实验二 网络报文捕获与网络协议分析

实验二用Wireshark 进行协议分析一．分组及实验任务组长：，组员：由于本次试验不需要合作，所以每个人的任务都一样。

任务：1. 学习协议分析软件Wireshark 的使用。

2. 分析以太网帧格式。

3. 分析IP、ICMP、ARP 数据包格式。

二．实验环境1.以太网交换机1 台、PC 机2 台；2.实验拓扑如下：三．实验过程在命令行界面执行命令ping，在Wireshark选项界面的Capture option 中设置过滤规则：“ether proto0x0806”，界面出现了arp request和arp reply的包；设置过滤规则：”ip proto 1 “,界面出现了ICMP request 和ICMP reply 的包；设置过滤规则：“ether proto 0x0806 or ip proto 1”后，界面出现了ARP和ICMP的request包以及reply包。

四．问题解答1. 抓取一对ARP 包（包括ARP request 和ARP reply ），分析以太网帧头的字段。

解：下图是做实验时用软件抓到的ARP包：以太网首部：目的主机采用的是广播地址00:21:97:29:44，源主机的MAC地址是00:21:97:29:80:50;上层协议类型0x0806代表ARP2. 抓取一对封装ICMP 报文的IP 数据报（包括echo 和echo reply ），然后1) 找到两个ICMP 报文中的类型（type）和代码（code ）字段，2) 分析其中一个IP 数据报的首部字段值，3) 并计算首部校验和。

解：1）：这是一个ICMP回应请求报文，报文类型为08，代码字段为00这是一个ICMP回应应答报文，报文类型为00，代码字段为002）：ICMP回应请求报文中IP数据报的首部字段为：45:00:00:3c:a4:2a:00:00:80:01:13:62:c0:98:01:03:c0:98:01:01第一个字节“45”高四位为“4”，代表IP协议的版本为4，低四位为“5”，代表该IP数据报的首部长度为20个字节；第二个字节为“00”，为区分服务；第三、四个字节为“003c”，表示该IP数据报的总长度为60字节（3x16+12=60）；第五六字节为“a42a”,为标识字段；第七八字节为“0000”，前三位为标志字段，表示该数据报为若干数据报片中的最后一个，在这代表只有一个数据报，不存在分片；后十三位为片偏移字段，在这没有意义；第九个字节为“80”，表示生存时间；第十个字节为“01”，表用来示该数据报携带的数据使用的何种协议，在这表示使用的是UDP协议；第十一十二字节为“13 62”,为首部检验和；第十三至第十六字节为“c0 98 01 03”,表示源地址；第十七至第二十字节为“c0 98 01 01”,表示目的地址；3）：数据报首部反码算术求和二进制表示为0011011100111001,取反码为1100100011000110;即首部校验和为1100100011000110；五．实验总结本次试验主要要求我们熟悉wireshark软件，难度不是很大，我们很快就做完了，再结合课堂上学习到的知识，思考题也迎刃而解。

实验2 网络数据包的监听与分析一实验目的1.掌握使用Wireshark软件监听和捕获网络数据包。

2.掌握通过实际观察网络数据进行分析而了解网络协议运行情况。

二实验要求1.设备要求：计算机若干台（装有Windows 2000/XP/2003操作系统、装有网卡），局域网环境，主机装有Wireshark工具。

2.每组1人，独立完成。

三实验预备知识1.Wireshark简介Wireshark是一个开放源码的网络分析系统，也是是目前最好的开放源码的网络协议分析软件之一，支持Linux和Windows平台，支持500多种协议分析。

网络分析系统首先依赖于一套捕捉网络数据包的函数库。

这套函数库工作在在网络分析系统模块的最底层。

作用是从网卡取得数据包或者根据过滤规则取出数据包的子集，再转交给上层分析模块。

从协议上说，这套函数库将一个数据包从链路层接收，将其还原至传输层以上，以供上层分析。

在Linux系统中，1992年Lawrence Berkeley Lab的Steven McCanne 和Van Jacobson提出了包过滤器，称之为BPF（BSD Packet Filter），设计了基于BPF的捕包函数库Libpcap。

在Window系统中，意大利人Fulvio Risso和Loris Degioanni提出并实现了Winpcap函数库，其实现思想来源于BPF。

2.Wireshark的简单操作方法安装Wireshark之前，需要安装Winpcap，安装过程比较简单。

安装完成后，启动Wireshark，如图2.1所示。

图2.1 启动Wireshark后的界面设置Capture选项。

选择“Capture”-“Options”，弹出“Capture Options”界面，设置完成后点击“Capture”而开始捕获数据，如图2.2所示。

图2.2 “Capture Options”界面在“Capture Options”界面中，主要选项如下：•“Interface”是要求选择在哪个接口（网卡）上抓包。

