ip数据包的捕获与解析代码

ip数据包的捕获与解析代码//packcapturedlg.h:headerfile#defineipv4_wersion4#defineipv6_wersion6#defineic mp_packet1#defineigmp_packet2#definetcp_packet6#defineegp_packet8#defineudp_pa cket17#defineospf_packet89classcpackcapturedlg:publiccdialog{public://{{afx_data(cfindhostdlg)enum{ido=ido_packcapture_dialog};intm_count;cstringm_packet;//}}afx_dataprotected://{{afx_msg(cfindhostdlg)afx_msgvoidoncapture();//}}afx_msgprivate:typedefstructip_head//ip头部结构{union{unsignedcharversion;//版本（字节前四位）unsignedcharheadlen;//头部长度（字节后四位）};unsignedcharservicetype;//服务类型unsignedshorttotallen;//总长度unsignedshortidentifier;//标识符union{unsignedshortflags;//标志位（字前三位）unsignedshortfragoffset;//片偏移（字后13位）};unsignedchartimetolive;//存活周期unsignedcharprotocol;//协议unsignedshortheadchecksum;//头部校验和unsignedintsourceaddr;//源ip地址unsignedintdestinaddr;//目的ip地址}ip_head;typedefstructicmp_head//icmp头部结构{unsignedchartype;//类型unsignedcharcode;//代码unsignedshortheadchecksum;//头部校验和unsignedshortidentifior;//标识符unsignedshortsequence;//序号}icmp_head;};//packcapturedlg.cpp:implementationfile#include\#include\#include\#include\#include\#defineio_rcvall_wsaiow(ioc_vendor,1)voidcpackcapturedlg::oncapture(){wsadataw sadata;//创建与socket库存取if(wsastartup(makeword(2,2),&wsadata)!=0){messagebox(\初始化失利!\return;}socketsocket;//创建原始socketsocket=socket(af_inet,sock_raw,ipproto_ip);if(socket==invalid_socket){me ssagebox(\创建socket失败!\wsacleanup();return;}intrecvtime=5000;//设置socket 操作选项if(setsockopt(socket,sol_socket,so_rcvtimeo,(char*)&recvtime,sizeof(recvtime)) ==socket_error){messagebox(\设置socket选项失败！\closesocket(socket);wsacleanup();return;}charhostname[128];//获得本地主机名称if(gethostname(hostname,128)==socket_error){messagebox(\获得主机名失败！\closesocket(socket);wsacleanup();return;}hostent*phostent;//获得本地主机ip地址phostent=gethostbyname(hostnmae);if(phostent==null){messagebox(\获得主机地址失败！\closesocket(socket);wsacleanup();return;}sockaddr_inhostaddr;//定义socket地址结构memset(&hostaddr,0,sizeof(hostaddr));hostaddr.sin_family=af_inet;hostaddr.sin_ addr.s_addr=(*(in_addr*)phostent->h_addr).s_addr;intnbind;//绑定socket与网卡nbind=bind(socket,(psockaddr)&hostaddr,sizeof(hostaddr));if(nbind==socket_erro r){messagebox(\绑定socket失败！\closesocket(socket);wsacleanup();return;}dworddwvalue=1;//设置socket拒绝接受模式if(ioctlsocket(socket,io_rcvall,&dwvalue)==socket_error){messagebox(\设置socket接收器失利！\closesocket(socket);wsacleanup();return;}updatedata(true);m_packet=\版本总长度标志位片偏转协议源地址目的地址\\r\\n\for(inti=0;i>4)==ipv4_version)str.format(\if((iphead.version>>4)==ipv6_ version)str.format(\m_packet+=str;str.format(\m_packet+=str;str.format(\m=%u\m_packet+=str;str.format(\m_packet+=str;switch(iphead.protocol){caseicmp_packet:str.format(\break;caseigmp_packet:str.format(\break;casetcp_pa cket:str.format(\break;caseegp_packet:str.format(\break;caseudp_packet:str.for mat(\break;caseospf_packet:str.format(\break;};m_packet+=str;str.format(\m_pac ket+=str;str.format(\m_packet+=str;m_packet+=\}}updatedata(false);closesocket(socket);wsacleanup();//中止与socket库存取}。

wireshark捕获过滤指定ip地址数据包使⽤捕获过滤或显⽰过滤，wireshark可以仅捕获/显⽰经过指定ip的数据包，即某个ip收到或发出的所有数据包。

wireshark捕获/显⽰过滤使⽤⽅法见：“”显⽰过滤：wireshark过滤经过指定ip的数据包显⽰过滤可以完整的复现测试时的⽹络环境，但会产⽣较⼤的捕获⽂件和内存占⽤。

