tcpip抓包实验报告

本科实验报告实验名称：利用EtherPeek工具进行的网络抓包实验学员：学号：专业：所属学院：国防科学技术大学训练部制【实验名称】利用Wireshark工具进行的抓包实验【实验目的】通过Wireshark软件捕获并观察ARP协议、ICMP协议、FTP协议、HTTP协议以及TCP协议的工作原理，包括协议序列和报文内容【实验内容】实验环境描述：网络环境：因特网操作系统：Windows 7软件：Wiresharkv1.12.4实验步骤：1.Ping命令（ARP, ICMP分析）2.在实验主机使用FTP应用(FTP分析)3.在实验主机使用web应用(HTTP分析)【实验过程】1.ping命令(ICMP、ARP分析)实验主机的IP地址为：192.168.0.189实验主机的MAC地址为：9c:4e:36:cf:db:e4在实验主机的命令框内输入命令：ping121.14.1.189Wireshark抓获的数据包如下：观察可得，抓获的报文里协议类型有ICMP与ARP。

（前12条是输入ping命令后抓取的）（1）ICMP分析：首先明确一下ICMP的相关知识：ICMP是（Internet Control Message Protocol）Internet控制报文协议。

它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。

控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。

这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。

各种ICM P报文的前32bits都是三个长度固定的字段：type类型字段(8位)、code代码字段(8位)、checksum校验和字段(16位) 8bits类型和8bits代码字段：一起决定了ICM P报文的类型。

常见的有：类型0、代码0：回应应答。

类型3、代码0：网络不可达类型3、代码1：主机不可达类型5、代码1：为主机重定向数据包类型8、代码0：回应类型11、代码0：传输中超出TTL（常说的超时）16bits校验和字段：包括数据在内的整个ICM P数据包的校验和，其计算方法和IP头部校验和的计算方法是一样的。

广东海洋大学
余乃飞
一．实验目的
1）理解客户机/服务器模型的工作原理
2）掌握套接字的概念。

3）掌握基于套接字的面向连接和无连接客户机/服务器程序的设计原理，了解相关的WINSOCK API 函数。

4）了解基于TCP和UDP 的程序设计方法。

二．相关示意图
三．实验程序与结果
多线程
读取来自客户机的命令，根据客户机的命令，决定服务器要发给客户机的信息，并发送给客户机。

多线程服务器程序。

服务器与客户端交互协议（实现服务器端与客户端交互的协议。

）
客户端源程序。

实验结果
UDP编程
利用DatagramSocket查询端口占用情况。

实验结果
利用数据报通信的C/S程序。

客户端
UDP服务器的程序。

实验结果
四．实验总结
通过这几次实验，使我对套接字编程有了初步的了解，也开了个头，这些编程很有趣，至少是我这样认为，因为有趣，所以有热情，我会在这方面多下功夫的，相信我会做得更好（至少相对自己来说）。

还有，我认为，要学好
套接字编程，至少学好其原理，就如上面的，如果你可以照着流程图编，相信很快就可以编出来了，同理，看程序也一样，要明程序，就先看流程图，了解其中的原理所在，这样就可以做到事半功倍了哦。

同时写程序的时候一定要学会分部分来写，这样就会很容易解决从中遇到的问题。

网络协议分析实验一、实验目的通过使用协议分析软件，对通信系统的通信过程进行监控、分析，以了解通信协议的工作过程。

二、实验内容利用协议分析软件（如：Wireshark）跟踪局域网报文（如条件允许也可跟踪多种局域网协议报文），实验内容如下：将安装协议分析软件的PC接入以太网中，跟踪PC之间的报文，并存入文件以备重新查。