计算机网络实验二：协议数据的捕获和解析一、实验类别协议分析验证型二.、实验内容和实验目的本次实验主要包含下列内容：1）使用Wireshark 软件捕获在使用ping 命令时产生的ICMP 消息；2）分析网络层IP 包头格式，理解各字段的作用，对于分段和校验和进行验证；3）使用Wireshark 软件捕获在使用ARP 消息，分析其消息格式，理解其工作原理；4）使用Wireshark 捕获DHCP 消息，分析其消息序列，理解DHCP 的功能和操作原理；5）使用Wireshark 捕获TCP 消息，分析TCP 报文段头格式，理解连接建立和释放的原理，差错控制原理、序号和窗口管理的原理。

通过本实验来深入理解分层体系结构，理解和掌握TCP/IP 协议栈的代表协议——IP、TCP、UDP、ICMP、ARP 和DHCP 协议的要点。

三、实验设备环境1 台装有MS Windows 系列操作系统的计算机，能够连接到Internet，并已安装Wireshark 软件。

四、实验步骤（1）准备工作1. 下载Wireshark 软件并了解其功能和使用方法。

2. 确保计算机已经连接到网络。

3. 启动Wireshark1，设置捕获接口（Interface）为本机网卡，选中混杂模式（promiscuous mode）捕获选项，设置合适的捕获过滤器（Capture Filter）：对于ping 命令，设置过滤器为icmp对于DHCP 消息，设置过滤器为udp port 67对于ARP 消息，设置过滤器为arp对于通过网页浏览应用来捕获TCP 消息，设置过滤器为tcp port 804.开始捕获。

(2) 数据捕获捕获ICMP 协议数据1. 运行ping 命令（例如：c> ping 192.168.0.1），远程主机地址可以是本机地址、网关路由器地址，也可以是域名（如）。

将捕获到的数据保存为文件。

2. 使用Windows 中ping 命令的-l 选项（例如：c>ping -l 8000 192.168.0.1），制作大于8000 字节的IP 包并发送，捕获后分析其分段传输的包结构。

计算机网络实验2报告一、实验目的本次计算机网络实验 2 的主要目的是深入了解和掌握计算机网络中的相关技术和概念，通过实际操作和实验分析，提高对计算机网络的理解和应用能力。

二、实验环境本次实验在学校的计算机实验室进行，使用的操作系统为 Windows 10，实验中所用到的软件和工具包括 Wireshark 网络协议分析工具、Packet Tracer 网络模拟软件等。

三、实验内容与步骤（一）网络拓扑结构的搭建使用 Packet Tracer 软件搭建了一个简单的星型网络拓扑结构，包括一台交换机、四台计算机和一台服务器。

为每台设备配置了相应的 IP 地址、子网掩码和网关等网络参数。

（二）网络协议分析1、启动 Wireshark 工具，选择对应的网络接口进行抓包。

2、在网络中进行文件传输、网页浏览等操作，观察 Wireshark 捕获到的数据包。

3、对捕获到的数据包进行分析，包括数据包的源地址、目的地址、协议类型、数据长度等信息。

（三）网络性能测试1、使用 Ping 命令测试网络中不同设备之间的连通性和延迟。

2、通过发送大量数据包，测试网络的带宽和吞吐量。

四、实验结果与分析（一）网络拓扑结构搭建结果成功搭建了星型网络拓扑结构，各设备之间能够正常通信，IP 地址配置正确，网络连接稳定。

（二）网络协议分析结果1、在文件传输过程中，观察到使用的主要协议为 TCP 协议，数据包有序且可靠地传输。

2、网页浏览时，发现涉及到 HTTP 协议的请求和响应，包括获取网页内容、图片等资源。

（三）网络性能测试结果1、 Ping 命令测试结果显示，网络中设备之间的延迟较低，均在可接受范围内，表明网络连通性良好。

2、带宽和吞吐量测试结果表明，网络能够满足一般的数据传输需求，但在大量数据并发传输时，可能会出现一定的拥塞现象。

五、实验中遇到的问题及解决方法（一）IP 地址配置错误在配置设备的 IP 地址时，出现了部分设备 IP 地址冲突的问题，导致网络通信异常。

一、实验目的(1)熟悉ethereal的使用(2)验证各种协议数据包格式(3)学会捕捉并分析各种数据包。

二、使用仪器、器材WinXP、Ethereal软件三、实验内容及原理（1）安装ethereal软件（2）捕捉数据包，验证数据帧、IP数据报、TCP数据段的报文格式。

