实验三：数据包结构分析

《计算机网络》课程实验报告实验三：数据包结构分析本次实验的体会（结论）（10分）得分：本次实验总体来说不是很难，参照实验样例一步一步做下来一般都能成功。

通过这次实验，更加形象直观地了解了数据包在网络中传输的格式、方式等。

学会了怎样使用捕获数据包来分析每一层协议，并巩固了课堂上学习的各种数据包的格式，例如TCP、IP等，对各个层次的作用和相应的协议有了一定的了解。

对数据包的封装也有了更深的体会。

思考题：（10分）思考题1：（4分）得分：写出捕获的数据包格式。

1.打开软件。

选择网络配适器。

（如此处选择无线网络连接ip：10.99.45.90）2.设置捕捉过滤器，并新建一个自定义规则filter 1。

3.点击右下角开始按钮，开始抓包，一段时间后停止。

4.停止抓包后协议统计信息思考题2：（6分）得分：写出实验过程并分析实验结果。

实验中选择http协议进行分析，涵盖了TCP，IP，数据链路层MAC帧等。

1.选择一个数据包2.双击打开查看该数据包3.以太网MAC帧1)格式2)数据包分析结果3)说明：协议类型：08000 网际协议（IP）4.IP协议1)格式2)数据包分析结果3)说明•版本：4指ipv4，长度5*4=20字节•服务：00 未使用•标识：数据分片和重组时使用•标志：前三bit 010，最后一个数据片，传输过程中不能分片•生存时间：最多经过64个路由•上层协议：6 TCP协议5.TCP协议1)格式2)数据包分析结果3)说明•标志位（010000）：URG=0 紧急指针无效ACK=1 确认信号有效PSH=0 不立即响应RST=0 TCP连接没有问题SYN=0 建立连接FIN=0 关闭连接•校验和：校验范围：伪首部+首部+数据•紧急指针：0，URG=0无效6.HTTP协议1)格式面向文本的。

2)数据包分析结果7.FCS校验1)数据包分析结果指导教师评语：。

TCP/IP协议与编程实验姓名:班级：学号：实验题目用Wireshark抓包分析ip数据包一、实验目的1、了解并会初步使用Wireshark，能在所用电脑上进行抓包2、了解IP数据包格式，能应用该软件分析数据包格式3、查看一个抓到的包的内容，并分析对应的IP数据包格式二、实验内容Wireshark 是网络包分析工具。

网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。

实验步骤：1、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

2、设置完成后，点击“start”开始抓包：3、显示结果：3、选择某一行抓包结果，双击查看此数据包具体结构。

4、捕捉IP数据报。

① 写出IP数据报的格式。

IP数据报首部的固定部分中的各字段含义如下：(1)版本占4位，指IP协议的版本。

通信双方使用的IP协议版本必须一致。

目前广泛使用的IP协议版本号为4（即IPv4）。

(2)首部长度占4位，可表示的最大十进制数值是15。

请注意，这个字段所表示数的单位是32位字长（1个32位字长是4字节），因此，当IP的首部长度为1111时（即十进制的15），首部长度就达到60字节。

当IP分组的首部长度不是4字节的整数倍时，必须利用最后的填充字段加以填充。

因此数据部分永远在4字节的整数倍开始，这样在实现IP协议时较为方便。

首部长度限制为60 字节的缺点是有时可能不够用。

但这样做是希望用户尽量减少开销。

最常用的首部3)区分服务占8位，用来获得更好的服务。

这个字段在旧标准中叫做服务类型，但实际上一直没有被使用过。

1998年IETF把这个字段改名为区分服务DS(Differentiated Services)。

只有在使用区分服务时，这个字段才起作用。

(4)总长度总长度指首部和数据之和的长度，单位为字节。

总长度字段为16位，因此数据报的最大长度为216-1=65535字节。

长度就是20字节（即首部长度为0101），这时不使用任何选项。

实验三网络数据包分析实验目的：（1）了解Sniffer的工作原理。

（2）掌握SnifferPro工具软件的基本使用方法。

（3）掌握在非交换以太网环境下侦测、记录、分析数据包的方法。

实验原理：数据在网络上是以很小的被称为“帧”或“包”的协议数据单元（PDU）方式传输的。

以数据链路层的“帧”为例，“帧”由多个部分组成，不同的部分对应不同的信息以实现相应的功能，例如，以太网帧的前12个字节存放的是源MAC地址和目的MAC地址，这些数据告诉网络该帧的来源和去处，其余部分存放实际用户数据、高层协议的报头如TCP／IP的报头或IPX报头等等。

