计算机网络qq抓包分析

实验三 网络数据包的捕获与分析一、实验目的和要求通过本次实验，了解sniffer 的基本作用，并能通过sniffer 对指定的网络行为所产生的数据包进行抓取，并分析所抓取的数据包。

二、实验内容A ：1、首先打开sniffer 软件，对所要监听的网卡进行选择2、选择网卡按确定后，进入sniffer 工作主界面，对主界面上的操作按钮加以熟悉。

B ：设置捕获条件进行抓包基本的捕获条件有两种：1、链路层捕获，按源MAC 和目的MAC 地址进行捕获，输入方式为十六进制连续输入，如：00E0FC123456。

2、IP 层捕获，按源IP 和目的IP 进行捕获。

输入方式为点间隔方式，如：10.107.1.1。

如果选择IP 层捕获条件则ARP 等报文将被过滤掉。

链任意捕获条件编辑协议捕获编辑缓冲区编辑基本捕获条件路层捕获IP 层捕获数据流方向链路层捕获地址条件高级捕获条件在“Advance ”页面下，你可以编辑你的协议捕获条件，如图：选择要捕获的协议捕获帧长度条件错误帧是否捕获保存过滤规则条件高级捕获条件编辑图在协议选择树中你可以选择你需要捕获的协议条件，如果什么都不选，则表示忽略该条件，捕获所有协议。

在捕获帧长度条件下，你可以捕获，等于、小于、大于某个值的报文。

在错误帧是否捕获栏，你可以选择当网络上有如下错误时是否捕获。

在保存过滤规则条件按钮“Profiles”，你可以将你当前设置的过滤规则，进行保存，在捕获主面板中，你可以选择你保存的捕获条件。

C：捕获报文的察看：Sniffer软件提供了强大的分析能力和解码功能。

如下图所示，对于捕获的报文提供了一个Expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息。

专家分析系统专家分析系统捕获报文的图形分析捕获报文的其他统计信息专家分析专家分分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。

在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。

如何进行网络数据包分析和抓包网络数据包分析和抓包是网络安全和网络调试中非常重要的技能。

通过对网络数据包的深入分析和抓取，我们可以了解网络通信的细节，识别出潜在的安全威胁，解决网络故障，提高网络性能。

本文将介绍如何进行网络数据包分析和抓包的基本知识、常用工具和实际操作过程。

一、网络数据包分析的基本知识1. 什么是网络数据包网络数据包是在计算机网络中传输的基本单位。

它包含了源地址、目标地址、协议类型、数据内容等信息。

通过分析数据包的头部和负载部分，我们可以了解网络通信的详细过程。

2. 数据包分析的目的数据包分析的目的是为了了解网络通信中存在的问题，如安全漏洞、传输错误、性能瓶颈等。

通过分析数据包，我们可以检测恶意攻击、监测网络流量、优化网络性能，并提供证据用于网络调查等。

二、常用的网络数据包分析工具1. WiresharkWireshark是一款功能强大的开源网络分析工具，支持多种操作系统平台。

它可以捕获和分析网络数据包，并提供详细的统计信息、过滤器和可视化功能，帮助我们深入了解数据包的结构和内容。

2. tcpdumptcpdump是一款命令行网络抓包工具，适用于Unix/Linux操作系统。

它可以捕获网络接口上的数据包，并以文本形式输出。

tcpdump可以通过设置过滤规则过滤数据包，提供更灵活的抓包方式。

三、进行网络数据包分析和抓包的步骤以下是进行网络数据包分析和抓包的一般步骤，具体操作可根据实际情况调整。

1. 准备必要的工具和环境首先，确保已安装合适的网络数据包分析工具，如Wireshark或tcpdump。

同时，保证工作环境的网络连接正常，并具备足够的权限进行抓包和分析操作。

2. 选择抓包的目标根据需要，确定抓包的目标。

可以是整个网络流量，也可以是特定的IP地址、端口或协议。

这有助于提高分析效果，节约存储空间。

3. 开始抓包使用选择的工具开始抓包。

可以设置过滤器，只抓取感兴趣的数据包。

抓包期间，可以进行其他相关操作，如执行特定应用程序、浏览网页等，以增加抓取的数据多样性。

QQ数据包分析1、实验内容：分析QQ数据包协议：Ethernet、IP、TCP、UDP、DNS、HTTP 等，按层详细分析数据包工作机制和各协议数据组成及功能作用。

