实验一 数据报文分析

报文数据解析报文数据解析是一项重要的技术，它能够帮助我们从复杂的报文中提取出有用的信息。

无论是在网络通信中，还是在数据交换中，报文数据解析都发挥着关键的作用。

让我们来了解一下什么是报文数据解析。

报文是一种结构化的数据格式，它由一系列的字段组成。

每个字段都有自己的类型和长度，而且它们在报文中的位置是固定的。

解析报文的过程就是将报文按照规定的格式解析成可读的数据。

报文数据解析通常包括以下几个步骤。

首先，我们需要将原始的报文数据按照规定的格式进行切割，将每个字段提取出来。

然后，我们需要对每个字段进行解码，将其转换成可读的形式。

在解码的过程中，我们可能还需要进行一些数据的转换和计算，以便得到最终的结果。

报文数据解析的过程中，我们需要注意一些细节。

首先，我们需要确保解析的准确性，即确保每个字段都被正确地解析出来，并且没有遗漏或错误。

其次，我们需要注意解析的效率，尽量减少不必要的计算和转换，以提高解析的速度。

最后，我们还需要处理一些异常情况，比如报文格式错误或字段缺失等，以确保解析的稳定性。

为了更好地理解报文数据解析的过程，我们可以以一个简单的报文为例进行说明。

假设我们有一个报文，它包含了一个姓名字段和一个年龄字段。

那么我们首先需要将报文按照规定的格式进行切割，将姓名字段和年龄字段提取出来。

然后，我们需要对这两个字段进行解码，将它们转换成可读的形式。

比如，我们可以将姓名字段解码为字符串，将年龄字段解码为整数。

最后，我们可以将解析后的结果输出，以便后续的处理和分析。

报文数据解析是一项重要的技术，它能够帮助我们从复杂的报文中提取出有用的信息。

通过合理的解析过程，我们可以准确地获取报文中的字段，并将其转换成可读的形式。

报文数据解析的过程中，我们需要注意解析的准确性、效率和稳定性，以确保解析的成功和可靠性。

通过合理的解析技术，我们可以更好地利用报文数据，为后续的处理和分析提供有价值的信息。

一、实训目的本次数据报文交换实训旨在通过模拟实际网络环境，让学生深入了解数据报文交换的原理、过程和关键技术，掌握报文交换的基本操作，提高网络通信技能。

通过实训，学生能够：1. 理解数据报文交换的基本概念和原理；2. 掌握报文交换的关键技术，如报文路由、差错控制、流量控制等；3. 熟悉网络设备配置和报文交换实验环境搭建；4. 提高网络通信实践操作能力，为今后从事网络相关工作打下基础。

二、实训环境1. 硬件环境：实验室内配备有网络交换机、路由器、计算机等网络设备；2. 软件环境：使用网络模拟软件（如GNS3、Packet Tracer等）进行实验；3. 实验内容：数据报文交换的原理、过程、关键技术、实验环境搭建及操作。

三、实训原理数据报文交换是一种基于分组交换技术的通信方式，它将数据分割成若干个报文，每个报文独立进行传输。

在传输过程中，报文可能经过不同的路径，到达目的地的顺序可能不同，但最终会按照一定的顺序重新组装成完整的数据。

数据报文交换的主要原理包括：1. 分组交换：将数据分割成固定大小的报文，便于传输和处理；2. 路由选择：根据网络状况和路由协议，选择最佳路径进行报文传输；3. 差错控制：通过校验和、重传机制等手段，保证报文传输的可靠性；4. 流量控制：通过滑动窗口、拥塞控制等手段，防止网络拥塞。

四、实训过程1. 实验环境搭建：使用网络模拟软件搭建实验环境，包括网络拓扑结构、设备配置等；2. 报文交换原理演示：通过软件演示数据报文交换的原理，让学生了解报文交换的基本过程；3. 实验操作：分组交换实验、路由选择实验、差错控制实验、流量控制实验等；4. 实验结果分析：对实验结果进行分析，总结实验过程中的问题及解决方法。

五、实训结果1. 学生对数据报文交换的基本概念和原理有了深入理解；2. 掌握了报文交换的关键技术，如报文路由、差错控制、流量控制等；3. 熟悉了网络设备配置和报文交换实验环境搭建；4. 提高了网络通信实践操作能力。

UDP报文分析实验报告范文udp实验结果及分析实验报告实验名称UDP报文分析姓名学号实验日期2015.09.17实验报告要求：1.实验目的2.实验要求3.实验环境4.实验作业【实验目的】1．复习Wireshark抓包工具的使用及数据包分析方法；2．分析UDP报文3.校验和检验【实验要求】用Wireshark1.12.3截UDP包，分析数据包。

【实验环境】用以太网交换机连接起来的windows8.1操作系统的计算机，通过iNode客户端接入Internet。

【实验作业】1．截包在Filter处输UDP截到的没有UDP，选udpencap后截到UDP报文。

UDP是封装在IP里的。

2.报文字段分析=1\*GB3①源端口源端口号是8000。

关于端口号有一些规定，服务器端通常用知名端口号，通常在0-1023之间。

而客户端用随机的端口号，其范围在49152到65535之间。

=2\*GB3②目的端口=3\*GB3③报文长度=4\*GB3④校验和=5\*GB3⑤数据3.校验和计算（与IP首部校验和计算方法相同）=1\*GB3①UDP的校验和所需信息：UDP伪首部：源IP+目的IP+Byte0+Byte17+UDP长度，其目的是让UDP两次检查数据是否已经正确到达目的地，只是单纯为了做校验用的。

