实验三 网络层抓包分析实验

实验三 网络数据包的捕获与分析一、实验目的和要求通过本次实验，了解sniffer 的基本作用，并能通过sniffer 对指定的网络行为所产生的数据包进行抓取，并分析所抓取的数据包。

二、实验内容A ：1、首先打开sniffer 软件，对所要监听的网卡进行选择2、选择网卡按确定后，进入sniffer 工作主界面，对主界面上的操作按钮加以熟悉。

B ：设置捕获条件进行抓包基本的捕获条件有两种：1、链路层捕获，按源MAC 和目的MAC 地址进行捕获，输入方式为十六进制连续输入，如：00E0FC123456。

2、IP 层捕获，按源IP 和目的IP 进行捕获。

输入方式为点间隔方式，如：10.107.1.1。

如果选择IP 层捕获条件则ARP 等报文将被过滤掉。

链任意捕获条件编辑协议捕获编辑缓冲区编辑基本捕获条件路层捕获IP 层捕获数据流方向链路层捕获地址条件高级捕获条件在“Advance ”页面下，你可以编辑你的协议捕获条件，如图：选择要捕获的协议捕获帧长度条件错误帧是否捕获保存过滤规则条件高级捕获条件编辑图在协议选择树中你可以选择你需要捕获的协议条件，如果什么都不选，则表示忽略该条件，捕获所有协议。

在捕获帧长度条件下，你可以捕获，等于、小于、大于某个值的报文。

在错误帧是否捕获栏，你可以选择当网络上有如下错误时是否捕获。

在保存过滤规则条件按钮“Profiles”，你可以将你当前设置的过滤规则，进行保存，在捕获主面板中，你可以选择你保存的捕获条件。

C：捕获报文的察看：Sniffer软件提供了强大的分析能力和解码功能。

如下图所示，对于捕获的报文提供了一个Expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息。

专家分析系统专家分析系统捕获报文的图形分析捕获报文的其他统计信息专家分析专家分分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。

在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。

wireshark抓包实验报告Wireshark抓包实验报告1. 实验简介本次实验旨在通过使用Wireshark软件进行网络抓包，深入了解网络通信过程中的数据传输和协议交互。

通过分析抓包数据，我们可以了解网络流量的组成、协议的运作方式以及网络安全的相关问题。

2. 实验准备在进行实验之前，我们需要准备一台运行Wireshark软件的计算机，并连接到一个网络环境中。

Wireshark是一款开源的网络协议分析工具，可以在各种操作系统上运行。

安装并配置好Wireshark后，我们就可以开始进行抓包实验了。

3. 实验步骤3.1 启动Wireshark打开Wireshark软件，选择需要抓包的网络接口。

Wireshark会监听该接口上的所有网络流量，并将其显示在界面上。

3.2 开始抓包点击“开始”按钮，Wireshark开始抓取网络数据包。

此时，我们可以看到界面上实时显示的数据包信息，包括源地址、目标地址、协议类型等。

3.3 过滤抓包数据由于网络流量非常庞大，我们可以使用过滤器来筛选出我们感兴趣的数据包。

Wireshark提供了丰富的过滤器选项，可以根据协议、源地址、目标地址等条件进行过滤。

3.4 分析抓包数据选中某个数据包后，Wireshark会显示其详细信息，包括协议分层、数据字段等。

通过分析这些信息，我们可以了解数据包的结构和内容，进一步了解网络通信的细节。

4. 实验结果与讨论在实验过程中，我们抓取了一段时间内的网络流量，并进行了分析。

通过对抓包数据的观察和解读，我们得出了以下几点结果和讨论：4.1 协议分层在抓包数据中，我们可以清晰地看到各种协议的分层结构。

从物理层到应用层，每个协议都承担着不同的功能和责任。

通过分析协议分层，我们可以了解协议之间的关系，以及它们在网络通信中的作用。

4.2 数据传输过程通过分析抓包数据，我们可以追踪数据在网络中的传输过程。

我们可以看到数据包从源地址发送到目标地址的路径，了解中间经过的路由器和交换机等设备。

任务三计算机网络实验IP数据报捕获与分析一、实验目的本实验的目的是通过使用网络抓包工具捕获IP数据报，了解IP协议的工作过程，分析数据报的结构和内容。

二、实验设备和工具1.计算机2.网络抓包工具：Wireshark三、实验原理IP（Internet Protocol）是网络层的核心协议，在互联网中承担着数据包的传输任务。

IP协议负责将数据包从源主机传输到目标主机，保证数据在不同主机之间的正确传输。

IP数据报是IP协议传输的基本单位，由IP头和数据部分组成。

IP头部包含以下重要字段：1.版本（4位）：表示IP协议的版本号，IPv4为4，IPv6为62.首部长度（4位）：表示IP头部的长度，以32位的字节为单位。

3.区分服务（8位）：用于标识优先级和服务质量等信息。

4.总长度（16位）：指明整个IP数据报的长度。

5.标识（16位）：用于标识同一个数据报的分片。

6.标志位（3位）：标记是否进行数据报的分片。

7.片偏移（13位）：表示数据报组装时的偏移量。

8.生存时间（8位）：表示数据报在网络中的存活时间。

9.协议（8位）：指明IP数据报中携带的数据部分所使用的协议，如TCP、UDP等。

10.头部校验和（16位）：用于对IP头部的校验。

11.源IP地址（32位）：指明数据报的发送者的IP地址。

12.目的IP地址（32位）：指明数据报的目标IP地址。

四、实验步骤1.安装Wireshark软件。

2.打开Wireshark软件，选择需要进行抓包的网络接口。

3.点击“开始”按钮，开始抓包。

4.进行相关网络操作，产生数据包。

5.停止抓包。

6.选中其中一个数据包，进行分析。

五、数据包分析Wireshark软件可以对捕获到的数据包进行详细的分析，提供了丰富的信息和统计数据。

以下是对数据包的一些常规分析内容：1.源IP地址和目的IP地址：根据协议规定，每个IP数据报必须携带源IP地址和目的IP地址，通过分析这两个字段可以确定数据包的发送方和接收方。

