因此，對網(wǎng)絡嗅探器的研究具有重要意義。1.3本文研究的內(nèi)容本文的研究主要圍繞以下幾個方面進展。1.網(wǎng)絡嗅探器的概念及

15、局部應用的研究。主要包括網(wǎng)絡嗅探器的概念、網(wǎng)絡嗅探器的工作原理。2.用網(wǎng)絡嗅探器對ICMP協(xié)議、DHCP協(xié)議和TCP協(xié)議的數(shù)據(jù)包進展捕獲，并對所捕獲到的數(shù)據(jù)包進展分析。第二章 網(wǎng)絡嗅探器的 基本原理2.1網(wǎng)絡嗅探器概述網(wǎng)絡嗅探器又稱為網(wǎng)絡監(jiān)聽器，簡稱為Sniffer子系統(tǒng)，放置于網(wǎng)絡節(jié)點處，對網(wǎng)絡中的數(shù)據(jù)幀進展捕獲的一種被動監(jiān)聽手段，是一種常用的收集有用數(shù)據(jù)的方法，這些數(shù)據(jù)可以是用戶的賬號和密碼，可以是一些商用機密數(shù)據(jù)等等。Sniffer是利用計算機的網(wǎng)絡接口截獲目的地為其他計算機的數(shù)據(jù)報文的一種工具。Sniffer的正當用處主要是分析網(wǎng)絡的流量,以便找出所關心的網(wǎng)絡中潛在的問題。例如,假設網(wǎng)

16、絡的某一段運行得不是很好,報文的發(fā)送比較慢,而我們又不知道問題出在什么地方,此時就可以用嗅探器截獲網(wǎng)絡中的數(shù)據(jù)包，分析問題的所在。而嗅探器也可作為攻擊工具被黑客所利用為其發(fā)動進一步的攻擊提供有價值的信息。2.2 嗅探器實現(xiàn)根基以太網(wǎng)數(shù)據(jù)幀是一組數(shù)字脈沖，它們在傳輸介質(zhì)上進展傳輸，從而實現(xiàn)信息的傳遞。以太網(wǎng)幀格式符合IEEE802.3標準，幀中包含目的地址和源地址，目的地址最高位為0是普通地址，為1時是組地址。當一個幀送到組地址時，組內(nèi)的所有站點都會收到該幀。如果將它送到一個普通地址，一般情況下，只有一個站點收到這個幀，但是，以太網(wǎng)是以播送方式發(fā)送幀的，也即這個幀會傳播到其所在網(wǎng)段內(nèi)的所有站點，

17、只不過該站點不會接收目的地址不為本機地址的幀。為了捕獲網(wǎng)段內(nèi)的所有幀(以后稱數(shù)據(jù)包)，可以設置以太網(wǎng)卡的工作方式，以太網(wǎng)卡通常有正常模式(normal mode)和混雜模式(promiscuous mode)兩種工作模式。在正常模式下，網(wǎng)卡每接收到一個到達的數(shù)據(jù)包，就會檢查該數(shù)據(jù)包的目的地址，如果是本機地址和播送地址,那么將接收數(shù)據(jù)包放入緩沖區(qū)，其他目的地址的數(shù)據(jù)包那么直接丟掉。因此，正常模式下主機僅處理以本機為目的的數(shù)據(jù)包，網(wǎng)卡如果工作在混雜模式，那么可以接收本網(wǎng)段內(nèi)傳輸?shù)乃袛?shù)據(jù)包。如果要進展數(shù)據(jù)包捕獲，必須利用網(wǎng)卡的混雜模式，獲得經(jīng)過本網(wǎng)段的所有數(shù)據(jù)信息。第三章 數(shù)據(jù)包的捕獲對于數(shù)據(jù)包的