（3）捕捉并分析ARP报文。

（4）捕捉ping过程中的ICMP报文，分析结果各参数的意义。

（5）捕捉tracert过程中的ICMP报文，分析跟踪的路由器IP是哪个接口的。

（6）捕捉并分析TCP三次握手建立连接的过程。

（7）捕捉整个FTP工作工程的协议包对协议包进行分析说明，依据不同阶段的协议分析，画出FTP工作过程的示意图a.. 地址解析ARP协议执行过程b. FTP控制连接建立过程c . FTP 用户登录身份验证过程d. FTP 数据连接建立过程e. FTP数据传输过程f. FTP连接释放过程（包括数据连接和控制连接）（8）捕捉及研究WWW应用的协议报文，回答以下问题：a. .当访问某个主页时，从应用层到网络层，用到了哪些协议？b. 对于用户请求的百度主页（），客户端将接收到几个应答报文？具体是哪几个？假设从本地主机到该页面的往返时间是RTT，那么从请求该主页开始到浏览器上出现完整页面，一共经过多长时间？c. 两个存放在同一个服务器中的截然不同的Web页（例如，/index.jsp，和/cn/research/index.jsp可以在同一个持久的连接上发送吗？d. 假定一个超链接从一个万维网文档链接到另一个万维网文档，由于万维网文档上出现了差错而使超链接指向一个无效的计算机名，这时浏览器将向用户报告什么？e. 当点击一个万维网文档时，若该文档除了有文本外，还有一个本地.gif图像和两个远地.gif图像，那么需要建立几次TCP连接和有几个UDP过程？（9）捕捉ARP病毒包，分析ARP攻击机制。

（选做）（10）TCP采用了拥塞控制机制，事实上，TCP开始发送数据时，使用了慢启动。

实验二：网络层数据分组的捕获和解析◆实验内容和实验环境实验内容：1）捕获在连接Internet过程中产生的网络层分组：DHCP分组，ARP分组，IP数据分组，ICMP分组。

2）分析各种分组的格式，说明各种分组在建立网络连接过程中的作用。

3）分析IP数据分组分片的结构。

通过本次实验了解计算机上网的工作过程，学习各种网络层分组的格式及其作用，理解长度大于1500字节IP数据组分片传输的结构。

实验环境：1台装有Windows XP 操作系统的pc机，能够连接到Internets使用Wireshark软件。

◆分析网络层分组结构1）捕获DHCP分组Encode分析如下：IP头部目的域地址为：ff ff ff ff 说明该数据包为广播包源地址为10.211.9.36Boot Requset 域为1.这应该是连接网络的首先要做的。

计算机以广播方式发送一个DHCP Requset 报文。

2）捕获IP数据分组：IP分组格式为：分析IP数据分组：字段报文内容包头长度45 包头长20字节服务类型22 正常时延正常吞吐量正常可靠性总长度01a3 419标识448c 标识为17548标志40 DF=1 MF=0不允许分片片偏移00 偏移量为0生存周期30 每跳生存周期为48秒协议06 携带数据来自TCP协议头部校验和78ea 头部校验和为78ea源地址6fca 07fc 源地址为111.202.7.252 目的地址0ad3 0924 目的地址为10.211.9.363）分析整个上网的工作过程，需要收发什么分组？每个分组的内容是什么？a.向默认网关发送一个DHCP REQUEST报文以申请获得IP地址。

b.网关收到报文后回送一个DHCP ACKc.利用ARP数据报本机广播自己的地址映射关系，使其他主机知道当前主机的地址。

DHCP REQUESTDHCP ACKARP4）捕获ICMP分组：ICMP分组格式：字段报文（16进制）内容类型08 询问一台机器是否处于活动状态代码00校验和4d51 校验和为4d51分析ICMP分组：该ICMP用来判断指定目标是否可达或是否活着。