帧的类型与格式根据通信双方的数据链路层所使用的协议来确定，由网络驱动程序按照一定规则生成，然后通过网络接口卡发送到网络中，通过网络传送到它们的目的主机。

目的主机按照同样的通信协议执行相应的接收过程。

接收端机器的网络接口卡一旦捕获到这些帧，会告诉操作系统有新的帧到达，然后对其进行校验及存储等处理。

在正常情况下，网络接口卡读入一帧并进行检查，如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址，网络接口卡通过产生一个硬件中断引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理，否则就将这个帧丢弃。

如果网络中某个网络接口卡被设置成“混杂”状态，网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧，该网络接口卡将接收所有在网络中传输的帧，这就形成了监听。

如果某一台主机被设置成这种监听（Snfffing）模式，它就成了一个Sniffer。

一般来说，以太网和无线网被监听的可能性比较高，因为它们是一个广播型的网络，当然无线网弥散在空中的无线电信号能更轻易地截获。

实验器材：本实验在虚拟机中安装SnifferPro4.7版本，要求虚拟机开启FTP、HTTP等服务，即虚拟机充当服务器，物理机充当工作站。

物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。

惠州学院网络实验报告计算机系08计1 班实验日期2010 年12 月3 日试验名称：四、数据包的分析实验序号及名称：一．实验目的：了解TCP数据包用ethereal分析数据包二．实验器材（型号、规格、件数）：台是电脑三．实验内容：打开ethereal，捕获TCP数据包。

源地址是：58.60.14.238，目的地址是：192.168.1.101如图所示这是建立TCP连接的过程，叫3次握手。

首先，58.60.14.238 的TCP客户进程向192.168.1.101发送连接请求报文段如图：发送SYN= 1，seq=0 ，len=0表示一个连接请求报文，因为SYN=1，不能携带数据，所以len=0.但消耗一个序号seq.接下来，192.168.1.101接收到连接请求报文后，同意连接。

所以回复一个确认报文其中，SYN=1，ACK=1，表示接收到本机发出的seq=0的报文，下次希望接收到seq=1的报文。

而seq=0表示发送出seq=0的报文段。

最后，本机接收到192.168.1.101发送过来的确认报文后，经过第三次握手后可建立连接这时本机发送出确认报文给192.168.1.101ACK=1表示接收到了192.168.1.101发送过来seq=0的报文段。

完成了本机跟192.168.1.101的TCP连接。

因为第三次握手ACK=1这个报文没携带数据，所以不消耗序列号，下一次发送的报文段序列号也是1.接下来分析TCP报文段的首部格式，以第一次握手的TCP报文段为例：1.源端口是1815，对应的16进制为07 17,2.目的端口对应的是00 50.3.接收到的TCP报文段的序号是Sequence number ：0.对应cd 6c c1 e3因为这是第一个发送请求报文，所以没有ACKnowledgement number这个确认报文。

4.接下来是首部长度header length :32bytes 对应805.接下来是FLAGS，其中SYN=1 ，seq=0表示这是一个连接请求报文整个Flags对应026.Windows size 表示窗口大小262140 对应:ff ff7.Checksum表示校验和对应b7 898.options 表示选项，长度为12字节。

网络数据包分析实验一、实验目的分析一组数据：00 1e 37 52 6c 44 00 1d 72 84 dd 96 08 00 45 00 00 3c 02 88 00 00 80 01 23 5c 0a 00 00 70 0a 00 00 6e 08 00 49 5c 03 00 01 00 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 767 61 62 63 64 65 66 67 68 69二、实验内容1.数据链路层头部（以太帧头部）：00 1e 37 52 6c 44 00 1d 72 84 dd 9608 00分析如下：（1）数据头部的前6个字节是接收者的mac地址：00 1e37 52 6c 44（2）数据头部的中间6个字节是发送者的mac地址：00 1d72 84 dd 96（3）数据头部的最后2个字节代表网络协议，即：08 00是IP协议类型。