ip.addr ==192.168.1.1 //显⽰所有⽬标或源地址是192.168.1.1的数据包ip.dst==192.168.1.1 //显⽰⽬标地址是192.168.1.1的数据包ip.src ==192.168.1.1 //显⽰源地址是192.168.1.1的数据包eth.addr== 80:f6:2e:ce:3f:00 //根据MAC地址过滤，详见“”ip.src==192.168.0.0/16 //⽹络过滤，过滤⼀个⽹段捕获过滤：wireshark捕获经过指定ip的数据包捕捉过滤抓包前在capture option中设置，仅捕获符合条件的包，可以避免产⽣较⼤的捕获⽂件和内存占⽤，但不能完整的复现测试时的⽹络环境。

host 192.168.1.1 //抓取192.168.1.1 收到和发出的所有数据包src host 192.168.1.1 //源地址，192.168.1.1发出的所有数据包dst host 192.168.1.1 //⽬标地址，192.168.1.1收到的所有数据包src host hostname //根据主机名过滤ether host 80:05:09:03:E4:35 //根据MAC地址过滤net 192.168.1 //⽹络过滤，过滤整个⽹段src net 192.168dst net 192使⽤“⾮/且/或”建⽴组合过滤条件可以获得更精确的捕获⾮: ! or “not” (去掉双引号)且: && or “and”或: || or “or”wirershark过滤指定ip收发数据包⽰例：抓取所有⽬的地址是192.168.1.2 或192.168.1.3 端⼝是80 的TCP 数据(tcp port 80) and ((dst host 192.168.1.2) or (dst host192.168.1.3)) //捕获过滤tcp.port==80&&(ip.dst==192.168.1.2||ip.dst==192.168.1.3) //显⽰过滤抓取所有⽬标MAC 地址是80:05:09:03:E4:35 的ICMP 数据(icmp) and ((ether dst host 80:05:09:03:E4:35))icmp && eth.dst==80:05:09:03:E4:35抓取所有⽬的⽹络是192.168，但⽬的主机不是192.168.1.2 的TCP 数据(tcp) and ((dst net 192.168) and (not dst host 192.168.1.2))tcp&&ip.src==192.168.0.0/16&&!(ip.src==192.168.1.2)捕获主机192.168.1.1 和主机192.168.1.2 或192.168.1.3的通信host 192.168.1.1 and (192.168.1.2 or 192.168.1.3 )ip.addr==192.168.1.1&&(ip.addr==192.168.1.2||ip.addr==192.168.1.3)获取主机192.168.1.1除了和主机192.168.1.2之外所有主机通信的数据包host 192.168.1.1 and ! 192.168.1.2ip.addr==192.168.1.1&&!ip.addr==192.168.1.2获取主机192.168.1.1接收或发出的telnet包，telnet使⽤tcp 23端⼝tcp port 23 and host 192.168.1.1tcp.port==23&&ip.addr==192.168.1.1。

网络协议分析课程设计之协议编程实验一帧封装实验目的：•编写程序，根据给出的原始数据，组装一个IEEE 802.3格式的帧（题目）默认的输入文件为二进制原始数据（文件名分别为input1和input2））。

•要求程序为命令行程序。

比如，可执行文件名为framer.exe，则命令行形式如下：framer inputfile outputfile，其中，inputfile为原始数据文件，outputfile为输出结果。

•输出:对应input1和input2得结果分别为output1和output2。

试验要求：•编写程序，根据给出的原始数据，组装一个IEEE 802.3格式的帧（题目）默认的输入文件为二进制原始数据（文件名分别为input1和input2））。

•要求程序为命令行程序。

比如，可执行文件名为framer.exe，则命令行形式如下：framer inputfile outputfile，其中，inputfile为原始数据文件，outputfile为输出结果。

