IP抓包分析

抓包工具和抓包分析1 概述在处理 IP网络的故障时，经常使用以太网抓包工具来查看和抓取 IP网络上某些端口或某些网段的数据包，并对这些数据包进行分析，定位问题。

在IMON项目里，使用抓包工具抓包进行分析的场景在EPG采集、引流模块和软终端监看模块，一般情况下EPG采集和引流模块比较稳定，软终端监看还涉及SS5代理，这部分出问题的几率比较大，这是就有可能要现场维护人员抓包进行分析、排查、定位问题，确定是网络问题还是软件问题，如果是软件问题则要将抓回的包发给研发解决。

EPG抓包可分为对鉴权过程、采集过程抓包验证，主要是通过通过抓包分析与IPTV鉴权服务器之间的TCP交互。

流媒体交互抓包可分为对组播、点播进行抓包，一般交互的协议分为IGMP、RTSP、RTMP等，组播一般是基于UDP的IGMP流，点播是基于RTP的RTSP流或基于TCP的RTMP流。

软终端抓包主要是抓取软终端与IPTV服务器交互、SS5与IPTV服务器交互的数据包，一般跟流媒体交互的报文协议差不多，也是分为组播IGMP、点播RTSP等协议，不过经过测试发现江苏的部分组播（可能是用户不同所致）发送的是RTSP的包。

2 常用抓包工具2.1 W ireSharkWireshark是一个非常好用的抓包工具，当我们遇到一些和网络相关的问题时，可以通过这个工具进行分析，不过要说明的是，这只是一个工具，用法是非常灵活的。

过滤器的区别捕捉过滤器（CaptureFilters）：用于决定将什么样的信息记录在捕捉结果中。

需要在开始捕捉前设置。

显示过滤器（DisplayFilters）：在捕捉结果中进行详细查找。

他们可以在得到捕捉结果后随意修改。

捕捉过滤器Protocol（协议）:可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议，则默认使用所有支持的协议。

TCP-IP协议和抓包分析1．数据包1）OSI 参考模型：起源：没有标准通信协议造成的混乱目标：定义各种网络节点间的通信的框架目的：通信标准，解决异种网络互连时所遇到的兼容性问题优点：各层互不干扰；简化开发；快速定位网路故障各层的功能及相关协议：封装和解封装：封装：将上层交给自己的数据包（泛指各种PDU）放进一个或多个本层能理解的数据包的Data部分，并为这些数据包填充适当的头部字段信息，然后将装配好的数据包交给下一层。

解封装：从下层接过本层能理解的数据包，然后去掉本层的数据包头部字段，将Data 部分传给上一层。

2）DOD 模型（TCP/IP 协议族）：3）对应关系4）数据包：a. TCP 头部：b. UDP 头部：c. IP 头部：5）TCP 协议三次握手过程的描述：过程简述：1）服务器应用启动，建立相应的TCB,进入LISTEN状态；2）客户端向服务器端发送一个TCP段，该段设置SYN标识，请求跟服务器端应用同步，之后进入SYN-SENT状态，等待服务器端的响应；3）服务器端应用收到客户端的SYN段之后，发送一个TCP段响应客户端，该段设置SYN和ACK标识，告知客户端自己接受它的同步请求，同时请求跟客户端同步。

之后进入SYN-RECEIVED状态；4）客户端收到服务器端的SYN+ACK段之后，发送一个TCP段，该段设置ACK标识，告知服务器端自己接受它的同步请求。

之后，进入ESTABLISHED状态；5）服务器端应用收到客户端的ACK段之后，进入ESTABLISHED状态。

到此，客户端跟服务器端的TCP连接就建立起来了。

6）TCP/UDP 协议之比较：7) TCP 状态机：解释：TCP 连接建立的两种方式：A）常规的三次握手方式：见5）TCP 协议三次握手过程的描述B）同步开放方式：1) 服务器应用启动，建立相应的TCB,进入LISTEN状态；2）客户端向服务器端发送一个TCP段，该段设置SYN标识，请求跟服务器端应用同步，之后进入SYN-SENT状态，等待服务器端的响应；3）服务器端应用收到客户端的SYN段之后，发送一个TCP段响应客户端，该段设置SYN，告知客户端自己请求跟它同步。

任务三计算机网络实验IP数据报捕获与分析一、实验目的本实验的目的是通过使用网络抓包工具捕获IP数据报，了解IP协议的工作过程，分析数据报的结构和内容。

二、实验设备和工具1.计算机2.网络抓包工具：Wireshark三、实验原理IP（Internet Protocol）是网络层的核心协议，在互联网中承担着数据包的传输任务。