18、捕獲過程，我們可以按照如下所示的流程圖對捕獲的過程進展解釋。數(shù)據(jù)包捕獲流程圖:設置過濾規(guī)那么獲取網(wǎng)絡設備列表翻開設備，設為混雜模式編譯過濾規(guī)那么循環(huán)捕獲數(shù)據(jù)包關閉網(wǎng)絡設備3.1 wireshark抓包軟件的解析首先，我們安裝好wireshark抓包軟件后，將其翻開，對其的局部功能按鈕進展了解。如以以下圖，是我對wireshark抓包軟件的其中四個功能鍵的理解和認識。3.2 Wireshark嗅探器對ICMP協(xié)議數(shù)據(jù)包的捕獲以及分析3.2.1 ICMP協(xié)議的原理ICMP全稱InternetControlMessageProtocol，中文名為因特網(wǎng)控制報文協(xié)議。它工作在OSI的網(wǎng)絡層，向數(shù)據(jù)通訊

19、中的源主機報告錯誤。ICMP可以實現(xiàn)故障隔離和故障恢復。網(wǎng)絡本身是不可靠的，在網(wǎng)絡傳輸過程中，可能會發(fā)生許多突發(fā)事件并導致數(shù)據(jù)傳輸失敗。網(wǎng)絡層的IP協(xié)議是一個無連接的協(xié)議，它不會處理網(wǎng)絡層傳輸中的故障，而位于網(wǎng)絡層的ICMP協(xié)議卻恰好彌補了IP的缺限，它使用IP協(xié)議進展信息傳遞，向數(shù)據(jù)包中的源端節(jié)點提供發(fā)生在網(wǎng)絡層的錯誤信息反響。3.2.2 利用網(wǎng)絡嗅探工具開場捕獲ICMP協(xié)議的數(shù)據(jù)包利用Wireshark嗅探器抓捕ICMP協(xié)議的數(shù)據(jù)包并對所捕獲的數(shù)據(jù)包進展分析。我們利用ping程序產(chǎn)生ICMP分組，抓取ICMP數(shù)據(jù)包，具體程如下。1. 翻開Windows命令提示符窗口，啟動Wireshark

20、分組嗅探器，在過濾窗口輸入ICMP：2.接著我們翻開Windows命令提示符窗口，在命令提示符界面輸入“ping -n 10 baidu ，返回十條ping信息：從圖上可以看出連續(xù)收到了10個ping的恢復，每次ICMP通訊的過程都是一個ICMP request和ICMP reply，10次通訊加起來一共20個數(shù)據(jù)包。3.停頓Wireshark分組嗅探器捕捉后，我們會得到如以以下圖的頁面：由圖片我們可以看出，在這次捕捉過程中，我們捕捉到了很多數(shù)據(jù)包，亂七八糟的排列。但是我們這次所抓包的對象是ICMP協(xié)議的，所以，我們可以單擊下Apply應用按鈕或是按回車鍵，就可以使過濾生效，如以以下圖所示：3

21、.2.3 對所抓到的數(shù)據(jù)包的分析由上圖我們可以看出，這次的抓包一共抓到了20個ICMP協(xié)議的數(shù)據(jù)包，我們隨機翻開一個ICMP request數(shù)據(jù)包和一個ICMP reply數(shù)據(jù)包，其結(jié)果分別如圖a和圖b所示：圖a圖(b)我們可以得到的信息有：Type：類型字段，8代表ICMP的請求Code：代碼字段，0代表ICMP的請求Checksum：對ICMP頭部的校驗值，如果傳遞過程中ICMP被篡改或損壞，與該值不匹配，接收方就將這個ICMP數(shù)據(jù)包作廢進程ID標識，從哪個進程產(chǎn)生的ICMP數(shù)據(jù)包。Sequence Number：序列號，同一個進程中會產(chǎn)生很多個ICMP數(shù)據(jù)包，用來描述當前這個數(shù)據(jù)包是哪一