输出:对应input1和input2得结果分别为output1和output2验设计相关知识：帧：来源于串行线路上的通信。

其中，发送者在发送数据的前后各添加特殊的字符，使它们成为一个帧。

Ethernet从某种程度上可以被看作是机器之间的数据链路层连接。

按802.3标准的帧结构如下表所示（802.3标准的Ethernet帧结构由7部分组成）802.3标准的帧结构其中，帧数据字段的最小长度为46B 。

如果帧的LLC 数据少于46B ，则应将数据字段填充至46B 。

填充字符是任意的，不计入长度字段值中。

在校验字段中，使用的是CRC 校验。

校验的范围包括目的地址字段、源地址字段、长度字段、LLC 数据字段。

循环冗余编码(CRC)是一种重要的线性分组码、编码和解码方法，具有简单、检错和纠错能力强等特点，在通信领域广泛地用于实现差错控制。

CRC 校验码的检错能力很强，不仅能检查出离散错误，还能检查出突发错误。

网络层数据包抓包分析一.实验内容（1）使用Wireshark软件抓取指定IP包。

（2）对抓取的数据包按协议格式进行各字段含义的分析。

二.实验步骤（1）打开Wireshark软件，关闭已有的联网程序（防止抓取过多的包），开始抓包；（2）打开浏览器，输入/网页打开后停止抓包。

（3）如果抓到的数据包还是比较多，可以在Wireshark的过滤器（filter）中输入http，按“Apply”进行过滤。

过滤的结果就是和刚才打开的网页相关的数据包。

（4）在过滤的结果中选择第一个包括http get请求的帧，该帧用于向/网站服务器发出http get请求（5）选中该帧后，点开该帧首部封装明细区中Internet Protocol 前的”+”号，显示该帧所在的IP包的头部信息和数据区：（6）数据区目前以16进制表示，可以在数据区右键菜单中选择“Bits View”以2进制表示：（注意:数据区蓝色选中的数据是IP包的数据，其余数据是封装该IP包的其他层的数据）回答以下问题：1、该IP包的“版本”字段值为_0100_(2进制表示)，该值代表该IP包的协议版本为：√IPv4□IPv62、该IP包的“报头长度”字段值为__01000101__(2进制表示)，该值代表该IP包的报头长度为__20bytes__字节。

3、该IP包的“总长度”字段值为___00000000 11101110___ (2进制表示)，该值代表该IP包的总长度为__238__字节，可以推断出该IP包的数据区长度为__218__字节。

4、该IP包的“生存周期”字段值为__01000000__ (2进制表示)，该值代表该IP包最多还可以经过___64__个路由器5、该IP包的“协议”字段值为__00000110__ (2进制表示) ，该值代表该IP包的上层封装协议为__TCP__。

6、该IP包的“源IP地址”字段值为__11000000 1010100000101000 00110011__ (2进制表示) ，该值代表该IP包的源IP地址为_192_._168_._40_._51_。

以太帧和ARP包协议分析实验一、目的1、理解以太帧格式2、理解ARP协议格式和ARP 协议的工作原理二、实验类型验证类实验三、实验步骤一：运行wireshark开始捕获数据包，如图所示点击第二行的start开始捕获数据包。

启动界面：抓包界面的启动是按file下的按钮（或capture下的interfaces）之后会出现这个是网卡的显示，因为我有虚拟机所以会显示虚拟网卡，我们现在抓的是真实网卡上的包所以在以太网卡右边点击start 开始抓包。

（捕捉本地连接对应的网卡，可用ipconfig/all 查看）二：几分钟后就捕获到许多的数据包了，主界面如图所示：如上图所示，可看到很多捕获的数据。

第一列是捕获数据的编号；第二列是捕获数据的相对时间，从开始捕获算为0.000秒；第三列是源地址，第四列是目的地址；第五列是数据包的信息。

选中第一个数据帧，然后从整体上看看Wireshark的窗口，主要被分成三部分。

上面部分是所有数据帧的列表；中间部分是数据帧的描述信息；下面部分是帧里面的数据。

三：开始分析数据1.打开“命令提示符”窗口，使用“arp -a”命令查看本地计算机ARP高速缓存。

2.使用“arp -d”命令清除本地计算机ARP高速缓存，再使用“arp -a”命令查看。

此时，本地计算机ARP高速缓存为空。

3.在下图中Filter后面的编辑框中输入：arp（注意是小写），然后回车或者点击“Apply”按钮将计算机与数据设备相连（3928或路由器），参见静态路由配置。

3.此时，网络协议分析软件开始捕获数据，在“命令提示符”窗口中PING同一子网中的任意主机。

（计算机Aping计算机B）因为PING命令的参数为IP地址，因此使用PING命令前，需要使用ARP机制将IP地址转换为MAC地址，这个过程用户是无法感知的。

因为我们在使用PING命令前已经开始网络数据包捕获，因此，此时网络协议分析软件将捕获到ARP解析数据包。

wireshark抓包语句
Wireshark是一款功能强大的网络协议分析工具，可以捕获和分析网络数据包。

通过使用Wireshark抓包语句，可以获取网络通信中的各种信息，包括协议类型、源IP地址、目标IP地址、端口号等。

以下是一些使用Wireshark抓包语句的示例：
1. 抓取所有传输层协议为TCP的数据包：
`tcp`
2. 抓取源IP地址为192.168.1.1的数据包：
`ip.src == 192.168.1.1`
3. 抓取目标IP地址为192.168.1.1的数据包：
`ip.dst == 192.168.1.1`
4. 抓取源端口号为80的数据包：
`tcp.srcport == 80`
5. 抓取目标端口号为80的数据包：
`tcp.dstport == 80`
6. 抓取源IP地址为192.168.1.1且目标IP地址为192.168.1.2的数据包：
`ip.src == 192.168.1.1 && ip.dst == 192.168.1.2`
7. 抓取HTTP协议的数据包：
`http`
8. 抓取FTP协议的数据包：
`ftp`
9. 抓取所有传输层协议为UDP的数据包：
`udp`
10. 抓取包含特定关键词的数据包：
`contains "keyword"`
通过使用这些Wireshark抓包语句，可以根据实际需要捕获和分析特定的网络数据包，以便进行网络故障排除、网络安全分析等工作。

