11、传输层协议与无线流量分析

传输层协议与无线流量分析

1. Wireshark中TCP标志分析

在使用Wireshark分析TCP数据包中的标志时，操作相对简单。每个TCP数据包在详细信息面板中都有单独的部分显示标志信息。我们以之前捕获的三次握手过程中的一个TCP数据包为例，来看看标志在详细信息面板中是如何呈现的，然后尝试创建相应的显示过滤器。

以下是各部分的含义：
- 在列表面板中，可以看到客户端向服务器发送的用于发起三次握手的SYN数据包。
- 该数据包的相关标志已设置，二进制的000000000010对应的十六进制值为0x002。
- 在详细信息面板中，可以看到对应的TCP数据包的SYN标志位被设置为1，其余标志位为0。

如果想创建一个显示过滤器，只查看跟踪文件中的SYN数据包，可以应用相应的过滤器，这样跟踪文件中就只会显示SYN数据包。若要创建一个过滤器，只在列表面板中查看SYN和ACK数据包，可按以下步骤操作：
1. 打开跟踪文件。
2. 选择任意一个TCP SYN或ACK数据包。
3. 记录所设置标志对应的SYN和ACK的十六进制等效值。
4. 使用记录的十六进制值创建过滤器，过滤器的形式应类似示例中的形式。

2. 用户数据报协议（UDP）

根据RFC 768的定义，UDP是一种无连接协议，非常适合在主机之间传输实时数据，但通常被认为是一种不可靠的通信形式。这是因为UDP不关心数据包的传递，任何丢失的数据包都不会被恢复，因为发送者在传输过程中永远不会收到有关丢弃或丢失数据包的通知。然而，许多协议如DHCP、DNS、TFTP、SIP等都依赖于UDP。使用UDP作为传输机制的协议必须依靠