UDP首部：该长度不是报文的总长度，而只是UDP（包括UDP头和数据部分）的总长度UDP的数据部分。

=2\*GB3②计算步骤把伪首部添加到UDP上；计算初始时将校验和字段添零的；把所有位划分为16位（2字节）的字；把所有16位的字相加，如果遇到进位，则将高于16字节的进位部分的值加到最低位上。

将所有字相加得到的结果应该为一个16位的数，将该数按位取反则可以得到校验和。

=3\*GB3③计算由上图可知源IP：111.161.88.16、目的IP：10.104.113.47、UDP 长度：47和数据。

计算后得校验和正确。

成绩优良中及格不及格教师签名：日期：。

洛阳理工学院实验报告
减少不必要的数据。

按照下面的步骤完成实验内容。

（一）建立连接
三次握手
1）源主机向目的主机发送连接请求
报头：
源端口号：1865
目的端口号：http(80)
序列号：0（源主机选择0作为起始序号）
报头长度：28字节
标志位：仅SYN设为1，请求建立连接，ACK：notset 窗口大小：64240字节
选项字段：8字节
2）目的主机返回确认信号
报头：
源端口号：http(80)
目的端口号：1865
序列号：0（目的主机选择0作为起始序号）
报头长度：28字节
标志位：SYN设为1，ACK设为1，确认允许建立连接
窗口大小：16384字节
选项字段：8字节
3）源主机再次返回确认信息，并可以携带数据
报头：
源端口号：1865
目的端口号：http(80)
序列号：1（发送的报文段编号）
报头长度：20字节
标志位：SYN=1，ACK=1
窗口大小：64240字节
（二）关闭连接
四次握手
1）源主机向目的主机发送关闭连接请求，FIN=1 2)目的主机返回确认信号，ACK=1
3）目的主机允许关闭连接，FIN=1
4）源主机返回确认信号，ACK=1
实验总结：在这次试验中我学会了抓包，虽然现在还不是特别理解这里面好些东西的含义，但是我相信随着后来学习的加深，最终会了解的更多，抓包后可以查看网络的状态以及路由器之间的访问顺序，途径等等，可以更好的了解网络的工作状态。

网络报文分析实验报告实验目的本次实验旨在通过对网络报文的分析，深入了解网络通信过程中数据的传输和交互。

实验背景随着互联网的快速发展，网络通信已经成为了人们日常生活中一个不可或缺的组成部分。

网络通信的基本单位是报文，它是在网络中传输的数据单元。

通过对网络报文的分析，可以帮助我们更好地理解、掌握网络通信的工作原理。

实验材料- Wireshark软件：用于捕获和分析网络报文。

实验步骤1. 下载并安装Wireshark软件。

2. 打开Wireshark软件并选择要监测的网络接口。

3. 开始捕获网络报文。

4. 执行特定操作，如访问一个网页、发送邮件等，以产生网络通信。

5. 停止网络报文捕获。

6. 分析捕获到的网络报文。

实验结果通过对网络报文的捕获和分析，我们可以了解到以下几个方面的信息：1. 源IP地址和目标IP地址：可以确定报文是从哪个主机发送到哪个主机。

2. 源端口号和目标端口号：可以确定报文是通过哪个应用程序发送和接收的。

3. 报文的数据内容：可以查看报文中的数据部分，并进行进一步的分析，如解码加密的数据、查找特定信息等。

4. 报文的协议类型：可以确定报文使用的是哪个协议，如TCP、UDP、HTTP 等。

5. 报文的长度和时间戳：可以了解报文的大小和传输时间。

实验分析通过分析捕获到的网络报文，我们可以获得以下几个方面的信息：1. 网络通信的双方：通过源IP地址和目标IP地址，我们可以知道网络通信是由哪两台主机之间进行的。

2. 通信所使用的协议：通过报文的协议类型，我们可以确定报文是使用TCP、UDP、HTTP还是其他协议进行传输。

3. 通信的具体内容：通过分析报文的数据部分，我们可以了解到通信中传输的具体内容，如网页的HTML代码、文件的二进制数据等。

4. 通信的时间和速率：通过报文的时间戳和长度，我们可以了解到通信过程所花费的时间和传输速率。

实验总结通过本次实验，我们对网络报文的分析有了更深入的了解。

一、实验目的1. 理解网络报文的基本概念和结构；2. 掌握网络报文的发送和接收过程；3. 熟悉网络报文的调试和优化方法；4. 提高网络编程能力。

二、实验环境1. 操作系统：Windows 102. 编程语言：C++3. 网络设备：局域网（以太网）4. 实验工具：Wireshark三、实验内容1. 网络报文结构分析2. 网络报文发送与接收3. 网络报文调试与优化四、实验步骤1. 网络报文结构分析（1）使用Wireshark抓取网络报文，观察报文结构；（2）分析报文头部信息，包括源IP地址、目的IP地址、端口号等；（3）分析报文负载部分，了解数据传输内容。

2. 网络报文发送与接收（1）编写C++程序，实现网络报文的发送和接收功能；（2）设置发送和接收端口号，确保程序正常运行；（3）编写测试用例，验证程序功能。

3. 网络报文调试与优化（1）使用Wireshark抓取网络报文，分析报文发送和接收过程；（2）检查报文头部信息，确保正确无误；（3）针对发送和接收速度进行优化，提高程序性能。