使用Wireshark抓包语句可以帮助我们更好地理解网络通信过程，并解决与网络相关的问题。

实验⼆IP报⽂的捕获与分析实验⼆ IP报⽂的捕获与分析——实验报告⼀、实验⽬的（1）掌握IP协议报⽂格式。

（2）对捕捉到的包进⾏IP分析。

⼆、实验内容⽤Wireshark过滤出IP数据包，查看并分析具体的IP包的内容。

三、实验原理1、wireshark简介Wireshark（前称Ethereal）是⼀个⽹络封包分析软件。

⽹络封包分析软件的功能是撷取⽹络封包，并尽可能显⽰出最为详细的⽹络封包资料。

在GNUGPL通⽤许可证的保障范围底下，使⽤者可以以免费的代价取得软件与其程式码，并拥有针对其源代码修改及客制化的权利。

Ethereal是⽬前全世界最⼴泛的⽹络封包分析软件之⼀。

Wireshark可以帮助⽹络管理员检测⽹络问题，帮助⽹络安全⼯程师检查资讯安全相关问题，开发者使⽤Wireshark来为新的通讯协议除错，普通使⽤者使⽤Wireshark来学习⽹络协定的相关知识当然，有的⼈⽤它来寻找⼀些敏感信息Wireshark不是⼊侵侦测软件（Intrusion DetectionSoftware,IDS）。

对于⽹络上的异常流量⾏为，Wireshark不会产⽣警⽰或是任何提⽰。

然⽽，仔细分析Wireshark撷取的封包能够帮助使⽤者对于⽹络⾏为有更清楚的了解。

Wireshark不会对⽹络封包产⽣内容的修改，它只会反映出⽬前流通的封包信息，它也不会送出封包⾄⽹络上2、IP数据报格式IP数据报TCP/IP协议定义了⼀个在因特⽹上传输的包，称为IP数据报(IP Datagram)。

这是⼀个与硬件⽆关的虚拟包，由⾸部和数据两部分组成。

⾸部的前⼀部分是固定长度，共20字节，是所有IP数据报必须具有的。

在⾸部的固定部分的后⾯是⼀些可选字段，其长度是可变的。

⾸部中的源地址和⽬的地址都是IP协议地址。

IP数据包格式如图1所⽰。

图1 IP报⽂格式上⽹查找资料，整理如下更详细更易懂的IP报⽂格式与字段含义：IP协议偏移量0~34~78~1516~1819~31偏移量0~34~78~1516~1819~31 0版本⾸部长度服务类型总长度32标识符标识分段偏移64存活时间协议⾸部校验和96源IP地址128⽬的IP地址160选项160或192+数据IP报⽂字段含义版本指 IP 协议所使⽤的版本。