IP协议负责将数据包从源主机传输到目标主机，保证数据在不同主机之间的正确传输。

IP数据报是IP协议传输的基本单位，由IP头和数据部分组成。

IP头部包含以下重要字段：1.版本（4位）：表示IP协议的版本号，IPv4为4，IPv6为62.首部长度（4位）：表示IP头部的长度，以32位的字节为单位。

3.区分服务（8位）：用于标识优先级和服务质量等信息。

4.总长度（16位）：指明整个IP数据报的长度。

5.标识（16位）：用于标识同一个数据报的分片。

6.标志位（3位）：标记是否进行数据报的分片。

7.片偏移（13位）：表示数据报组装时的偏移量。

8.生存时间（8位）：表示数据报在网络中的存活时间。

9.协议（8位）：指明IP数据报中携带的数据部分所使用的协议，如TCP、UDP等。

10.头部校验和（16位）：用于对IP头部的校验。

11.源IP地址（32位）：指明数据报的发送者的IP地址。

12.目的IP地址（32位）：指明数据报的目标IP地址。

四、实验步骤1.安装Wireshark软件。

2.打开Wireshark软件，选择需要进行抓包的网络接口。

3.点击“开始”按钮，开始抓包。

4.进行相关网络操作，产生数据包。

5.停止抓包。

6.选中其中一个数据包，进行分析。

五、数据包分析Wireshark软件可以对捕获到的数据包进行详细的分析，提供了丰富的信息和统计数据。

以下是对数据包的一些常规分析内容：1.源IP地址和目的IP地址：根据协议规定，每个IP数据报必须携带源IP地址和目的IP地址，通过分析这两个字段可以确定数据包的发送方和接收方。

1 搭建基础IP网络及抓包分析
1.1 项目背景
对于网络初学者而言，在进行实际运维之前，需要掌握模拟器的基本使用，并使用模拟器自带
的抓包软件捕获网络中的报文，以便更好地理解IP网络的工作原理。

1.2 项目目的
通过本项目可以掌握如下知识点和技能点。

●掌握eNSP模拟器的基本设置方法
●掌握使用eNSP搭建简单的端到端网络的方法
●掌握在eNSP中使用Wireshark捕获IP报文的方法
1.3 项目拓扑
图1. 搭建基础网络及抓包分析
1.4 项目规划
本项目的主要任务是掌握ENSP的使用，并利用Wireshark进行抓包分析，为从事现场运维奠
定基础。

1.4.1 项目前期准备工作
计算机开启虚拟化技术。

IP协议的基本原理、报⽂结构和抓包分析IP协议的基本原理、报⽂结构和抓包分析基本原理：IP 协议提供了⼀种分层的、与硬件⽆关的寻址系统，它可以在复杂的路由式⽹络中传递数据所需的服务。

IP 协议可以将多个交换⽹络连接起来，在源地址和⽬的地址之间传送数据包。

同时，它还提供数据重新组装功能，以适应不同⽹络对数据包⼤⼩的要求。

在⼀个路由式⽹络中，源地址主机向⽬标地址主机发送数据时，IP协议是如何将数据成功发送到⽬标主机上的呢，由于⽹络分同⽹段和不同⽹段两种情况，⼯作⽅式如下：同⽹段：如果源地址主机和⽬标地址主机在同⼀⽹段，⽬标 IP 地址被 ARP 协议解析为 MAC 地址，然后根据 MAC 地址，源主机直接把数据包发给⽬标主机。

不同⽹段：⽹关（⼀般为路由器）的 IP 地址被 ARP 协议解析为 MAC 地址。

根据该 MAC 地址，源主机将数据包发送到⽹关。

⽹关根据数据包中的⽹段 ID 寻找⽬标⽹络。

如果找到，将数据包发送到⽬标⽹段；如果没找到，重复步骤（1）将数据包发送到上⼀级⽹关。

数据包经过⽹关被发送到正确的⽹段中。

重复同⽹段，⽬标IP地址被ARP协议解析为 MAC 地址。

根据该 MAC 地址，数据包被发送给⽬标地址的主机。

报⽂结构：⽤ IP 协议传输数据的包被称为 IP 数据包，每个数据包都包含 IP 协议规定的内容。

IP 协议规定的这些内容被称为 IP 数据报⽂（IP Datagram）或者 IP 数据报。

IP 数据报⽂由⾸部（称为报头）和数据两部分组成。

⾸部的前⼀部分是固定长度，共 20 字节，是所有 IP 数据报必须具有的。

在⾸部的固定部分的后⾯是⼀些可选字段，其长度是可变的。

字段含义版本version4位，通信双⽅ip协议版本必须⼀样，⼀般是4版本⾸部长度4位，最⼤的⼗进制数为15，单位为32位字长即4字节，⾸部最⼤长度位60字节,若⾸部长度不是4字节整数倍需要⽤最后的填充字段区分服务tos8位，只有区分服务类型时才起作⽤。