一、实验目的1. 理解捕获法的基本原理及其在通信过程中的应用。

2. 掌握使用Wireshark等工具进行数据包捕获的方法。

3. 学习分析捕获到的数据包，了解网络协议的工作机制。

4. 培养实际操作能力和问题解决能力。

二、实验环境1. 实验设备：电脑一台、网络连接线一根。

2. 实验软件：Wireshark网络分析工具。

3. 实验网络：以太网。

三、实验内容1. 实验一：捕获并分析HTTP数据包（1）启动Wireshark，选择合适的网络接口进行数据包捕获。

（2）在过滤栏中输入“http”，只捕获HTTP协议的数据包。

（3）观察并分析捕获到的HTTP数据包，包括请求和响应内容、请求方法、URL、状态码等信息。

（4）分析实验过程中可能遇到的问题，如数据包捕获失败、数据包内容不完整等，并提出解决方案。

2. 实验二：捕获并分析DNS数据包（1）启动Wireshark，选择合适的网络接口进行数据包捕获。

（2）在过滤栏中输入“dns”，只捕获DNS协议的数据包。

（3）观察并分析捕获到的DNS数据包，包括查询类型、域名、响应代码等信息。

（4）分析实验过程中可能遇到的问题，如DNS解析失败、DNS数据包丢失等，并提出解决方案。

3. 实验三：捕获并分析TCP数据包（1）启动Wireshark，选择合适的网络接口进行数据包捕获。

（2）在过滤栏中输入“tcp”，只捕获TCP协议的数据包。

（3）观察并分析捕获到的TCP数据包，包括源端口、目的端口、序列号、确认号、窗口大小、标志位等信息。

（4）分析实验过程中可能遇到的问题，如TCP连接失败、数据包丢失等，并提出解决方案。

4. 实验四：捕获并分析ICMP数据包（1）启动Wireshark，选择合适的网络接口进行数据包捕获。

（2）在过滤栏中输入“icmp”，只捕获ICMP协议的数据包。

（3）观察并分析捕获到的ICMP数据包，包括类型、代码、校验和等信息。

（4）分析实验过程中可能遇到的问题，如ICMP请求未响应、数据包丢失等，并提出解决方案。

实验⼆IP报⽂的捕获与分析实验⼆ IP报⽂的捕获与分析——实验报告⼀、实验⽬的（1）掌握IP协议报⽂格式。

（2）对捕捉到的包进⾏IP分析。

⼆、实验内容⽤Wireshark过滤出IP数据包，查看并分析具体的IP包的内容。

三、实验原理1、wireshark简介Wireshark（前称Ethereal）是⼀个⽹络封包分析软件。

⽹络封包分析软件的功能是撷取⽹络封包，并尽可能显⽰出最为详细的⽹络封包资料。

在GNUGPL通⽤许可证的保障范围底下，使⽤者可以以免费的代价取得软件与其程式码，并拥有针对其源代码修改及客制化的权利。

Ethereal是⽬前全世界最⼴泛的⽹络封包分析软件之⼀。

Wireshark可以帮助⽹络管理员检测⽹络问题，帮助⽹络安全⼯程师检查资讯安全相关问题，开发者使⽤Wireshark来为新的通讯协议除错，普通使⽤者使⽤Wireshark来学习⽹络协定的相关知识当然，有的⼈⽤它来寻找⼀些敏感信息Wireshark不是⼊侵侦测软件（Intrusion DetectionSoftware,IDS）。

对于⽹络上的异常流量⾏为，Wireshark不会产⽣警⽰或是任何提⽰。

然⽽，仔细分析Wireshark撷取的封包能够帮助使⽤者对于⽹络⾏为有更清楚的了解。

Wireshark不会对⽹络封包产⽣内容的修改，它只会反映出⽬前流通的封包信息，它也不会送出封包⾄⽹络上2、IP数据报格式IP数据报TCP/IP协议定义了⼀个在因特⽹上传输的包，称为IP数据报(IP Datagram)。

这是⼀个与硬件⽆关的虚拟包，由⾸部和数据两部分组成。

⾸部的前⼀部分是固定长度，共20字节，是所有IP数据报必须具有的。

在⾸部的固定部分的后⾯是⼀些可选字段，其长度是可变的。

⾸部中的源地址和⽬的地址都是IP协议地址。

IP数据包格式如图1所⽰。

图1 IP报⽂格式上⽹查找资料，整理如下更详细更易懂的IP报⽂格式与字段含义：IP协议偏移量0~34~78~1516~1819~31偏移量0~34~78~1516~1819~31 0版本⾸部长度服务类型总长度32标识符标识分段偏移64存活时间协议⾸部校验和96源IP地址128⽬的IP地址160选项160或192+数据IP报⽂字段含义版本指 IP 协议所使⽤的版本。