网络数据传输管理技术的数据包捕获与分析随着网络技术的不断发展和普及，网络数据传输管理技术也变得日益重要。

在网络数据传输管理技术中，数据包的捕获与分析是至关重要的一环。

本文将探讨网络数据传输管理技术中数据包捕获与分析的相关内容。

一、数据包捕获数据包捕获是指通过某种方式，将经过网络传输的数据包进行截取和记录。

在网络数据传输管理技术中，数据包捕获可以通过网络抓包软件来实现。

网络抓包软件可以监控网络上的数据流量，实时捕获经过网络的数据包，并对其进行记录和分析。

网络抓包软件通常包括了一些高级的过滤功能，可以根据协议类型、源地址、目的地址、端口号等条件来进行数据包的过滤和捕获。

通过数据包捕获，管理员可以获取到网络上的实时数据流量信息，发现网络异常、故障和安全问题，进行网络性能分析和优化，以及进行网络安全审计和监控等工作。

二、数据包分析数据包分析是指对捕获到的数据包进行解析和分析，从中获取有价值的信息。

数据包分析可以帮助管理员了解网络上的通信情况、发现网络问题、排查安全隐患、进行性能优化等工作。

数据包分析通常包括了对数据包的解码、重组、协议分析、数据流重建、异常检测等内容。

网络数据包通常采用的是分层协议结构，如TCP/IP协议栈。

因此，在数据包分析过程中，需要对数据包进行相应协议的解析和分层重组，才能获取到更多有用的信息。

网络数据包分析工具通常提供了丰富的分析功能，如协议解析、数据流重建、流量统计、异常检测等。

通过这些功能，管理员可以对网络数据包进行深入分析，发现网络性能问题、排查网络安全问题、进行网络优化等工作。

三、数据包捕获与分析的重要性数据包捕获与分析在网络数据传输管理技术中具有重要的地位和作用。

首先，数据包捕获与分析可以帮助管理员了解网络上的通信情况，监控网络性能，发现网络异常和故障。

其次，数据包捕获与分析可以帮助管理员排查网络安全问题，进行网络安全审计和监控。

再次，数据包捕获与分析可以帮助管理员进行网络性能优化，提高网络的传输效率和稳定性。

任务三网络编程一、实验目的捕获本机网卡的IP包，对捕获的IP包进行解析.要求必须输出以下字段：版本号、总长度、标志位、片偏移、协议、源地址和目的地址。

二、实验环境平台：Windows编程环境：VC 6。

0语言：C++三、实验原理3.1 数据报格式以太帧由一个包含三个字段的帧头开始，前两个字段包含了物理地址,各六个字节,头部的第三个字段包含了 16 位的以太帧类型，帧头后面是数据区。

根据帧类型可以判断是哪种数据包，一般常用的有 0X0080（IP 数据包)、 0X0806（ARP 请求／应答）和 0X8035(RARP 请求／应答)三种类型.TCP／IP 协议簇中位于网络层的协议，也是最为核心的协议。

所有的 TCP, UDP， ICMP及 IGMP 数据都以 IP 数据报格式传输。

IP 协议提供了无连接的、不可靠的数据传输服务。

同时IP 协议的一个重要功能是为网络上的包传递提供路由支持。

TCP／IP 协议使用 IP 数据报这个名字来指代一个互联网数据包。

IP 数据报由两部分组成，前面的头部和后面的数据区，头部含有描述该数据报的信息，包括源 IP 地址和目的 IP 地址等。

在 IP 数据报的报头中的众多信息可根据协议类型字段区分出该数据包的类型，常用的有TCP 包、 UDP 包、 ICMP 包等，各格式分别如下所示：IP数据报格式TCP数据报格式ICMP数据报格式UDP数据报格式3。

2 捕获数据包方法目前常用的捕获数据包的方法有原始套接字、LibPcap、WinPcap和JPcap等方法.本次实验选用套接字方法。

套接字是网络应用编程接口。

应用程序可以使用它进行网络通信而不需要知道底层发生的细节。

有时需要自己生成一些定制的数据包或者功能并希望绕开Socket提供的功能,原始套接字（RawSocket)满足了这样的要求。

原始套接字能够生成自己的数据报文，包括报头和数据报本身的内容。

通过原始套接字，可以更加自如地控制Windows下的多种协议，而且能够对网络底层的传输机制进行控制.网络数据包截获机制一般指通过截获整个网络的所有信息流,根据信息源主机，目标主机,服务协议端口等信息，简单过滤掉不关心的数据，再将用户感兴趣的数据发送给更高层的应用程序进行分析。

IP及IPSEC协议数据包的捕获与分析为了掌握掌握IP和IPSEC协议的工作原理及数据传输格式，熟悉网络层的协议。

我进行了以下实验：首先用两台PC互ping并查看其IP报文，之后在两台PC上设置IPSEC互ping并查看其报文。

最终分析两者的报文了解协议及工作原理。

一、用两台PC组建对等网：将PC1与PC2连接并分别配置10.176.5.119和10.176.5.120的地址。

如图1-1所示。

图1-1二、两PC互ping：IP数据报结构如图1-2所示。

图1-2我所抓获的报文如图1-3，图1-4所示：图1-3 请求包图1-4 回应包分析抓获的IP报文：(1)版本：IPV4(2)首部长度：20字节(3)服务：当前无不同服务代码，传输忽略CE位，当前网络不拥塞(4)报文总长度：60字节(5)标识该字段标记当前分片为第1367分片(6)三段标志分别指明该报文无保留、可以分段，当前报文为最后一段(7)片偏移：指当前分片在原数据报（分片前的数据报）中相对于用户数据字段的偏移量，即在原数据报中的相对位置。

(8)生存时间：表明当前报文还能生存64(9)上层协议：1代表ICMP(10)首部校验和：用于检验IP报文头部在传播的过程中是否出错(11)报文发送方IP：10.176.5.120(12)报文接收方IP：10.176.5.119(13)之后为所携带的ICMP协议的信息：类型0指本报文为回复应答，数据部分则指出该报文携带了32字节的数据信息，通过抓获可看到内容为：abcdefghijklmnopqrstuvwabcdefghi三、IPSec协议配置：1、新建一个本地安全策略。