设置过滤器过滤网络报文以检测特定数据流。

利用协议分析软件的统计工具显示网络报文的各种统计信息。

三、实验步骤1、在PＣ中安装协议分析软件（如：Wireshark）。

具体安装过程详见附录：Wireshark用户指南。

2、启动Wireshark协议分析软件，选择抓包菜单项启动实时监视器，开始实时跟踪显示网络数据报文。

可根据系统提示修改显示方式，详见附录：Wireshark用户指南。

3、调出跟踪存储的历史报文，选择有代表性的ETHERNET，IEEE802.3，IP，ICMP，TCP，UDP报文，对照有关协议逐个分析报文各字段的含义及内容。

EHERNET报文格式IEEE802.3报文格式IP报文格式4、设置过滤器属性，如目的地址，源地址，协议类型等。

如过滤不需要的网络报文，过滤器允许设置第二层，第三层或第四层的协议字段。

过滤器有两种工作方式：1）捕获前过滤：协议分析软件用过滤器匹配网络上的数据报文，仅当匹配通过时才捕获报文。

2）捕获后过滤：协议分析软件捕获所有报文，但仅显示匹配符合过滤条件的报文。

选择统计菜单项可以显示网络中各种流量的统计信息，如：关于字节数，广播中报文数，出错数等。

UDP 客户/服务器实验一、实验目的本实验目的是使用因特网提供的UDP 传输协议，实现一个简单的UDP 客户/服务器程序，以了解传输层所提供的UDP 服务的特点，应用层和传输层之间的软件接口风格，熟悉socket 机制和UDP 客户端/服务器方式程序的结构。

二、实验内容本实验为UDP 客户/服务器实验。

实验内容：UDP echo 客户/服务器程序的设计与实现。

TCP/IP协议与编程实验姓名:班级：学号：实验题目用Wireshark抓包分析ip数据包一、实验目的1、了解并会初步使用Wireshark，能在所用电脑上进行抓包2、了解IP数据包格式，能应用该软件分析数据包格式3、查看一个抓到的包的内容，并分析对应的IP数据包格式二、实验内容Wireshark 是网络包分析工具。

网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。

实验步骤：1、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

2、设置完成后，点击“start”开始抓包：3、显示结果：3、选择某一行抓包结果，双击查看此数据包具体结构。

4、捕捉IP数据报。

① 写出IP数据报的格式。

IP数据报首部的固定部分中的各字段含义如下：(1)版本占4位，指IP协议的版本。

通信双方使用的IP协议版本必须一致。

目前广泛使用的IP协议版本号为4（即IPv4）。

(2)首部长度占4位，可表示的最大十进制数值是15。

请注意，这个字段所表示数的单位是32位字长（1个32位字长是4字节），因此，当IP的首部长度为1111时（即十进制的15），首部长度就达到60字节。

当IP分组的首部长度不是4字节的整数倍时，必须利用最后的填充字段加以填充。

因此数据部分永远在4字节的整数倍开始，这样在实现IP协议时较为方便。

首部长度限制为60 字节的缺点是有时可能不够用。

但这样做是希望用户尽量减少开销。

最常用的首部3)区分服务占8位，用来获得更好的服务。

这个字段在旧标准中叫做服务类型，但实际上一直没有被使用过。

1998年IETF把这个字段改名为区分服务DS(Differentiated Services)。

只有在使用区分服务时，这个字段才起作用。

(4)总长度总长度指首部和数据之和的长度，单位为字节。

总长度字段为16位，因此数据报的最大长度为216-1=65535字节。

长度就是20字节（即首部长度为0101），这时不使用任何选项。

arp,ip,icmp协议数据包捕获分析实验报告数据篇一：网络协议分析实验报告实验报告课程名称计算机网络实验名称网络协议分析系别专业班级指导教师学号姓名实验成绩一、实验目的掌握常用的抓包软件，了解ARP、ICMP、IP、TCP、UDP 协议的结构。

二、实验环境1．虚拟机（VMWare或Microsoft Virtual PC）、Windows XX Server。

客户机A客户机B2．实验室局域网，WindowsXP三、实验学时2学时，必做实验。

四、实验内容注意：若是实验环境1，则配置客户机A的IP地址:/24,X为学生座号；另一台客户机B的IP地址:（X+100）。

在客户机A上安装EtherPeek（或者sniffer pro）协议分析软件。

若是实验环境2则根据当前主机A的地址，找一台当前在线主机B完成。

1、从客户机A ping客户机B ，利用EtherPeek（或者sniffer pro）协议分析软件抓包，分析ARP 协议；2、从客户机A ping客户机B，利用EtherPeek（或者sniffer pro）协议分析软件抓包，分析icmp协议和ip协议；3、客户机A上访问，利用E(转载于: 小龙文档网:arp,ip,icmp协议数据包捕获分析实验报告数据)therPeek（或者sniffer pro）协议分析软件抓包，分析TCP和UDP 协议；五、实验步骤和截图（并填表）1、分析arp协议，填写下表12、分析icmp协议和ip协议，分别填写下表表一：ICMP报文分析233、分析TCP和UDP 协议，分别填写下表4表二： UDP 协议 5篇二：网络层协议数据的捕获实验报告篇三：实验报告4-网络层协议数据的捕获实验报告。