2、实验环境：Window 7环境下、QQ20143、实验工具：QQ2014、Ethereal抓包工具、Wiresshark抓包工具4、实验内容1、QQ登录数据包分析①利用Wireshark抓包工具的过滤规则OICQ对于qq登录的第一条登录信息进行截取分析②首先我们通过对第一条信息的截图我们可以看到信息1、帧的信息：该数据帧的帧号为：37帧的大小：648 bits数据接口：interface 0到达时间：Mar 9, 2015 14:57:07.546829000 中国标准时间帧所用到的协议：eth ethertype ip udp oicq2、数据链路层帧（eth）：以太网帧首部大小：14个字节目的地址：Dst: AsustekC_60:5e:44 (14:da:e9:60:5e:44),源地址：Src:DigitalC_02:f6:fe (00:03:0f:02:f6:fe)类型字段：0800字段类型：IP3、网络层协议IPIp数据报首部长度：20字节版本号：4，目前使用为IPV4首部长度：20字节区分服务：00总长度：67字节标识：0x5c5c (23644)标志：0x00片偏移：0个单位生存时间：64，表明的是这个数据报之前没有经过路由结点协议：UDP（17）头部检验和：0x1b3c [validation disabled]源IP地址：192.168.83.9 (192.168.83.9)目的地址：183.60.56.36 (183.60.56.36)4、用户数据协议UDP源端口：52185 (52185)目的端口：8000 (8000) 表明目的端使用的应用层的协议是变更OICQ默认通讯端口数据长度：47检验和：0xac29 [validation disabled]5、OICQ协议标志：OICQ 数据包版本：0x3559命令: Request KEY (29)序列号：3137数据发送端号码：OICQ数字，935692234数据：封装无法查看22、帧的信息该数据帧的帧号为：2707帧的大小：7768 bits数据接口：interface 0 (\Device\NPF_{95B244F7-56E0-42EA-83AC-B199A0F94798})到达时间：Mar 9, 2015 14:57:34.046219000 中国标准时间染色显示规则字符串: http || tcp.port == 80 || http2 TCP端口号为80帧所用到的协议：eth: ethertype: ip: tcp :http: media3、链路层帧eth与网络层协议ip数据分析与上相同注：此时的内部数据为TCP数据段4、传输层协议TCP源端口：80目的端口：38458流索引：114TCP信息段长：917序列号：5814（相对序列号）下一个序列号：6758确认号：386（相对确认号）首部长度：20字节标志：.... 0000 0001 1000 = Flags: 0x018 (PSH, ACK)窗口大小：15544检验和：0x3b17 [validation disabled]紧急指针：05个重新整合的TCP报文段：编号#2702（1460bytes）编号#2701（1460bytes）编号#2704（1460bytes）编号#2705（1460bytes）编号#2707（1460bytes）重组TCP报文长度：6757 bytesreassemble tcp segment：表示TCP层收到上层大块报文后分解成段后发出去。

OICQ服务器系统通讯协议说明OICQ服务器系统通讯协议说明：协议由报文头(T)+发送者(T)+接收者(T)+报文类型（T）+报文长度(L)+报文内容组成发送者和接收者是系统内的程序种类,OICQ服务器0x01,传真服务器0x02,WEB服务器0x03,打印服务器是0x04,聊天服务器是0x05,OICQ用户是0x0A。

OICQ用户到OICQ服务器的通讯协议引导符（0x81+0x0A+0x01）报文类型报文内容报文说明0x01昵称（S）+肖像（M）+用户密码（S）+性别（T）+年龄（T）+真实姓名（S）+国家/地区（T）+省（T）+市（S）+地址（S）+邮编（S）+学历（T）+毕业院校（S）+职业（T）+电话（S）+寻呼（S）+电邮（S）+爱好（S）+说明（S）+身份验证（T）新用户注册，身份验证用于当有人要将他加入好友时询问是否允许0x02服务号（L）+密码（S）+注册方式（T）老用户注册，方式分为0正常，1隐身0x03服务号（L）+对方服务号（L）+内容（S）发送信息到某人0x04服务号（L）+组号（L）+内容（S）广播信息，组号=0为全体0x05服务号（L）+朋友服务号（L）查看朋友资料0x06服务号（L）+组名称（S）增加组0x07服务号（L）+组编号（T）+组名称（S）修改组名称0x08服务号（L）+组编号（T）删除组0x09服务号（L）+移动人数（T）+{朋友服务号（L）+目的组号（T）}移动组成员0x0a服务号（L）+起始编号(L)+回传个数（T）+查找标志(T)看谁在线上查找标志1=向小找2=向大找0x0b服务号（L）+SQL语句（S）自定义查找0x0c服务号（L）+朋友服务号（L）增加好友0x0d服务号（L）+朋友服务号（L）+加入原因（S）请求加入好友0x0e服务号（L）+朋友服务号（L）删除好友0x10服务号（L）+显示模式（T）更改显示方式1上线2隐藏3免打扰4离线0x11服务号（L）+监视服务号（L）监视某人谈话0x12服务号（L）+昵称（S）+肖像（M）+用户密码（S）+性别（T）+年龄（T）+真实姓名（S）+国家/地区（T）+省（T）+市（S）+地址（S）+邮编（S）+学历（T）+毕业院校（S）+职业（T）+电话（S）+寻呼（S）+电邮（S）+爱好（S）+说明（S）+身份验证（T）更改用户基本信息0x13服务号(L)+朋友服务号（L）+文件名(S)+文件长度(L)请求发送文件0x14服务号（L）+朋友服务号（L）+允许/拒绝是否允许发送文件0x15服务号（L）+朋友服务号（L）+文件内容（B）发送文件0x16服务号（L）连接测试报文0x17服务号（L）+朋友服务号（L）+同意标志(T)应答对方请求加入好友0=拒绝1=同意OICQ服务器到OICQ的通讯协议报文类型报文内容报文说明0x01成功/失败（T）+服务号（L）新用户注册结果返回0x02成功/失败（T）+组个数（T）+{组名称（S）+组编号（T）+朋友个数（T）+{朋友服务号（L）+肖像编号（T）+朋友状态(T)+朋友昵称（S）}老用户注册结果返回朋友状态1=上线=2隐藏=3免打扰4离线0x03标志(T)+朋友服务号（L）+信息（S）+信息类型（T）标志1=系统2=用户发送消息，服务号=0是系统消息1=用户某某已经把你加为好友2=用户某某请求你通过身份验证3=用户某某同意了你的验证要求4=用户某某拒绝了你的验证请求0x04成功/失败（T）+朋友服务号(L)+昵称（S）+肖像（M）+性别（T）+年龄（T）+真实姓名（S）+国家/地区（T）+省（T）+市（S）+地址（S）+邮编（S）+学历（T）+毕业院校（S）+职业（T）+电话（S）+寻呼（S）+电邮（S）+爱好（S）+说明（S）朋友信息回送0x05成功/失败（T）+组编号（T）+组名称（S）增加组结果回送1/00x06成功/失败（T）+组编号（T）+组名称（S）修改组名称结果回送1/00x07成功/失败（T）+组编号（T）删除组结果回送1/00x08成功/失败（T）移动组成员结果回送1/00x09成功/失败（T）+在线个数（T）+{服务号（L）+昵称（S）+肖像（M）+省（T）+市（S）}查找在线人员结果回送0x0a成功/失败（T）+找到个数（T）+{服务号（L）+昵称（S）+肖像（M）+省（T）+市（S）}自定义查找结果回送（最多50）0x0b标志（T）+朋友服务号（L）增加好友结果回送标志0=数据库失败=1成功=2需要身份验证=3对方不允许加入=4需要身份验证且不在线0x0c朋友服务号(L)+昵称（S）+肖像号（M）+朋友状态(T)给在线用户增加好友0x0e成功/失败（T）+朋友服务号（L）删除好友结果回送0x10服务号（L）+显示模式（T）显示模式回送=1上线=2隐藏=3免打扰4离线0x11成功/失败更改用户基本信息结果回送0x12朋友服务号（L）+文件名（S）+文件长度（L）请求发送文件0x13朋友服务号（L）+允许/拒绝是否允许发送文件1允许0拒绝0x14朋友服务号（L）+文件内容（B）发送文件0x15朋友服务号（L）+当前状态（T）朋友状态回送（系统发送）=1上线=2隐藏=3免打扰4离线0x16服务号（L）连接测试本篇文章来源于中国协议分析网| 原文链接：/Class/OtherAnalysis/200408/621.htmlOICQ数据抓包示例详解TCP/IP协议是整个互联网上数据传输的核心，OICQ也是基于TCP/IP协议的UDP协议来实现的。