如图1-5。

图1-52、添加IP安全规则。

如图1-6.图1-6 3、添加IP筛选器。

如图1-7，图1-8，图1-9图1-7图1-8 图1-9 4、设置筛选器操作，如图1-10，图1-11所示图1-10图1-115、设置身份验证方法，预共享密钥：123456789，如图1-12所示图1-12 6、将设置好的本地安全策略分配，如图1-13所示图1-13 四、两PC配置IPSEC互ping，并抓获报文分析：所抓取报文如下图1-14所示图1-14下图1-15为协议协商部分报文：图1-15分析：(1)发起方的SPI为：1cfe1a3b68487806(2)响应方的SPI为：未知(3)本报文作用为协商IKE策略(4)交换模式为主模式(5)有效载荷类型：策略协商(6)载荷长度：56(7)解释域为IPSEC协议(8)第二段有效载荷类型为建议部分(9)第二段有效载荷类型为传输，内容是IKE策略下图1-16为KEY交换部分报文：图1-16分析：作用为通过协商DH产生第一阶段的密码。

Linux命令高级技巧使用tcpdump进行网络流量分析TCPdump是一种在Linux系统中常用的网络流量分析工具。

它可以用来捕获、解析和分析网络数据包，帮助网络管理员诊断、监视和调试网络问题。

本文将介绍一些使用TCPdump进行网络流量分析的高级技巧。

一、TCPdump简介TCPdump是一个基于命令行的工具，它可以直接在终端中运行。

通过指定一些参数和过滤条件，TCPdump可以捕获特定网络接口上的数据包，并将其以可读格式显示出来。

用户可以根据需要选择捕获的数据包类型、过滤条件和输出格式等。

二、指定网络接口在使用TCPdump进行网络流量分析之前，我们需要先指定要捕获数据包的网络接口。

可以通过以下命令来列出系统中的网络接口：```$ ifconfig -a```根据显示的结果，选择正确的网络接口进行捕获。

例如，如果我们要捕获eth0接口上的数据包，可以使用以下命令：```$ tcpdump -i eth0```三、捕获特定类型的数据包TCPdump支持捕获多种类型的数据包，例如IP、TCP、UDP、ICMP等。

可以通过加入过滤条件来只捕获特定类型的数据包。

以下是一些常见的过滤条件示例：1. 捕获所有IP数据包：```$ tcpdump ip```2. 捕获所有TCP数据包：```$ tcpdump tcp```3. 捕获指定源或目的IP地址的数据包：```$ tcpdump src 192.168.1.100$ tcpdump dst 192.168.1.100```四、输出格式定制除了默认的数据包信息外，TCPdump还支持输出更多详细的信息，如协议头、时间戳等。

以下是一些常用的输出格式定制选项：1. 显示数据包的十六进制和ASCII格式：```$ tcpdump -X```2. 显示每个数据包的时间戳：```$ tcpdump -tttt```3. 显示每个数据包的来源和目的IP地址：```$ tcpdump -n```五、保存捕获的数据包TCPdump提供了将捕获的数据包保存到文件中的选项。

实验四编写协议解析器程序一、实验要求及目的使用libpcap/winpcap 进行网络抓包，并解析网络数据包的各层首部字段。

通过编写程序，捕获一段时间内以本机为源地址或者目的地址的IP 数据包，统计IP 数据包的信息，解析首部字段，匡助加深对IP 协议的工作原理和工作过程的认识以及掌握winpcap 抓包原理。

二、实验运行环境本实验是是用winpcap 进行网络抓包，基于windows 系统，下载WpdPack 4.1.2 安装包，在Visio stdio 2022 上配置winpcap 抓包环境，再编写C++代码实现网络抓包。

三、实验原理TCP/IP 协议族的分层结构包括应用层，传输层，互联网络层和主机- 网络层，其结构如图1 所示:应用层Telnet、TFP、SMTP DNS、TFTP、SNMP传输层TCP UDP互联网络层IP主机- 网络层Ethernet,Token Ring,X.25,SLIP,PPP图1 TCP/IP 协议族的分层结构其中IP 协议是保证以太网正常运行的最重要的协议之一，只要用于负责IP 寻址，路由选择和IP 数据报的分割与组装。