五、实验结果与分析1. 网络报文结构分析通过Wireshark抓取网络报文，我们可以观察到以下结构：（1）头部信息：包括源IP地址、目的IP地址、端口号、协议类型等；（2）负载信息：数据传输内容。

2. 网络报文发送与接收编写C++程序，实现网络报文的发送和接收功能。

程序运行结果如下：（1）发送端：成功发送网络报文，报文头部信息正确；（2）接收端：成功接收网络报文，报文头部信息正确。

3. 网络报文调试与优化通过Wireshark抓取网络报文，分析报文发送和接收过程。

针对发送和接收速度进行优化，提高程序性能。

优化后，发送和接收速度得到明显提升。

六、实验总结本次实验使我们对网络报文有了更深入的了解，掌握了网络报文的发送和接收过程，并学会了网络报文的调试和优化方法。

以下为实验心得体会：1. 网络编程需要熟悉网络报文结构，了解报文头部信息；2. 网络编程过程中，调试和优化是提高程序性能的关键；3. Wireshark是一款强大的网络抓包工具，可以帮助我们分析网络报文。

一、实验目的1. 理解数据报文的基本概念和结构。

2. 掌握数据报文的传输过程。

3. 熟悉数据报文的处理方法。

4. 培养实际操作能力和问题解决能力。

二、实验环境1. 操作系统：Windows 102. 网络设备：路由器、交换机、计算机3. 实验工具：Wireshark网络抓包工具三、实验内容1. 数据报文的基本概念2. 数据报文的传输过程3. 数据报文的处理方法4. 数据报文实验四、实验步骤1. 数据报文的基本概念（1）定义：数据报文（Data Packet）是指在网络中传输的数据单元，它包含了源地址、目的地址、数据内容等信息。

（2）结构：数据报文通常由头部和负载两部分组成。

头部包含了源地址、目的地址、协议类型、数据长度等控制信息；负载包含了实际传输的数据。

2. 数据报文的传输过程（1）源主机发送数据报文：源主机将待传输的数据封装成数据报文，并添加头部信息，然后将数据报文发送到网络。

（2）数据报文在网络中的传输：数据报文在网络中通过路由器、交换机等设备进行转发，直至到达目的主机。

（3）目的主机接收数据报文：目的主机接收数据报文，解析头部信息，提取数据内容，完成数据传输。

3. 数据报文的处理方法（1）校验和：数据报文在传输过程中可能会受到干扰，为了检测数据是否完整，数据报文通常会添加校验和。

（2）分片：当数据报文长度超过最大传输单元（MTU）时，需要进行分片处理。

分片后的数据报文在网络中独立传输，到达目的主机后再进行重组。

（3）路由选择：数据报文在网络中的传输需要选择合适的路由，路由器根据目的地址进行路由选择。

4. 数据报文实验（1）实验环境搭建：将计算机、路由器、交换机连接成网络，并配置IP地址。

（2）使用Wireshark抓包：在计算机上运行Wireshark，设置抓包过滤器为“IP”，观察数据报文在网络中的传输过程。

（3）分析数据报文：观察数据报文的头部信息，如源地址、目的地址、协议类型等，分析数据报文的传输过程。

实验一：TCP数据包捕获及分析实验学时：4实验类型：设计实验要求：选做一、实验目的理解网络数据包的捕获原理及一般分析方法。

二、实验内容根据参考程序编写一段基于Winpcap的TCP数据包捕获并分析的程序。

要求能正确解析TCP报头的相关内容。

三、实验原理、方法和手段以太网（Ethernet）具有共享介质的特征，信息是以明文的形式在网络上传输，当网络适配器设置为监听模式（混杂模式，Promiscuous）时，由于采用以太网广播信道争用的方式，使得监听系统与正常通信的网络能够并联连接，并可以捕获任何一个在同一冲突域上传输的数据包。

IEEE802.3 标准的以太网采用的是持续CSMA 的方式，正是由于以太网采用这种广播信道争用的方式，使得各个站点可以获得其他站点发送的数据。

运用这一原理使信息捕获系统能够拦截的我们所要的信息，这是捕获数据包的物理基础。

Winpcap是针对Win32平台上的抓包和网络分析的一个架构。

它包括一个核心态的包过滤器，一个底层的动态链接库（packet.dll）和一个高层的不依赖于系统的库（wpcap.dll）。

抓包是NPF最重要的操作。

在抓包的时候，驱动使用一个网络接口监视着数据包，并将这些数据包完整无缺地投递给用户级应用程序。

四、实验组织运行要求1.安装Winpcap驱动及开发库。

2.在VC++6.0环境下进行程序编写五、实验条件PC机VC++6.0，winpcap驱动及开发库六、实验步骤1、安装winpcap驱动2、解压WpdPack_4_0_2.zip到磁盘，例如D盘，并将文件夹名改为WpdPack，即开发库放在D:\WpdPack 目录下。

3、设置编程环境要想例如Winpcap的开发库进行编程，就必须在VC++6.0配置与Winpcap相关的头文件和库文件的位置。

其次，为了在Microsoft VC++项目中添加一个新库连接，须要从菜单Project中选择Settings，再在tab控件中选择Link，然后在Objcet/library modules编辑框中加入要加入的新连接库名字(wpcap.lib ws2_32.lib)。