QQ数据包分析一、实验内容：分析QQ数据包协议：Ethernet、IP、TCP、UDP、DNS、HTTP 等，按层详细分析数据包工作机制和各协议数据组成及功能作用。

二、实验环境：Window 7环境下、QQ2014三、实验工具：QQ2014、Ethereal抓包工具、Wiresshark抓包工具四、实验内容1、QQ登录数据包分析①利用Wireshark抓包工具的过滤规则OICQ对于qq登录的第一条登录信息进行截取分析②首先我们通过对第一条信息的截图我们可以看到信息1、帧的信息：该数据帧的帧号为：37帧的大小：648 bits数据接口：interface 0到达时间：Mar 9, 2015 14:57:07.546829000 中国标准时间帧所用到的协议：eth ethertype ip udp oicq2、数据链路层帧（eth）：以太网帧首部大小：14个字节目的地址：Dst: AsustekC_60:5e:44 (14:da:e9:60:5e:44),源地址：Src:DigitalC_02:f6:fe (00:03:0f:02:f6:fe)类型字段：0800字段类型：IP3、网络层协议IPIp数据报首部长度：20字节版本号：4，目前使用为IPV4首部长度：20字节区分服务：00总长度：67字节标识：0x5c5c (23644)标志：0x00片偏移：0个单位生存时间：64，表明的是这个数据报之前没有经过路由结点协议：UDP（17）头部检验和：0x1b3c [validation disabled]源IP地址：192.168.83.9 (192.168.83.9)目的地址：183.60.56.36 (183.60.56.36)4、用户数据协议UDP源端口：52185 (52185)目的端口：8000 (8000) 表明目的端使用的应用层的协议是变更OICQ默认通讯端口数据长度：47检验和：0xac29 [validation disabled]5、OICQ协议标志：OICQ 数据包版本：0x3559命令: Request KEY (29)序列号：3137数据发送端号码：OICQ数字，935692234数据：封装无法查看2、qq离线文件的传输分析：1、选取原则：根据发送文件的时间段，因为网速延迟的原因我们可以看到选取的时间段会有所误差，截图的原则：1、利用抓包工具的过滤机制选取HTTP协议段（qq 离线文件是以HTTP协议传送的）(如下图)2、选取与发送时间段相近的数据帧（如下图）3、qq离线文件的选取：发送端关键字为POST/,接收端为GET/（如下图）2、帧的信息该数据帧的帧号为：2707帧的大小：7768 bits数据接口：interface 0 (\Device\NPF_{95B244F7-56E0-42EA-83AC-B199A0F94798}) 到达时间：Mar 9, 2015 14:57:34.046219000 中国标准时间染色显示规则字符串: http || tcp.port == 80 || http2 TCP端口号为80帧所用到的协议：eth: ethertype: ip: tcp :http: media3、链路层帧eth与网络层协议ip数据分析与上相同注：此时的内部数据为TCP数据段4、传输层协议TCP源端口：80目的端口：38458流索引：114TCP信息段长：917序列号：5814（相对序列号）下一个序列号：6758确认号：386（相对确认号）首部长度：20字节标志：.... 0000 0001 1000 = Flags: 0x018 (PSH, ACK)窗口大小：15544检验和：0x3b17 [validation disabled]紧急指针：05个重新整合的TCP报文段：编号#2702（1460bytes）编号#2701（1460bytes）编号#2704（1460bytes）编号#2705（1460bytes）编号#2707（1460bytes）重组TCP报文长度：6757 bytesreassemble tcp segment：表示TCP层收到上层大块报文后分解成段后发出去。

wireshark抓QQ包并分析由于系统原因设置不了热点，不能抓微信的包，所以抓QQ包。

打开wireshark软件，选择本地连接，如下图：一、过滤QQ包点击start,登录QQ，输入oicq进行过滤QQ包，找到第一个oicq，点击后点击oicq-IM software，可以看到自己登录的QQ号码为776435946，command中貌似是登录过程中的密码验证，总共有两个（最开始的两个）oicq中用到request key（29）,因为本机ip=49.140.171.84，所以第一个是从本机发送到目的地ip=123.151.47.86的，第二个是从服务器返回来的。

