计算机网络抓包实验分析

辽守工业大学创新实验（论文）题目___________计算机网络抓包实验分析______________________电子与信息工程学院院（系）啊啊啊专业班133学生姓名______________学号指导教师________TCP:Sequence number=45590839bTCP:Next expected Seq number=455908396TCP:Acknow1edgment number=259161551TCP:Data offset=20bytesTCP:Reserved Bits:Reserved forFuture UseNot shownin theHex DumpTCP:Flags=

1.=Acknov1edgmen t・・・・TCP:

5.进入“捕获”一一“定义过滤器”，点击“文件”一一“新建”在新建文件名1称对话框中，确认为点击然后点击“完成”按钮UDP,OK,.在定义过滤器窗口中，选择“高级”卷标从协议列表中，打开对话框，然后2IP点击选择框UDP.选择按钮关闭定义过滤器窗口3OK.按开始捕获流量4F10UDP.现在用完整的域名来对主机执行命令进入“开始”一一“运行”，5FQDN Pin.并输入现在按回车键，可以这个网站四次pin.www.nai.com ping.按停止并显示捕获结果6F

9.分析捕获到的结果即解释数据包的内容和协议具体实现过程7从下图，我们可以看到协议的详细组成UDP第一行字节，为发送进程的端口号Source port2第二行字节，为接收进程的端口号Destination port:2第四行字节，说明数据报的总长度，包括报头和数据域，length2UDP|序号状态|源地址|目标地址|摘要序I Len不1M[

10.

10.199,1[202,

1.计算机网络分层概念的理解地址识变协议是环境中最重要的协议之一允许你的网络上使用

2.ARP LANARP的设备自动将物理地址映射为地址，因此需要对有很详细的了解，MAC IP ARP并清楚它是怎样工作的传输控制协议（TCP）是因特网上最常用的第四层协议,TCP可以保证数据传输的可靠性很多因特网服务，比如HTTP、FTP、SMTP和Telnet,都要依靠TCP来传输数据另外，很多传统的LAN程序，比如文件传输和SQL也都要使用TCP/IPo用户数据报协议（UDP）是网络上另外一种很常用的第四层协议UDP由很多上层协议使用一例如,SNMP、普通文件传输协议（TFTP）和DNS一当DNS请求需要解析时（DNS在进行区域传输时使用TCP）所以，要很清楚的理解UDP的重要性实验主要仪器设备和材料每人一台联网计算机、软件实验方法、步骤及结构测试启动软件1启动桌面软件图标捕获报文基本分析实验2打开程序后，选择叩（捕获）一（开始），或者使用键，或者是工具

1.C tureStart F10栏上的开始箭头.一小段时间过后，再次进入（捕获）菜单，然后选择（停止）或者按下2Capture Stop键，还可以使用工具栏F

10.还可以按键来执行“停止并显示”的功能，或者可以进入（捕获）菜3F9Capture单，选择“停止并显示”.停止捕获后，在对话框最下角增加了一组窗口卷标，包括高级、解码、矩阵、主4机表单、协议分布和统计信息.选择解码卷标，可以看到缓冲器中的所有实际“数据”分析该卷标结构及其内5容1M

59.

74.

42.45]

10.

10.

199.143]D=2671S=443ACK=2087908354UIN=

146060210.

10.

199.143]

113.

142.

8.58]D=8000S=3298LEN=

58310.10,

199.143,

219.

133.

48.49]D=8000S=4000LEN=44LEN=0UIN=6!

410.

10.

199.

1435221.

130.

45.

212221.

130.

45.212D=443S=2673SYN SEQ=1517752294SEQ=1977126VIN-

256960610.10,

199.143]

10.

10.

199.143]D=2673S=443SYN ACK=1517752295SEQ=1517752；

710.

10.

199.

143221.

130.

45.212D=443S=2673ACK=1977126275SEO=19771268221,

130.45,

212221.

130.

45.212D=443S=2673ACK=1977126275DLC HeaderDLC:目DLC:Frame1arrived at19:44:

02.1108;frame sizeis6003C hexbytes.DLC:Destination=Station0003254A3982目DLC:Source=Station000FE2233115目DLC:Ethertype=0800IPDLC:D=[10,

10.