协议数据包的捕获与分析在网络通信中，协议数据包的捕获与分析是一项重要的技术，它可以帮助我们深入了解网络通信过程中传输的数据，并且可以用于网络故障排查、网络安全分析等方面。

本文将详细介绍协议数据包的捕获与分析的基本原理、常用工具以及实际应用案例。

一、协议数据包的捕获原理协议数据包的捕获是指通过网络抓包工具将网络通信过程中的数据包进行捕获和记录。

这些数据包包含了源IP地址、目的IP地址、源端口号、目的端口号、协议类型、数据长度等关键信息。

协议数据包的捕获原理主要有以下几个步骤：1. 网络接口监听：网络接口负责将数据包从网络中接收并传递给操作系统。

通过监听网络接口，我们可以获取到网络通信中的数据包。

2. 数据包过滤：根据用户的需求，可以设置过滤条件，只捕获符合条件的数据包。

例如，我们可以设置只捕获某个特定IP地址或者某个特定端口号的数据包。

3. 数据包存储：捕获到的数据包可以保存在本地磁盘上，供后续分析使用。

存储数据包时，可以选择不同的格式，如pcap、txt等。

二、常用的协议数据包捕获工具1. Wireshark：Wireshark是一款开源的网络抓包工具，支持多种操作系统，如Windows、Linux、macOS等。

它提供了直观的图形界面，可以捕获和分析网络数据包。

Wireshark支持多种协议的解析，包括TCP、UDP、HTTP、FTP等。

2. tcpdump：tcpdump是一款命令行工具，可以在Linux和Unix系统上进行协议数据包的捕获和分析。

它可以根据用户的需求设置过滤条件，捕获指定的数据包。

tcpdump提供了丰富的选项，可以对捕获到的数据包进行详细的分析。

3. tshark：tshark是Wireshark的命令行版本，可以在Windows、Linux、macOS 等系统上运行。

它可以捕获和分析网络数据包，并且可以将捕获到的数据包保存为pcap文件。

tshark支持多种协议的解析，可以根据用户的需求进行定制化配置。

实验二网络协议分析一、实验目的1.了解协议分析软件的功能和特点。

2.学会使用Iris进行网络数据包捕获。

3.学会使用ipconfig命令查看主机的IP地址。

4.学会使用Ping命令判断网络的连通性。

5.学会使用过滤有选择的捕获所需要的数据包。

6.学会基本的数据包分析。

7.学会使用ping的重要参数。

8.通过使用协议分析软件掌握ICMP(因特网控制报文协议)的工作过程。

二、实验环境小型局域网，运行Windows XP操作系统的PC机，协议分析软件Iris。

三、实验原理局域网，位于同一个物理网络，如果正确的配置两台主机的IP地址，即可使用ping 命令测试两台主机的连通性。

Ping 使用了IP 协议中的ICMP 协议，用于判断两台主机的连通性。

如果两台主机能互相Ping通则说明这两台主机的在物理层、数据链路层和网络层能正常通信。

网络协议分析软件又称为网络嗅探器，主要的作用是捕获所有流入和流出网卡的数据包，并对捕获的包进行已知协议的解析。

对于网络管理员来说，网络协议分析软件有助于了解网络通信情况，诊断网络通信故障。

对于网络初学者来说，网络协议分析软件有助于加深网络各种协议的理解，使网络协议的学习更直观。

常见的网络协议分析软件有Sniffer pro,Iris和Wireshark等，其中Sniffer pro适用于专业的网络管理员，其特点在于功能强大，专业性强。

Iris和Wireshark的特点是简单易用，适合网络学习者用于学习网络协议。

Wireshark属于开源免费软件，其功能的扩展性更好。

本实验使用Iris作为协议分析工具。

四、实验步骤1.观察实验室拓扑结构，检查相应设备是否连接好。

2.配置主机的IP 地址。

具体的配置方法是：选择开始菜单-设置-控制面板-网络连接。

打开网络连接对话框，如图所示：右键选择需要配置IP地址的网卡，选择属性，进入网卡的属性配置对话框。

如图所示：选择Internet协议(TCP/IP),点击属性按钮，进入IP地址配置对话框，如图所示：（此处已选择了自动获取）在IP地址编辑区输入IP地址和子网掩码，本实验不需要输入网关地址和DNS地址，点击确定，IP 地址配置完成。