TCP协议分析实验____院系：专业：一．实验目的学会使用Sniffer抓取ftp的数据报,截获ftp账号与密码,并分析TCP 头的结构、分析TCP的三次"握手"和四次"挥手"的过程,熟悉TCP协议工作方式.二．实验〔软硬件以与网络〕环境利用VMware虚拟机建立网络环境,并用Serv-U FTP Server在计算机上建立FTP服务器,用虚拟机进行登录.三．实验工具sniffer嗅探器,VMware虚拟机,Serv-U FTP Server.四．实验基本配置Micrsoft Windows XP操作系统五．实验步骤1.建立网络环境.用Serv-U FTP Server在计算机上建立一台FTP服务器,设置IP地址为：192.168.0.10,并在其上安装sniffer嗅探器.再并将虚拟机作为一台FTP客户端,设置IP地址为：192.168.0.12.设置完成后使用ping命令看是否连通.2.登录FTP运行sniffer嗅探器,并在虚拟机的"运行"中输入,点确定后出现如下图的登录窗口：在登录窗口中输入：用户名〔hello〕,密码〔123456〕[在Serv-U FTPServer中已设定],就登录FTP服务器了.再输入"bye"退出FTP3.使用sniffer嗅探器抓包再sniffer软件界面点击"stop and display" ,选择"Decode"选项,完成FTP命令操作过程数据包的捕获.六．实验结果与分析1.在sniffer嗅探器软件上点击Objects可看到下图：再点击"DECODE<反解码>"按钮进行数据包再分析,我们一个一个的分析数据包,会得到登录用户名〔hello〕和密码〔123456〕.如下图：2. TCP协议分析三次握手：发报文头——接受报文头回复——再发报文〔握手〕开始正式通信.第一次握手：建立连接时,客户端发送syn包<syn=j>到服务器,并进入SYN_SEND 状态,等待服务器确认；第二次握手：服务器收到syn包,必须确认客户的SYN〔ack=j+1〕,同时自己也发送一个SYN包〔syn=k〕,即SYN+ACK包,此时服务器进入SYN_RECV状态；第三次握手：客户端收到服务器的SYN＋ACK包,向服务器发送确认包ACK<ack=k+1>,此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手.完成三次握手,客户端与服务器开始传送数据.四次挥手：由于TCP连接是全双工的,因此每个方向都必须单独进行关闭.这个原则是当一方完成它的数据发送任务后就能发送一个FIN来终止这个方向的连接.收到一个 FIN只意味着这一方向上没有数据流动,一个TCP连接在收到一个FIN后仍能发送数据.首先进行关闭的一方将执行主动关闭,而另一方执行被动关闭.〔1〕虚拟机发送一个FIN,用来关闭用户到服务器的数据传送.〔2〕服务器收到这个FIN,它发回一个ACK,确认序号为收到的序号加1.和SYN 一样,一个FIN将占用一个序号.〔3〕服务器关闭与虚拟机的连接,发送一个FIN给虚拟机.〔4〕虚拟机发回ACK报文确认,并将确认序号设置为收到序号加1.。

网络层数据包抓包分析一.实验内容（1）使用Wireshark软件抓取指定IP包。

（2）对抓取的数据包按协议格式进行各字段含义的分析。

二.实验步骤（1）打开Wireshark软件，关闭已有的联网程序（防止抓取过多的包），开始抓包；（2）打开浏览器，输入/网页打开后停止抓包。

（3）如果抓到的数据包还是比较多，可以在Wireshark的过滤器（filter）中输入http，按“Apply”进行过滤。

过滤的结果就是和刚才打开的网页相关的数据包。

（4）在过滤的结果中选择第一个包括http get请求的帧，该帧用于向/网站服务器发出http get请求（5）选中该帧后，点开该帧首部封装明细区中Internet Protocol 前的”+”号，显示该帧所在的IP包的头部信息和数据区：（6）数据区目前以16进制表示，可以在数据区右键菜单中选择“Bits View”以2进制表示：（注意:数据区蓝色选中的数据是IP包的数据，其余数据是封装该IP包的其他层的数据）回答以下问题：1、该IP包的“版本”字段值为_0100_(2进制表示)，该值代表该IP包的协议版本为：√IPv4□IPv62、该IP包的“报头长度”字段值为__01000101__(2进制表示)，该值代表该IP包的报头长度为__20bytes__字节。

3、该IP包的“总长度”字段值为___00000000 11101110___ (2进制表示)，该值代表该IP包的总长度为__238__字节，可以推断出该IP包的数据区长度为__218__字节。

4、该IP包的“生存周期”字段值为__01000000__ (2进制表示)，该值代表该IP包最多还可以经过___64__个路由器5、该IP包的“协议”字段值为__00000110__ (2进制表示) ，该值代表该IP包的上层封装协议为__TCP__。

6、该IP包的“源IP地址”字段值为__11000000 1010100000101000 00110011__ (2进制表示) ，该值代表该IP包的源IP地址为_192_._168_._40_._51_。

arp,ip,icmp协议数据包捕获分析实验报告数据篇一：网络协议分析实验报告实验报告课程名称计算机网络实验名称网络协议分析系别专业班级指导教师学号姓名实验成绩一、实验目的掌握常用的抓包软件，了解ARP、ICMP、IP、TCP、UDP 协议的结构。

