实验三 网络数据包的捕获与分析

实验三 网络数据包的捕获与分析

一、实验目的和要求

通过本次实验，了解sniffer 的基本作用，并能通过sniffer 对指定的网络行为所产生的数据包进行抓取，并分析所抓取的数据包。

二、实验内容

A ：1、首先打开sniffer 软件，对所要监听的网卡进行选择

2、选择网卡按确定后，进入sniffer 工作主界面，对主界面上的操作按钮加以熟悉。 B ：设置捕获条件进行抓包 基本的捕获条件有两种：

1、链路层捕获，按源MAC 和目的MAC 地址进行捕获，输入方式为十六进制连续输入，如：00E0FC123456。

2、IP 层捕获，按源IP 和目的IP 进行捕获。输入方式为点间隔方式，如：10.107.1.1。如果选择IP 层捕获条件则ARP 等报文将被过滤掉。

任意捕协议捕缓冲区基本捕获条件数据流链路层捕获获条件编辑

获编辑

编辑

链路层捕获IP 层捕获

方向

地址条件

高级捕获条件

在“Advance ”页面下，你可以编辑你的协议捕获条件，如图：

选择要捕捕获帧长错误帧是保存过滤获的协议

度条件

否捕获

规则条件

高级捕获条件编辑图

在协议选择树中你可以选择你需要捕获的协议条件，如果什么都不选，则表示忽略该条件，捕获所有协议。

在捕获帧长度条件下，你可以捕获，等于、小于、大于某个值的报文。 在错误帧是否捕获栏，你可以选择当网络上有如下错误时是否捕获。 在保存过滤规则条件按钮“Profiles ”，你可以将你当前设置的过滤规则，进行保存，在捕获主面板中，你可以选择你保存的捕获条件。 C ：捕获报文的察看：

Sniffer 软件提供了强大的分析能力和解码功能。如下图所示，对于捕获的报文提供了一个Expert 专家分析系统进行分析，还有解码选项及图形和表格的统计信息。

专家分析专家分析捕获报文的捕获报文的其他

系统

系统图形分析

统计信息

专家分析

专家分分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析出的

诊断结果可以查看在线帮助获得。

在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。

对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。

双击此记录可以

查看详细信息

解码分析

下图是对捕获报文进行解码的显示，通常分为三部分，目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉，这样才能看懂解析出来的报文。使用该软件是很简单的事情，要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太多，这里不对协议进行过多讲解，请参阅其他相关资料。

对于MAC地址，Snffier软件进行了头部的替换，如00e0fc开头的就替换成Huawei，这样有利于了解网络上各种相关设备的制造厂商信息。

捕获的

报文

报文解

码

二进制

内容功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为

Capture->Define Filter和Display->Define Filter。

过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。

实验要求：

按照图例学习捕获以太网数据帧，并选取其中一条记录解释其构造。

三、主要实验仪器及材料

装有Windows 2000/XP系统的计算机，局域网，sniffer pro软件。

用Sniffer抓包分析以太网帧

用sniffer抓icmp包来分析。

1。ping 192.168.1.1 -l 0

ping一个IP，指定携带的数据长度为0

抓包分析如图：

从图上的1处我们可以看到这个数据总大小是：60byte

从2处看到ip数据总长度：28byte

ip数据为什么是28byte？

因为ip头部是20个字节（4处标记的），而icmp头部是8个字节，因为我们的ping是指定数据长度为0的，所以icmp里不带额外数据，即：28＝20＋8

而我们知道以太网类型帧头部是6个字节源地址＋6个字节目标地址＋2个字节类型＝14字节以太网帧头部＋ip数据总长度＝14＋28＝42

注意3处标记的，填充了18个字节。

42＋18＝60

刚好等于总长度，其实这里我们需要注意到这里捕捉到帧不含4个字节的尾部校验，如果加上4字节尾部校验，正好等于64！64恰好是以太类型帧最小大小。

在图中我们还可以看到这个帧没有分割，flags＝0x，因为不需要分割。

再分析一个

ping 192.168.1.1 -l 64

数据大小106byte

106－14（以太类型帧头部）=92

刚好等于ip部分的显示大小

92－20（ip）－8（icmp头）＝64

刚好等于我们指定的64字节ping 包

以太网帧实际承载数据部分最大为1500，这里面还包含其他协议的报头，所以实际承载数据肯定小于1500，如果ping 192.168.1.1 -l 1500，那么数据必要会被分割，但计算方法还是一样的，只是需要特别注意，后续帧无需包含第一个帧所包含的icmp报头。

所以第一个帧的大小会是1500（实际数据部分大小，含ip和icmp报头）＋14（以太类型帧头部）＝1514，在第一个帧里实际携带了多少数据的是1500－20（IP 报头）－8（icmp报头）＝1472，剩余28bytes数据会在后续帧中

后续帧大小：14（以太类型头）＋20（ip头）＋28（实际数据）＝62

注意上面的计算我们都不计算尾部4字节校验的。可以实际抓包验证上面的分析。