2.IP数据包数据分析：（1）第一个字节（45）的前4位表示的是IP协议的版本，即IPv4；它的后4位表示首部长度为20字节。

（2）第二个字节（00）是区分服务。

（3）第三、四字节（00 3c）是指首部和数据之和的长度40个字节（4）第五、六字节（02 88）是一个数据报被分片后的标识，便于正确地重装原来的数据报（5）第七、八字节（00 00）分前3位为标志位和后13位为片偏移，其中标识位只有两位有意义，表明这已经是若干用户数据报片最后一个（MF=0，并且DF=0）不需要再分片了。

偏移为0（6）第九个字节（80）表示的是数据报在网络中的寿命为128（7）第十个字节（01）指出这个数据报携带的数据时使用的ICMP协议（8）第十一、十二字节（23 5c）表示首部检验和，对数据报的保留与丢弃进行判别第十三个字节加上后面的3个字节（0a 00 00 70）是发送者的IP源地址（172.16.163.20）第十七个字节及后面的三个字节（0a 00 00 6e）是接收者的IP地址（224.00.00.22）最后四个字节（08 00 49 5c）是任意的与填充项。

课程设计报告数据包的获取与分析学院：专业班级：学生姓名：学号：指导教师：成绩：2011 年 12 月1. 设计任务使用抓包软件抓取网络传输中的数据包，并对所抓取的数据包进行分析，在这里我使用的抓包软件是“锐捷”，使用“锐捷”抓包软件对邮件发送过程中所产生的数据包进行抓取，并从所抓取的数据包中筛选出邮件发送所产生的包，对其进行数据分析，包括数据包所属协议、作用以及首部字段和数据内容（具有相同功能的数据包只分析一次）。

并且需要截图做详细说明。

2. 操作步骤首先打开“锐捷”抓包软件，匿名登录上该软件。

从IE浏览器中打开163邮箱的登陆界面。

从一登陆上的界面点击开始按钮，开始捕捉网络中的数据包。

登陆163邮箱，编辑所要发送的邮件，编辑完成后，点击发送。

发送完成后，关闭邮箱。

查看并分析抓包软件所抓取的数据包。

3. 数据包分析3.1图3.1.1为我的主机的网络配置。

图3.1.1 计算机IP配置3.2 捕获到的数据包分析3.2.1 IP数据报的格式IP数据报的格式，在网络中要对I数据经行封装，在网络中要发送一个数据要对其进行封装。

3.2.1 IP数据包格式还需要地址解析协议ARP，如果主机A要向主机B发送IP数据报是如果高速缓存中没有主机B的IP地址，ARP进程在本局域网上广播发送一个ARP请求分组，主机B在ARP请求分组中看的自己的IP地址，就想主机A发送ARP响应分组，主机A收到主机B的响应分组后，就在ARP高速缓存中写入主机B的IP地址到ＭＡＣ地址的映射。

图3.2.2为邮件发送过程中所发送的ARP请求。

3.2.2 ARP会话树3.2.3 ARP协议结构树由图3.2.3可见，该ARP 硬件类型 0001 协议类型 0800 硬件长度 6 协议长度 4 操作码 1 源物理地址8c-89-a5-fb-15 源IP地址10.10.20.102 目标物理地址还未知3.2.2在网络层封装层IP数据包在网络层封装层IP数据包，数据链路层把网络层交下来的IP数据报添加首部和尾部封装成帧，并把封装好的帧发送给目的主机的数据链路层，对方的数据链路层收到的帧无差错，则从收到的帧中提取出IP数据报上交给上面的网络层，否则丢弃这个帧。

计算机网络实验网络拓扑与数据包分析计算机网络实验：网络拓扑与数据包分析引言：计算机网络是现代信息交流和传输的重要手段，网络拓扑和数据包分析作为计算机网络实验的基本内容，对于理解网络结构和故障排查具有重要意义。

