udp协议分析
UDP是一个无连接协议,传输数据之前源端和终端不建立连接,当它想传送时就简单地去抓取来自应用程序的数据,并尽可能快地把它扔到网络上。
UDP报文分UDP报头和UDP数据。报头由四个16位长字段组成,共8个字节。包含了报文的源端口、目的端口、报文长度以及校验值。
Source port是源端口:50550;
Destination port是目标端口:53;
Length是数据报长度:41;
cheksum是校验和
由于udp是无连接的,可以在任何时候收发数据,加上udp本身处理简单高效,因此udp常用于包总量少的通信,如dns,snmp,即时通信,广播通信等等。
网络层分析
ip报文格式如图所示;
1.internet protocol version 4是版本,代表ipv4;
2.Header length是头长度,长度为20byt;
3.Differentiated Services Field就是区分服务;
4.Total Lehgth为总长度,其中45 00 00 28 为上述传输的值,以上的数都为4位二进制数,4代表版本,5代表头长度,00代表tos为0,00,28代表总长度为0001 1100
5.Identification为位标识,bb d2代表该ip标识,1011 1011 1101 0010;
6.FLags为标志,在这里可以看到MF为 not set 标识没有分片,DF为set可以分片。片偏移为0.标识这是初始的ip片;
7.下一行为ttl协议,可以看到TTL为48,上层协议为tcp,2d 06转化为45.6协议,头部检验和为true为b3 d7;
8.剩下是源和目的ip;
arp协议
网络中所有的协议中,从安全上来看:其中最不安全的协议就是ARP协议。
ARP(Address Resolution Protocol)协议简单来说就是:地址解析协议,是根据IP地址获取物理地址的一个TCP/IP协议。
报文格式如图所示:
1.hardware type为硬件类型:表示硬件地址(MAC地址)的类型,值为1表示以太网地址
2.protocol type为协议类型:表示要映射的协议地址类型。它的值为0x0800表示IP地址类型
3.hardware size为硬件地址长度:以太网MAC地址长度为 6Byte
4.Protocol size协议地址长度:IP地址长度为 4Byte
5.Opcode为操作类型:1表示ARP请求,2表示ARP应答,3表示RARP请求,4表示RARP应答
6.Sender MAC address为发送端MAC地址:发送方设备的硬件地址
7.Sender IP address为发送端IP地址:发送方设备的IP地址
8.Target MAC address为目标MAC地址:接收方设备的硬件地址
9.Target IP address为目标IP地址:接收方设备的IP地址