199.143]S=[59,

74.42,45]LEN=20ID=34833+D=2671S=443ACK=2087908354WIN=1460+^1DLC:Frame padding=6bytes

0000000000..XJ

9.

1...E.000000100a.@,

0....=normal delay*IP....

59.

74.

42.45]目IP Destinationaddress=[

10.

10.

199.143]OIP Nooptions.•目窝D=2671S=443ACK=2087908354UIN=1460H TCP:口30000000:0003254aJ0000010:00288811J0000020:c78f01bbD0000030:05b4el15图协议报头21P第十行,表示包识别号为该部分占两个字节Identification=34833,IP34833第十一行到十三行,表示片标志，占个位各位含义分别为第一个不用，第Flags,3“0”二位为不可分片位标志位，此处值为表示该数据表禁制分片第三位为是否最后一段“1”标志位，此处表示最后一段“0”第十四行，表示片偏移为个字节该部分占位第十五行,Fragment Offset=0,13Time to表示生存时间值为占字节Live=51Secongs/Hops,TTL51,1第十六行,表示协议类型为协议代码是占字节Proctol=6TCP,TCP,6,1第十七行，表示包头校验和为括号内的Header Checksun=88AEcorrect,IP88AE,Correct表示此数据包是正确的，没有被非法修改过该部分占两字节IP第十八行，表示数据包源地址为占四字节Source Address=[

59.

74.

42.45],IP

59.

74.

42.45,第十九行,表示数据包目的地址为:Destination Address=[

10.

10.

199.143],IP

10.

10.

199.143,占四字节第二十行，表示数据包中未使用选项部分当需要记录路由时才使用该选No Options,IP项接下来的协议在以下捕获内容后分析0ao3400609o2ofo8o0334aoo3f611ooe8dof28569o2alb3703e1bco3214702f53208a4ood202Sao405oaoOOI捕获并分析地址识变协议3ARP.选择“捕获”一一“定义过滤器”

1.在“定义过滤器”中，选择“文件”一一“新建”

2.将这个文件命名为点击然后点击“完成”3ARP,OK,.现在选择“高级”，从协议列表中选择4ARP.点击关闭定义过滤器窗口已经定义了过滤器，可以按来捕获流量50K,F

10.输入来清除默认网关上的这个命令中的是你的默认网关地址，然6ar..

1.ARP,IP IP后你的默认网关Ping.停止捕获并打开代码窗口至少会看到个捕获到的帧（假设你可以连接到默认72网关）.分析捕获到的结果（即解释数据包的内容和协议具体实现过程）8捕获并分析传输控制协议

4.4从下面截图可以看出，可以分析的工作过程首先，在本局域网上的所有主ARP机上运行的进程都收到本机发送的请求分组（从目标地址为可以看ARP ARPBroadcast出）其次，从摘要中，可以看出请求地址为而PA=[

10.

10.

199.129],ARP

10.

10.

199.129,此地址的网络设备在请求分组中见到自己的地址，就向本机发送响应分IP ARPIPARP组，并写于自己的硬件地址至于在此分组的其余的所有主机都不会理睬这个ARP ARP请求分组从以上可以分析,请求分组是广播的，但响应分组是单一的，即一ARP ARP对一一下对第一个包进行分析ARP第二行（）个字节，可以看出包是采取广播方式，目标地址从Destination,6ARP下面的解码可以看出是翻译过来就是全全为一个广播地址，这里代FFFFFFFFFFFF,1,1表一个链路层的广播地址接下第三行（）个字节，值为这个地址为发起该Source,60003254A3982,MAC的主机接口的地址，即源地址ARP MAC MAC接下来第四行（）个字节，是协议类型，代表类型，表示该Ethertype,20806ARP帧是帧ARP接下来第五行（）字节，是硬件类型我们用的是标准以太网，Hardware type,2值为（）表示是以太网1H0001,10M接下来第六行（）长度字节，是协议类型，我们用的是协议,Protocol type,2IP IP对应的值为所以显示值为800,

0800.接下来第七行（）字节，记录硬件地址长度，这个值告诉处理该帧的程HLEN,1序，读取硬件地址时读到哪里结束因为使用到网卡的地址，而地址的长度MAC MAC为字节，所以这里显示长度为66接下第八行（）字节，为协议长度，这个值告诉处理该帧的程序，PLEN,11序号状态1源地址目标地址|摘要M0003254A3982Broadcast ARP:PA=[

10.