任务三、网络协议报文分析实验目的：在任务二配置的网络服务环境下，通过合理设置客户端Wireshark的捕获条件，捕获各类数据报文流，进行相关分析，理解TCP/IP网络中的协议封装形式，掌握DNS、HTTP、FTP、ICMP等因特网应用协议的工作原理。

实验设备：一台安装了Windows 2003 server和Wireshark软件的个人计算机；实验内容：（1）使用Wireshark或sniffer软件分别捕获不同类型的数据包，并对数据包进行具体的分析；记录不同类型数据包的捕获条件（如ICMP、TCP、UDP、DNS、HTTP、FTP等）。

记录所找到的协议使用了哪些下层协议，被哪些上层协议所使用？它们各处于OSI 模型的第几层？我这里列出DNS报文的具体分析，其他报文分析类似。

以下是DNS报文分析这是第883帧，帧的长度为74字节，整个帧内部各层使用的协议（分别是eth、ip、udp、dns）以太网帧的首部14字节，6个字节的目的地址14 14 4b 59 63 436个字节的本地主机地址54 42 49 5b a6 c22个字节类型字段08 00 表名里面的数据是IP数据报。

这个IP数据报的首部有20字节长，详细的数据分析如下：V ersion：版本4，目前使用的是IPV4。

Header length：首部长度20字节(5个单位，每个单位4字节)。

Differentiated Services Field：区分服务00(简称为DS，默认值是00，路由器根据DS字段不同的值来提供不同等级的服务质量，其中，前6位是区分服务码点DSCP，后面两位目前不使用，记为CU)。

Total Length：1500字节。

Identification：标识2497(9367)。

Flags：标志，占3比特位，分别是000。

第一位是保留位，目前不使用，值为0；第二位记为DF，值为1表示不能分片，值为0表示允许分片；第三位记为MF，值为1表示后面还有分片的数据报，值为0表示这已是若干数据报片中最后一个。

实验过程及结果分析1.802.3、Ethernet II格式的帧捕捉任何主机发出的Ethernet 802.3格式的帧，捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧。

(1)观察并分析帧结构，802.3格式的帧的上一层主要是哪些PDU？是IP、LLC还是其它哪种？(2)观察并分析帧结构，Ethernet II的帧的上一层主要是哪些PDU？是IP、LLC还是其它哪种？(1)802.3格式的帧捕捉任何主机发出的802.3格式的帧：(2)Ethernet II格式的帧捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧：在捕捉任何主机发出的802.3和Ethernet II格式的帧的实验中，根据中间的协议树窗口可以得知：802.3格式的帧的上一层协议是Logical-Link Control(LLC); 而Ethernet II格式的帧的上一层协议是Internet Protocol (IP)。

2. ARP包的捕获捕捉局域网上主机58.155.47.251发出或接受的所有ARP包。

(1)Ethereal的capture filter 的filter string设置为：arp.dst.proto_ipv4 == 58.155.47.251 || arp.src.proto_ipv4 == 58.155.47.251(2)主机58.155.47.251上执行” arp –d * ”清除arp cache。

(3)在主机58.155.47.251上ping 局域网上的另一主机58.155.47.99(4)观察并分析主机58.155.47.251发出或接受的所有ARP包，及ARP包结构。

捕获了2个ARP包，分别为请求分组包和应答分组包，如图5-1所示。

ARP请求分组包在主机58.155.47.251上ping 局域网上的另一主机58.155.47.99，主机58.155.47.251发出的ARP分组包为请求包，如下图所示。

实验一 数据报文分析一、实验目的1、深入理解以太网原理；2、理解ARP 协议、ICMP 协议、IP 协议和TCP 协议的原理；3、掌握wireshark 软件的使用方法。

二、实验原理1、以太网的工作原理(1) 在以太网中是基于广播方式传输数据的，即所有的物理信号都要经过同一网段的所有设备。

(2) 网卡可设置成混杂模式，在这种模式下网卡能接收到一切通过它的数据，能不管实际上的数据的目的地址是不是它。

计算机直接传输的数据是大量的二进制数据，因此一个网络监听程序还必须使用特定的网络协议来分解嗅探到的数据，嗅探器通过解析数据包头部的各字段含义，能够识别出这个数据片段对应于哪个协议，实现正确得解码。

应用层物理层链路层网络层运输层图 TCP/IP 协议族中不同层次的协议2、协议标识由于TCP 、UDP 、ICMP 和IGMP 都向IP 传输数据，因此IP 头部必须加入标识字段，以表明数据属于哪种协议，在IP 的头部信息中有8bit 长度的字段，称作协议域，其中1表示为ICMP ，2表示为IGMP ，6表示为TCP ，17表示为UDP 协议。

三、实验所用设备本实验中不需要动手连线，机房中所有主机均通过交换机相连，组成局域网。

相邻的2名同学组成一个小组，完成本次实验。

四、实验步骤1、网络命令学习（1）点击“开始”→“运行”，输入cmd回车，打开的是dos的命令窗口，在命令行中输入ipconfig命令，查看计算机当前的IP地址、子网掩码和默认网关。

添加上参数，输入ipconfig /all 记录本地连接中IP地址，MAC地址（Physical Address），网关（Default Gateway）等信息。

如：MAC：00-98-99-00-EA-32IP：222.28.78.X网关：222.28.78.1（2）在命令行下输入route print命令，查看本机上路由表信息。

（3）输入arp –a 命令，查看本地高速缓存中IP地址和MAC地址的信息，并记录下来。

网络管理实验————SNMP报文解析2010-6-14.trap操作：Sniffer软件截获到的trap报文如下图所示：30 2e SNMP报文是ASN.1的SEQUENCE 类型,报文长度是46个八位组。

