实验5-网络中数据包的监听和分析

如何进行网络数据包分析和抓包网络数据包分析和抓包是网络安全和网络调试中非常重要的技能。

通过对网络数据包的深入分析和抓取，我们可以了解网络通信的细节，识别出潜在的安全威胁，解决网络故障，提高网络性能。

本文将介绍如何进行网络数据包分析和抓包的基本知识、常用工具和实际操作过程。

一、网络数据包分析的基本知识1. 什么是网络数据包网络数据包是在计算机网络中传输的基本单位。

它包含了源地址、目标地址、协议类型、数据内容等信息。

通过分析数据包的头部和负载部分，我们可以了解网络通信的详细过程。

2. 数据包分析的目的数据包分析的目的是为了了解网络通信中存在的问题，如安全漏洞、传输错误、性能瓶颈等。

通过分析数据包，我们可以检测恶意攻击、监测网络流量、优化网络性能，并提供证据用于网络调查等。

二、常用的网络数据包分析工具1. WiresharkWireshark是一款功能强大的开源网络分析工具，支持多种操作系统平台。

它可以捕获和分析网络数据包，并提供详细的统计信息、过滤器和可视化功能，帮助我们深入了解数据包的结构和内容。

2. tcpdumptcpdump是一款命令行网络抓包工具，适用于Unix/Linux操作系统。

它可以捕获网络接口上的数据包，并以文本形式输出。

tcpdump可以通过设置过滤规则过滤数据包，提供更灵活的抓包方式。

三、进行网络数据包分析和抓包的步骤以下是进行网络数据包分析和抓包的一般步骤，具体操作可根据实际情况调整。

1. 准备必要的工具和环境首先，确保已安装合适的网络数据包分析工具，如Wireshark或tcpdump。

同时，保证工作环境的网络连接正常，并具备足够的权限进行抓包和分析操作。

2. 选择抓包的目标根据需要，确定抓包的目标。

可以是整个网络流量，也可以是特定的IP地址、端口或协议。

这有助于提高分析效果，节约存储空间。

3. 开始抓包使用选择的工具开始抓包。

可以设置过滤器，只抓取感兴趣的数据包。

抓包期间，可以进行其他相关操作，如执行特定应用程序、浏览网页等，以增加抓取的数据多样性。

福建农林大学计算机与信息学院实验报告课程名称：计算机网络姓名：学院：专业：年级：学号：指导教师：职称：年月日实验项目列表序号实验项目名称成绩指导教师1 TCP/IP实用程序的使用2 Windows 的安全策略3 TCP/IP协议分析4 总评56实验报告实验二：网络监听实验一、实验目的1、熟悉IP地址与MAC地址的概念2、理解ARP协议及ICMP协议原理3、了解TELNET应用4、掌握网络监听方法二、实验原理1、IP地址与MAC地址、ARP协议数据链路层使用物理地址（即MAC地址），网络层使用IP地址，当数据包在网络层和数据链路层之间传输时，需要进行MAC地址和IP地址的转换。

ARP协议的功能是实现IP地址到MAC地址的转换。

每个主机都设有一个ARP高速缓存，操作系统通常会将从网络中得到的IP地址和MAC地址的映射关系存放在本机的高速缓存中，使用arp命令，可以查看、添加和删除高速缓冲区中的ARP表项。

在Windows操作系统中，高速缓存中的ARP表项可以包含动态和静态表项，动态表项随时间推移自动添加和删除，而静态表项则一直保留在高速缓存中，直到人为删除或重启计算机。

2、ICMP协议ICMP协议是配合IP协议使用的网络层协议，它的报文不是直接传送到数据链路层，而是封装成IP数据报后再传送到数据链路层。

分组网间探测PING是ICMP协议的一个重要应用，它使用ICMP回送请求与回送应答报文，用来测试两个主机之间的连通性。

命令格式为：ping 目的IP地址。

ICMP回送请求与回送应答报文格式如下：类型：8或0 代码：0 校验和标识符序号可选数据说明：类型为8---回送请求，为0---回送应答TRACERT程序是ICMP协议的另一个应用，命令格式为：tracert 目的地址。

Tracert从源主机向目的主机发送一连串的IP数据报P1，P1的TTL设置为1，当它到达路径上的第一个路由器R1时，R1先收下它，把P1的TTL值减1，变成0，R1丢弃P1，并向源主机发送一个ICMP超时差错报告报文。