实验报告二课程计算机网络开课实验室日期2013年4月22日学号1040407105 实验项目名称利用Wireshark 进行抓包分析学院经济管理学院指导教师王斌成绩教师评语教师签名：年月日一：实验目的利用Wireshark进行抓包分析，对以前学习过的内容进行进一步的理解和掌握二：实验内容：1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

3、设置完成后，点击“start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构，并对其进行分析三．实验步骤学号1040407105 实验项目名称利用Wireshark 进行抓包分析1.1抓到的数据链路层中的帧Frame 211:56bytes 即所抓到的帧的序号为211，大小是56字节1.2 IP层中的IP数据报Header Length:20bytes 即首部长度为20个字节；Differentiated Services Field:00x0 即区分服务；Total length:40 指首部长度和数据之和的长度为40字节；Identification:0x8a6e(35438) 标识；Flag:0x02 标识此处MF=0，DF=0；Fragment offset:0 指片偏移为0；表示本片是原分组中的第一片。

Time to live :57说明这个数据报还可以在路由器之间转发57次Protocal:TCP 指协议类型为TCP；Source：源地址：119.147.91.131Destination:目的地址180.118.215.1751.3运输层中的TCPSource port:http(80)即源端口号为80Destination port:50001(50001) 即目的端口为50001Sequence number:411 序号为411Acknowledgent number:2877 确认号为2877Header length:20bytes 首部长度为20个字节Flags:0x011 除了确认ACK为1，别的都为0学号1040407105 实验项目名称利用Wireshark 进行抓包分析Window size value:8316 窗口值为8316Checksum:0x18c5 检验和为0x18c52．UDPUDP，是一种无连接的协议。

TCP-IP协议抓包分析实验报告
TCP协议分析实验
学号：
姓名：
院系：
专业：
第一次握手：建立连接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SEND 状态，等待服务器确认；
第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态；
第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

