利用Ethereal分析TCP数据包一.分析过程：
1．图1 TCP协议图
图2 TCP协议的内容
图3 TCP协议的数据包
2.数据分析
1)
分析：546代表的是Frame的序号，54 bytes代表的是54字节的数据包的长度
2)
分析：其中代表的是MAC地址
字节： 6 6 2
以太网的MAC帧格式
目的地址：00 e0 5c 15 f1 cd（十六进制）
源地址：00 1f d0 b8 da 78（十六进制）
类型：一般类型字段的值是0x0800是，就是宝石上层使用的是IP数据报。

如果类型字段分值是0x8137则宝石该帧是由Novell IPX发过来的。

3)分析：
版本：使用的是IP协议版本号为4（即IPv4）
首部长度：20个字节的长度
服务类型（新版本称区分服务）：00，这个字段只有在使用区分服务时，才起作用。

在一般的情况下都不使用这个字段的。

总长度：40字节，总长度指的是首部和数据之和的长度
标识：d0 34（十六进制）IP软件在存储器中维持一个计时器，每产生一个数据报，计时器就加1，并将此值赋给标志字段。

标志：001（二进制），目前标志只有两位有意义：
标志最低位记为MF（More Fragment）。

MF=1表示后面“还有分片”的数据报，
MF=0表示这已是若干数据报片中的最后一个。

标志中间的一位记为DF（Don’t Fragment），意思是“不能分片”。

只有当DF=0
是才允许分片。

片偏移：0，0000，0000,0000（二进制）
生存时间：80（十进制128s）生存时间表明的是数据报在网络中的寿命，一般以秒作为其单元。

协议：协议字段指出次此数据报携带的数据是使用何种协议，以便使目的主机的IP层知道应将数据部分交给那个处理过程。

首部检验和：5167（二进制：0101，0001,0110,0111）这个字段值检验数据报的首部，但不包括数据部分。

源IP地址：192.168.1.3
目的IP地址：219.133.60.3
4)
源端口号：1157
目的端口号：80（HTTP）
序列号：73 71 72 cb
确认号：24 ce 1c a0
首部长度：20字节
保留：00，0000
UGR:0, URG 紧急指针，告诉接收TCP模块紧要指针域指着紧要数据
ACK:1, ACK 置1时表示确认号（为合法，为0的时候表示数据段不包含确认信息，确认号被忽略。

PSH:0, PSH 置1时请求的数据段在接收方得到后就可直接送到应用程序，而不必等到缓冲区满时才传送。

RST:0, RST 置1时重建连接。

如果接收到RST位时候，通常发生了某些错误。

SYN:0, SYN 置1时用来发起一个连接。

FIN:0, FIN 置1时表示发端完成发送任务。

用来释放连接，表明发送方已经没有数据数据。

检验和：aa b2
紧急指针：00 00
二.总结
通过使用Ethereal这个数据抓包软件，让我再次复习了有关计算机网络的知识，虽然还不知道去具体的使用价值。