10.

199.129]PR0=IP—000FE22331150003254A3982ARP:PA=[

10.

10.

199.129]HA=000FE2233115PR0=IP00E06109BCE2Broadcast ARP:PA=[

10.

10.

199.131]PR0=IP000FE2233115Broadcast ARP:PA=[

10.

10.

199.174]PR0=IP—----------DLC Header------------------Frame1arrived at16:59:

28.9839;frame sizeis60003C hexbytes.DLC Destination=BROADCAST FFFFFFFFFFFFBroadcastzSource=Stat ion0003254A3982Ethertype=0806ARP——ARP/RARP frame------------------Hardware type=110Mb EthernetProtocoltype=0800IPLength ofhardware address=6bytesLength ofprotocol address=4bytesOpcode1ARP requestSendershardware address=0003254A3982Senders protocoladdress=[

10.

10.

199.138]Target hardwareaddress=000000000000Target protocoladdress=[

10.

10.

199.129]18bytes framepadding00000000:££IffIf fIf£■££■££一..XJ

10.

10.

199.1D=80S=4434SYN SEQ=455908395LEN=O UIN=655D=4434S=80[

218.

240.15166[

218.

240.151SYN ACK=455908396SEQ=259161550[

10.

10.

199.166[

10.

10.

199.1D=80S=4434ACK=259161551UIN=256960[

10.

10.

199.1[

218.

240.151C Port=4434GET zforum/f orumdisplay.phpf:60[

10.

10.

199.1C Port=4434HTML Datarcvc-«r-[

218.

240.1511514Hcc i—▼，-T%▼cr，c源地址|目标地址|摘要TT303序节I|Len j1TCP header--------------234434Destination portInitial80UUU/UTO-HTTP/HTTP4sequence numberNext expectedSeq455908395455908396number32bytesData of fsetReserved Bits:Reserved forFuture UseNot shownin theHex DumpFlags=

02....=No....urgentpointer=No

0...=acknow1edgmen tNo.

0..=pushNo..

1.=resetSYN...0=NoFINWindow65535Checksum625E correctUrgent pointer0Options followMaximumsegment size=1460No—Operat ionWindow scale OptionWindowscalef actor=2No—Operat ionNo—Operat ionSACK-Fermitted Option00000000枉菜二0000001000000020人00000030Source port图的工作方式4TCP所以是一个可靠的协议第个数据包的长度为字节，第个数据包的长度HTTP L2663为字节60下面先对第一个包进行数据分析TCPTTTTTTTTTTTTTTTTTTTTTTTTTcccccccccccccccccccccccccppppppppppppppppppppppppp33fof48f2o62912e2120553e2e34001o oo105050000410020oo b23604020905d c54f2bTTTHHF7b4CCCTT PPFTTr3000a90o180002a o3co o8703o0800bo24d8oo5a o1fo o0021o•

1.R•@pb•••X.•••J9••••E|第一行字节，源端口号，即发送这个包的计算机所使Source port:2TCP用的端口号第二行字节，目标端口号，即接受这个包计算机所使用的Destination port:2TCP端口号第三行字节，表示发送数据包的排序序列用以接收的Initial Sequencenumber:4时候按顺序组合和排序第四行大小不定，用以表示当前接受到数据包的序号Next expectedseq number:第五行字节，用来说明数据包的大小，从哪里开始哪里结束Date offset:1第六行:保留空间，以作未来用Reserved Bit第七至第十三行字节，标志位，有控制功能分别为紧急指针；Flags:6URG ACK,确认指针；不用等待缓冲区装满而直接把报文交给应用层;复位指针；PUSH,RST,SYN,同步信号；完成或释放指针FIN,第十四行字节，发送方希望被接受的数据大小Windows:2第十五行字节，是根据报头和数据字段计算出的校验和，一定由发送端Checksum2计算和存储的第十六行字节，紧急指针，告知紧急资料所在的位置Urgentpointer:2TCP Initial sequence number=455908395TCP Next expectedSeq number=455908396TCP Data offset=32bytesTCP Reserved Bits:Reserved forFuture UseNot shownin theHex DumpTCPF lags=

0....=No acknow1edgmen t....

1....=Acknow1edgmen tTCP:....