完成三次握手，客户端与服务器开始传送数据。

四次挥手：
由于TCP连接是全双工的，因此每个方向都必须单独进行关闭。

这个原则是当一方完成它的数据发送任务后就能发送一个FIN来终止这个方向的连接。

收到一个 FIN只意味着这一方向上没有数据流动，一个TCP连接在收到一个FIN 后仍能发送数据。

首先进行关闭的一方将执行主动关闭，而另一方执行被动关闭。

（1）虚拟机发送一个FIN，用来关闭用户到服务器的数据传送。

（2）服务器收到这个FIN，它发回一个ACK，确认序号为收到的序号加1。

和SYN一样，一个FIN将占用一个序号。

（3）服务器关闭与虚拟机的连接，发送一个FIN给虚拟机。

（4）虚拟机发回ACK报文确认，并将确认序号设置为收到序号加1。

IP和TCP抓包分析实验实验需求1. 配置IP地址，R1的g0/0口是1.1.1.1/24，R2的g0/0口是1.1.1.2/242. 在该链路上开启抓包3. 在R1上ping R24. 开启wireshark，查看抓取的ping包的内容5. 在R2上开启FTP服务6. 在R1上访问R2的FTP7. 刷新wireshark，查看抓取的FTP的登录名和密码实验解法修改设备名称<H3C>system‐viewSystem View: return to User View with Ctrl+Z.[H3C]sysname R1[R1]1<H3C>system‐viewSystem View: return to User View with Ctrl+Z.[H3C]sysname R2[R2]2配置IP地址[R1]interface g0/0[R1‐GigabitEthernet0/0]ip address 1.1.1.1 243[R2]interface g0/0[R2‐GigabitEthernet0/0]ip address 1.1.1.2 244开启抓包在R1上PING R2[R1]ping 1.1.1.2Ping 1.1.1.2 (1.1.1.2): 56 data bytes, press CTRL_C to break 56 bytes from 1.1.1.2: icmp_seq=0 ttl=255 time=1.000 ms56 bytes from 1.1.1.2: icmp_seq=1 ttl=255 time=1.000 ms56 bytes from 1.1.1.2: icmp_seq=2 ttl=255 time=0.000 ms56 bytes from 1.1.1.2: icmp_seq=3 ttl=255 time=1.000 ms56 bytes from 1.1.1.2: icmp_seq=4 ttl=255 time=1.000 ms5开启Wireshark，查看抓取的Ping包内容6在R2上开启FTP服务，创建用户“wangdaye”，密码“123456”[R2]ftp server enable[R2]local‐user wangdaye class manageNew local user added.[R2‐luser‐manage‐wangdaye]password simple 123456[R2‐luser‐manage‐wangdaye]authorization‐attribute user‐role level‐15 [R2‐luser‐manage‐wangdaye]service‐type ftp7在R1上访问FTP服务，输入用户名和密码<R1>ftp 1.1.1.2Press CTRL+C to abort.Connected to 1.1.1.2 (1.1.1.2).220 FTP service ready.User (1.1.1.2:(none)): wangdaye331 Password required for wangdaye.Password:230 User logged in.Remote system type is UNIX.Using binary mode to transfer files.8刷新Wireshark，查看抓取的FTP的登录名和密码9。

《TCP/IP协议》实验报告学院：机械与电子信息学院专业：计算机网络技术学号：姓名：指导教师:2018年 6 月实验一Packet Tracer 6.0的使用一、实验目的通过在Packet Tracer 6.0 添加网络设备，熟悉不同的物理设备及其连接方式，掌握使用Packet Tracer 6.0构建网络的方法，掌握捕获、查看通信信息的方法。

二、实验步骤步骤1、打开Packet Tracer 6.0，添加以下网络节点：1841路由器3台，2950-24 交换机1台，PC三台，服务器1台。

步骤2、选择合适的连接线把设备连接起来。

以太网连线时，交换机与计算机或路由器等设备之间连接用直通线，交叉线用于同种设备（路由器与路由器，交换机与交换机）之间相连或计算机与路由器之间相连。

用直通线吧PC0、PC1、Router0与Switch0的任意端口连接，Router0、Router1和Router2之间需要用交叉线连接，Server0与Router2也要用交叉线连接。

如果连线类型正确，则PC与交换机之间连线上的绿灯马上会点亮。

特别的，为配置路由器，可以用控制台连线把PC2和Router1的Console 端口连接起来，也可以连接到Router1的Auxiliary端口上，但使用方法与连接到控制口时不同。

步骤3、配置设备。

PC的配置可以直接在Packet Tracer 6.0的逻辑拓补图上单击PC图标，打开设备配置窗口，单击Desktop选项卡中的IP Configuration，完成默认网关和ID地址的设置。

依次设置3台PC和服务器0的IP地址，PC0和PC1的默认网关设为192.168.1.1，服务器0的默认网关设为192.168.4.1。

单击需要配置的路由器图标，打开设备配置窗口，单击CLI选项卡，按Enter键出现命令行提示符，然后使用如下命令配置静态路由。

Router>enable #进入特权模式Router#configure terminal #全局配置Router(config)#int f0/0 #配置接口f0/0 Router(config-if)#no shutdown #开启接口Router(config-if)#ip address 192.168.1.1 255.255.255.0随着借口no shutdown 命令的输入，接口连线上的绿灯随时变亮。

第一次实验：利用Wireshark软件进行数据包抓取1.3.2 抓取一次完整的网络通信过程的数据包实验一，实验目的：通过本次实验，学生能掌握使用Wireshark抓取ping命令的完整通信过程的数据包的技能，熟悉Wireshark软件的包过滤设置和数据显示功能的使用。

二，实验环境：操作系统为Windows 7,抓包工具为Wireshark.三，实验原理：ping是用来测试网络连通性的命令，一旦发出ping命令，主机会发出连续的测试数据包到网络中，在通常的情况下，主机会收到回应数据包，ping采用的是ICMP协议。