二、实验环境1．虚拟机（VMWare或Microsoft Virtual PC）、Windows XX Server。

客户机A客户机B2．实验室局域网，WindowsXP三、实验学时2学时，必做实验。

四、实验内容注意：若是实验环境1，则配置客户机A的IP地址:/24,X为学生座号；另一台客户机B的IP地址:（X+100）。

在客户机A上安装EtherPeek（或者sniffer pro）协议分析软件。

若是实验环境2则根据当前主机A的地址，找一台当前在线主机B完成。

1、从客户机A ping客户机B ，利用EtherPeek（或者sniffer pro）协议分析软件抓包，分析ARP 协议；2、从客户机A ping客户机B，利用EtherPeek（或者sniffer pro）协议分析软件抓包，分析icmp协议和ip协议；3、客户机A上访问，利用E(转载于: 小龙文档网:arp,ip,icmp协议数据包捕获分析实验报告数据)therPeek（或者sniffer pro）协议分析软件抓包，分析TCP和UDP 协议；五、实验步骤和截图（并填表）1、分析arp协议，填写下表12、分析icmp协议和ip协议，分别填写下表表一：ICMP报文分析233、分析TCP和UDP 协议，分别填写下表4表二： UDP 协议 5篇二：网络层协议数据的捕获实验报告篇三：实验报告4-网络层协议数据的捕获实验报告。

IPV6协议抓包分析一、实践名称：在校园网配置使用IPv6,抓包分析IPv6协议二、实践内容和目的内容:网络抓包分析IPv6协议。

目的：对IPv6协议的更深层次的认识，熟悉IPv6数据报文的格式。

三、实践器材:PC机一台，网络抓包软件Wireshark 。

四、实验数据及分析结果：1．IPv6数据报格式：2. 网络抓包截获的数据：3. 所截获的IPv6 的主要数据报为:
Internet Protocol Version 6
0110 。

..。

= Version: 6
。

0000 0000 .。

.。

.。

.. 。

.。

.。

..。

. = Traffic class：0x00000000
。

.。

...。

.。

0000 0000 0000 0000 0000 = Flowlabel: 0x00000000 Payload length: 93Next header：UDP (0x11)
Hop limit: 1
Source: fe80::c070：df5a：407a:902e （fe80：：c070：df5a:407a：902e) Destination: ff02：:1:2 （ff02::1：2)4. 分析报文：根据蓝色将报文分成三个部分：第一部分：33 33 00 01 00 02，目的组播地址转化的mac地址，以33 33 00表示组播等效mac；00 26 c7 e7 80 28，源地址的mac地址；86 dd,代表报文类型为IPv6 （0x86dd）;第二部分：60，代表包过滤器"ip。

version == 6"；00 00 00，Traffic class(通信类别): 0x00000000；00 5d，Payload length（载荷长度，即报文的最后一部分,或者说是报文携带的信息)： 32；11，Next header（下一个封装头）: ICMPv6 (17）；01，Hop limit（最多可经历的节点跳数): 1；fe 80 00 00 00 00 00 00 c0 70 df 5a 40 7a 90 2e，源ipv6地址；ff 02 00 00 00 00 00 00 00 00 00 00 00 01 00 02，目的ipv6地址; 第三部分(报文携带的信息）：02，表示类型为Neighbor Solicitation （2)；22，表示Code： 38；02 23是Checksum(校验和)： 0x6faa [correct］；00 5d 36 3a，Reserved(保留位）: 00000000；fe 80 00 00 00 00 00 00 76 d4 35 ff fe 03 56 b0，是组播地址中要通信的那个目的地址；01 01 00 23 5a d5 7e e3,表示ICMPv6 Option （Source link-layer address : 00:23：5a:d5：7e:e3)，ICMPv6的可选参数；其中从左到右：01,Source link-layer address (1）;01,Length： 1 （8 bytes）；00 23 5a d5 7e e3，源地址的mac地址。

实验⼆IP报⽂的捕获与分析实验⼆ IP报⽂的捕获与分析——实验报告⼀、实验⽬的（1）掌握IP协议报⽂格式。

（2）对捕捉到的包进⾏IP分析。

⼆、实验内容⽤Wireshark过滤出IP数据包，查看并分析具体的IP包的内容。

三、实验原理1、wireshark简介Wireshark（前称Ethereal）是⼀个⽹络封包分析软件。

⽹络封包分析软件的功能是撷取⽹络封包，并尽可能显⽰出最为详细的⽹络封包资料。

在GNUGPL通⽤许可证的保障范围底下，使⽤者可以以免费的代价取得软件与其程式码，并拥有针对其源代码修改及客制化的权利。

Ethereal是⽬前全世界最⼴泛的⽹络封包分析软件之⼀。

Wireshark可以帮助⽹络管理员检测⽹络问题，帮助⽹络安全⼯程师检查资讯安全相关问题，开发者使⽤Wireshark来为新的通讯协议除错，普通使⽤者使⽤Wireshark来学习⽹络协定的相关知识当然，有的⼈⽤它来寻找⼀些敏感信息Wireshark不是⼊侵侦测软件（Intrusion DetectionSoftware,IDS）。

对于⽹络上的异常流量⾏为，Wireshark不会产⽣警⽰或是任何提⽰。

然⽽，仔细分析Wireshark撷取的封包能够帮助使⽤者对于⽹络⾏为有更清楚的了解。

Wireshark不会对⽹络封包产⽣内容的修改，它只会反映出⽬前流通的封包信息，它也不会送出封包⾄⽹络上2、IP数据报格式IP数据报TCP/IP协议定义了⼀个在因特⽹上传输的包，称为IP数据报(IP Datagram)。