二、分析数据报协议这是UDP协议部分的信息，destination port=irdmi (8000),这在国内主要是QQ使用的端口号。

Irdmi表示为QQ聊天软件，长度为67字节，检验和显示为验证禁用，不能验证。

三、分析以太网（数据链路层）说明此包是以太网版本2,源地址是Fujianst_15:63:35(00:1a:a9:15:63:35),说明了路由器厂商是福建的一个厂商。

目的地址是InterCor_a9:4a:5c(00:26:c6:a9:4a:5c)，说明网卡是inter生产的。

内封装的是IP数据。

四、QQ传输数据是加密的在第一个oicq上右键中选择follow UDP stream,可以看到：追踪该UDP流可以看出，这些信息是加密的，需要知道加密算法才能破解。

五、数据传输顺序可以看到ip长度为67（ox0043），与下面的物理层传输的最终形式（16进制）一样。

00在前，43在后，说明进行网络传输的时候是先传输高位再传输低位,即高字节数据在低地址，低字节数据在高地址。

六、找到QQ数据中的其他包加上oicq过滤QQ包以后可能有一些包没观察到，但是不过滤的话包太多，因为电脑上运行了很多东西，即使什么也不运行也有包，甚至我把网线拔了还有包，此处无解。

网络数据传输管理技术的数据包捕获与分析随着互联网的迅速发展和普及，网络数据传输已经成为现代社会的重要组成部分。

无论是个人用户还是企业机构，都需要依靠网络进行数据传输和通讯。

在这个过程中，数据包是网络数据传输的基本单位，它包含了从发送端到接收端的所有信息。

在网络数据传输管理技术中，对数据包的捕获与分析是至关重要的一环。

数据包的捕获是指通过网络抓包工具捕获网络数据传输过程中的数据包，并对其进行记录、存储和分析。

这项工作可以帮助网络管理员或安全专家监控网络流量、发现网络问题、分析网络性能和进行安全审计。

而数据包的分析则是对捕获到的数据包进行深入的解析和研究，以便更好地理解网络传输过程中的细节和问题。

数据包的捕获与分析技术在网络管理中起着至关重要的作用。

首先，它可以帮助管理员监控网络流量，及时发现网络故障并进行排除。

当网络出现异常时，通过对捕获到的数据包进行分析，可以快速定位问题的根源，从而加快故障修复的速度。

其次，通过捕获和分析数据包，管理员可以了解网络用户的行为和需求，从而更好地优化网络性能和提升用户体验。

最后，数据包的捕获与分析也是网络安全工作的重要手段，它可以帮助防范网络攻击、检测恶意软件和保护网络数据安全。

在实际的网络管理工作中，有许多专业的数据包捕获与分析工具可供选择。

其中最知名的工具之一是Wireshark，它是一款开源的网络协议分析软件，可以捕获和分析网络数据包。

Wireshark支持多种网络协议的解析，可以帮助管理员深入了解网络通信的细节和问题。

除此之外，还有一些商业化的网络流量分析工具，如SolarWinds、PRTG等，它们提供了更加丰富的功能和更加友好的用户界面。

在进行数据包捕获与分析时，需要注意一些技术细节。

首先，要选择合适的捕获点，以确保能够捕获到需要的数据包。

其次，对捕获到的数据包进行存储和管理，可以使用专门的数据包存储设备或软件。

最后，对数据包进行分析时，需要结合实际情况和需求进行深入分析，以获得更加准确和有用的信息。

QQ分析QQ版本升级比较频繁，每次升级都对应着协议的变化或者加密方法的更改。

针对QQ 的分析网上资料林林总总，对不同版本都有一定的分析，但都没有彻底的分析。

这里总结了一部分资料，加入了一点点我自己针对QQ抓包后的分析。

QQ功能分析：登陆：首先QQ客户端向服务器发送一个请求登录令牌的数据包.服务器返回登录令牌.这个令牌是在服务器端生成的.和客户端的IP地址,版本信息等数据相关.以后会用到这个令牌去进行其他操作. 在QQ通信中用户必需要登录后才可以进行互相发送信息等。

QQ的登录是很关键的，大家所看到的用户在线，并不是用户的QQ一直连接着服务器，而是定时发送消信给服务器，证明自己还连着线，如果超出时间QQ 就认为用户已经掉线了。

登陆QQ服务器的时候，服务器会保留你的保留IP地址和端口号信息，并在你的好友的QQ进程中进行列表显示，然后两个进程就可以通信了。

QQ连接服务器的方式,它主要有3种方式:1.通过本机UDP:4001开始的端口连接服务器UDP 8000端口;2.通过本机任意端口连接服务器80端口;3.通过通过本机任意端口连接服务器443端口。