四，验步骤：1.确定目标地址：选择作为目标地址。

2.配置过滤器：针对协议进行过滤设置，ping使用的是ICMP协议，抓包前使用捕捉过滤器，过滤设置为icmp,如图 1- 1图 1-13.启动抓包：点击【start】开始抓包，在命令提示符下键入ping , 如图 1-2图 1-2停止抓包后，截取的数据如图 1-3图 1-34，分析数据包：选取一个数据包进行分析，如图1- 4图1-4每一个包都是通过数据链路层DLC协议，IP协议和ICMP协议共三层协议的封装。

DLC协议的目的和源地址是MAC地址，IP协议的目的和源地址是IP地址，这层主要负责将上层收到的信息发送出去，而ICMP协议主要是Type和Code来识别，“Type:8,Code：0”表示报文类型为诊断报文的请求测试包，“Type:0,Code:0”表示报文类型为诊断报文类型请正常的包。

ICMP提供多种类型的消息为源端节点提供网络额故障信息反馈，报文类型可归纳如下：（1）诊断报文（类型：8，代码0；类型：0代码：0）；(2）目的不可达报文（类型：3，代码0-15）；（3）重定向报文（类型：5，代码：0--4）；（4）超时报文（类型：11，代码：0--1）；（5）信息报文（类型：12--18）。

1.4.1，TCP协议的分析实验一，实验目的：通过本次实验，掌握使用Wireshark抓取TCP协议的数据包的技能，能够在深入分析“TCP的三次握手”，TCP的四次挥手协议在网络数据流的基础上，进一步提高理论联系实践的能力。

《TCP/IP协议分析》实验报告实验序号：3 实验项目名称：分析IPv4和IPv6 数据包20网工学号姓名专业、班实验地点指导教师实验时间2022-9-14 一、实验目的及要求，步骤和结果动手项目3-1:使用Wireshark软件查看IPv4数据包首部所需时间: 20 分钟。

项目目标:学习使用Wireshark软件查看IPv4数据包的首部。

过程描述:本项目介绍如何捕获网络上的一个数据包，选择一个特定的数据包，查看该数据包的IPv4首部。

你可以捕获自己的数据进行分析，或启动Wireshark 软件，打开从本书配套网站上下载的文件IPv4Fields.pcap,直接跳到第(8)步。

(1)启动Wireshark软件(单击“开始”，指向“所有程序”，然后单击Wireshark。

也可以单击“开始”，在“运行”对话框中输入"Wireshark", 然后单击“确定”按钮)。

(2)单击Capture菜单，然后单击Interfaces 菜单项，出现Capture Interfaces 窗口。

(3)可能会显示有多个网卡，选定一个在Packets栏显示了实时数据包的网卡，然后单击Start 按钮，出现Capturing窗口。

(4)打开一个命令提示符窗口(单击“开始”按钮，在“运行”对话框中输入cmd,然后单击“确定”按钮)。

(5) ping 本地网络中的计算机IPv4地址。

(6)在命令提示符窗口中输入exit命令并按Enter键，关闭命令提示符窗口。

(7)在Wireshark软件中，单击菜单栏上的Capture,然后单击Stop (或者单击工具栏上的Stop 图标)。

(8)在数据包列表面板(上部面板)中选择一个TCP数据包(9)在数据包详细内容面板(中部面板)，展开Internet Protocol Version4, 如图所示。

(10)查看Version和Header lenght字段的值。

(11)展开Differentiated Services Field, 查看Total Length和ldentification字段的值，然后再收起它。

第三次课堂实践报告高国栋20同实验者韦纯韦方宇王尊严一、实践容11. 两台PC通过交换机或网线互相ping通。

2. 抓取1个ARP请求报文和1个ARP响应报文。

3. 抓取1个ICMP ECHO报文和1个ICMP ECHO REPLY报文。

Ping通目标主机192.168.0.150（对方也ping通192.168.0.100）在ping命令时抓取的arp与icmp数据包分别选择其中的任意一个ARP请求报文、ARP响应报文、ICMP ECHO报文、ICMP ECHO REPLY报文，并打开其数据包。

