 |
 |
本机的ip是 218.13.52.26
我的ip反向所在地址为:219.136.252.180
d:\hacker\ipc>ping free.6to23.com
Pinging cache014.6to23.net [219.136.252.180] with 32 bytes of data:
Reply from 219.136.252.180: bytes=32 time=18ms TTL=119
Reply from 219.136.252.180: bytes=32 time=15ms TTL=119
Reply from 219.136.252.180: bytes=32 time=15ms TTL=119
下面就分析一下抓到的数据包
首先看到的是著名的TCP协议的三次握手。
1.218.13.52.26:1708=》61.151.241.97:80,FLage:S
先由本机(218.13.52.26)从1708端口向对方(61.151.241.91)的80端口发包,syn=1表示发起一个连接,生成随机seq
2.61.151.241.97:80=》218.13.52.26:1708,FLage:AS
对方收到后将seq+1置于Ack发回给本机。并且syn=1,ACK=1表示对前者的确认,生成随机seq发回本机
3.218.13.52.26:1708=》61.151.241.97:80,FLage:A
本机收到后将seq+1置于Ack发回给对方,将对方Ack置于Seq
这样就完成了三次握手。
下面就进行数据的传送了
4.218.13.52.26:1708=》61.151.241.97:80,FLage:AP
本机向对方确认,并且PSH=1(PSH 置1时请求的数据段在接收方得到后就可直接送到应用程序,而不必等到缓冲区满时才传送。 )。这个我理解为本机向远程请求数据。
5.61.151.241.97:80=》218.13.52.26:1708,FLage:A
远程向本机传送数据
6.61.151.241.97:80=》218.13.52.26:1708,FLage:A
远程向本机传送数据
"建立一个连接需要三次握手,而终止一个连接要经过4次握手。这是因为一个TCP连接是全双工(即数据在两个方向上能同时传递),每个方向必须单独地进行关闭。4次握手实际上就是双方单独关闭的过程。 "
7.218.13.52.26:1708=》61.151.241.97:80,FLage:A
本机对5.6发过来的数据的确认。
4~7均为数据包的传送。我理解为一直在传送同一个文件的不同大小的包。
要注意的是它们的seq与ack一直在存在seq+数据包大小=ack的关系。。
(TCP提供一种面向连接的、可靠的字节流服务。当接收端收到来自发送端的信息时,接受端要发送一条应答信息,表示收到此信息。数据传送时被TCP分割成认为最适合发送的数据块。一般以太网在传送时TCP将数据分为1460字节。也就是说数据在发送方被分成一块一块的发送,接受端收到这些数据后再将它们组合在一起。
例如:6的seq=3222831523,size=1502,=>7的ack=3222831523+1502-62=(14mac头+20ip头+20tcp头+8PPPoe头)
6行显示对方给本机发送了大小为1502字节大小的数据,注意我们前文讲过数据发送时是层层加协议头的,1502字节=14字节以太网头 + 8字节PPPoe头(因为我是电信宽带上网的) + 20字节IP头 + 20字节TCP头 + 1440字节数据
7行显示的应答信号ACK为:32222832963,这个数是6行得SEQ序号3222831523加上传送的数据1440,本机将这个应答信号发给对方说明已收到发来的数据(1440)。
"建立一个连接需要三次握手,而终止一个连接要经过4次握手。这是因为一个TCP连接是全双工(即数据在两个方向上能同时传递),每个方向必须单独地进行关闭。4次握手实际上就是双方单独关闭的过程。 "
8.61.151.241.97:80=》218.13.52.26:1708,FLage:APF
对方发完最后一个数据包size=1078,并向本机请求终止,Fin=1(FIN 置1时表示发端完成发送任务。用来释放连接,表明发送方已经没有数据发送了。 )
9.218.13.52.26:1708=》61.151.241.97:80,FLage:A
本机收到本机的fin=1后。。将seq+1=ack,回复本机,发回一个确认,并将应答信号ack设置为收到序号seq加1,这样就终止了对方=>本机这个方向的传输。
10.218.13.52.26:1708=》61.151.241.97:80,FLage:AF
本机向对方请求终止,Fin=1(FIN 置1时表示发端完成发送任务。用来释放连接,表明发送方已经没有数据发送了。 )
11.61.151.241.97:80=》218.13.52.26:1708,FLage:A
对方收到本机的fin=1后。。将seq+1=ack,回复本机,发回一个确认,并将应答信号ack设置为收到序号seq加1,这样就终止了本机=>对方这个方向的传输。
12~14三握手(s=>as=>a)
15~16数据传送
17~20四次握手(af=>a=>af=>a)
21~23我用鸽子Ftp更新了我的ip
24~26三次握手(s=>as=>a)
27注意。。这里就是重点了。鸽子读取ip.txt文件。。是明文的。。很容易就看到了:
GET /alex0008/tmp/ip.txt HTTP/1.0..User-Agent: MYURL..Host: free.6to23.com..Pragma
28读取ip.txt 里的内容后确定鸽子的客户端ip!!!也是明文的。。很容易就看到了:
http://218.13.52.26/wwwroot/....<script language=javascript src=/files/uploadimg/20070124/1347425.gif" target=_blank>
 |
【相关文章】
| 共2页: 上一页 [1] 2 | ||
|
相关文章