02 01 00：版本号为integer类型，取值为0，表示snmpv1。

04 06 70 75 62 6c 69 63：团体名为octet string类型，值为“public”a4 21: 表示pdu类型为trap，长度为33个八位组。

06 0c 2b 06 01 04 01 82 37 01 01 03 01 02：制造商标识，类型为object identifier。

值为1.3.6.1.4.1.311.1.1.3.1.2。

40 04 c0 a8 01 3b：代理的IP地址，类型OCTECT STRING，值为192.168.1.59;02 01 04：一般陷阱，类型为INTEGER，值为4，代表这是由“authentication Failure（身份验证失败）”引发的TRAP；02 01 00：特殊陷阱，类型为INTEGER，值为0（当一般陷阱取值不是6时）；43 03 06 63 29：时间戳，类型为TIME TICKS，值为418601 (百分之一秒)，即系统在运行到大约第70分钟时，代理发出了此TRAP；30 00变量绑定表为空。

5.SNMPv2 GetBulk操作：Sniffer软件截获到的getbulkrequest报文如下图所示：对该报文的分析如下 ：30 27 SNMP 报文是ASN.1的SEQUENCE 类型，报文长度为46个八位组；02 01 01 版本号为INTEGER类型，取值为1，表示SNMPv2;04 06 70 75 62 6c 69 63 团体名为OCTET STRING类型，值为“public”。

a5 1a 表示PDU类型为GetBulkRequest，PDU长度为26个八位组；02 03 00 c2 2d 请求标识，INTEGER类型，值为49709;02 01 00 非重复数，INTEGER类型，值为0；02 01 0a 最大后继数，INTEGER类型，值为10；非重复数为0，最大后继数为10，表示要求返回所有请求对象按照字典顺序的后继承法10个对象实例。