本文将从网络拓扑和数据包分析两个方面进行探讨，介绍实验过程和结果分析，并分别给出实验步骤与数据包分析的相关内容。

一、网络拓扑实验1. 实验目的网络拓扑实验旨在通过构建不同的网络拓扑结构，观察网络在不同拓扑结构下的性能变化和通信效果，为网络设计和优化提供参考。

2. 实验步骤（此处应按照实验步骤进行描述，如何搭建网络拓扑、配置相关设备等。

）3. 实验结果分析（此处应根据实验结果进行分析，如不同网络拓扑结构下的延迟、数据传输速度等的比较分析，并给出相应的数据和图表。

）二、数据包分析实验1. 实验目的数据包分析实验旨在通过捕获和分析网络中的数据包，了解网络通信过程中的数据传输和处理细节，帮助排查网络故障和提升网络性能。

2. 实验步骤（此处应按照实验步骤进行描述，如何捕获数据包、选择合适的分析工具等。

）3. 实验结果分析（此处应根据实验结果进行分析，如数据包的源地址和目的地址、协议类型等信息的解读，并给出相应的数据和图表。

）总结：通过进行网络拓扑与数据包分析实验，我们可以更好地了解计算机网络的结构和通信过程，并且可以通过实验结果的分析，为网络的设计和优化提供参考。

这些实验对于培养学生的实践操作能力和解决问题的能力具有重要意义。

希望学生们能够认真思考实验过程中的问题，并在实验中不断探索和创新，为计算机网络的发展做出贡献。

参考文献：（此处引用相关实验教材或文献，便于读者查阅相关资料。

）附录：（此处可添加实验步骤、网络拓扑结构图、数据包分析图表等相关材料，便于读者参考。

）。

实验三IP数据包结构以及ARP协议分析一、IP数据包结构IP（Internet Protocol）是TCP/IP协议族中的一种协议，用于在网络上进行数据的传输。

IP数据包是通过互联网进行传输的基本单位。

1. 版本（Version）：占4位，表示IP的协议版本号。

目前主要有IPv4和IPv6两个版本。

2. 首部长度（Header Length）：占4位，表示IP首部的长度，单位为32位字长。

最小值为5，最大值为15、实际的首部长度需要将该字段乘以32位，即20-60个字节。

3. 区分服务（Differentiated Services）：占8位，用于指定交换设备对数据包进行处理的优先级。

4. 总长度（Total Length）：占16位，表示IP数据包的总长度，包括首部和数据部分。

5. 标识（Identification）：占16位，用于组装分割的IP数据包。

6. 标志（Flags）：占3位，用于控制IP分片的相关处理。

7. 片偏移（Fragment Offset）：占13位，用于指示分片的位置。

8. 生存时间（Time to Live）：占8位，表示IP数据包在网络上存活的最大跳数，用于防止数据包在网络中无限循环。

9. 协议（Protocol）：占8位，表示上一层的协议类型，如TCP、UDP或ICMP等。

10. 首部校验和（Header Checksum）：占16位，用于对IP首部进行差错检测。

11. 源地址（Source Address）：占32位，表示发送该IP数据包的源IP地址。

12. 目标地址（Destination Address）：占32位，表示接收该IP 数据包的目标IP地址。

13. 可选项（Options）：长度可变，用于对IP数据包进行控制和扩展。

14. 数据（Data）：变长，存放上层协议的数据。

ARP（Address Resolution Protocol）是一种用于查询目标IP地址的物理地址（MAC地址）的协议。

《网络与通信》课程实验报告实验三：数据包结构分析3.新建过滤规则，自定义数据包过滤器4. 开始抓包思考题2：（6分）得分：写出实验过程并分析实验结果.实验中选择HTTP协议进行分析，涵盖了TCP/IP/数据链路层MAC帧等.1．选择一个数据包3．以太网，MAC帧3.1格式：版权申明本文部分内容，包括文字、图片、以及设计等在网上搜集整理.版权为个人所有This article includes some parts, including text, pictures, and design. Copyright is personal ownership.b5E2R。

用户可将本文地内容或服务用于个人学习、研究或欣赏，以及其他非商业性或非盈利性用途，但同时应遵守著作权法及其他相关法律地规定，不得侵犯本网站及相关权利人地合法权利.除此以外，将本文任何内容或服务用于其他用途时，须征得本人及相关权利人地书面许可，并支付报酬.p1Ean。

Users may use the contents or services of this article for personal study, research or appreciation, and othernon-commercial or non-profit purposes, but at the same time, they shall abide by the provisions of copyright law and other relevant laws, and shall not infringe upon the legitimate rights of this website and its relevant obligees. In addition, when any content or service of this article is used for other purposes, written permission and remuneration shall be obtained from the person concerned and the relevant obligee.DXDiT。