实验报告机将写有目的的主机地址的数据包直接发向目的主机，或者当网络中的一台主机同外界的主机通信时，源主机将写有目的的主机IP地址的数据包发向网关。

但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP层交给网络接口，也就是所说的数据链路层。

网络接口不会识别IP地址的。

在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太祯的祯头的信息。

在祯头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址这是一个48位的地址，这个48位的地址是与IP地址相对应的，换句话说就是一个IP地址也会对应一个物理地址。

对于作为网关的主机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。

而发向网络外的祯中继携带的就是网关的物理地址。

Ethernet中填写了物理地址的祯从网络接口中，也就是从网卡中发送出去传送到物理的线路上。

如果局域网是由一条粗网或细网连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。

再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。

这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。

当数字信号到达一台主机的网络接口时，正常状态下网络接口对读入数据祯进行检查，如果数据祯中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据祯交给IP层软件。

对于每个到达网络接口的数据祯都要进行这个过程的。

但是当主机工作在监听模式下的话，所有的数据祯都将被交给上层协议软件处理。

当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网的时候，那么要是有一台主机处于监听模式，它还将可以接收到发向与自己不在同一个子网（使用了不同的掩码、IP地址和网关）的主机的数据包，在同一个物理信道上传输的所有信息都可以被接收到。

在UNIX系统上，当拥有超级权限的用户要想使自己所控制的主机进入监听模式，只需要向Interface（网络接口）发送I/O控制命令，就可以使主机设置成监听模式了。

摘要本文主要阐述了目前网络安全的现状、缺陷、面临的威胁，提出了相应的防范措施，并介绍了网络的常用协议。

然后又介绍了WINSOCK技术和监听原理，并对最广泛的监听工具sniffer做了简单的概述。

基于当前网络很多威胁都是来自与自己电脑的漏洞与自己不能够清楚的察觉到自己电脑是否正在被侵犯，虽然防火墙可以提供帮助，但它不能对低层的东西显示给大家。

本文主要研究的是对局域网的数据包监听并分析，采用WINSOCK技术实现的。

在此工具中主要有监听和IP数据包分析2大主要功能，并能通过窗体清楚的显示出来。

它使人们可以每时每刻观察到进入自己电脑的数据包，并能够观察到进行数据交流时对方的IP地址和所开放的端口号，及时对信息明朗化，预防黑客端口的监听。

关键词：网络安全监听工具winsock技术IP数据包Vc++AbstractThis text has explained the current situation , defect , threat faced of the online security at present mainly, have put forward the corresponding precautionary measures, has introduced the daily agreement of the network. Recommend winsock technology and monitor principle , monitor to a most extensive one tool sniffer make the simple summary。

On the basis of network a lot of threat to come from with one's own loophole and oneself of computer can not clear perceiving whether one's own computer is being infringed at present, though the fire wall can offer help , it can't show to the thing of the lower to everybody . Main research of this text is wrapping up and monitoring and analysing about the data of the lan, adopt wincock technology to realize.Monitor and wrap up and analyse 2 great main functions with ip data mainly in tool once, and can come out through the display that the window body is clear . Its people can observe all the time the data which enter one's own computer are chartered , and can observe the other side's ip address and end slogans opened while exchanging the data , clear to information in time, prevent the monitoring of black ports.Key words: network security monitor tool winsock technology ip data pack vc++目录摘要 (I)Abstract (II)目录 (III)引言 (1)1 网络安全面临的威胁 (2)1.1 什么是网络安全 (2)1.2 网络安全隐患与威胁 (2)1.3 几种常见的威胁类型 (4)1.4 威胁我国网络安全的4个因素 (5)2 网络协议 (7)3 WINSOCK技术与监听原理 (11)3.1 WINSOCK技术概述 (11)3.2 局域网与以太网监听原理 (14)4 sniffer (17)4.1 sniffer概述 (17)4.2 怎样防范sniffer (18)5 基于WINSOCK技术捕获IP包工具的设计与实现 (22)5.1 系统概述 (22)5.2 系统概要设计 (22)5.3 系统主要功能介绍 (24)5.4 实例分析 (28)5.5 数据包首部解析 (29)结论 (31)参考文献 (33)附录 (34)谢辞 (38)引言网络安全正在日益受到广大的计算机用户的关注，特别是“9.11“事件的影响让我们对网络的安全有了更深一层的认识。