IP 协议是直接位于数据链路层之上，负责将源主机的报文分组发送到目的主机。

IP 协议是一种不可靠，无连接的数据报传送服务协议，它提供的是一种“竭力而为”的服务。

为了向传输层屏蔽的通信子网的差异，IP 协议制订了统一的IP 数据报格式。

IP 数据报的长度是可变的，它分为报头和数据两个部份。

基本的IP 报头是20B.选项字段的长度范围是0—40B,所以IP 数据报报头的长度是范围是20-60B。

IPV4 IP 数据报的结构如图2 所示：图2 IP 数据包格式IP 首部封装具体解释如下：(1)版本占 4 位，是指IP 协议的版本。

通信双方使用的IP 协议版本必须一致。

目前广泛使用的IP 协议版本号为4 (即IPv4 )(2)首部长度占 4 位，可表示的最大十进制数值是15。

ip数据包解析实验报告IP数据包解析实验报告引言：IP数据包解析是计算机网络领域中非常重要的一项技术，它能够帮助我们理解和分析网络通信过程中的数据传输。

在本次实验中，我们将深入学习和探索IP 数据包解析的原理和应用。

通过对实验样本的解析和分析，我们将能够更好地理解IP数据包的结构和功能，为网络通信的优化和安全提供有力的支持。

一、实验目的本次实验的主要目的是通过对IP数据包的解析，深入了解IP协议的工作原理和数据包的格式。

通过实际操作和观察，我们将能够掌握IP数据包的结构和各个字段的含义，进一步加深对计算机网络通信的理解。

二、实验环境和工具本次实验使用的环境为Windows操作系统，工具为Wireshark网络抓包工具。

Wireshark是一款功能强大的网络协议分析工具，它能够对网络数据包进行捕获和分析，提供详细的协议信息和数据解析。

三、实验步骤1. 打开Wireshark工具，选择合适的网络接口进行数据包捕获。

2. 启动网络通信应用程序，例如浏览器或者远程连接工具。

3. 在Wireshark中停止数据包捕获，然后选择一条IP数据包进行解析。

4. 通过分析IP数据包的各个字段，了解其结构和含义。

例如，源IP地址、目标IP地址、协议类型、数据包长度等。

5. 分析IP数据包的源和目标地址，探索网络通信的路径和过程。

通过查找路由表和网络拓扑，了解数据包的传输路径。

6. 根据实验结果，总结IP数据包解析的过程和方法。

思考IP数据包解析在网络通信中的应用和意义。

四、实验结果与分析通过对多个IP数据包的解析和分析，我们得到了以下实验结果和分析结论：1. IP数据包的源IP地址和目标IP地址是网络通信的重要标识，它们决定了数据包的发送和接收方向。

2. IP数据包的协议字段指示了数据包所使用的传输协议，例如TCP、UDP或ICMP等。

不同的协议有不同的功能和特点。

3. IP数据包的数据字段可以携带应用层的数据信息，例如网页内容或者文件传输数据。

使用Wireshark捕获数据帧和IP数据包开始运行Wireshark经开始捕获数据在Windows的命令行中执行ping 使用浏览器访问/使用FTP访问ftp://218.194.106.91,并登陆数据帧和数据包分析分析ARP封装在以太网数据帧中只有ARP协议了。

其他的协议数据包都被过滤掉了。

选中第三个数据帧.展开第一行然后从整体上看看你的Wireshark的窗口，主要被分成三部分。

，上面部分是所有数据帧的列表；中间部分是数据帧的描述信息；下面部分是帧里面的数据。

帧的编号：705（捕获时的编号）帧的大小：60字节。

没有把四个字节的CRC计算在里面，加上它就刚好。

帧被捕获的日期和时间：NOV 15，2008 15：15：23.139028000帧距离前一个帧的捕获时间差：0.100095000 seconds帧距离第一个帧的捕获时间差：0.501730000 seconds帧装载的协议：ARP展开第二行在上面一栏每选到一部分，在下面一栏就会显示对应的数据部分。

目的地址（Destination）：ff:ff:ff:ff:ff:ff （MAC地址，是一个广播地址，就是局域网中的所有计算机都会接收这个数据帧）源地址（Source）：00:00:00_11:11:11（00:00:00:11:11:11）帧中封装的协议类型：0x0806，这个就是ARP协议的类型编号。

Trailer：是协议中填充的数据，为了保证帧最少有64字节。

展开第三行同样，在上面一栏每选到一部分，在下面一栏就会显示对应的数据部分。

硬件类型(Hardware type)：Ethernet (0x0001)接口类型（protocol）:IP(0X0800)硬件型号：6接口型号：4操作码(opcode):request (0x0001)发送方MAC地址(sender MACaddress):00:00:00_11:11:11(00:00:00:11:11:11)发送方IP地址(sender IP address):192.168.1.1(192.168.1.1)接收方MAC地址(sender MAC address):00:00:00_00:00:00(00:00:00: 00:00:00)接收方IP地址(sender IPaddress):192.168.0.192(192.168.0.192)分析FTP协议选中第四数据帧，展开第一行帧的编号：2683（捕获时的编号）帧的大小：79字节。

计网大型实验报告课程计算机网络原理大型实验姓名汪敏倩班级计科1201 学号201226100117一、实验目的1.1任务一：了解常用网络命令Ping、Tracert/traceroute、Arp、Route的工作原理及使用。