实验二网络报文捕获一、实验目的1．学习sniffer程序(IRIS)的使用方法，掌握如何从正在运行的网络中捕获特定类型的所需报文。

2．熟悉各种网络报文格式的组成和结构。

3．熟悉各种协议的通信交互过程。

二、实验属性设计性三、实验仪器设备及器材仅需计算机四、实验要求实验前认真预习TCP/IP协议内容，尤其应认真理解TCP、IP协议报文格式；在进行实验时，应注意爱护机器，按照试验指导书的要求的内容和步骤完成实验，尤其应注意认真观察试验结果，做好记录；实验完成后应认真撰写实验报告。

五、实验原理六、实验步骤1．熟悉Filters的对话框Edit filter settings的配置功能，以便有目的捕获特定类型的所需报文。

2．捕获任何主机发出的Ethernet 802.3格式的帧(帧的长度字段<=1500)和DIX Ethernet V2(即Ethernet II)格式的帧(帧的长度字段>1500, 帧的长度字段实际上是类型字段)。

观察并分析帧结构，802.3和Ethernet II格式的帧的上一层主要是哪些PDU? 是IP、LLC还是其它哪种?1、捕获并分析局域网上的所有ethernet broadcast帧，观察并分析哪些主机在发广播帧，这些帧的高层协议是什么? 你的LAN的共享网段上有否发生广播风暴?2、利用菜单Filetr中的only_http.fil ,ftp.fil和email.fil子菜单分析相应的应用层协议格式。

3、利用Statistics了解网络中各种协议的统计信息。

4、捕获局域网上本地主机发出或接受的所有ARP包和ICMP包(1)在本地主机上执行命令：arp –d *清除arp cache。

(2)在本地主机上ping 局域网上的另一主机，然后观察并分析本地主机发出和接收的所有ARP包和ICMP包的类型和结构。

实验一网络报文格式分析一、实验目的1、学习sniffer程序(IRIS)的使用方法，掌握如何分析特定类型的报文格式。

广西民族大学网络数据捕获及分析实验报告学院：信息科学与工程学院班级 10网络姓名郭璇学号 110263100129 实验日期 2012年10月19日指导老师周卫实验名称网络数据捕获及分析实验报告一、实验目的1、通过捕获网络通信数据，使学生能够真实地观察到传输层（TCP）和应用层（HTTP）协议的数据，对计算机网络数据传输有感性的认识。

2、通过对捕获的数据的分析，巩固学生对这些协议制定的规则以及工作的机制理解，从而对计算机网络数据传输有初步的认识，以便为之后通信协议设计以及通信软件设计打下良好的基础。

二、协议理论TCP：1、Transmission Control Protocol 传输控制协议TCP是一种面向连接（连接导向）的、可靠的、基于字节流的运输层（Transport layer）通信协议，由IETF的RFC 793说明（specified）。

在简化的计算机网络OSI模型中，它完成第四层传输层所指定的功能，UDP是同一层内另一个重要的传输协议。

2、TCP所提供服务的主要特点：（1）面向连接的传输；（2）端到端的通信；（3）高可靠性，确保传输数据的正确性，不出现丢失或乱序；（4）全双工方式传输；（5）采用字节流方式，即以字节为单位传输字节序列；（6）紧急数据传送功能。

3、TCP连接的建立与终止TCP连接的建立：TCP协议通过三个报文段完成连接的建立，这个过程称为三次握手（three-way handshake），过程如下图所示。

TCP连接的终止：建立一个连接需要三次握手，而终止一个连接要经过四次握手，这是由TCP的半关闭（half-close）造成的。

具体过程如下图所示。

4、服务流程TCP协议提供的是可靠的、面向连接的传输控制协议，即在传输数据前要先建立逻辑连接，然后再传输数据，最后释放连接3个过程。

TCP提供端到端、全双工通信；采用字节流方式，如果字节流太长，将其分段；提供紧急数据传送功能。

实验二网络报文捕获与网络协议分析实验原理：网络报文捕获与协议分析广泛地应用于分布式实时控制系统、网络故障分析、入侵检测系统、网络监控系统等领域中，可以用来解决网络故障问题，检测安全隐患，测试协议执行情况。

这里我们使用Wireshark来捕获网络报文，学习网络协议。

实验内容：分析面向连接的TCP协议三次握手建立连接和4次握手释放连接的过程；利用Wireshark捕获一次网页打开的过程，通过观察整个网页获得全过程，加强对HTTP协议的理解，通过观察捕获分组分析和理解HTTP协议细节和格式。

2.1网络报文捕获实验设备：PC机1台（操作系统为XP），连接Internet实验组网图：无实验步骤：1. 启动Wireshark，对Capture Options各个选项设置。