这是⼀个与硬件⽆关的虚拟包，由⾸部和数据两部分组成。

⾸部的前⼀部分是固定长度，共20字节，是所有IP数据报必须具有的。

在⾸部的固定部分的后⾯是⼀些可选字段，其长度是可变的。

⾸部中的源地址和⽬的地址都是IP协议地址。

IP数据包格式如图1所⽰。

图1 IP报⽂格式上⽹查找资料，整理如下更详细更易懂的IP报⽂格式与字段含义：IP协议偏移量0~34~78~1516~1819~31偏移量0~34~78~1516~1819~31 0版本⾸部长度服务类型总长度32标识符标识分段偏移64存活时间协议⾸部校验和96源IP地址128⽬的IP地址160选项160或192+数据IP报⽂字段含义版本指 IP 协议所使⽤的版本。

IP地址的网络协议和数据包分析方法IP地址是互联网中用于识别和定位设备的一种标识符。

它是由32位或128位构成的数字，用于唯一表示网络中的主机或者路由器。

IP 地址的网络协议和数据包分析方法对于网络技术的理解和应用至关重要。

一、IP地址的网络协议在互联网中，IP地址是基于网络协议进行分配和使用的。

Internet 协议(IP)是一种网络协议，用于将数据包从源主机传输到目的主机。

IP 协议的主要功能包括数据包的路由和寻址。

IP地址的网络协议定义了数十亿个设备在互联网上的通信方式，为互联网的稳定运行提供了基础。

1. IPv4和IPv6IPv4是目前广泛使用的IP协议版本，使用32位地址来表示设备。

然而，随着互联网的迅速发展和设备数量的不断增加，IPv4的地址空间已经不足以满足需求。

为了解决这个问题，IPv6被提出，使用128位地址来增加了地址空间，可以支持更多的设备连接到互联网。

2. IP地址的分类在IPv4中，IP地址可以根据网络的规模进行分类。

常见的分类方式有以下几种：- A类地址：用于大型网络，前8位用于网络部分，后24位用于主机部分。

- B类地址：用于中等规模的网络，前16位用于网络部分，后16位用于主机部分。

- C类地址：用于小型网络，前24位用于网络部分，后8位用于主机部分。

- D类地址：用于多播地址。

- E类地址：用于保留地址。

二、数据包分析方法为了识别和分析网络中的数据包，数据包分析成为了网络工程师的重要技能。

数据包分析可以帮助网络管理人员监测网络的性能、排查故障并进行网络安全分析。

以下是几种常见的数据包分析方法：1. 抓包工具抓包工具是用于捕获和显示网络数据包的应用程序。

常见的抓包工具包括Wireshark、tcpdump等。

通过抓包工具，可以详细查看数据包的各个字段，如源IP地址、目的IP地址、协议类型等，从而进行网络分析和故障排查。

2. 数据包分析原理在数据包分析过程中，需要了解数据包的结构和各个字段的含义。

IP及IPSEC协议数据包的捕获与分析为了掌握掌握IP和IPSEC协议的工作原理及数据传输格式，熟悉网络层的协议。

我进行了以下实验：首先用两台PC互ping并查看其IP报文，之后在两台PC上设置IPSEC互ping并查看其报文。

最终分析两者的报文了解协议及工作原理。

一、用两台PC组建对等网：将PC1与PC2连接并分别配置10.176.5.119和10.176.5.120的地址。

如图1-1所示。

图1-1二、两PC互ping：IP数据报结构如图1-2所示。

图1-2我所抓获的报文如图1-3，图1-4所示：图1-3 请求包图1-4 回应包分析抓获的IP报文：(1)版本：IPV4(2)首部长度：20字节(3)服务：当前无不同服务代码，传输忽略CE位，当前网络不拥塞(4)报文总长度：60字节(5)标识该字段标记当前分片为第1367分片(6)三段标志分别指明该报文无保留、可以分段，当前报文为最后一段(7)片偏移：指当前分片在原数据报（分片前的数据报）中相对于用户数据字段的偏移量，即在原数据报中的相对位置。

(8)生存时间：表明当前报文还能生存64(9)上层协议：1代表ICMP(10)首部校验和：用于检验IP报文头部在传播的过程中是否出错(11)报文发送方IP：10.176.5.120(12)报文接收方IP：10.176.5.119(13)之后为所携带的ICMP协议的信息：类型0指本报文为回复应答，数据部分则指出该报文携带了32字节的数据信息，通过抓获可看到内容为：abcdefghijklmnopqrstuvwabcdefghi三、IPSec协议配置：1、新建一个本地安全策略。