网络数据包的监听与分析用Etｈereal获取到ftp用户名和密码的截图（和本人姓名不同的没有成绩)。

【附录】1.Etheｒeaｌ使用入门eｔhereaｌ可以用来从网络上抓包，并能对包进行分析。

下面介绍ｗindｏws 下面etherea ｌ的使用方法安装(略）如果只有一个网卡，启动eｔheｒeal 以后,选择菜单Capatｕre->Staｒt,就OK 了。

当你不想抓的时候,按一下ｓｔop，抓的包就会显示在面板中,并且已经分析好了。

下面是一个截图:如果有多个网卡,需要先进行设置，启动ethereａl 以后，选择菜单Ｃａpaｔｕre->Optioｎs,如下图:Inｔerfａcｅ:指定在哪个接口（网卡)上抓包。

一般情况下都是单网卡，所以使用缺省的就可以了Lｉmit ｅach ｐａｃkeｔ：限制每个包的大小,缺省情况不限制Ｃaptｕｒe ｐacketｓｉｎｐｒomiscｕｏuｓｍode: 是否打开混杂模式。

如果打开，抓取所有的数据包。

一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。

Filter:过滤器。

只抓取满足过滤规则的包(可暂时略过) Fｉle:如果需要将抓到的包写到文件中,在这里输入文件名称。

usｅｒｉnｇbuffｅr:是否使用循环缓冲。

缺省情况下不使用,即一直抓包。

注意,循环缓冲只有在写文件的时候才有效。

如果使用了循环缓冲，还需要设置文件的数目,文件多大时回卷其他的项选择缺省的就可以了eｔherｅal的抓包过滤器抓包过滤器用来抓取感兴趣的包，用在抓包过程中。

抓包过滤器使用的是libcap 过滤器语言，在tcｐdump 的手册中有详细的解释，基本结构是：[not] prｉｍiｔiｖe [ａnd|ｏr [not]primitivｅ．..]如果你想抓取某些特定的数据包时,有以下两种方法,你可以任选一种:1、在抓包的时候,就先定义好抓包过滤器，这样结果就是只抓到你设定好的那些类型的数据包;2、先把本机收到或者发出的包都抓下来，然后使用下节介绍的显示过滤器，只让Etｈereaｌ显示那些你想要的那些类型的数据包；etheral的显示过滤器（重点内容)在抓包完成以后，显示过滤器可以用来找到你感兴趣的包，可以根据1）协议2)是否存在某个域3)域值4)域值之间的比较来查找你感兴趣的包。