2．点击Start按钮开始捕获分组3．点击Capture from…对话框中Stop按钮结束捕获4．得到捕获记录，观察跟踪记录123从IP: 58.198.165.100到(58.198.165.79)的捕获。

1区为捕获记录的列表框。

2区为协议层框(协议框)，显示所选分组的各层协议细节:物理层帧,以太网帧及其首部,IP协议数据报及其首部,UDP数据报及其首部,HTTP等协议细节。

3区为原始框，显示了分组中包含的数据的每个字节.从中可以观察最原始的传输数据.方框左边是十六进制的数据,右边是ASCII码。

2.2 TCP协议分析实验设备：PC机1台（操作系统为XP），虚拟机pc1、pc2实验组网图：无实验步骤：1、.启动虚拟机pc1、pc2，将虚拟机pc1和pc2的网卡类型都设为“Host-only”，在实验一的基础上开展实验（配置好IP，使之连通）2、将server.exe和client.exe程序分别复制到pc1和pc2上；将wireshark安装程序复制到pc2上；3、安装wireshark，并启动捕获；运行服务器程序：server 端口号；运行客户端程序：client 服务器IP 服务器端口；4、分析捕获的数据，列出此次简单的面向连接tcp数据传送过程，以及tcp控制字段变化情况。

实验二网络抓包及协议分析软件使用说明⏹目的及意义：利用网络协议分析工具Ethereal截获网络中传送的数据包，通过观察分析，从而了解和认识（理解）协议的运行机制。

⏹下载与安装：在Windows下安装Ethereal,可从下载安装软件，然后执行安装。

Ethereal 在0.10.12版本后都内置了Winpcap,如没内置的Winpcap，可先安装Winpcap。

有关Winpcap的详细信息可参考。

一．实验目的：1．了解抓包与协议分析软件的简单使用方法。

2．了解并验证网络上数据包的基本结构。

二．实验环境1．硬件：PC、配备网卡，局域网环境。

2．软件：Windows 2000或者XP操作系统、winpcap、analyzer。

三．实验内容利用Ethereal软件抓取网络上的数据包，并作相应分析。

四．实验范例（1）安装Etheral的安装非常简单，只要按照提示安装即可。

（2）运行双击桌面的Ethereal，显示“The Ethereal Network Analyzer”的主界面，菜单的功能是：（3）设置规则这里有两种方式可以设置规则：●使用interface1）选择Capture—>interfaces，将显示该主机的所有网络接口和所有流经的数据包，单击“Capture”按钮，及执行捕获。

2）如果要修改捕获过程中的参数，可以单击该接口对应的“Prepare”按钮。

在捕获选项对话框中，可以进一步设置捕获条件：●Interface——确定所选择的网络接口●Limit each packet to N bytes——指定所捕获包的字节数。

选择该项是为了节省空间，只捕获包头，在包头中已经拥有要分析的信息。

●Capture packet in promiscuous mode——设置成混杂模式。

在该模式下，可以记录所有的分组，包括目的地址非本机的分组。

●Capture Filter——指定过滤规则有关过滤规则请查阅以下使用Filter方式中的内容。

广州大学学生实验报告一、实验目的(1)熟悉ethereal的使用(2)验证各种协议数据包格式(3)学会捕捉并分析各种数据包。

二、实验环境1．MacBook Pro2．Mac OS 10.10.13..Wireshark三、实验内容1.安装ethereal软件2.捕捉数据包，验证数据帧、IP数据报、TCP数据段的报文格式。

3.捕捉并分析ARP报文。

4.捕捉ping过程中的ICMP报文，分析结果各参数的意义。

5.捕捉tracert过程中的ICMP报文，分析跟踪的路由器IP是哪个接口的。

6.捕捉并分析TCP三次握手建立连接的过程。

7.捕捉整个FTP工作工程的协议包对协议包进行分析说明，依据不同阶段的协议分析，画出FTP工作过程的示意图a.. 地址解析ARP协议执行过程b. FTP控制连接建立过程c . FTP 用户登录身份验证过程d. FTP 数据连接建立过程e. FTP数据传输过程f. FTP连接释放过程（包括数据连接和控制连接）8.捕捉及研究WWW应用的协议报文，回答以下问题：a. .当访问某个主页时，从应用层到网络层，用到了哪些协议？b. 对于用户请求的百度主页（），客户端将接收到几个应答报文？具体是哪几个？假设从本地主机到该页面的往返时间是RTT，那么从请求该主页开始到浏览器上出现完整页面，一共经过多长时间？c. 两个存放在同一个服务器中的截然不同的Web页（例如，/index.jsp，和/cn/research/index.jsp可以在同一个持久的连接上发送吗？d. 假定一个超链接从一个万维网文档链接到另一个万维网文档，由于万维网文档上出现了差错而使超链接指向一个无效的计算机名，这时浏览器将向用户报告什么？e. 当点击一个万维网文档时，若该文档除了有文本外，还有一个本地.gif图像和两个远地.gif图像，那么需要建立几次TCP连接和有几个UDP过程？9.捕捉ARP病毒包，分析ARP攻击机制。