如图1-5。

图1-52、添加IP安全规则。

如图1-6.图1-6 3、添加IP筛选器。

如图1-7，图1-8，图1-9图1-7图1-8 图1-9 4、设置筛选器操作，如图1-10，图1-11所示图1-10图1-115、设置身份验证方法，预共享密钥：123456789，如图1-12所示图1-12 6、将设置好的本地安全策略分配，如图1-13所示图1-13 四、两PC配置IPSEC互ping，并抓获报文分析：所抓取报文如下图1-14所示图1-14下图1-15为协议协商部分报文：图1-15分析：(1)发起方的SPI为：1cfe1a3b68487806(2)响应方的SPI为：未知(3)本报文作用为协商IKE策略(4)交换模式为主模式(5)有效载荷类型：策略协商(6)载荷长度：56(7)解释域为IPSEC协议(8)第二段有效载荷类型为建议部分(9)第二段有效载荷类型为传输，内容是IKE策略下图1-16为KEY交换部分报文：图1-16分析：作用为通过协商DH产生第一阶段的密码。

IP地址的网络监控与流量分析的方式在当今数字化时代，网络监控与流量分析对于维护网络安全和优化网络性能至关重要。

而在这一过程中，IP地址扮演着重要的角色，它不仅用于标识和定位网络设备，还可以用于实现网络监控和流量分析。

本文将介绍IP地址的网络监控与流量分析的方式，并探讨其应用和意义。

一、IP地址的网络监控方式1. IP地址的抓包监控IP地址的抓包监控是指通过监听和记录网络中传输的数据包，对网络通信进行实时监控和分析。

这种方式可以帮助网络管理员识别和分析网络中的异常流量、潜在的安全威胁以及网络性能问题。

通过抓包监控，管理员可以获取到IP地址相关的数据包信息，如源IP地址、目的IP地址、协议、端口等，从而更好地进行网络管理和维护。

2. IP地址的流量统计监控IP地址的流量统计监控是指通过记录网络中各个IP地址的传输流量数据，对网络流量进行实时监控和分析。

这种方式可以帮助管理员了解各个IP地址之间的流量情况，及时发现和解决网络拥堵问题，优化网络性能。

通过流量统计监控，管理员可以了解到每个IP地址的上传流量、下载流量、流量占比等信息，从而对网络进行合理规划和优化。

二、IP地址的流量分析方式1. 基于IP地址的流量分析基于IP地址的流量分析是指通过对网络中的IP地址进行详细分析，了解每个IP地址的行为、通信情况以及访问偏好等。

这种方式可以帮助管理员了解网络用户的行为习惯，判断是否存在异常访问或非法操作，及时采取相应的安全措施。

基于IP地址的流量分析可以使用一些专业的网络流量分析工具，如Wireshark、NetFlow等。

2. 基于IP地址的威胁检测基于IP地址的威胁检测是指通过对网络中的IP地址进行持续监控和分析，识别和预防网络安全威胁。

这种方式可以帮助管理员及时发现和应对来自恶意IP地址的攻击行为，有效维护网络的安全和稳定。

基于IP地址的威胁检测可以结合黑名单、白名单等技术手段，通过比对已知的恶意IP地址列表，筛选出潜在的威胁IP地址，并加以阻止或限制其访问。

《计算机通信与网络》——网络抓包分析实验报告Wireshark抓包分析实验报告一．实验目的1.了解并初步使用Wireshark，能在所用电脑上进行抓包。

2.了解IP数据包格式，能应用该软件分析数据包格式。

3.查看一个抓到的包的内容，并分析对应的IP数据包格式。

二．主要仪器设备协议分析软件Wireshark，联网的PC机。

三．实验原理和实验内容2打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

3打开WireShark,选择"Capture>>Interfaces",选择自己的网卡，设置完成后，选择"Start"开始监控流量。

开始抓包，显示结果。

4选择某一行抓包结果，双击查看此数据包具体结构。

5 捕捉IP数据报。

IP数据报的格式如下图所示：捕捉到的IP帧如下图所示：由图可知，这个IP帧的一下信息：版本号：IPV4首部长度：20 bytes总长度：202 Bytes，即可变部分为182.标识：0x1aa3（6819）标志：0x00片偏移:0，表示本片是原分组中的第一片。

生存时间：64，说明这个数据报还可以在路由器之间转发64次。

协议：UDP(17)头部检验和：0xd8a1 （接受正确）Source：192.168.2.143Destination：192.168.2.255四．实验总结：本次wireshark抓包实验，我分析了IP抓包，捕捉IP数据报。

IP协议的提出有它的必然性。

正如黑格尔所述：凡是存在的，都是合理的。

正是有了各种各样协议的存在，人们的网络生活才会变的如此丰富。

然而，学习一种协议是一种相当枯燥的事，这一点我已深有体会，更不用说编写协议了。

所以我们在享受丰富多彩的网络生活的同时，不能忘记那些协议工作者，正所谓“饮水思源”。

Wireshark是一款基于winpcap的抓包软件，它的界面是友好的，功能是强大的，上手是容易的，掌握是困难的。

实验五、IP协议分析实验报告一、实验目的本次实验的主要目的是深入理解 IP 协议的工作原理和机制，通过实际的抓包分析，掌握 IP 数据包的格式、IP 地址的分类与分配、子网掩码的作用以及路由选择的基本过程。