网络监听实验报告网络监听实验报告随着互联网的普及和发展，网络安全问题日益凸显。

为了保护个人隐私和信息安全，各国政府和组织纷纷进行网络监听实验，以便更好地了解网络环境和保障国家安全。

本文将就网络监听实验进行探讨和分析。

一、实验目的和背景网络监听实验旨在通过监控网络流量和数据传输，掌握网络中的信息传递和交流情况，以便及时发现和防范网络攻击、恶意软件传播等安全威胁。

此外，网络监听实验还可以帮助政府了解社会舆论和民意动态，为政策制定提供参考依据。

二、实验方法和工具网络监听实验主要采用以下几种方法和工具：1. 流量监测：通过监控网络流量，包括入站和出站的数据包，了解网络中的信息传递情况。

常用的工具有Wireshark、Tcpdump等。

2. 数据包分析：对捕获的数据包进行深入分析，提取关键信息和数据，如IP地址、端口号、协议类型等。

这些信息可以用于判断网络流量的来源和目的地。

3. 恶意软件检测：通过监测网络中的恶意软件传播情况，及时发现和阻止网络攻击。

常用的工具有Snort、Suricata等。

4. 社交媒体监测：通过监控社交媒体平台上的信息传播和用户互动，了解社会舆论和民意动态。

常用的工具有Hootsuite、Brandwatch等。

三、实验结果和分析通过网络监听实验，可以获得大量的数据和信息，对网络环境和安全威胁进行分析和评估。

以下是一些实验结果和分析：1. 网络攻击：通过流量监测和数据包分析，我们发现了一些网络攻击行为，如DDoS攻击、SQL注入等。

这些攻击行为可能会导致网络服务中断、数据泄露等严重后果。

及时发现和应对这些攻击，对维护网络安全至关重要。

2. 恶意软件传播：通过恶意软件检测，我们发现了一些恶意软件的传播情况。

这些恶意软件可能通过电子邮件、网页链接等途径传播，给用户的设备和数据带来风险。

加强恶意软件防护，提高用户的安全意识，对减少网络攻击和数据泄露具有重要意义。

3. 社会舆论：通过社交媒体监测，我们了解了一些社会热点和民意动态。

实验一：网络数据包的监听与分析1.1 实验目的初步掌握网络监听与分析技术的实现方法，从而加深对网络协议的理解。

了解以太网的帧格式，认识TCP/IP 的层次结构。

1.2 实验要求在VC++6.0开发环境下，利用WinPcap 编写一个简单的网络数据包监听与分析程序，并对截获的数据包的进行解析，并显示出来。

1.3 实验原理以及相关内容在分层模型中，主要利用数据封装来实现不同系统间的通信，在发送数据经过时，每经过一层就会被增加上本层的头部信息。

本实验要分析数据包，就一层一层的分析这些头部信息。

本实验用WinPcap 进行捕获数据包，它工作在底层。

以太网中传输的数据被称为“帧”，帧的格式如下：对于前导码和帧前定界符通常有硬件处理，在分析数据包时不予考虑。

当捕获到一个以太网数据帧的时候，数据就开始从协议栈由底向上逐层解析，去掉各层所加上的报文协议头部，图1：帧格式WinPcap 是一个开源的、运行于Win32平台的体系结构，是用于网络封包抓取的一套工具，包括一个内核级别的packet filter ，一个底层的DLL(packet.dll)和一个高级的独立于系统的DLL （Wpcap.dll ）， packet.dll 提供一个底层的API ，可以直接访问网络设备驱动，Wpcap.dll 是一个强大的捕获程序库。

它为win32应用程序提供访问网络底层的能力，Winpcap 不能阻塞、过滤或前导码 帧前定界符 目的地址 源地址 长度（类型） 数据 帧校验控制其他应用程序数据报的发收，它仅仅只是监听共享网络上传送的数据包。

本实验利用WinPcap提供的函数来设置网卡模式并捕获响应的数据包，进行解析。

1.4实验内容1.4.1实验步骤（1）安装WinPcap驱动和DLL程序。

在VC++中配置WinPcap，Tools->options->Directories，添加WinPcap的Include和Lib文件。

2010 学年— 2011 学年第一学期计算机网络基础
实验任务书
实验题目：网络数据的监听和分析
实验环境：操作系统 Window Server2003
软件：Ethereal 实验内容：
简单地写出实验步骤：
♦安装监听软件
♦启动监听
♦登陆ftp服务器
♦停止监听
♦分析监听日志
实验目的：
掌握网络监听的原理，会使用监听工具；学会分析网络数据；
实现方法及实验结果：
要求：
（1）监听一次ftp的登陆过程，抓取一个包含用户名或密码的数据帧，并且观察这个帧的数据链路层头部、IP头部、TCP头部，书写下列信息，并且指出这些地址具体是谁
的
♦桢头：目的MAC 00:12:00:40:e9:ff ，源MAC地址00:09:78:08:b9:71
202.204.122.39(ca:cc:7a:27)
端口号：目的端口号ftp(21)00:15和源端口号1501(1501)05:dd
（2）抓取一个包含ARP数据帧，指出是哪个机器发送的这个ARP请求，那台机器在做什么？
202.204.122.39在局域网内，通过ARP请求询问202.204.122.254的MAC地址
202.204.122.254发送ARP响应：sender IP address
注意：包含ARP数据帧的长度，观察其中的填充字段，指出为什么要进行填充。

结果分析：参考书目：—Internet —参考课堂ppt。

网络扫描与及监听实验报告一、实验目的1.学习和了解网络扫描和监听的概念、原理和方法；2.掌握使用工具进行网络扫描和监听的操作；3.增强网络安全意识，提高网络攻防能力。

二、实验内容1.对目标主机进行网络扫描；2.进行网络监听，捕获网络流量数据。

三、实验仪器与软件1. 一台装有Kali Linux操作系统的虚拟机；2. Nmap工具；3. Wireshark软件。

四、实验过程1.对目标主机进行网络扫描首先，打开Kali Linux虚拟机，登录系统后打开终端。

使用Nmap工具进行网络扫描，输入以下命令：```nmap -sP 192.168.0.0/24```其中，"-sP"表示进行Ping扫描，"192.168.0.0/24"表示扫描192.168.0.0网段的IP地址。

