1、ARP

Who has 219.219.68.1? Tell 219.219.68.202

0000 ffffffffffff 00 13 d3 51 45 0a 08 06 00 01 ........ .QE.....

0010 08 00 06 04 00 01 00 13 d3 51 45 0a dbdb 44 ca ........ .QE...D. 0020 00 00 00 00 00 00 dbdb 44 01 ........ D.

以太网封装：

ffffffffffff 00 13 d3 51 45 0a 08 06

其中ffffffffffff为目的地址；

00 13 d3 51 45 0a为源地址；

08 06为上层ARP协议类型(0x0806);

ARP为：00 01

08 00 06 04 00 01 00 13 d3 51 45 0a dbdb 44 ca

00 00 00 00 00 00 dbdb 44 01

其中00 01表示计算机硬件类型（0x0001）；

08 00表示IP协议类型（0x0800）；

06表示硬件长度6；

04表示协议长度4；

00 01表示操作码请求为0x0001；

00 13 d3 51 45 0a表示发送MAC地址；

dbdb44 ca表示发送IP地址219.219.68.202；

00 00 00 00 00 00表示目标MAC地址；

dbdb 44 01表示目标IP地址219.219.68.1。

2、ARP

219.219.68.1 is at 00：d0：f8：bc：e7:08

0000 00 13 d3 51 45 0a 00 d0 f8 bc e7 08 08 06 00 01 ...QE... ........ 0010 08 00 06 04 00 02 00 d0 f8 bc e7 08 dbdb 44 01 ........ ......D. 0020 00 13 d3 51 45 0a dbdb 44 ca 00 00 00 00 00 00 ...QE... D....... 0030 00 00 00 00 00 00 00 00 00 00 00 00 ........ ....

以太网封装：

00 13 d3 51 45 0a 00 d0 f8bc e7 08 08 06

00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00

其中00 13 d3 51 45 0a为目的地址；

00 d0 f8 bc e7 08为源地址；

08 06为上层ARP协议类型(0x0806);

00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00表示协议中填充的数据。

ARP为：00 01

08 00 06 04 00 02 00 d0 f8bc e7 08 dbdb 44 01

00 13 d3 51 45 0a dbdb 44ca

其中00 01表示计算机硬件类型（0x0001）；

08 00表示IP协议类型（0x0800）；

06表示硬件长度6；

04表示协议长度4；

00 02表示操作码请求为0x0002；

00 d0 f8 bc e7 08表示发送MAC地址；

dbdb44 01表示发送IP地址219.219.68.1；

00 13 d3 51 45 0a表示目标MAC地址；

dbdb 44 ca表示目标IP地址219.219.68.202。

3、TCP

0000 00 d0 f8 bc e7 08 00 13 d3 51 45 0a 08 00 45 00 ........ .QE...E.

0010 00 28 0d 5f 40 00 40 06 e5 a5 dbdb 44 ca 3a 3f .(._@.@. ....D.:?

0020 ec e6 04 f8 00 50 ab 3a 21 5d 29 b3 cc 0f 50 10 .....P.: !])...P.

0030 fd 67 a2 fe 00 00 .g....

以太网封装:

00 d0 f8 bc e7 08 00 13 d3 51 45 0a 08 00

其中00 d0 f8 bc e7 08为目的物理地址, 00 d0 f8 为全局唯一目的地址;

00 13 d3 51 45 0a为源物理地址, 00 13 d3 为全局唯一源地址;

08 00为上层IP协议类型(0x0800).

IP首部为: 45 00

00 28 0d 5f 40 00 40 06 e5 a5 dbdb 44 ca 3a 3f

ec e6

其中45表示版本为4(也就是IPv4),长度为20字节;

00表示不同服务类型(0x00);

00 28表示全部长度为40;

0d 5f表示标识码0x0d5f (3423);

40表示标记为0x02;

40 00表示片偏移为0;

40表示存活时间为64;

06表示协议:TCP(6);

e5 a5表示头部校验和为0x e5a5;

dbdb44 ca表示源地址(219.219.68.202);

3a 3f ec e6表示目的地址(58.63.236.230).

TCP首部为：

04 f8 00 50 ab3a 21 5d 29 b3 cc 0f 50 10

fd 67 a2 fe 00 00

其中04 f8表示源端口号：kiosk（1272）；

00 50表示目的端口号：http（80）；

(流索引为54)；

ab 3a 21 5d序列号为1；

29 b3 cc 0f确认号为2；

50表示数据头长度为20字节；

50 10表示标记：0x10；

fd 67表示窗口尺寸：64871；

a2 fe表示校验和为0xa2fe；

SEQ/ACK分析：

[这是一个ACK的结构分割：1069];

[RTT对ACK的分割是：0.001061000 seconds]

4、DNS

0000 00 13 d3 51 45 0a 00 d0 f8 bc e7 08 08 00 45 00 ...QE... ......E. 0010 00 f0 5a e5 00 00 7f 11 a4 9b dbdb 3e fbdbdb ..Z..... ....>...

0020 44ca 00 35 c9 ca 00 dc 02 2b cb 02 81 80 00 01 D..5.... .+...... 0030 00 02 00 04 00 04 06 73 75 7a 68 6f 75 05 68 6f .......s uzhou.ho 0040 75 73 65 04 73 69 6e 61 03 63 6f 6d 02 63 6e 00 use.sina . 0050 00 01 00 01 c0 0c 00 05 00 01 00 00 00 1e 00 06 ........ ........ 0060 03 63 64 6e c0 13 c0 36 00 01 00 01 00 00 00 1e .cdn...6 ........ 0070 00 04 79 0e 20 d3 c0 19 00 02 00 01 00 00 45 6d ..y. ... ......Em 0080 00 06 03 6e 73 31 c0 19 c0 19 00 02 00 01 00 00 ...ns1.. ........ 0090 45 6d 00 06 03 6e 73 34 c0 19 c0 19 00 02 00 01 Em...ns4 ........ 00a0 00 00 45 6d 00 06 03 6e 73 32 c0 19 c0 19 00 02 ..Em...n s2...... 00b0 00 01 00 00 45 6d 00 06 03 6e 73 33 c0 19 c0 58 ....Em.. .ns3...X 00c0 00 01 00 01 00 01 44 a1 00 04 ca 6a b8 a6 c0 7c ......D. ...j...|

00d0 00 01 00 01 00 01 46 5b 00 04 3d ac c9 fe c0 8e ......F[ ..=.....

00e0 00 01 00 01 00 01 46 5f 00 04 ca 6c 2c 37 c0 6a ......F_ ...l,7.j