22、個，每一對ICMP request和ICMP reply這個字段應該是一樣的Data：ICMP中的數(shù)據(jù)，一般都是無意義的填充字段，這個局部可能會被黑客參加惡意代碼，實施ICMP攻擊3.3 Wireshark嗅探器對DHCP協(xié)議數(shù)據(jù)包捕獲及分析3.3.1 DHCP 協(xié)議的原理DHCP，全稱是DynamicHostConfigurationProtocol中文名為動態(tài)主機配置協(xié)議，它的前身是BOOTP，它工作在OSI的應用層，是一種幫助計算機從指定的DHCP服務器獲取它們的配置信息的自舉協(xié)議。 DHCP使用客戶端/服務器模式，請求配置信息的計算機叫做DHCP客戶端，而提供信息的叫做DHCP的服務器

23、。DHCP為客戶端分配地址的方法有三種：手工配置、自動配置、動態(tài)配置。DHCP最重要的功能就是動態(tài)分配。除了IP地址，DHCP分組還為客戶端提供其他的配置信息，比方子網(wǎng)掩碼。這使得客戶端無需用戶動手就能自動配置連接網(wǎng)絡。3.3.2利用Wireshark嗅探器抓捕DHCP協(xié)議的數(shù)據(jù)包并分析利用ipconfig /release 和ipconfig /renew 產(chǎn)生DHCP分組，抓取DHCP數(shù)據(jù)包，具體程如下。1.啟動wireshark，啟動Wireshark分組嗅探器，在過濾窗口輸入bootp：2. 翻開Windows命令提示符窗口，輸入ipconfig /release，釋放IP命令ipco

24、nfig /release中，release是該命令的參數(shù)。該命令為釋放現(xiàn)有的IP地址。ipconfig /release終止后，輸入ipconfig /renew，將發(fā)起一個DHCP過程命令ipconfig /renew中，renew也與release一樣，是該命令的參數(shù)。該命令是向DHCP服務器發(fā)出請求，并租用一個IP地址。一般情況下使用ipconfig /renew獲得的IP地址和之前的地址一樣，只有在原地址被占用的情況下才會獲得一個新的地址。一般來說，這兩個參數(shù)是一起使用的。在這個試驗中，是要讓計算機發(fā)起DHCP過程。ipconfig /renew終止后，再次輸入ipconfig /r

25、enewipconfig /renew終止后，再次輸入ipconfig /releaseipconfig /release終止后，再次輸入ipconfig /renew停頓分組捕獲后，wireshark界面如下：3.3.3 分析所抓到的數(shù)據(jù)包由上圖我們可以看出，在這次捕捉過程中，我們捕捉到的數(shù)據(jù)包還是很多，亂七八糟的排列。但是我們這次所抓包的對象是DHCP協(xié)議的，所以，我們還是可以單擊下Apply應用按鈕或是按回車鍵，就可以使過濾生效，如以以下圖所示：翻開第一條DCHP數(shù)據(jù)包，由第一次執(zhí)行ipconfig /release產(chǎn)生，構(gòu)造如下：DHCP的報文格式整理如下：OP(1)Htype(1)H

26、len(1)Hops(1)Transaction ID(4)Seconds(2)Flags(2)Ciaddr4Yiaddr4Siaddr4Giaddr4Chaddr16Sname64File128Optionsvariable對應的含義分別是：OP：假設是client送給server的封包，設為1，反向為2；Hard type：硬件類別，ethernet為1；Hard address length：硬件長度，ethernet為6；Hops：假設數(shù)據(jù)包需經(jīng)過router傳送，每站加1，假設在同一網(wǎng)內(nèi)，為0；Transaction ID：事務ID，是個隨機數(shù)，用于客戶和服務器之間匹配請求和相應消息