扫描结果显示了该网段内存活的主机的IP和MAC地址。

2.进行网络监听打开Wireshark软件，点击"Capture"按钮开始捕获网络流量数据。

在"Interface"选项中选择要监听的网络接口，如"eth0"。

捕获到的网络流量数据会以列表形式显示出来，包括目的IP地址、源IP地址、协议类型、数据包长度等信息。

点击一些数据包，可以查看其详细信息，包括数据包的具体内容和源地址等。

五、实验结果与分析1.网络扫描结果分析扫描结果显示了目标主机的IP和MAC地址。

通过对主机进行扫描，可以获取主机的基本信息，如所在网络的IP地址范围、存活的主机等。

2.网络监听结果分析通过对网络流量数据的监听，可以获取网络中传输的数据信息。

分析捕获到的数据包可以获得协议类型、通信双方的IP地址、数据包长度等信息。

六、实验总结通过本次实验，我深入了解了网络扫描和监听的概念、原理和方法，并成功地进行了实验操作。

网络扫描和监听是网络安全的重要方面，对于保护网络安全、防范网络攻击具有重要意义。

计算机网络中的数据包分析与监测随着互联网的广泛应用和网络规模的不断扩大，计算机网络中的数据包分析与监测变得越来越重要。

数据包分析与监测是指对网络中数据包的内容、流量进行实时监测和分析，并提取有关信息以进行网络管理和安全保障的技术手段。

本文将介绍数据包分析与监测的基本原理、常用工具以及其在网络管理与安全保障中的应用。

一、数据包分析与监测的基本原理1.1 数据包的组成在计算机网络中，数据包是信息传输的基本单元，由头部和数据部分组成。

头部包含了地址、操作码和控制信息等，用于数据包的正确传输和处理；数据部分则是实际需要传输的数据。

数据包的组成结构对于数据包分析与监测至关重要。

1.2 数据包分析与监测的过程数据包分析与监测的过程可以分为三个步骤：捕获数据包、解析数据包、分析与监测数据包。

1.2.1 捕获数据包捕获数据包是指在网络中截取到数据包并进行存储。

这可以通过采用专用的硬件设备或软件来实现。

常用的数据包捕获工具有Wireshark 和tcpdump等。

1.2.2 解析数据包解析数据包是指对捕获到的数据包进行解析，以获取其中的各个字段信息。

解析数据包需要根据数据包的协议格式进行解析，例如对于以太网数据包，需解析以太网头部、IP头部、TCP/UDP头部等。

各种协议解析器可以帮助我们完成这一步骤。

1.2.3 分析与监测数据包分析与监测数据包是指对解析后的数据包进行深入分析和监测。

这可以包括对数据包的内容进行分析、流量统计、网络性能监测等。

通过对数据包的分析与监测，可以获取网络运行状态、网络故障、流量异常和安全事件等信息。

二、数据包分析与监测的工具2.1 WiresharkWireshark是一个开源的数据包分析工具，可用于在网络中捕获和分析各种协议的数据包。

Wireshark提供了直观的界面和丰富的功能，支持多种协议解析和过滤器设置，方便用户进行数据包的分析与监测。

2.2 tcpdumptcpdump是一个命令行工具，可用于在Linux系统上对网络进行监听和捕获数据包。

网络监听实验报告一、实验目的利用Sniffer软件捕获网络信息数据包，然后通过解码进行分析。

通过实验，了解网络监听原理和过程。

二、实验环境及设备硬件：可以用三台真机：三台PC、一台集线器或交换机、网线若干；或也可以用三台虚拟机：一台内存不少于2GB的PC，用VMware虚拟机软件建立三台虚拟机，要求能流畅运行。

软件：Windows XP Professional SP3，IIS组件包（用于搭建FTP服务器），Sniffer软件。

三、实验内容将三台PC组建成一个局域网；将其中的A机搭建为FTP服务器，并将服务器设置为要求用户名和密码登录；B机作为A机FTP服务的访问者，知道A机FTP服务的用户名和密码；C机作为监听者，装有Sniffer软件，监听A、B两机的通信，以监听到A机的FTP 服务用户名和密码为最终目标。

四、实验详细步骤本实验内容分为三个过程：1、准备三台PC，将三台PC组建成一个局域网，以能互相ping通为成功标志。

（1）物理连接：若用三台实体PC，用交换机连接成网络；若用三台虚拟机，则都使用“桥接”方式连接成网络，操作方法为：选定需设置的虚拟机→“虚拟机”菜单→“设置”命令→“硬件”选项卡→“Network Adapter”→“桥接：直接连接到物理网络”。