101报文举例说明1.术语定义2.报文举例并说明(下行)对时命令68 （启动字符）12 12 （长度）68（启动字符）73（控制域）01 00（链路地址01）67 （类型标识67对时）01（可变结构限定词sq=0，不连续，number=1个遥测值））06 00（激活）01 00（公共地址）00 00（空数据）f0 1c 0c 0a 3d 01 12（时间=2018年1月29日星期一，10时12分7秒408毫秒）55（校验和）16（结束字符）（上行）时钟上传68（启动字符）12 12（长度）68 （启动字符）f3（控制域）01 00 （链路地址01）67（类型标识67对时）01（可变结构限定词sq=0，不连续，number=1个遥测值））07 00 （激活确认）01 00 （公共地址）00 00（空数据）ca dc 0c 0a 3d 01 12（时间=2018年1月29日星期一，10时12分56秒522毫秒）70 （校验和）16（结束字符）(下行)确认帧10 00 01 00 01 16(上行)请求链路状态10 0b 01 00 0c 16(下行)回复链路状态10 80 68 80 68 80(下行)请求链路状态10 49 01 00 4a 16(上行)回复链路状态10 c9 01 00 ca 16(下行)复位通道10 40 01 00 41 16(上行)确认帧10 8b 01 00 8c 16(下行)回复链路状态10 0b 01 00 0c 16(上行)请求链路状态10 80 01 00 81 16(下行)复位通道10 00 01 00 01 16(上行)复位通道10 c9 01 00 ca 16(上行)站端初始化成功68 0c 0c 68 f3 01 00 46 01 04 00 01 00 00 00 02 42 16(下行)确认帧10 00 01 00 01 16(下行)总召激活68 0c 0c 68 73 01 00 64 01 06 00 01 00 00 00 14 f4 16启动字符：68HASDU长度：0CH（12个字节，即73 01 00 64 01 06 00 01 00 00 00 14）重复长度：0CH启动字符：68H控制域：73H --> 0111 0011DIR（传输方向位）=0 PRM（启动报文位）=1 主站-->从站FCB（帧计数位）=1 FCV（帧计数有效位）=1（有效）功能码=3 传送数据链路地址域：01 00H数据类型标识： 64H（CON<100>:=总召唤命令）可变结构限定词： 01H（SQ=0，number=1）传送原因： 06 00H（Cause=6，激活）应用服务数据单元地址：01 00H信息元素 00 00信息体数据（元素）：14H（召唤限定词QOI=20，站召唤全局）帧校验和：F4H结束字符：16H(上行)确认帧10 a0 01 00 a1 16(上行)确认总召唤68 0c 0c 68 d3 01 00 64 01 07 00 01 00 00 00 14 55 16(下行)确认帧10 00 01 00 01 16遥测数据-归一化值68 47 47 68 f3 01 00 09 94 14 00 01 00 01 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 15 5f 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 88 13 00 ca 05 00 d0 02 00 97 16 正常(下行)确认帧10 00 01 00 01 16遥信数据68 3b 3b 68 d3 01 00 01 b0 14 00 01 00 01 00 00 00 00 00 01 01 00 00 00 00 00 00 00 00 01 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 01 01 01 00 00 00 00 00 00 00 a3 16 正常(下行)确认帧10 00 01 00 01 16激活总召唤终止68 0c 0c 68 f3 01 00 64 01 0a（总召激活结束）00 01 00 00 00 14 78 16(下行)确认帧10 00 01 00 01 16(下行)电量召唤激活68 0c 0c 68 53 01 00 65（电量）01 06 00 01 00 00 00 05 c6 16(上行)确认帧10 a0 01 00 a1 16(上行)确认电量召唤68 0c 0c 68 d3 01 00 65 01 07 00 01 00 00 00 05 47 16(下行)确认帧10 00 01 00 01 16激活电量召唤终止68 0c 0c 68 d3 01 00 65 01 0a 00 01 00 00 00 05 4a 16(下行)确认帧10 00 01 00 01 16变化遥测数据-归一化值68（启动字符）0e 0e（长度）68（启动字符）f3（控制域）01 00（链路地址01）09 （类型标识09=归一化值遥测）01（可变结构限定词sq=0，不连续，number-1 一个遥测值）03 00（传送原因03=突发）01 00（公共地址）01 40 （信息体地址=4001-4001=00h第一个数据）3f 1f 00（值=1f3f=7999*0.1=799.9）a1 16二次输入电流10，由于变比为400比5，显示值为10*CT变比（80）=800；(下行)确认帧10 00 01 00 01 16变化遥测数据-归一化值68（启动字符）0e 0e（长度）68（启动字符）d3（控制域）01 00（链路地址01）09（类型标识09=归一化值遥测）01（可变结构限定词sq=0，不连续，number-1 一个遥测值）03 00（传送原因03=突发）01 00（公共地址）05 40（信息体地址4005-4001=04h（第5个数据））c1 11 00（值11c1H=4556 *（系数0.001）=4.556KV）f9（校验和）16（结束字符）输入值=100 对应4.556，如果输入220V 则对应10KV(下行)确认帧10 00 01 00 01 16变化遥测数据-归一化值68（启动字符）0e 0e（长度）68（启动字符）f3（控制域）01 00（链路地址01）09（类型标识09=归一化值遥测）01（可变结构限定词sq=0，不连续，number-1 一个遥测值）03 00 （传送原因03=突发）01 00（公共地址）12 40（信息体地址4012-4001=0x11=17 第18个数据）eb 13 （值13eb=5099*系数0.01=50.99）00 52（校验和）16（结束字符）频率5168（启动字符）0e 0e（长度）68（启动字符）d3（控制域）01 00（链路地址01）09（类型标识09=归一化值遥测）01（可变结构限定词sq=0，不连续，number-1 一个遥测值）03 00（传送原因03=突发）01 00（公共地址）05 40（信息体地址4005-4001=04h（第5个数据））c1 11 00（值11c1H=4556 *（系数0.001）=4.556KV）f9（校验和）16（结束字符）输入值=100 对应4.556，如果输入220V 则对应10KV PT变比=10000/220(下行)确认帧10 00 01 00 01 16遥信数据68（启动字符）21 21（长度）68（启动字符）d3（控制域）01 00 （链路地址01）01 （类型标识01=单点遥信）08（可变结构限定词sq=0，不连续，number=8 8个遥测值）03 00（传送原因03=突发）01 00 （公共地址）05 00（信息提地址0005-0001=0004H，5遥信）01（合））06 00 01（遥信6合）0f 00 01（遥信15合）10 00 01（遥信16 合）1f 00 01（遥信31 合）27 00 01（遥信39 合）28 00 01（遥信40 合）29 00 01（遥信41 合）aa 16(下行)确认帧10 00 01 00 01 16(上行)带时标CP56的单点信息soe68（启动字符）59 59 （长度）68（启动字符）f3 （控制域）01 00 （链路地址01）1e （类型标识01=单点遥信）08 （可变结构限定词sq=0，不连续，number=8 8个遥测值）03 00（传送原因03=突发）01 00（公共地址）05 00（信息提地址0005-0001=0004H，5遥信）01 （合）34 e6 13 0a 3d 01 12 （时间）06 00 01 （遥信6合）34 e6 13 0a 3d 01 12（时间）0f 00 01（遥信15合）34 e6 13 0a 3d 01 12（时间）10 00 01 （遥信16 合）34 e6 13 0a 3d 01 12 1f 00 01（遥信31 合）34 e6 13 0a 3d 01 12（时间）27 00 01（遥信39 合）34 e6 13 0a 3d 01 12（时间）28 00 01 （遥信40 合）34 e6 13 0a 3d 01 12（时间）29 00 01 （遥信41 合）34 e6 13 0a 3d 01 12 （时间）1f 16 时间34 e6（13542 代表13秒542毫秒）13（19分）0a（10时）3d（高三位代表星期一，低5位代表29日）01（月）12（18+2000=2018年）= 2018年1月29日星期一10时19分13秒542毫秒；(下行)确认帧10 00 01 00 01 16遥信数据68（启动字符）0c 0c （长度）68（启动字符）f3（控制域）01 00（链路地址01）01（类型标识01=单点遥信）01（可变结构限定词sq=0，不连续，number=1 1个遥测值）03 00（传送原因03=突发）01 00（公共地址）01 00 （信息提地址0001-0001=0000H，0遥信）01（合）fc 16遥信0 由分到合(下行)确认帧10 00 01 00 01 16(下行)双点遥控命令68（启动字符）0c 0c（长度）68（启动字符）53 （控制域）01 00（链路地址01）2e （类型标识2e=双点遥控）01 （可变结构限定词sq=0，不连续，number=1 ）06 00 （遥控激活）01 00（公共地址01 60 （信息体地址6001-6001=0，遥控0号点）86(遥控和) 71 16 其中遥控信息字节86 为1000 0110bit0，1 为10 （0或者3不允许，1，分，2合）bit2~bit6 为1 代表（1：短脉冲，时间有终端决定）（2：长脉冲，时间有终端决定）（3：持续输出）；Bit 7 1 （0执行，1选择）以上代表0号点遥控合选择(上行)确认帧10 80 01 00 81 16双点命令返回68 0c 0c 68 f3 01 00 2e 01 07 00 01 00 01 60 86 12 16（选择确认，相当于返校）(下行)确认帧10 00 01 00 01 16(下行)双点遥控命令68 0c 0c 68 73 01 00 2e 01 06 00 01 00 01 60 06 11 16其中遥控信息字节06 为0000 0110bit0，1 为10 （0或者3不允许，1，分，2合）bit2~bit6 为1 代表（1：短脉冲，时间有终端决定）（2：长脉冲，时间有终端决定）（3：持续输出）；Bit 7 0 （0执行，1选择）执行和(上行)确认帧10 a0 01 00 a1 16双点命令返回68 0c 0c 68 d3 01 00 2e 01 07 00 01 00 01 60 06 72 16（执行返校，相当于确认）(下行)确认帧10 00 01 00 01 16双点命令返回68 0c 0c 68 f3 01 00 2e 01 0a 00 01 00 01 60 06 95 16 （激活结束，相当于遥控完成，成功）。