二、实验环境1、操作系统：Windows 102、抓包工具：Wireshark三、实验原理1、 IP 协议概述IP（Internet Protocol）协议是 TCP/IP 协议簇中最为核心的协议之一，它负责为网络中的设备提供逻辑地址（即 IP 地址），并实现数据包的路由和转发。

2、 IP 数据包格式IP 数据包由头部和数据部分组成。

头部包含了源 IP 地址、目的 IP地址、协议类型、生存时间（TTL）等重要信息。

3、 IP 地址分类IP 地址分为 A、B、C、D、E 五类，其中 A、B、C 类为常用的单播地址，D 类用于组播，E 类为保留地址。

4、子网掩码子网掩码用于确定 IP 地址中的网络部分和主机部分，从而实现子网划分。

5、路由选择路由器根据 IP 数据包中的目的地址和路由表，选择合适的路径将数据包转发到下一跳。

四、实验步骤1、打开 Wireshark 软件，选择合适的网络接口进行抓包。

2、在网络中进行一些常见的网络操作，如访问网页、发送邮件等，以获取 IP 数据包。

3、停止抓包，并对抓取到的数据包进行筛选，只显示 IP 协议的数据包。

4、逐个分析 IP 数据包的头部信息，包括源 IP 地址、目的 IP 地址、协议类型、TTL 等。

5、观察不同类型的 IP 地址，并分析其网络部分和主机部分。

6、研究子网掩码在数据包中的作用，以及如何通过子网掩码确定子网范围。

7、分析路由选择过程，观察数据包在网络中的转发路径。

五、实验结果与分析1、 IP 数据包格式分析通过对抓取到的 IP 数据包进行分析，我们可以看到其头部格式如下：版本（Version）：通常为 4，表示 IPv4 协议。

头部长度（Header Length）：以 4 字节为单位，指示头部的长度。

iptool抓包分析工具新手使用指南
下载使用免费的绿色IP抓包工具--点击下载iptool
设置捕包选项
1、选捕包网卡，如下图：
如上图
1、选择好捕包网卡，左连还有一些其它捕包条件供选择，如果当所选网卡不支持“杂项接收”功能，系统会提示相应信息,出现该情况时您将无法获取与本网卡无关的数据包，换言之，您无法获取其他电脑之间的通讯包，所以，建议您更换网卡。

不支持“杂项接收”的网卡，多数为一部分无线网卡及少数专用服务器/笔记本网卡。

2、协议过滤
针对Internet通讯部分，常见的IP包类型为：TCP/UDP/ICMP。

绝大部分是TCP连接的，比如HTTP(s)/SMTP/POP3/FTP/TELNET等等；一部分聊天软件中除了采用TCP通讯方式外，也采用了UDP的传输方式，如QQ/SKYPE等；而常见的ICMP包是由客户的Ping 产生的。

设置界面如下：
开始抓包
分析捕获包
用户按下“开始”按钮启动捕包功能后，列表框中会自动显示出符合条件的数据包，并附带简单的解析。

用鼠标右键点击内容，弹出下图中
的菜单：
选中“分析”，出现下面的画面：
上图中，左边和右下部分是分析结果，右上部是原始二进制代码，选中左边某一条目时，在右边二进制区域的色块和其一一对应。

如果用户以前少有接触协议分析部分，IPTOOL可以很好地协助您深入了解TCP/IP协议。

我们将在网站定期提供一些捕获样例包，协助用户学习分析各种类型的IP包。

Wireshark抓包分析实验实验Wireshark抓包分析实验⼀、实验⽬的1、了解并会初步使⽤Wireshark，能在所⽤电脑上进⾏抓包2、了解IP数据包格式，能应⽤该软件分析数据包格式3、查看⼀个抓到的包的内容，并分析对应的IP数据包格式4、学会使⽤nslookup⼯具查询并分析Internet 域名信息或诊断DNS 服务器。

5、会⽤wireshark分析DNS协议。

对DNS协议有个全⾯的学习与了解。

⼆、实训器材1、接⼊Internet的计算机主机；2、抓包⼯具WireShark。

三、实验内容（⼀）IP包分析实验1、打开wireshark，选择接⼝选项列表。

或单击“Capture”，配置“option”选项。

2、设置完成后，点击“start”开始抓包，显⽰结果。

3、选择某⼀⾏抓包结果，双击查看此数据包具体结构。

4、查看IP数据报。

[1]写出IP数据报的格式。

[2]捕捉IP数据报的格式图例。

[3]记录IP数据报包的所有域，针对每⼀个域所代表的含义进⾏解释。

（⼆）DNS协议分析实验1、启动WireShark，并开始抓包。

2、在命令⾏运⾏nslookup 发现成都⼤学或其他单位官⽅DNS服务器。

nslookup /doc/cd9178b4f46527d3250ce03a.html /3、停⽌抓包4、显⽰过滤DNS包，查看其请求包和响应包的运输层协议是UDP 还是TCP，DNS请求包的⽬的端⼝及DNS响应包的源端⼝号分别是多少，DNS 请求包是发往哪个地址的，⽤ipconfig查看你的本地DNS服务器的IP地址，判断它们是否相同。