QQ使用UDP端口8000做为主要的通讯端口，并提供HTTP（80）和HTTPS（443）端口做为辅助的通讯方式。

登陆时，QQ首先尝试去连接服务器的8000端口，如果不通的话就会依次去尝试80和443端口。

登录过程中的包(均是UDP传输)分析：1. 0x0091 Touch包该数据包是QQ客户端登录时发送的第一个包，它的作用在于测试远程服务器是否能够正常响应，根据我们的抓包分析，对于不同的QQ号码段，提供服务的QQ服务器是不相同的，对于QQ会员有专门的QQ会员服务器。

在对QQ客户端的回应包中，如果连接的服务器不对该QQ号码提供服务，它会返回另外一个服务器地址，让客户端重新连接该地址。

2 0x00BA获取验证码因为部分QQ号码可能存在异地登录，或者QQ号码被盗发送大量垃圾信息，或者用了挂机软件或者挂机网站挂机，腾讯服务器检验到这些非正常的QQ情况时即会要求输入验证码。

网络抓包分析方法大全我们知道，网络协议分析软件以嗅探方式工作，它必须要采集到网络中的原始数据包，才能准确分析网络故障。

但如果安装的位置不当，采集到的数据包将会存在较大的差别，从而会影响分析的结果，并导致上述问题的出现。

鉴于这种情况，我认为对网络协议分析软件的安装部署进行介绍非常有必要，但由于没有过多的时间，于是下面我对其进行简单介绍。

一般情况下，网络协议分析软件的安装部署有以下几种情况：共享式网络使用集线器（Hub）作为网络中心交换设备的网络即为共享式网络，集线器（Hub）以共享模式工作在OSI层次的物理层。

如果您局域网的中心交换设备是集线器（Hub），可将网络协议分析软件安装在局域网中任意一台主机上，此时软件可以捕获整个网络中所有的数据通讯，其安装简图如下。

具备镜像功能的交换式网络使用交换机（Switch）作为网络的中心交换设备的网络即为交换式网络。

交换机（Switch）工作在OSI模型的数据链接层，它的各端口之间能有效分隔冲突域，由交换机连接的网络会将整个网络分隔成很多小的网域。

如果您网络中的交换机具备镜像功能时，可在交换机上配置好端口镜像，再将网络协议分析软件安装在连接镜像端口的主机上，此时软件可以捕获整个网络中所有的数据通讯，其安装简图如下。

不具备镜像功能的交换式网络一些简易的交换机可能并不具备镜像功能，不能通过端口镜像实现网络的监控分析。

这时，可采取在交换机与路由器（或防火墙）之间串接一个分路器（Tap）或集线器（Hub）的方法来完成数据捕获，其安装简图如下。

定点分析一个部门或一个网段在实际情况中，网络的拓扑结构往往非常复杂，在进行网络分析时，我们并不需要分析整个网络，只需要对某些异常工作的部门或网段进行分析。

这种情况下，可以将网络协议分析软件安装于移动电脑上，再附加一个分路器（Tap）或集线器（Hub），就可以很方便的实现任意部门或任意网段的数据捕获，其安装简图如下。

代理服务器共享上网当前的小型网络中，有很大一部分都可能仍然通过代理服务器共享上网，对这种网络的分析，直接将网络分析软件安装在代理服务器上就可以了，其安装简图如下。

网络抓包实验报告网络抓包实验报告一、实验目的网络抓包是一种常见的网络分析技术，通过截获和分析网络通信数据包，可以深入了解网络通信过程中的细节和问题。

本实验旨在通过抓包实践，掌握网络抓包的基本原理和操作方法，并能够利用抓包工具进行网络数据分析。

二、实验环境本次实验使用了一台运行Windows 10操作系统的电脑，并安装了Wireshark作为网络抓包工具。

Wireshark是一款开源的网络协议分析软件，可以截获并分析网络数据包。

三、实验步骤1. 安装Wireshark：从官方网站下载Wireshark安装包，并按照提示完成安装过程。

2. 打开Wireshark：双击Wireshark桌面图标，启动软件。

3. 选择网络接口：在Wireshark界面的主菜单中，点击“捕获”选项，选择要进行抓包的网络接口。

4. 开始抓包：点击“开始”按钮，Wireshark开始截获网络数据包。

5. 进行网络通信：在另一台电脑上进行网络通信，例如访问一个网站或发送电子邮件。

6. 停止抓包：在Wireshark界面的主菜单中，点击“停止”按钮，停止截获网络数据包。

7. 分析数据包：在Wireshark界面的数据包列表中，可以看到截获的网络数据包，点击其中的一条数据包，可以查看其详细信息。

四、实验结果与分析通过实验，我们成功截获了多个网络数据包，并进行了分析。

在分析过程中，我们发现了一些有趣的现象。

首先，我们观察到了HTTP通信中的明文传输问题。

在抓包过程中，我们截获了一些HTTP请求和响应的数据包，其中包含了网页的内容。

通过查看数据包的详细信息，我们发现这些数据包中的内容并没有进行加密处理，因此存在信息泄漏的风险。

这提醒我们在进行网络通信时，应尽量使用HTTPS等加密协议来保护数据的安全性。

其次，我们还观察到了TCP连接的建立和断开过程。

在进行网络通信时，客户端和服务器之间需要建立TCP连接来传输数据。

通过分析数据包中的TCP协议头部信息，我们可以清晰地看到连接的建立过程，包括三次握手和连接的断开过程，包括四次挥手。

1Wireshark的发展过程二十世纪九十年代末,GeraldCombs为了工作的需要,追踪网络流量作为研究的使用,于是就开始开发编写Ethereal工具。

由于事务繁忙,经过几次中断开发的事件,在1998年7月发布Ethereal第一个版本。

从此以后,很多的地区网络专业人士对此软件非常感兴趣,同时GeraldCombs收到了来自全世界的程序补丁和问题反馈。

Ethereal名声大噪,为了完善Ethereal的功能,以及在实际工作中的操作性更好一些,GuyHarris开始参与Ethereal的继续开发和完善工作,接着Ethereal的后续版本不断地推出。