（2）分配IP地址设置三台电脑IP地址在同一个网段，IP地址分配如下表。

设备IP 地址任务分配A机IP地址:192.168.1.1子网掩码：255.255.255.0FTP服务器B机IP地址:192.168.1.2子网掩码：255.255.255.0FTP服务访问者C机IP地址:192.168.1.3子网掩码：255.255.255.0监听者，利用Sniffer监听，捕获登录账号和密码IP地址设置好后，关闭防火墙，测试三台电脑能否互相ping通。

关闭防火墙方法：右击桌面“网上邻居”→属性→右击“本地连接”→属性→“高级”选项卡→“设置”按钮→“常规”选项卡→选中“关闭（不推荐）”。

河南工业职业技术学院毕业设计任务书类别：三年制高职专业：计算机网络技术班级: 网络姓名：托尔毕业设计题目：局域网的数据包监听及数据分析指导教师及联系方式：负责人签字：年月日设计任务及要求：1、认真学习sinffer的使用方法。

2、使用sinffer抓出ftp、http、mail等服务工作数据包。

3、分析收集到的数据包的结构，描述出上述协议的工作过程，写出分析报告4、用java语言编写文件传送的应用程序应完成的硬件或软件实验：1、分析ftp、http、mail的数据包的结构2、 java语言编写文件传送的应用程序应交出的设计文件及实物(包括设计论文、程序清单或磁盘、实验装置或产品等)：1、设计论文2、文件传送的应用程序指导教师（签字）：年月日摘要Internet 是20世纪最伟大的发明之一，它将全世界数以万计的计算机设备连接成一个巨大的网络，并使它们能在彼此之间迅速方便的传输信息，整个世界好像突然变小了，改变整个世界的不只是Internet本身，还有无法计数的构筑在其上的TCP/IP协议簇的体系结构及各层组成协议的工作机制。

通过电子邮件，信件的往来不再需要几天甚至几周了，WWW通过Web页面容合了文本，图像，声音，和视频等多种信息，给人类带来了丰富多彩的网络世界。

文件的共享已不再困难，FTP的出现，促进文件的共享；间接或隐式地使用远程计算机；使不同的文件存储系统对用户来讲是透明的，因此本文主要阐述了目前网络所使用的网络应用Email ,HTTP,FTP等协议工作原理，做了简单的介绍，并对最广泛的监听工具sniffer做了简单的概述。

【关键词】网络协议Sniffer_pro 协议分析HTTP FTP引言目前，网络的速度发展非常快，学习网络的人也越来越多，稍有网络常识的人都知道TCP/IP协议是网络的基础，是Internet的语言，可以说没有TCP/IP协议就没有互联网的今天。

目前号称搞网的人非常多，许多人就是从一把夹线钳，一个测线器联网开始接触网络的，如果只是联网玩玩，知道几个Ping之类的命令就行了，如果想在网络上有更多的发展不管是黑道还是红道，必须要把TCP/IP协议搞的非常明白。

网络数据包的监听与分析实验报告实验目的:了解以太网的帧格式, 认识TCP/IP协议模型的层次结构.实验要求:用WinPcap 开发包编程实现网络数据包的监听与分析.实验原理:根据TCP/IP协议模型各层的结构, 将流经以太网卡的二进制数据流进行分析、提取头信息, 将得到的信息打包, 通过消息汇报给交互窗口并显示出来.实验内容:1.协议数据结构: 根据以太网帧格式、IPv4 的报文格式以用高一层的协议(如TCP、UDP、ICMP)报头格式定义各层数据结构.2.包监控类(PacketMonitor): 利用WinPcap开发包可以方便的实现整个以太网帧的获取.成员函数:find_devs: 获取本机所有网络接口设备, 以提供用户选择所要监听的网络接口卡.start: 开启监听线程, 开始监听流经网卡的帧.stop: 挂起监听线程, 停止监听.析构函数: 释放所保存的网络接口设备信息.监听线程(g_listen): 负责监听、分析网络二进制数据帧, 将得到的帧解析成字符串形式, 并打包发送到交互(主)窗口. 在主窗口显示列表各栏中显示帧的相关信息.3.交互类(CSniffDlg): 提供用户选择要监听的网络接口卡, 显示分析后的帧信息.FindNic: 获得网络接口卡, 间接调用find_devs.OnSelchangeNic: 选择接口卡的响应函数OnSelchangeIp: 选择要查询的IP相关的网络掩码、广播地址和网卡设备名.OnIncomePacket: 响应监听线程报告的分析信息.OnSniff: 启动、停止监听工作.实验结果:可以正确监听发到本机的或广播帧, 如果在共享以太网中运行, 应该也能收到网段中其它主机的数据包.。

