抓包分析报告.doc

计算机通信与网络实验报告实验题目：抓包并进行分析 班级：.. 姓名：..学号：.. Wireshark抓包分析 Wireshark是世界上最流行的网络分析工具这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息，与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉  一、安装软件并抓包 1：安装并运行wireshark并打开捕获界面2、捕获选项图1捕获选项的设置3、开始抓包 点击上图中的“Start”开始抓包几分钟后就捕获到许多的数据包了，主界面如图所示：图2 主界面显示如上图所示，可看到很多捕获的数据第一列是捕获数据的编号；第二列是捕获数据的相对时间，从开始捕获算为0.000秒；第三列是源地址，第四列是目的地址；第五列是数据包的信息选中第8个数据帧，然后从整体上看看Wireshark的窗口，主要被分成三部分上面部分是所有数据帧的列表；中间部分是数据帧的描述信息；下面部分是帧里面的数据二、 分析UDP、TCP、 ICMP协议1、UDP协议UDP 是User Datagram Protocol的简称， 中文名是用户数据包协议，是 OSI 参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。

它是IETF RFC 768是UDP的正式规范1） UDP是一个无连接协议，传输数据之前源端和终端不建立连接，当它想传送时就简单地去抓取来自应用程序的数据，并尽可能快地把它扔到网络上在发送端，UDP传送数据的速度仅仅是受应用程序生成数据的速度、计算机的能力和传输带宽的限制；在接收端，UDP把每个消息段放在队列中，应用程序每次从队列中读一个消息段 　　（2） 由于传输数据不建立连接，因此也就不需要维护连接状态，包括收发状态等，因此一台服务机可同时向多个客户机传输相同的消息 　　（3） UDP信息包的标题很短，只有8个字节，相对于TCP的20个字节信息包的额外开销很小 　　（4） 吞吐量不受拥挤控制算法的调节，只受应用软件生成数据的速率、传输带宽、源端和终端主机性能的限制 　　（5）UDP使用尽最大努力交付，即不保证可靠交付，因此主机不需要维持复杂的链接状态表（这里面有许多参数） （6）UDP是面向报文的发送方的UDP对应用程序交下来的报文，在添加首部后就向下交付给IP层既不拆分，也不合并，而是保留这些报文的边界，因此，应用程序需要选择合适的报文大小原始框显示了分组中包含的数据的每个字节.从中可以观察最原始的传输数据.方框左边是十六进制的数据,右边是ASCII码。

报文的二进制码，即发送的最原始内容现在选择其中第8个包进行分析图3 第8个Frame第1行，现在此贞基本信息名称，354字节第2行，显示到达时间2012.06.06第4-6行，帧距离前一个帧的捕获时间差：0.131275000，帧距离第一个帧的捕获时间差：0.201217000第8、9行，现在贞长度和捕获长度，分别为354字节和60字节第12、13、14行，现在此贞类型，为UDP类型图4 以太网图5显示了此贞的源地址为（70:5a:b6:64:ab:bb）. 目的地址(ff:ff:ff:ff:ff:ff)图5 Internet协议第1行，给出了源地址和目的地址，分别为10.5.67.152； 255.255.255.255第2行，Version＝4，表示IP协议的版本号为4，即IPV4,占4位，Header Length=20 Bytes，表示IP包头的总长度为20个字节，该部分占4个位所以第一行合起来就是一个字节第3行，给出头长度，20字节第6行，Identification=4732，表示IP包识别号为4732该部分占两个字节第7行，Flags，表示片标志，占3个位各位含义分别为：第一个“0”不用，第二位为不可分片位标志位，此处值为“1”表示该数据表禁制分片。

第三位为是否最后一段标志位，此处“0”表示最后一段第10行，给出贞类型，为UDP第11行，Header Checksun=0x1981(correct)，表示IP包头校验和为0x1981，括号内的Correct表示此IP数据包是正确的，没有被非法修改过该部分占两字节图6 用户数据报协议第2行，源端口：15382字节，源端口号，即发送这个TCP包的计算机所使用的端口号第3行，目的端口：26542字节，目标端口号，即接受这个TCP包计算机所使用的端口号第4行，长度320字节第5行，Checksum－检验和，校验和在数据处理和数据通信领域中，用于校验目的的一组数据项的和这些数据项可以是数字或在计算检验和过程中看作数字的其它字符串2、TCP协议在因特网协议族（Internet protocol suite）中，TCP层是位于IP层之上，应用层之下的中间层不同主机的应用层之间经常需要可靠的、像管道一样的连接，但是IP层不提供这样的流机制，而是提供不可靠的包交换TCP建立连接之后，通信双方都同时可以进行数据的传输，其次，他是全双工的；在保证可靠性上，采用超时重传和捎带确认机制图7 窗口中的TCP协议贞图8 第183个FRAME第1行，现在此贞基本信息。

名称，60字节第2行，显示到达时间2012.06.06第4-6行，帧距离前一个帧的捕获时间差：0.004356000，帧距离第一个帧的捕获时间差2.409387000第8、9行，现在贞长度和捕获长度，都是60字节第12行，现在此贞类型，为TCP类型第13行，用不同颜色染色标记的协议名称：HTTP第14行，染色显示的规则的字符串 图9 以太网信息图10显示了此贞的源地址和目的地址，指出协议类型为TCP图10 Internet信息第1行，给出了源地址和目的地址，分别为220.181.124.8；10.5.65.139第2行，Version＝4，表示IP协议的版本号为4，即IPV4,占4位，Header Length=20 Bytes，表示IP包头的总长度为20个字节，该部分占4个位所以第一行合起来就是一个字节第3行，给出头长度，20字节第6行，Identification=25910，表示IP包识别号为25910该部分占两个字节第7行，Flags，表示片标志，占3个位各位含义分别为：第一个“0”不用，第二位为不可分片位标志位，此处值为“1”表示该数据表禁制分片。

第三位为是否最后一段标志位，此处“0”表示最后一段第10行，给出贞类型，为TCP第11行，Header Checksun=0x3f4c(correct)，表示IP包头校验和为0x3f4c，括号内的Correct表示此IP数据包是正确的，没有被非法修改过该部分占两字节图11 传输控制协议（Transmission Control Protocol，TCP）是一种面向连接的、可靠的、基于字节流的运输层通信协议，通常由IETF的RFC 793说明在简化的计算机网络OSI模型中，它完成传输层所指定的功能第1行，源端口：802字节，源端口号，即发送这个TCP包的计算机所使用的端口号第2行，目的端口：12472字节，目标端口号，即接受这个TCP包计算机所使用的端口号第3行，序列数，1第4行，接收数，1第5行，包头长度20字节第6行，Flags，表示片标志，占3个位各位含义分别为：第一个“0”不用，第二位为不可分片位标志位，此处值为“1”表示该数据表禁制分片第三位为是否最后一段标志位，此处“0”表示最后一段下面各行，都没有被设置，其中Syn，为首部同步位，在TCP向另一个发送连接请求报文段，设置为1。

Fin,在TCP释放连接的时候用到，用来表示结束，它需要消耗一个序号三、实验心得经过此次实验，进行抓包以及分析，让我对数据包分析有了一定了解，对计算机数据通信与网络这门课程有了一定的实践的认识，对我以后的学习和工作有一定的帮助！四、 参考文献计算机通信与网络，清华出版社，杨庚，章韵，成卫青，沈金龙编著。