第1篇一、实验背景随着互联网的快速发展，网络通信数据量呈爆炸式增长，报文抓取技术在网络安全、网络监控、数据分析和数据挖掘等领域具有广泛的应用。

报文抓取技术可以从网络中捕获和解析数据包，提取出有用的信息。

本实验旨在通过报文抓取技术，实现网络数据包的捕获、解析和展示。

二、实验目的1. 熟悉报文抓取的基本原理和流程。

2. 掌握使用Wireshark等工具进行报文抓取的方法。

3. 能够对抓取到的报文进行解析和分析。

4. 提高网络监控、数据分析和数据挖掘等方面的能力。

三、实验环境1. 操作系统：Windows 102. 抓包工具：Wireshark3. 网络设备：路由器、交换机、计算机4. 网络连接：有线网络或无线网络四、实验步骤1. 安装Wireshark（1）从Wireshark官方网站下载最新版本的Wireshark安装包。

（2）按照安装向导完成Wireshark的安装。

2. 配置网络环境（1）将计算机连接到网络设备，确保网络连接正常。

（2）在Wireshark中，选择合适的网络接口进行抓包。

3. 抓取报文（1）在Wireshark界面中，点击“Capture”菜单，选择“Options”。

（2）在“Capture Filters”选项卡中，设置合适的过滤条件，如协议类型、端口号等。

（3）点击“Start”按钮开始抓包，观察网络数据包的传输情况。

4. 解析报文（1）在Wireshark界面中，找到需要分析的报文。

（2）展开报文结构，查看报文头部和负载部的信息。

（3）分析报文的协议类型、源地址、目的地址、端口号等关键信息。

5. 分析报文（1）根据实验需求，对抓取到的报文进行分析，如流量分析、协议分析、安全分析等。

（2）记录分析结果，为后续实验提供参考。

五、实验结果与分析1. 抓取到的报文包括HTTP、FTP、TCP、UDP等协议类型的数据包。

2. 通过分析HTTP协议的报文，发现大部分数据包为网页访问请求，目的地址为网页服务器。

实验二网络抓包及协议分析软件使用说明目的及意义: 利用网络协议分析工具Ethereal截获网络中传送的数据包, 通过观察分析, 从而了解和认识（理解）协议的运行机制。

下载与安装: 在Windows下安装Ethereal,可从 下载安装软件, 然后执行安装。

Ethereal 在0.10.12版本后都内置了Winpcap,如没内置的Winpcap, 可先安装Winpcap。

有关Winpcap的详细信息可参考。

一. 实验目的:1. 了解抓包与协议分析软件的简单使用方法。

2. 了解并验证网络上数据包的基本结构。

二. 实验环境1．硬件：PC.配备网卡, 局域网环境。

2. 软件: Windows 2000或者XP操作系统、winpcap、analyzer。

三. 实验内容利用Ethereal软件抓取网络上的数据包, 并作相应分析。

（1）四. 实验范例（2）安装（3）E theral的安装非常简单, 只要按照提示安装即可。

（4）运行（5）双击桌面的Ethereal, 显示“The Ethereal Network Analyzer”的主界面, 菜单的功能是:（6）设置规则●这里有两种方式可以设置规则:●使用interface选择Capture—>interfaces, 将显示该主机的所有网络接口和所有流经的数据包, 单击“Capture”按钮, 及执行捕获。

●如果要修改捕获过程中的参数, 可以单击该接口对应的“Prepare”按钮。

在捕获选项对话框中, 可以进一步设置捕获条件:●Interface——确定所选择的网络接口●Limit each packet to N bytes——指定所捕获包的字节数。

●选择该项是为了节省空间, 只捕获包头, 在包头中已经拥有要分析的信息。

●Capture packet in promiscuous mode——设置成混杂模式。

●在该模式下, 可以记录所有的分组, 包括目的地址非本机的分组。