实验五抓包分析实验——Iris的使用【实验目的】熟悉和掌握抓包工具Iris的使用；利用Iris进行网络抓包实验并做简单分析。

【预备知识】网络嗅探：以太网的数据传输是基于“共享”原理的：所有的同一本地网范围内的计算机共同接收到相同的数据包。

这意味着计算机直接的通讯都是透明可见的。

正是因为这样的原因，以太网卡都构造了硬件的“过滤器”来忽略掉一切和自己无关的网络信息（事实上是忽略掉了与自身MAC地址不符合的信息）。

而网络嗅探程序利用了这个特点，它主动的关闭了过滤器，也就是设置了网卡“混杂模式”，此时，嗅探程序就能够接收到整个以太网内的网络数据信息，并加以分析。

通过对得到的数据包进行一定的分析，网络嗅探程序可能得到许多有价值的信息，包括机密数据，账户密码等，得到有用信息的难易程度，取决于许多因素，例如数据包的类型，加密程度等。

【实验环境】以一组同学为例PC1：Windows 2000 Professional＋SP2，IP地址为‘192.168.0.1’PC2：Windows 2000 Professional＋SP2，IP地址为‘192.168.0.2’PC3：Windows 2000 Server＋SP2，IP地址为‘192.168.0.3’其中PC2安装Iris进行抓包，PC1主要用来向PC3发包。

【实验工具】Iris.exe：Version 2.0 英文版；eEye公司；共享软件；网络嗅探工具，可以抓取并分析在共享式网络中传输的数据包，通过分析数据包可能得到许多有价值的信息，特别是帐户密码信息。

【实验过程与步骤】步骤一：配置Iris1．启动PC2上安装的Iris（如果是第一次使用，会提示你设置adapters，即软件所使用的网卡，如图6-1）图6-1 网卡设置2. Tools－>setting可做各项配置，选默认设置即可（如图6-2）。