《计算机网络》课程实验报告实验三：数据包结构分析本次实验的体会（结论）（10分）得分：本次实验总体来说不是很难，参照实验样例一步一步做下来一般都能成功。

通过这次实验，更加形象直观地了解了数据包在网络中传输的格式、方式等。

学会了怎样使用捕获数据包来分析每一层协议，并巩固了课堂上学习的各种数据包的格式，例如TCP、IP等，对各个层次的作用和相应的协议有了一定的了解。

对数据包的封装也有了更深的体会。

思考题：（10分）思考题1：（4分）得分：写出捕获的数据包格式。

1.打开软件。

选择网络配适器。

（如此处选择无线网络连接 ip：10.99.45.90）2.设置捕捉过滤器，并新建一个自定义规则filter 1。

3.点击右下角开始按钮，开始抓包，一段时间后停止。

4.停止抓包后协议统计信息思考题2：（6分）得分：写出实验过程并分析实验结果。

实验中选择http协议进行分析，涵盖了TCP，IP，数据链路层MAC帧等。

1.选择一个数据包2.双击打开查看该数据包3.以太网MAC帧1)格式2)数据包分析结果3)说明：协议类型：08000 网际协议（IP）4. IP协议1)格式2)数据包分析结果3)说明•版本：4指ipv4，长度5*4=20字节•服务：00 未使用•标识：数据分片和重组时使用•标志：前三bit 010，最后一个数据片，传输过程中不能分片•生存时间：最多经过64个路由•上层协议：6 TCP协议5.TCP协议1)格式2)数据包分析结果3)说明•标志位（010000）：URG=0 紧急指针无效ACK=1 确认信号有效PSH=0 不立即响应RST=0 TCP连接没有问题SYN=0 建立连接FIN=0 关闭连接•校验和：校验范围：伪首部+首部+数据•紧急指针：0，URG=0无效6.HTTP协议1)格式面向文本的。

2)数据包分析结果7.FCS校验1)数据包分析结果指导教师评语：（注：可编辑下载，若有不当之处，请指正，谢谢!）。

淮海工学院计算机工程学院
实验报告书
课程名：《计算机网络》
题目：实验三数据包分析
班级：中新软
学号：
姓名：王晓明
一、实验目的
1、了解工具的安装与使用；
2、掌握以太网帧结构、数据包、报文段的结构与功能
3、掌握链接的建立与释放过程。

二、实验内容或题目
1、下载工具，并安装；
2、熟悉工具的界面组成及使用；
3、对捕获的数据包进行以太网帧结构、数据包、报文段分析；
4、分析链接的建立的三次过程。

三、实验步骤、测试数据与实验结果
、在百度上登录邮箱，在中输入，捕获如图一的数据包：
图一
、根据捕获的数据包，做出了如下分析：。

《网络与通信》课程实验报告实验三：数据包结构分析姓名院系计算机学院学号任课教师钱权指导教师钱权实验地点计算机楼706机房实验时间2016年9月27号实验课表现出勤、表现得分(10) 实验报告得分(40)实验总分操作结果得分(50)实验目的：1.了解Sniffer的工作原理，掌握Sniffer抓包、记录和分析数据包的方法；2.在这个实验中，你将使用抓包软件捕获数据包，并通过数据包分析每一层协议。

实验内容：使用抓包软件捕获数据包，并通过数据包分析每一层协议。

实验要求：（学生对预习要求的回答）（10分）得分：常用的抓包工具Commview，Sniffer，SpyNet，SmartSniff等等实验过程中遇到的问题如何解决的？（10分）得分：问题1：选择适当的适配器刚开始的时候，我一直都没有捕获到什么数据报。

后来发现是我选错了适配器，只要在File/select setting打开setting窗口然后重新选择其他适配器即可。

问题2：应该设置正确捕获条件在Capture/define filter 中，可以设置捕获条件，但是要保证这个条件是正确的，比如设置IP 地址应该是存在并且正在活动的IP 的地址剖则一个数据包也抓不到。

问题3：如果说sniffer 能够嗅探到某些电脑和互联网通信的数据，那么该计算机是不是就一定可以嗅探到用户的用户名和密码，这样岂不是给用户带来了很多安全上的问题？事实上这个问题应该归结于计算机网络安全问题的范畴，一个好的服务器，在用户登录该服务器之前，服务器会发给用户一个公钥，当然我们可以通过sniffer 嗅探器抓取数据包分析出这个公钥，但是服务器的私钥我们无论如何也不可能用sniffer 嗅探到的（因为这个私钥是在服务器端的，不会传个客户端），只有当用户把自己的用户名和密码经过公钥加密以后发到服务器端，然后通过私钥才可以解密，所以像这样使用公钥和私钥的办法可以大大的增加网络的安全性。