1.2任务二：了解交换机的工作原理，掌握常用交换机的配置和应用以及静态路由的配置。

1.3任务三：抓取本地网卡的IP数据包，并且分析IP数据包的各个部分字段。

二、实验软件2.1任务一：cmd.exe命令解释程序2.2任务二：Packet.Tracer模拟器2.3任务三：Wincap网络抓包器，jnetpcap开源包，eclipes编程器，java语言三、实验步骤或实验原理3.1任务一：3.1.1◆实验原理：1、Ping是Windows下的一个命令在Unix和Linux下也有这个命令。

ping也属于一个通信协议，是TCP/IP协议的一部分。

利用“ping”命令可以检查网络是否连通，可以很好地帮助我们分析和判定网络故障。

它所利用的原理是这样的：利用网络上机器IP地址的唯一性，给目标IP地址发送一个数据包，再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通，时延是多少。

使用格式：Ping空格IP地址。

该命令还可以加许多参数使用，具体是键入Ping按回车即可看到详细说明。

2、Tracert/traceroute 的用处和PING是差不多的。

但是也有本质的区别。

用ping的时候是不会显示经过的路径的。

但是用tracerert的时候就可以显示经过的路由，并且显示它经过那个路由，花了多少时间，并且每个路由都会测试3次。

它可以让你知道，你的计算机离目的计算机在网络上的距离有多远，经过多久才能到达。

使用格式：Tracert/traceroute空格IP地址。

3、ARP即地址解析协议，是根据IP地址获取物理地址的一个TCP/IP协议。

主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存一节约资源。

从I P数据报中解析源目的地址-CAL-FENGHAI.-(YICAI)-Company One1青岛农业大学理学与信息科学学院计算机网络综合实习报告题目从IP数据报中解析源/目的地址专业计算机科学与技术学号姓名指导教师日期目录一、设计任务和目的.............................................................................................. 错误!未定义书签。

二、设计要求.......................................................................................................... 错误!未定义书签。

三、设计内容.......................................................................................................... 错误!未定义书签。

原理概述: ................................................................................................................ 错误!未定义书签。

点分十进制表示法：................................................................................... 错误!未定义书签。

IP数据报格式：.......................................................................................... 错误!未定义书签。

运行结果及分析.................................................................................................... 错误!未定义书签。

使⽤Python实现windows下的抓包与解析系统环境：windows7，选择windows系统是因为我对⾃⼰平时⽇常机器上的流量⽐较感兴趣python环境：python2.7 ，这⾥不选择python3的原因，是因为接下来要⽤到的scapy包在python3中安装较于python2要⿇烦得多。

如果你习惯于⽤python3，数据包的分析完全可以放在3下⾯做，因为抓包和分析是两个完全独⽴的过程。

需要的python包：scapy和dpkt抓包代码：from scapy.sendrecv import snifffrom scapy.utils import wrpcapdpkt = sniff(count = 100) #这⾥是针对单⽹卡的机⼦，多⽹卡的可以在参数中指定⽹卡wrpcap("demo.pcap", dpkt)你没看错，仅仅只需要两⾏代码就可以实现⼀个简单的抓包功能。

sniff函数负责嗅探数据包，⽽wrpcap函数将抓取到的数据包保存起来。

数据包的分析：import dpktimport socketimport datetimedef printPcap(pcap):try:for timestamp, buf in pcap:eth = dpkt.ethernet.Ethernet(buf) #获得以太包，即数据链路层包print("ip layer:"+eth.data.__class__.__name__) #以太包的数据既是⽹络层包print("tcp layer:"+eth.data.data.__class__.__name__) #⽹络层包的数据既是传输层包print("http layer:" + eth.data.data.data.__class__.__name__) #传输层包的数据既是应⽤层包print('Timestamp: ',str(datetime.datetime.utcfromtimestamp(timestamp))) #打印出包的抓取时间if not isinstance(eth.data, dpkt.ip.IP):print('Non IP Packet type not supported %s' % eth.data.__class__.__name__)continueip = eth.datado_not_fragment =bool(ip.off & dpkt.ip.IP_DF)more_fragments =bool(ip.off & dpkt.ip.IP_MF)fragment_offset = ip.off & dpkt.ip.IP_OFFMASKprint('IP: %s -> %s (len=%d ttl=%d DF=%d MF=%d offset=%d)' % (socket.inet_ntoa(ip.src), socket.inet_ntoa(ip.dst), ip.len, ip.ttl, do_not_fragment, more_fragments,fragment_offset)) except:passdef main():f =open('demo.pcap','rb')pcap = dpkt.pcap.Reader(f)printPcap(pcap)if __name__ =='__main__':main()结果显⽰：这是我打开360的路由器卫⼠时抓取的数据包。