4. 要求:(1) 列出上述报文对应MAC帧原始数据，附上对应截图。

对应的帧原始数据为框中的容：ARP请求报文：ARP响应报文：IMP ECHO 报文ICMP ECHO REPLY报文：(2) 找出上述报文对应MAC帧的源MAC地址、目的MAC地址、类型、数据长度，附上与原始数据的对应图。

ARP请求报文ARP响应报文IMP ECHO 报文ICMP ECHO REPLY报文(3) 找出ICMP ECHO和ECHO REPLAY报文的首部长度、总长度、生存时间、协议、首部校验和、源IP地址、目的IP地址，计算单次成功ping的时间，附上与原始数据的对应图。

ICMP ECHO报文数据包如下：可看到时间标记为10：28：06.312741400ECHO REPLAY报文：时间标记为10：28：06.314322400单次成功ping的时间=10：28：06.314322400-10：28：06.312741400=0.002570000s 所以单次成功ping的时间0.00257秒(4) 找出ARP请求报文希望获得的MAC地址及其对应的IP地址，附上对应截图。

从图中可以知道ARP请求报文希望获得的MAC地址为50:7B:9D:07:D0:B2。

它对应的IP地址为：192.168.0.100。

因为此时是IP地址为192.168.0.150在ping 192.168.0.100，所以是192.168.0.150给192.168.0.100发送ARP请求报文，所以捕获到的目的IP地址为192.168.0.100。

实验报告二一：实验目的利用Wireshark进行抓包分析，对以前学习过的内容进行进一步的理解和掌握二：实验内容：1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。

或单击“ Capture”配置“ opti on” 选项。

3、设置完成后，点击“start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构，并对其进行分析三.实验步骤1. TCPTCP : Transmission Control Protocol 传输控制协议TCP是一种面向连接 (连接导向) 的、可靠的、基于字节流的运输层( Tran sport layer )通信协议，由IETF的RFC 793 说明(specified )。

在简化的计算机网络OSI模型中，它完成第四层传输层所指定的功在因特网协议族(In ternet protocol suite )中，TCP层是位于IP层之上，应用层之下的中间层。

不同主机的应用层之间经常需要可靠的、像管道一样的连接，但是IP层不提供这样的流机制，而是提供不可靠的包交换。

应用层向TCP层发送用于网间传输的、用8位字节表示的数据流，然后TCP把数据流分割成适当长度的报文段(通常受该计算机连接的网络的数据链路层的最大传送单元(MTU)的限制)。

之后TCP把结果包传给IP层，由它来通过网络将包传送给接收端实体的TCP层。

TCP为了保证不发生丢包，就给每个字节一个序号，同时序号也保证了传送到接收端实体的包的按序接收。

然后接收端实体对已成功收到的字节发回一个相应的确认(ACK)；如果发送端实体在合理的往返时延(RTT)内未收到确认，那么对应的数据(假设丢失了)将会被重传。

TCP用一个校验和函数来检验数据是否有错误；在发送和接收时都要计算校验和。

首先，TCP建立连接之后，通信双方都同时可以进行数据的传输，其次，他是全双工的；在保证可靠性上，采用超时重传和捎带确认机制。

TCP/IP原理及应用实验报告班级：网络081姓名：任国帅学号： 20081210282011年4月12号实验一：常用协议包头封装验证实验（2课时）实验步骤阅读英文使用手册，回答如下问题，并实际操作截图和说明。

1) 如何进行抓包，请简述操作步骤，即点击那里，能获得什么结果，截图说明：说明格式：操作前截图操作后截图2) 抓包过滤器的使用，如果只想看IP，ICMP报文该怎样设置，请操作截图说明？对比课本说明抓到的数据对应的封包的哪个部分。

功能抓包过滤器，过滤出需要的数据包操作步骤 1.在filter输入需要看的协议名操作前截图（特别是过滤设置截图）操作后截图功能仅仅抓取IP数据包操作步骤在filter输入需要看的协议名ip操作前截图（特别是过滤设置截图）操作后截图截图结果说明说明截图中那部分对应课本所讲IP封式的哪部分，注意说明包括以太网封包格式说明IP封式:协议版本号是4首部长度是20bytes服务类型 0x00总长度字段,整个I P数据报的长度 40byte标识位15952标志位：0X02 不分段片段偏移：0生存时间：128协议：TCP（6）首部检验和：0X0000源地址：222.18.158.196目的地址：123.125.114.98太网封包格式：MAC目的地址：00：0F：E2：13：7A：43MAC源地址：00：1E：90：42：D6：5E功能仅仅抓取ICMP数据包（提示：一般要有错误才能产生ICMP包。