实验一：网络数据包分析实验班级：班学号：姓名:一、实验目的通过对实际的网络数据包进行捕捉，分析数据包的结构，加深对网络协议分层概念的理解，并实际的了解数据链路层，网络层，传输层以及应用层的相关协议和服务。

、实验内容1. IGMP包解析1.1数据链路层El代XEL洱丁；亡日：亡5 MB)」osr: IP- 4m<as z_<i J;QJ L15 (21 -E-D.5eJO.E-D■>4 t-is ：hi-At I _n * tP f Ld L^iJ 1 Sei 00:00:1^^saur-ctt El1imro_&ai«SiUType；IP CgMOsw)源数据：数据链路层头部：01 00 5e 00 00 16 00 21 97 0a e5 16 08 00 数据链路层尾部：00 00 00 00 00 00分析如下：数据头部的前6个字节是接收者的mac地址：01 00 5e 00 00 16 数据头部的中间6个字节是发送者的mac地址：00 21 97 0a e5 16 数据头部的最后2个字节代表网络协议，即：08 00协议类型。

1.2网络层Header* 1 cngth: 24 byresn axed services "乜Id：0x00 (.DSCP 0X00: D&fau11: 0x003Tqtil rength:斗DTdsrrtificar I cn： QklclJ 也^7460)H Flmqs： Q>00Fra^Tienr offset;：QTime VQ live; 1Fr DTCCDl : IGMP go?)¥ HPAder fhecksijn：CxJ85c [correct]5DU RUM;172,10.103.?0 <L72<10.163・2O)Castinari ant 224.0.0.22 (224.3.0.22^±j opt 1 oris: (4 Lyn源数据：46 00 00 28 1d 38 00 00 01 02 d8 5c ac 10 a3 14 e0 00 00 16 94 04 00 00数据分析：第一个字节（46）的前4位表示的是IP协议的版本，即IPv4;它的后4位表示首部长度为6,最大十进制数值时为15第二个字节（00）是区分服务，一直缺省，所以为0第三、四字节（00 28）是指首部和数据之和的长度40个字节第五、六字节（1d 38）是一个数据报被分片后的标识，便于正确地重装原来的数据报第七、八字节（00 00）分前3位为标志位和后13位为片偏移，其中标识位只有两位有意义，表明这已经是若干用户数据报片最后一个（MF=0，并且DF=0）不需要再分片了。

淮海工学院计算机工程学院实验报告书课程名：计算机网络题目：实验3 数据包分析（1）班级：G计101学号：221003136姓名：张庆凤一．实验目的与要求a)学习和掌握数据包分析工具sniffer的使用；b）利用sniffer工具进行数据包的捕获；c)利用sniffer工具对捕获的数据包进行分析，正确解析出链路层数据帧、网络层IP数据包、运输层TCP报文段等各类数据包首部各字段内容二．实验内容或题目▪掌握数据包分析工具sniffer的常规使用方法；▪正确设置数据包过滤器，并进行数据包捕获；▪正确分析链路层、网络层、运输层各个数据包首部主要字段的内容三．实验步骤与源程序▪Sniffer工具的启动与关闭▪Sniffer工具捕获条件的设置▪利用Sniffer工具捕获Web网站打开时建立TCP连接的链路层、网络层、运输层的数据包▪利用Sniffer工具分析所捕获的的链路层、网络层、运输层各个数据包首部关键字段的内容四．测试数据与实验结果1. 解码分析以太网报文结构：00-00-0c-07-ac-47：目的MAC地址00-13-d4-38-c7-5a：源MAC地址0800：IP数据报的端口号2.解码分析IP报文结构：45：4表示IP数据报版本号为4，即这个数据报为IPV4；5表示首部长度为20字节0028：数据报总长为40字节，即8+2*16=4008c3：表示标识为2243，即3*160+12*161+8*162=224340：表示标志位00：表示片偏移40:表示生存时间，为64second/hops06：表示协议为TCP0a 07：表示首部校验和为2567，即7+10*162=25673a c0 01 36：表示源IP地址为58.192.1.543c 1c af e4：表示目地IP地址为60.28.175.2283．解码分析TCP报文段结构：08 11：源端口号为206500 50：表示目地端口号为80fd b0 d7 58：表示序列号为42562251128c bd 01 9f：表示确认号为236119695950：表示数据偏移为20字节紧急URG为0，确认ACK为1，推送PSH为0，复位RST为0，同步SYN为0，终止FIN为0。