实
验
报
告
姓名：李冬冬
班级：RjbJava103
学号：201007092316
㈠实验目的和要求：
具体分析数据报文的格式，包括UDP、TCP、ARP等的详细信息。

㈡实验设备及要求：
抓包工具：wireshark-setup-1.0.0Wireshark(Ethereal)_网络监测㈢实验步骤：
①先用抓包工具进行抓包。

②随机找出要分析的数据报文。

③根据报文格式的不同进行具体的分析。

㈣实验结果：
⒈下面为UDP报文：
分析结果如下：
Ⅰ：UDP报文在源主机和目的主机之间进行传送时的MAC地址。

Ⅱ：UDP报文在源主机和目的主机之间进行传送时的IP地址。

Ⅲ：UDP报文在源主机和目的主机之间进行传送时的UDP协
议。

⒉下面为TCP报文：
分析结果如下：
Ⅰ：TCP报文在源主机和目的主机之间进行传送时的MAC地址。

Ⅱ：UDP报文在源主机和目的主机之间进行传送时的IP地址。

Ⅲ：TCP报文在源主机和目的主机之间进行传送时的TCP协
议。

⒊下面为ARP报文：
分析结果如下：
Ⅰ：ARP报文在源主机和目的主机之间进行传送时的MAC地址。

Ⅱ：ARP报文在源主机和目的主机之间进行传送时的IP地址。

Ⅲ：TCP报文在源主机和目的主机之间进行传送时的ARP协议。

㈤实验结果讨论及分析：
充分具体的解析了UDP、TCP、ARP报文的每一段含义。

让我
们又重新对UDP协议有了更深的了解。

报文数据解析报文数据解析是指将传输或存储中的数据按照特定的格式进行解析和提取有用的信息。

在计算机领域中，报文数据解析常应用于网络通信、数据交换和文件格式解析等场景。

报文数据解析的过程通常包括以下几个步骤：1. 报文结构分析：首先，需要了解原始数据的报文结构，包括报文头部、数据段、校验位等部分。

这需要参考相关的协议规范、文件格式说明或自定义的数据格式定义等。

2. 字节序处理：在解析二进制数据时，需要考虑字节序的问题。

根据数据在存储或传输中的字节序（如大端序或小端序），进行正确的字节序转换，以确保数据的正确解析。

3. 解析规则定义：根据报文结构和数据类型，定义相应的解析规则。

例如，可以通过正则表达式、编码解码、状态机等方法来定义字段解析规则和值提取规则。

4. 解析数据字段：根据定义的解析规则，从原始数据中解析出其中的字段数据。

可以通过字符串匹配、位操作、数据类型转换等方法，逐个解析报文中的字段，并将它们提取为可使用的形式。

5. 错误处理和容错机制：在解析过程中，可能会遇到不完整的、格式错误的或意外的数据，因此需要实现一些错误处理和容错机制。

例如，可以添加数据校验和验证、异常处理和异常数据过滤等来保证解析的准确性和鲁棒性。

6. 数据存储或后续处理：解析出的数据可以根据需要进行存储或者进行后续处理。

存储可以是将解析的数据写入数据库、文件或内存中，以便后续查询和使用。

后续处理可以是对解析的数据进行计算、分析、展示或进一步传输等操作。

报文数据解析在许多实际应用中都起着重要的作用，例如解析网络通信中的数据包、解析文件格式中的数据块等。

良好的报文数据解析设计和实现，可以提高数据处理效率、保证数据准确性，并方便后续的数据利用和应用。

实验一：网络数据包分析实验班级：班学号：姓名:一、实验目的通过对实际的网络数据包进行捕捉，分析数据包的结构，加深对网络协议分层概念的理解，并实际的了解数据链路层，网络层，传输层以及应用层的相关协议和服务。