由于Ethereal实用,也的确能够解决网络中的许多问题,加上代码是开源和免费的,导致每年数以千计的人开始参与Ethereal的研发工作。

2006年6月,Ethere⁃al正式更名为Wireshark,从而赢得了更多用户的喜欢。

Wireshark诞生前,由于网络封包分析软件的价格非常不菲,一般个人和公司是支付不起的。

然而Ethere⁃al的出现改变了这一切,在通用许可证的保障范围底下,使用者可以免费取得软件与其源代码[1],并可以根据自己的需要来第二次开发和完善它的功能,因而Ethereal成为了目前全世界使用最广泛的网络封包分析软件。

2数据的传输在网络上数据传输的基本单位为帧(Frame),传输的速度为BPS,当然位是组成帧的最小单位。

帧可以分成部分,不同的部分分别执行不同的功能。

帧通过网络驱动程序的软件进行封装成为数据包,然后通过网络适配器发送到网络传输介质上,通过传输介质到达它们的目的地址,在目的地址的一端执行逆向操作。

目的地址以太网卡捕获到这些传输过来的帧,并告诉计算机系统帧已到达,然后在当前节点对其进行存储。

数据帧在传输和接收的过程中,可能会带来安全方面的问题,主要原因是数据帧捕捉到。

当数据包进行长距离的传输时需要经过许多中继站。

每个中继站就是一台主机或路由器,他们基于路由信息,将数据包向下一个中继站传递。

抓包分析抓包分析是一种网络安全领域中常用的技术，通过对网络通信数据包进行捕获和分析，可以获取到详细的网络通信信息，从而进行网络故障诊断、性能优化和安全策略制定等工作。

本文将从抓包分析的基本原理、常见应用场景和具体操作步骤等方面进行阐述，以帮助读者全面了解和掌握这一技术。

首先，抓包分析的基本原理是通过在网络中设置抓包工具，捕获经过该设备的网络数据包，并对捕获到的数据包进行解析和分析。

常见的抓包工具包括Wireshark、tcpdump等，它们可以在各种操作系统环境下运行，并支持多种网络协议的解析。

抓包分析的过程可以分为捕获、过滤、解析和显示等几个步骤，通过这些步骤的协同作用，可以获取到网络通信的各种信息。

抓包分析在网络故障诊断中起到了重要的作用。

当网络出现故障时，我们可以通过抓包分析来确定故障出现的具体位置和原因，进而采取相应的措施进行修复。

例如，当用户无法访问某个特定的网站时，我们可以使用抓包工具捕获用户与该网站之间的网络通信数据包，然后根据这些数据包的分析结果，找出导致无法访问的原因，可能是DNS 解析失败、网络连接超时等。

通过这些信息，我们可以有针对性地解决问题，提高网络的可用性和稳定性。

此外，抓包分析还可以应用于网络性能优化。

通过抓包分析，我们可以详细了解网络通信的各种性能指标，如延迟、丢包率、带宽利用率等，从而发现网络中的瓶颈并进行优化。

例如，在视频流传输过程中，如果发现网络丢包率较高，我们可以通过抓包分析找出丢包原因，可能是网络拥塞导致的，然后采取相应的措施进行调整，如增加带宽、调整传输协议等，从而提高视频传输的质量和稳定性。

针对抓包分析的具体操作步骤，我们可以根据具体的抓包工具来进行操作。

在Wireshark中，我们首先需要选择要进行抓包的网络接口，然后点击开始捕获按钮，Wireshark将开始捕获经过该接口的网络数据包。

捕获的数据包会以列表的形式显示出来，我们可以根据需要设置过滤条件，只显示符合条件的数据包。

计算机通信与网络实验报告实验题目：抓包并进行分析班级：..姓名：..学号：..Wireshark抓包分析Wireshark是世界上最流行的网络分析工具。

这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息，与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉。

一、安装软件并抓包1：安装并运行wireshark并打开捕获界面。

2、捕获选项图1捕获选项的设置3、开始抓包点击上图中的“Start”开始抓包几分钟后就捕获到许多的数据包了，主界面如图所示：图2 主界面显示如上图所示，可看到很多捕获的数据。

第一列是捕获数据的编号；第二列是捕获数据的相对时间，从开始捕获算为0.000秒；第三列是源地址，第四列是目的地址；第五列是数据包的信息。

选中第8个数据帧，然后从整体上看看Wireshark的窗口，主要被分成三部分。

上面部分是所有数据帧的列表；中间部分是数据帧的描述信息；下面部分是帧里面的数据。

二、分析UDP、TCP、 ICMP协议1、UDP协议UDP 是User Datagram Protocol的简称，中文名是用户数据包协议，是 OSI 参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。

它是IETF RFC 768是UDP的正式规范。

（1） UDP是一个无连接协议，传输数据之前源端和终端不建立连接，当它想传送时就简单地去抓取来自应用程序的数据，并尽可能快地把它扔到网络上。

在发送端，UDP传送数据的速度仅仅是受应用程序生成数据的速度、计算机的能力和传输带宽的限制；在接收端，UDP把每个消息段放在队列中，应用程序每次从队列中读一个消息段。