但用ping命令可以很简单的产生echo类型的ICMP包）操作步骤在filter输入需要看的协议名icmp操作前截图操作后截图截图结果说明说明截图中那部分对应课本所讲ICMP封包格式的哪部分ICMP封包格式：类型为0代码为0检验和：0X540C标识符：0X0400序列号：653513) 结果的保存（即抓包数据输出到文件），请操作截图说明。

功能抓包结果保存操作命令在file点击save操作前截图操作后截图。

网络抓包实验报告
姓名：郭俊珂
学号：20117610709
年级：2011
辅导老师：王延年
2013.12.08
一：实验目的
本章课程设计的目的就是设计一个解析IP数据包的程序，并根据这个程序，说明IP数据包的结构及IP协议的相关问题，从而对IP层的工作原理有更好的理解认识。

二：实验要求
通过抓包软件IPtool实现抓包操作，然后对抓到的包进行解析。

三：实验过程
1、打开抓包软件
2、进行包过滤
达到一定时间后点击确定。

3、查看抓到的包
4、精确IP地址
点击查询，然后输入需要查找的IP地址
然后点击确定，即可看到需要查找的该IP地址的数据包。

5、IP请求连接报文
6、二进制数据和文本数据
三、实验心得
通过这次试验，培养了自己动手的能力另外，通过对IPtool抓包软件的使用，用其来抓取数据包，对ip, icmp报文的格式有了进一步的了解，通过对报文格式的分析，并且把课本上多学的理论知识与实践结合起来，对以前的知识得到深化和巩固，为以后学习新的知识打下基础，也提高了学习的兴趣，收获很大。

实验一：TCP数据包捕获及分析实验学时：4实验类型：设计实验要求：必做一、实验目的理解网络数据包的捕获原理及一般分析方法。

二、实验内容1. 根据参考程序编写一段基于Winpcap的TCP数据包捕获并分析的程序。

2. 要求再给定程序的基础上完成相关功能：1）提示用户对要嗅探的网卡进行选择，并在所选择的网卡上进行数据包捕获。

2）完成数据输出功能，输入以下内容，但不限于：✓输出数据包到达的时间，数据包大小等信息。

✓输出对数据包的以太网帧头进行解析，输出其源MAC地址、目的MAC地址、上层协议类型等信息。

✓输出IP协议报头的相关内容。

✓输出TCP报头的相关内容。

三、实验原理、方法和手段以太网（Ethernet）具有共享介质的特征，信息是以明文的形式在网络上传输，当网络适配器设置为监听模式（混杂模式，Promiscuous）时，由于采用以太网广播信道争用的方式，使得监听系统与正常通信的网络能够并联连接，并可以捕获任何一个在同一冲突域上传输的数据包。

IEEE802.3 标准的以太网采用的是持续CSMA 的方式，正是由于以太网采用这种广播信道争用的方式，使得各个站点可以获得其他站点发送的数据。

运用这一原理使信息捕获系统能够拦截的我们所要的信息，这是捕获数据包的物理基础。

Winpcap是针对Win32平台上的抓包和网络分析的一个架构。

它包括一个核心态的包过滤器，一个底层的动态链接库（packet.dll）和一个高层的不依赖于系统的库（wpcap.dll）。

抓包是NPF最重要的操作。

在抓包的时候，驱动使用一个网络接口监视着数据包，并将这些数据包完整无缺地投递给用户级应用程序。

实验可根据Winpcap提供WinPcap Documentation（参考\WpdPack\doc\目录，或下载Winpcap中文手册）的样例程序进行修改和设计。

四、实验组织运行要求1.安装Winpcap驱动及开发库。

2.实验程序需演示和答辩，并记录期末考查成绩中，同时要求最终完成的TCP 包分析器，有较友好的界面和提示，并且在实验程序中设计者的相关信息。