、实验内容1. IGMP包解析1.1数据链路层El代XEL洱丁；亡日：亡5 MB)」osr: IP- 4m<as z_<i J;QJ L15 (21 -E-D.5eJO.E-D■>4 t-is ：hi-At I _n * tP f Ld L^iJ 1 Sei 00:00:1^^saur-ctt El1imro_&ai«SiUType；IP CgMOsw)源数据：数据链路层头部：01 00 5e 00 00 16 00 21 97 0a e5 16 08 00 数据链路层尾部：00 00 00 00 00 00分析如下：数据头部的前6个字节是接收者的mac地址：01 00 5e 00 00 16 数据头部的中间6个字节是发送者的mac地址：00 21 97 0a e5 16 数据头部的最后2个字节代表网络协议，即：08 00协议类型。

1.2网络层Header* 1 cngth: 24 byresn axed services "乜Id：0x00 (.DSCP 0X00: D&fau11: 0x003Tqtil rength:斗DTdsrrtificar I cn： QklclJ 也^7460)H Flmqs： Q>00Fra^Tienr offset;：QTime VQ live; 1Fr DTCCDl : IGMP go?)¥ HPAder fhecksijn：CxJ85c [correct]5DU RUM;172,10.103.?0 <L72<10.163・2O)Castinari ant 224.0.0.22 (224.3.0.22^±j opt 1 oris: (4 Lyn源数据：46 00 00 28 1d 38 00 00 01 02 d8 5c ac 10 a3 14 e0 00 00 16 94 04 00 00数据分析：第一个字节（46）的前4位表示的是IP协议的版本，即IPv4;它的后4位表示首部长度为6,最大十进制数值时为15第二个字节（00）是区分服务，一直缺省，所以为0第三、四字节（00 28）是指首部和数据之和的长度40个字节第五、六字节（1d 38）是一个数据报被分片后的标识，便于正确地重装原来的数据报第七、八字节（00 00）分前3位为标志位和后13位为片偏移，其中标识位只有两位有意义，表明这已经是若干用户数据报片最后一个（MF=0，并且DF=0）不需要再分片了。

第1篇一、实验背景随着互联网的快速发展，网络通信数据量呈爆炸式增长，报文抓取技术在网络安全、网络监控、数据分析和数据挖掘等领域具有广泛的应用。

报文抓取技术可以从网络中捕获和解析数据包，提取出有用的信息。

本实验旨在通过报文抓取技术，实现网络数据包的捕获、解析和展示。

二、实验目的1. 熟悉报文抓取的基本原理和流程。

2. 掌握使用Wireshark等工具进行报文抓取的方法。

3. 能够对抓取到的报文进行解析和分析。

4. 提高网络监控、数据分析和数据挖掘等方面的能力。

三、实验环境1. 操作系统：Windows 102. 抓包工具：Wireshark3. 网络设备：路由器、交换机、计算机4. 网络连接：有线网络或无线网络四、实验步骤1. 安装Wireshark（1）从Wireshark官方网站下载最新版本的Wireshark安装包。

（2）按照安装向导完成Wireshark的安装。

2. 配置网络环境（1）将计算机连接到网络设备，确保网络连接正常。

（2）在Wireshark中，选择合适的网络接口进行抓包。

3. 抓取报文（1）在Wireshark界面中，点击“Capture”菜单，选择“Options”。

（2）在“Capture Filters”选项卡中，设置合适的过滤条件，如协议类型、端口号等。

（3）点击“Start”按钮开始抓包，观察网络数据包的传输情况。

4. 解析报文（1）在Wireshark界面中，找到需要分析的报文。

（2）展开报文结构，查看报文头部和负载部的信息。

（3）分析报文的协议类型、源地址、目的地址、端口号等关键信息。

5. 分析报文（1）根据实验需求，对抓取到的报文进行分析，如流量分析、协议分析、安全分析等。

（2）记录分析结果，为后续实验提供参考。

五、实验结果与分析1. 抓取到的报文包括HTTP、FTP、TCP、UDP等协议类型的数据包。

2. 通过分析HTTP协议的报文，发现大部分数据包为网页访问请求，目的地址为网页服务器。

实验指导书以太网报文分析一、实验目的1)通过在实验室的实地讲解，了解实际的网络设备的外观、特点及相互联系，初步建立网络设备功能与教材上网络协议之间的联系，了解数据包的传输过程。

2)通过截获并分析以太网上的常见报文，更深入的理解网络协议的层次结构。

二、预习要求1.共享软件WireShark的安装、运行和退出；三、实验内容1.实地观察实验室的网络设备，了解各网络设备的功能，了解数据包的传输经过了哪些网络设备；2.掌握WireShark的基本操作；掌握WireShark的主要菜单功能；3.了解WireShark的工作原理，通过该软件截获以太网上的常见报文，并将报文保存到硬盘上；4.打开截获的报文，观察截获报文的协议类型等信息；5.按照网络协议的层次结构分析截获的一条http报文；四、实验步骤1.在Windows操作系统下安装共享软件WireShark；2.选取其中的某个网络接口进行报文截获操作；3.将截获的文件保存下来；4.打开保存的报文文件，对其中的一条http报文进行分析，分析内容包括数据链路层、网络层、传输层、应用层等各个层次的每个组成部分；5.结合保存下来的报文和分析的结果，撰写实验报告；五、问题与思考1.TCP/IP网络协议栈由哪几层组成？与你截获的HTTP报文有何对应关系？2.交换机与路由器的功能有什么不同？六、实验报告要求1.独立完成以上实验内容，并撰写实验报告。

2.实验报告内容包括：实验名称、实验目的、实验内容、实验过程或步骤、结论及思考题解答；3.实验报告需分层次分析某个报文的结构，包括链路层、网络层、传输层、应用层的各个部分；附录：wireshark中捕获的http包的基本内容。