（2）由于传输数据不建立连接，因此也就不需要维护连接状态，包括收发状态等，因此一台服务机可同时向多个客户机传输相同的消息。

（3） UDP信息包的标题很短，只有8个字节，相对于TCP的20个字节信息包的额外开销很小。

上面所示图片是用Wireshark软件进行抓包数据分析的截屏，下面我将选取1号帧作为代表分别分析相应的数据：1、数据帧的相关信息：获取时间为0；源地址为118.123.234.160；目的地址为192.168.1.100；高层协议为UDP；包内信息概况为：源端口为irdmi，目标端口为51820，表示QQ聊天软件与本机网络连接的信息。

2、物理层的数据帧概况从图中可以看出：1号帧，线路上有101字节，实际捕获101字节，捕获时间为2010年10月24日18:14:36，测试时间为1287915276.685846000秒，此包与前一捕获帧的时间间隔为0秒，与前一个显示帧时间间隔为0秒，与第一帧的时间间隔为0秒，帧号为1，帧长为101字节，捕获长度为101字节，此帧没有被标记且没有被忽略，帧内封装的协议结构为UDP数据协议，用不同颜色染色标记的协议名为UDP，染色显示规则字符串为udp。

3、数据链路层以太网帧头部信息此包为以太网协议版本2，源地址为Tp-LinkT_a9:d9:c6 (00:19:e0:a9:d9:c6)，说明本机的网络是有TP-Link路由器分出来的，其网卡地址为00:19:e0:a9:d9:c6；目标地址为HewlettP_78:9f:34 (00:25:b3:78:9f:34)，说明本机的网卡是Hewlett厂家生产的，网卡地址为00:25:b3:78:9f:34。

帧内封装的上层协议类型为IP，十六进制代码为0800。

4、互联网层IP包头部信息互联网协议IPv4，源地址为118.123.234.160，目标地址为192.168.1.100，IP包头部长度为20字节，差分服务字段为0x00 (DSCP 0x00: Default; ECN: 0x00)，表示一个特定的上层协议所分配的重要级别，默认的DSCP值是0，相当于尽力传送，ECN字段被分为ECN-Capable Transport (ECT) bit和CE bit，ECT bit设置为“ 0 ”表明该传输协议将忽略ignore CE bit，CE bit将由路由器设置，设置为0说明对末端节点不挤塞，IP包的总长度为87字节，标志字段为0，标记字段为0x02，没有分片，分片的偏移量为0，生存期为57，当减少为0时，该数据包将被丢弃以保证数据包不会无限制的循环，上层协议为UDP，报头的检验和显示为正确。

一文教会实战网络抓包和分析包话不多说，直接上图看内容#显形“不可见”的网络包网络世界中的数据包交互我们肉眼是看不见的，它们就好像隐形了一样，我们对着课本学习计算机网络的时候就会觉得非常的抽象，加大了学习的难度。

但莫慌，自从有了两大分析网络包的利器：tcpdump 和Wireshark，我们“看不见”的数据包，再也没有那么神秘了。

唉，当初大学学习计网的时候，要是能知道这两个工具，就不会学的一脸懵逼。

tcpdump 和 Wireshark 有什么区别？tcpdump 和Wireshark 就是最常用的网络抓包和分析工具，更是分析网络性能必不可少的利器。

•tcpdump 仅支持命令行格式使用，常用在 Linux 服务器中抓取和分析网络包。

•Wireshark 除了可以抓包外，还提供了可视化分析网络包的图形页面。

所以，这两者实际上是搭配使用的，先用 tcpdump 命令在 Linux 服务器上抓包，接着把抓包的文件拖出到Windows 电脑后，用Wireshark 可视化分析。

当然，如果你是在 Windows 上抓包，只需要用 Wireshark 工具就可以。

tcpdump 在 Linux 下如何抓包？tcpdump 提供了大量的选项以及各式各样的过滤表达式，来帮助你抓取指定的数据包，不过不要担心，只需要掌握一些常用选项和过滤表达式，就可以满足大部分场景的需要了。

假设我们要抓取下面的 ping 的数据包：要抓取上面的 ping 命令数据包，首先我们要知道 ping 的数据包是icmp 协议，接着在使用tcpdump 抓包的时候，就可以指定只抓icmp 协议的数据包：那么当 tcpdump 抓取到 icmp 数据包后，输出格式如下：从 tcpdump 抓取的 icmp 数据包，我们很清楚的看到 icmp echo 的交互过程了，首先发送方发起了 ICMP echo request 请求报文，接收方收到后回了一个 ICMP echo reply 响应报文，之后 seq 是递增的。

Wireshark抓包qq分析1.准备工作：打开Wireshark软件，登录qq。

2.选择抓包，打开qq与网友聊天，过一会停止抓包。

可以看到Wireshark的主窗口如下，它由3个面板组成，从上到下依次是packet list(数据包列表)、packet details（数据包细节）和packet bytes（数据包字节）。

3.输入oicq进行筛选（oicq就是QQ的意思）可以看出源地址是183.60.19.41；目标地址是10.66.49.67。

4.如果希望在packet details面板中查看一个单独的数据包的内容，必须先在packet list面板中单击选中那个数据包，就可以在packet details面板中选中数据包的某个字段，从而在packet bytes面板中查看相应字段的字节信息。