27、；Seconds：由用戶指定的時間，指開場地址獲取和更新進展后的時間；Flags：從0-15bits，最左一bit為1時表示server將以播送方式傳送封包給 client，其余尚未使用；Ciaddr：用戶IP地址；Yiaddr：服務器分配給客戶的IP地址；Siaddr：用于bootstrap過程中的IP地址；服務器的IP地址Giaddr：轉(zhuǎn)發(fā)代理網(wǎng)關IP地址；Chaddr：client的硬件地址；Sname：可選server的名稱，以0 x00結(jié)尾；File：啟動文件名；Options：，廠商標識，可選的參數(shù)字段這里我們重點分析第一次執(zhí)行ipconfig /renew產(chǎn)生的四條數(shù)據(jù)包，如以以

28、下圖所示所勾畫出的四條數(shù)據(jù)包：Discover二層源地址：24:fd:52:d5:c1:ad二層目的地址：ff:ff:ff:ff:ff:ffMessage type：Boot request1，1是請求包，由clident端發(fā)出的Hops：0，表示未經(jīng)過處理Client IP address：，客戶端的源IP，因為剛開場不知道ip地址是多少Client MAC address：24:fd:52:d5:c1:ad(24:fd:52:d5:c1:ad)，客戶端的MAC地址Option：t=53,l=1DHCP Message Type=DHCP Discover，這是一個discover包提供階段

29、二層源地址：9c:21:6a:64:f6:02二層目的地址：24:fd:52:d5:c1:ad三層源地址：192:168:1:1三層目的地址：192:168:1:104User Datagran Protocol：通過udp來傳輸，端口號：client-68，server-67Message type：Boot reply2，1是回復包Hops：0Boot flags：unicastYourclient IP address：04Client MAC address：24:fd:52:d5:c1:ad，客戶端的MAC地址Option：t=53,l=1DHCP Message Type=DHCP

30、 offer，這是一個offer包3.選擇階段二層源地址：24:fd:52:d5:c1:ad二層目的地址：ff:ff:ff:ff:ff:ffMessage type：Boot request1，1是請求包Hops：0Boot flags：unicastYourclient IP address：04Client MAC address：24:fd:52:d5:c1:ad，客戶端的MAC地址Option：t=53,l=1DHCP Message Type=DHCP request，這是一個request包4.確認階段二層源地址：24:fd:52:d5:c1:ad二層目的地址：ff:ff:ff:f

31、f:ff:ffMessage type：Boot request1，1是請求包Hops：0Boot flags：unicastYourclient IP address：04Client MAC address：24:fd:52:d5:c1:ad，客戶端的MAC地址Option：t=53,l=1DHCP Message Type=DHCP ACK，這是一個ACK包3.4用wireshark實現(xiàn)和分析三次握手三次握手過程為：下面用wireshark實際分析三次握手的過程翻開wireshark，翻開瀏覽器輸入 ：/ baidu 之后停頓掉wireshark，可以先用cmd命令獲得百度的IP地址，得

32、到百度ip地址為25在filter中輸入ip.src =25 or ip.dst=25查找出如圖為三次握手的過程：第一次握手數(shù)據(jù)包客戶端發(fā)送一個TCP，標志位為SYN，序列號為0， 代表客戶端請求建設連接。 如以以下圖 ：第二次握手的數(shù)據(jù)包服務器發(fā)回確認包, 標志位為 SYN,ACK. 將確認序號(Acknowledgement Number)設置為客戶的I S N加1以.即0+1=1, 如以以下圖：第三次握手的數(shù)據(jù)包客戶端再次發(fā)送確認包(ACK) SYN標志位為0,ACK標志位為1.并且把服務器發(fā)來ACK的序號字段+1,放在確定字段中發(fā)送給對方.并且在數(shù)據(jù)段放寫ISN的+1, 如以以下圖:就這樣通過tcp三次握手，建設服務器與客戶端的鏈接。由此可以檢測客戶端與服務器的鏈接是否是通暢的，但是僅應用于TCP協(xié)議，如果其他協(xié)議就不一定