图6-2 捕捉方式选项3. Filters－>Edit filter设置包过滤规则，可针对多种参数进行设置，选择抓取包的类（如图6-3）。

计算机网络中的数据包分析技术研究在现代社会中，随着计算机网络的普及和应用领域的不断扩大，数据通信也变得越来越重要。

数据包分析技术是计算机网络中的一个重要部分，它可以帮助我们深入分析网络中的数据流，帮助我们找到存在的问题和解决方案。

本文将介绍计算机网络中的数据包分析技术，并探讨其在网络安全和网络性能优化方面的应用。

一. 数据包分析技术的基础数据包是在计算机网络中传输数据的基本单元。

数据包由帧头、数据、帧尾三部分组成。

帧头和帧尾记录了数据包的相关信息，比如发送者和接收者的地址以及数据包的长度。

数据包的数据部分包含了所要传输的数据。

为了将数据传输到目标地址，数据包必须经过网络中的多个节点，包括路由器、交换机、防火墙等。

在这个过程中，数据包的路径和每个节点的处理信息都被记录在了数据包中。

数据包分析技术就是基于这些记录的信息，通过对数据包进行捕获、过滤、分析和可视化，来深入研究网络行为和问题。

二. 数据包分析技术的应用1. 网络安全数据包分析技术在网络安全领域有广泛的应用。

网络安全问题可能源于恶意攻击、安全漏洞或配置错误等原因，这些问题可能会导致数据泄露、系统崩溃或服务故障等严重后果。

数据包分析技术可以通过分析数据包，识别存在的安全威胁，并提供相应的解决方案。

例如，数据包分析可以发现网络中的恶意软件或病毒，通过识别包含这些恶意代码的数据包的源和目的地，可以有效限制它们的传播。

数据包分析也可以用于检测和防止网络钓鱼和电子邮件欺诈等网络攻击。

2. 网络性能优化数据包分析技术也可以用于网络性能优化。

网络性能问题通常是由网络带宽拥塞、服务质量低下、丢包率高等原因造成的。

数据包分析可以捕获和分析在网络中存在的这些问题，然后针对性地采取相应的措施来解决它们。

例如，数据包分析可以用于识别网络中的瓶颈和瓶颈位置，进而提出建议来优化网络拓扑结构和流量管理策略。

数据包分析还可以帮助识别网络质量问题，例如延迟、丢包、重传等，然后建立相应的解决方案。

实验5-网络中数据包的监听和分析实验5 网络中数据包的监听和分析一. 实验目的及要求1、掌握Windows server 2003网络监视器的应用，学习如何在Windows下监控网络内部状态的基本技术，并通过实际观察数据包了解网络协议分层的实际意义。

2、通过构造捕获筛选程序，捕获并分析满足条件的数据帧。

3、通过设置捕获触发器，在指定触发时间出现后停止数据的捕获。

二. 实验设备及条件硬件：PC机、网卡、已经设定好的以态网环境软件：Windows server 2003操作系统三. 实验内容1、学会网络监视器的使用2、利用网络监视器对本机的IP报文进行分析3、了解TCP三次握手的原理TCP握手协议简介在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。

第一次握手：建立连接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SEND 状态，等待服务器确认；第二次握手：服务器收到syn包，必须确认客户的SYN （ack=j+1），同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态；第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

完成三次握手，客户端与服务器开始传送数据。

四. 实验步骤1、添加网络监视器组件在进行实验之前，先确认计算机中是否已经安装了网络监视器组件。

打开“开始”菜单，选择“程序”->“管理工具”，然后看看里面有没有“网络监视器”。

如果已有，则跳过本操作下面的内容，否则可按如下步骤进行添加：先进入“开始”->”控制面板”->“添加/删除程序”，选择“添加/删除Windows 组件”中的“管理和监视工具”选项，双击鼠标可以打开“详细资料”窗口，最后选中“网络监视工具”选项进行组件的添加。

北京信息科技大学信息管理学院
ICMP:
类型：8，查书可知为询问报文
1.实验名称、实验目的、实验内容、实验要求由教师确定，实验前由教师事先填好，然后作为实验报告模版供学生使用；
2.实验准备由学生在实验或上机之前填写，教师应该在实验前检查；
3.实验过程由学生记录实验的过程，包括操作过程、遇到哪些问题以及如何解决等；
4.实验总结由学生在实验后填写，总结本次实验的收获、未解决的问题以及体会和建议等；
5.源程序、代码、具体语句等，若表格空间不足时可作为附录另外附页。

实验2网络数据包的监听与分析（参考答案）实验2 网络数据包的监听与分析一实验目的1.掌握使用Wireshark软件监听和捕获网络数据包。

2.掌握通过实际观察网络数据进行分析而了解网络协议运行情况。

二实验要求1.设备要求：计算机若干台（装有Windows 2000/XP/2003操作系统、装有网卡），局域网环境，主机装有Wireshark工具。

2.每组1人，独立完成。

三实验预备知识1.Wireshark简介Wireshark是一个开放源码的网络分析系统，也是是目前最好的开放源码的网络协议分析软件之一，支持Linux和Windows平台，支持500多种协议分析。

网络分析系统首先依赖于一套捕捉网络数据包的函数库。

这套函数库工作在在网络分析系统模块的最底层。

作用是从网卡取得数据包或者根据过滤规则取出数据包的子集，再转交给上层分析模块。

从协议上说，这套函数库将一个数据包从链路层接收，将其还原至传输层以上，以供上层分析。

在Linux系统中，1992年Lawrence Berkeley Lab的Steven McCanne 和Van Jacobson提出了包过滤器，称之为BPF（BSD Packet Filter），设计了基于BPF的捕包函数库Libpcap。

在Window系统中，意大利人Fulvio Risso和Loris Degioanni提出并实现了Winpcap函数库，其实现思想来源于BPF。

2.Wireshark的简单操作方法安装Wireshark之前，需要安装Winpcap，安装过程比较简单。

安装完成后，启动Wireshark，如图2.1所示。

图2.1 启动Wireshark后的界面设置Capture选项。

选择“Capture”-“Options”，弹出“Capture Options”界面，设置完成后点击“Capture”而开始捕获数据，如图2.2所示。

图2.2 “Capture Options”界面在“Capture Options”界面中，主要选项如下：“Interface”是要求选择在哪个接口（网卡）上抓包。