这里我选择序号为699的数据包，双击鼠标查看数据（1）数据链路层（以太网）可以看出该路由器的厂商在Hangzhou（杭州）；该数据包的目标地址是50:46:5d:98:8a:2d，这是一个以太网的广播地址，所有发送到这个地址的数据都会被广播到当前网段中的所有设备；这个数据包中以太网头的源地址00:23:89:80:e3:00就是我们的MAC地址。

（2）网络层（互联网协议）可以看到IP的版本号为4；IP头的长度是20字节；首部和载荷的总长度是75字节（0x004b），00在前，4b在后，说明进行网络传输的时候是先传输高位再传输低位,即高字节数据在低地址，低字节数据在高地址；并且TTL（存活时间）域的值是52；还可以看出一台IP地址为183.60.19.41的设备将一个ICMP请求发向了地址为10.66.49.67的设备，这个原始的捕获文件是在源主机183.60.19.41上被创建的。

（3）运输层（用户数据报协议UDP）可以看出源端口是irdmi (8000),这在国内主要是QQ使用的端口号（irdmi表示为QQ聊天软件）；目标端口是53027；数据包字节长度为55字节；检验和显示为验证禁用，不能验证。

网络协议数据获取与QQ协议分析一、背景介绍随着互联网的快速发展，网络协议的研究和分析变得越来越重要。

其中，QQ协议作为中国最大的即时通讯软件之一，具有广泛的用户基础和复杂的数据交互过程。

因此，本协议旨在详细介绍网络协议数据获取和QQ协议分析的相关内容。

二、网络协议数据获取1. 数据获取原理网络协议数据获取是指通过对网络数据包的捕获和分析，获取网络协议的相关信息。

其原理主要包括以下几个步骤：- 网络数据包捕获：使用网络抓包工具（如Wireshark）对网络数据包进行捕获。

- 数据包过滤：对捕获的数据包进行过滤，只保留与目标协议相关的数据包。

- 数据包解析：对过滤后的数据包进行解析，提取出协议的相关信息。

2. 数据获取工具网络协议数据获取涉及到抓包工具的选择和使用。

常用的抓包工具包括Wireshark、tcpdump等。

这些工具提供了丰富的功能，可以捕获、过滤和解析网络数据包。

3. 数据获取注意事项在进行网络协议数据获取时，需要注意以下几个方面：- 合法性：仅在合法的环境下进行数据获取，遵守相关法律法规。

- 隐私保护：不获取或泄露用户的个人隐私信息。

- 数据安全：确保数据获取过程中的数据安全，防止数据被篡改或泄露。

三、QQ协议分析1. QQ协议概述QQ协议是腾讯公司开发的一种即时通讯协议，用于QQ软件之间的通信。

其协议结构复杂，包含了多个子协议，如登录协议、消息传输协议等。

通过对QQ协议的分析，可以深入了解QQ软件的工作原理和数据交互过程。

2. QQ协议分析方法QQ协议的分析可以通过以下几种方法进行：- 静态分析：通过对QQ软件的二进制文件进行逆向工程，提取出协议相关的信息。

- 动态分析：使用抓包工具对QQ软件的网络数据包进行捕获和分析，提取出协议的数据格式和通信过程。

- 文档分析：参考腾讯官方提供的文档和开发者指南，了解协议的相关规范和接口。

3. QQ协议分析内容QQ协议分析的内容包括以下几个方面：- 协议结构：分析QQ协议的整体结构，包括协议头、数据包格式等。

实验五抓包分析实验——Iris的使用【实验目的】熟悉和掌握抓包工具Iris的使用；利用Iris进行网络抓包实验并做简单分析。

【预备知识】网络嗅探：以太网的数据传输是基于“共享”原理的：所有的同一本地网范围内的计算机共同接收到相同的数据包。

这意味着计算机直接的通讯都是透明可见的。

正是因为这样的原因，以太网卡都构造了硬件的“过滤器”来忽略掉一切和自己无关的网络信息（事实上是忽略掉了与自身MAC地址不符合的信息）。

而网络嗅探程序利用了这个特点，它主动的关闭了过滤器，也就是设置了网卡“混杂模式”，此时，嗅探程序就能够接收到整个以太网内的网络数据信息，并加以分析。

通过对得到的数据包进行一定的分析，网络嗅探程序可能得到许多有价值的信息，包括机密数据，账户密码等，得到有用信息的难易程度，取决于许多因素，例如数据包的类型，加密程度等。

【实验环境】以一组同学为例PC1：Windows 2000 Professional＋SP2，IP地址为‘192.168.0.1’PC2：Windows 2000 Professional＋SP2，IP地址为‘192.168.0.2’PC3：Windows 2000 Server＋SP2，IP地址为‘192.168.0.3’其中PC2安装Iris进行抓包，PC1主要用来向PC3发包。

【实验工具】Iris.exe：Version 2.0 英文版；eEye公司；共享软件；网络嗅探工具，可以抓取并分析在共享式网络中传输的数据包，通过分析数据包可能得到许多有价值的信息，特别是帐户密码信息。

【实验过程与步骤】步骤一：配置Iris1．启动PC2上安装的Iris（如果是第一次使用，会提示你设置adapters，即软件所使用的网卡，如图6-1）图6-1 网卡设置2. Tools－>setting可做各项配置，选默认设置即可（如图6-2）。

图6-2 捕捉方式选项3. Filters－>Edit filter设置包过滤规则，可针对多种参数进行设置，选择抓取包的类（如图6-3）。