5、查看接下来你的主机发出的⼀些TCP SYN 包，其中的⽬的IP地址是否有刚才DNS应答包中的IP地址?Wireshark抓包分析实验报告⼀．实验⽬的1.了解并初步使⽤Wireshark，能在所⽤电脑上进⾏抓包。

2.了解IP数据包格式，能应⽤该软件分析数据包格式。

3.查看⼀个抓到的包的内容，并分析对应的IP数据包格式。

Wireshark抓包分析实验若惜年一、实验目的：1.学习安装使用wireshark软件，能在电脑上抓包。

2.对抓出包进行分析，分析得到的报文，并与学习到的知识相互印证。

二、实验内容：使用抓包软件抓取HTTP协议通信的网络数据和DNS通信的网络数据，分析对应的HTTP、TCP、IP协议和DNS、UDP、IP协议。

三、实验正文：IP报文分析：从图中可以看出：IP报文版本号为:IPV4首部长度为:20 bytes数据包长度为:40标识符：0xd74b标志：0x02比特偏移：0寿命：48上层协议：TCP首部校验和：0x5c12源IP地址为：119.75.222.18目的IP为：192.168.1.108从图中可以看出：源端口号：1891目的端口号：8000udp报文长度为：28检验和：0x58d7数据长度：20 bytesUDP协议是一种无需建立连接的协议，它的报文格式很简单。

当主机中的DNS 应用程序想要惊醒一次查询时，它构造一个DNS查询报文段并把它给UDP，不需要UDP之间握手，UDP为报文加上首部字段，将报文段交给网络层。

第一次握手：从图中看出：源端口号：56770目的端口号：80序列号为:0首部长为: 32 bytesSYN为1表示建立连接成功当fin为1时表示删除连接。

第二次握手：从图中看出：源端口号是：80目的端口号为：56770序列号为：0ack为：1Acknowledgement为1表示包含确认的报文Syn为1表示建立连接。

第三次握手：从图中看出：源端口：56770目的端口：80序列号为：1ACK为：1首部长为：20bytesAcknowledgement为1表示包含确认的报文所以，看出来这是TCP连接成功了Tcp是因特网运输层的面向连接的可靠的运输协议，在一个应用进程可以开始向另一个应用进程发送数据前，这两个进程必须先握手，即它们必须相互发送预备文段，建立确保传输的参数。

发送报文：GET/HTTP/1.1：是请求一个页面文件HOST：是请求的主机名Connection：持续连接Accept: 收到的文件User-Agent : 浏览器的类型Accept-encoding: gzip ,deflate ,sdch限制回应中可以接受的内容编码值，指示附加内容的解码方式为gzip ,deflate ,sdch 。

IP Tool 抓包分析1.在两台主机已经建立好无线自组网络的情况下,分别运行”Chat-TCP”目录下的”Server”和”Client”;Server端:Client端:Client端的服务器地址为运行Server端主机的IP地址2.打开IP-Tool抓包工具,点击第三个图标”包过滤”,选择网卡为配置无线自组网络的网卡协议过滤选择仅包含TCPIP过滤在源目IP地址分别填上Server端和Client端的主机IP地址,如果不止两台主机,则填上IP地址的范围,然后点击添加点击确定后,点击第一个图标”开始捕包”3.此时在Client端上点击”连接”这时,IP-Tool抓包工具会捕捉到3个TCP报文(序号为0~2)分别是建立TCP连接时的”三次握手”:(1).序列号为0的是由IP地址为”192.168.0.200”的主机(即运行Client端的主机)发送给IP地址为”192.168.0.100”的(即Server端主机)请求建立TCP连接”的SYN报文(2).序列号为1的是由Server主机发送给Client主机的”同意建立TCP连接”的SYN和ACK报文(3).序列号为2的是由Client主机发送给Server主机的”确认收到同意建立TCP连接的”ACK报文在”三次握手”之后,两台主机之间就建立了TCP连接4.这时在Client上发送一句话,IP-Tool就会再捕捉到3个TCP报文(序号为3~5)(1).序列号为3的是由Client主机发送给Server主机的包含发送文字内容的报文,报文最后的文字(343434)就是Client发送的内容(2).序列号为4的是由Server主机发送给Client主机的确认收到数据的回复(3)序列号为5的是由Client主机发送给Server主机的确认报文三次握手的特性说明TCP连接是面向连接的可靠的连接方式5.在Client客户端上点击”断开”,IP-Tool会捕捉到4个TCP报文(序号为6~9)这是TCP断开连接时的”四次挥手”过程(1).序列号为6的报文是由Client主机发送给Server主机的FIN报文,关闭Client-Server线路上的数据传输(2).序列号为7的报文是由Server主机发送给Client主机的ACK报文,此时Server会将Server-Client线路上的所有数据传输完毕(3).序列号为8的报文是由Server主机发送给Client主机的FIN报文,说明Server-Client线路上的所有数据发送完毕,可以断开连接,同时关闭Server-Client线路(4).序列号为9的报文是由Client主机发送给Server主机的ACK报文,此时TCP连接就断开了。