淮海工学院计算机工程学院实验报告书课程名：计算机网络题目：实验3 数据包解析班级：网络132学号：2013122832姓名：徐峰一．实验目的与要求1.学习和掌握数据包分析工具sniffer的使用；2.利用sniffer工具进行数据包的捕获；3.利用sniffer工具对捕获的数据包进行分析，正确解析出链路层数据帧、网络层IP数据包、运输层TCP报文段等各类数据包首部各字段内容二．实验内容1.掌握数据包分析工具sniffer的常规使用方法；2.正确设置数据包过滤器，并进行数据包捕获；3.正确分析链路层、网络层、运输层各个数据包首部主要字段的内容三．实验步骤1.Sniffer工具的启动与关闭2.Sniffer工具捕获条件的设置3.利用Sniffer工具捕获Web网站打开时建立TCP连接的链路层、网络层、运输层的数据包4.利用Sniffer工具分析所捕获的的链路层、网络层、运输层各个数据包首部关键字段的内容四．实验结果和分析1.初步试验分析使用sniffer抓包解码，由图看出，数据如下：00000000:8c 89 ba f4 a0 5c dd 70 3c 0d 00 00 80 00 45 0000000010:00 28 11 eb 40 00 31 06 82 dc dc b5 9c 2e 3a c000000020:01 65 00 50 07 7d 29 84 d6 73 f6 36 e1 54 50 10 00000030:00 83 1a f8 00 00 00 00 00 00 00 00对以上部分进行分析：5c dd 70 3c 0d 00代表源mac地址；8c 89 a5 ba f4 a0代表目的mac地址；08 00代表类型Enthertype（ip）；45代表版本Version:ipv4,首部长度header length:20个字节；00代表区分服务Type of service；00 28代表总长度total length：2*16+8=40字节；11 eb代表标识Identifiction:1*16*16*16+1*16*16+14*16+11=4587；40 00代表标志Flags=4x，片偏移Fragment offset=0字节；31代表生存时间Time to live=3*16+1=49seconds/hop；06代表协议protocal=6(TCP)；82 dc代表首部校验和Header checksum=82DC；3a c0 01 65代表源地址Source address:58.192.1.101；00000000:5c dd 70 3c 0d 00 8c 89 a5 ba f4 a0 08 00 45 00 00000010:00 34 74 7c 40 00 40 06 11 3f 3a c0 01 65 dc b5 00000020:9c 2e 07 7e 00 50 51 5b 17 51 00 00 00 00 80 02 00000030:ff ff 49 95 00 00 02 04 05 64 01 03 03 00 01 01 00000040:04 02对以上进行部分解析：3a c0 01 65代表源地址Source address:58.192.1.101；dc b5 9c 2e代表目的地址Destination address:220.192.156.146; 以下为TCP的数据解析：07 7e代表源端口Source port=7*16*16+7*16+14=1918；00 50代表目的端口Destination port=5*16=80；51 5b 17 51代表序号Initial sequence number=1364924241；80代表数据偏移Data offset=32字节02代表保留Flags=02；ff ff代表窗口Window=65535；49 95代表检验和Checksum=4995；00 00代表紧急指针Urgent pointer=0；02 04 05 64代表选项Maximum segment size=1460；2.对三次握手的分析（1）第一次握手源地址：58.192.1.101源端口：1918目的地址：220.181.156.46目的端口：80SYN=1Seq=x=1364924241（2）第二次握手：源地址：220.181.156.46源端口：80目的地址：58.192.1.101目的端口：1918SYN=1；ACK=1；seq=y=1748593235ack=(发起方序号1364924241+1)=x+1=1364924242 （3）第三次握手源地址：58.192.1.101源端口：1918目的地址：220.181.156.46目的端口：80ACK=1；seq=x+1=1264924242；ack=1748593235+1=y+1=1748593236；五.实验总结与体会通过此次实验，我学会使用sniffer软件抓包的基本操作，掌握了怎样设置sniffer以及怎样对所抓包的解码。