网络层数据包抓包分析一.实验内容（1）使用Wireshark软件抓取指定IP包。

（2）对抓取的数据包按协议格式进行各字段含义的分析。

二.实验步骤（1）打开Wireshark软件，关闭已有的联网程序（防止抓取过多的包），开始抓包；（2）打开浏览器，输入/网页打开后停止抓包。

（3）如果抓到的数据包还是比较多，可以在Wireshark的过滤器（filter）中输入http，按“Apply”进行过滤。

过滤的结果就是和刚才打开的网页相关的数据包。

（4）在过滤的结果中选择第一个包括http get请求的帧，该帧用于向/网站服务器发出http get请求（5）选中该帧后，点开该帧首部封装明细区中Internet Protocol 前的”+”号，显示该帧所在的IP包的头部信息和数据区：（6）数据区目前以16进制表示，可以在数据区右键菜单中选择“Bits View”以2进制表示：（注意:数据区蓝色选中的数据是IP包的数据，其余数据是封装该IP包的其他层的数据）回答以下问题：1、该IP包的“版本”字段值为_0100_(2进制表示)，该值代表该IP包的协议版本为：√IPv4□IPv62、该IP包的“报头长度”字段值为__01000101__(2进制表示)，该值代表该IP包的报头长度为__20bytes__字节。

3、该IP包的“总长度”字段值为___00000000 11101110___ (2进制表示)，该值代表该IP包的总长度为__238__字节，可以推断出该IP包的数据区长度为__218__字节。

4、该IP包的“生存周期”字段值为__01000000__ (2进制表示)，该值代表该IP包最多还可以经过___64__个路由器5、该IP包的“协议”字段值为__00000110__ (2进制表示) ，该值代表该IP包的上层封装协议为__TCP__。

6、该IP包的“源IP地址”字段值为__11000000 1010100000101000 00110011__ (2进制表示) ，该值代表该IP包的源IP地址为_192_._168_._40_._51_。

实验报告题目网络抓包及网络命令实验报告学院专业班级学号学生姓名成绩指导教师完成日期网络工具应用实践实验报告1.实验概要通过使用软件Wireshark抓取网络上的数据包，并作相应分析。

2.实验环境硬件：台式笔记本或Pc、网卡、网络环境。

软件：Windows xp sp3及Windows 7、8。

3.实验目的了解网络抓包的意义，学习并了解使用网络抓包Wiresh 。

对互联网进行数据抓包；了解网络抓包的相关协议。

4.实验要求合理地使用电脑进行数据分析，提高自身对网络的安全意识。

5.实验环境搭建安装Wireshark软件，Wireshark的安装非常简单，只需按照步骤即可。

并且要求电脑具有上网的环境。

6.实验内容及步骤（1）安装Wireshark，简单描述安装步骤。

（2）打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

（3）设置完成后，点击“start”开始抓包，显示结果。

（4）选择某一行抓包结果，双击查看此数据包具体结构。

（5）捕捉TCP数据报。

a.写出TCP数据报的格式。

b.捕捉TCP数据报的格式图例。

针对每一个域所代表的含义进行解释。

7.实验过程及结果分析安装Wireshark软件，安装过程如下（如图1-1——1-3）：图1-1图1-2图1-3安装完毕。

打开软件，界面如图1-4：图1-4：打开软解截面图选中Start下的以太网，点击Start就可以捕获以太网上的数据包了。

流量如图1-5：图1-5：流量截图选择某一行抓包结果，双击查看数据属性，如图1-6：图1-6：数据属性截图(4)捕捉到的TCP信息如图1-7：图1-8：TPC信息截图由图可知这个TCP信息如下：Host: 来自Professorlee的新浪博客User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0HTTP/1.1 200 OKServer: nginx/1.2.8Date: Thu, 12 Sep 2013 12:37:01 GMTContent-Type: application/x-javascriptLast-Modified: Thu, 12 Sep 2013 09:51:17 GMTTransfer-Encoding: chunkedConnection: keep-aliveVary: Accept-EncodingExpires: Thu, 12 Sep 2013 12:37:31 GMTCache-Control: max-age=30X-debug: 114.80.223.58Content-Encoding: gzip8.网络抓包相关网络协议TCP/IP协议不是TCP和IP这两个协议的合称，而是指因特网整个TCP/IP协议族。

网络抓包分析实验报告一：实验目的：1. 学习使用网络数据抓包软件Ethereal，对互连网进行数据抓包，巩固对所学知识的理解二：实验内容：1：分析IP，ICMP的报文格式。

三：实验工具Wireshark抓包软件四：实验步骤1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

3、设置完成后，点击“start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构5、抓ICMP时在开始->运行cmd->tracert 五：分析1：IP报文分析报文格式：截图：分析：由图可知：IP报文版本号是IPV4，首部长度：20 bytes，数据包总长度：58，标示符：0x7335，标志：0x00，比特偏移：0，寿命：112，上层协议：UDP，首部校验和：0x071d，并且是正确的。

源IP地址：61.142.208.196目的IP地址：192.168.1.102二：ＩＣＭＰ报文分析截图如下：ICMP格式有抓包显示截图可知：类型：8 （回显请求）代码/编码：0校验和：0xf2ff（正确的校验和）标示符：0x0300；序列号：512(0x0200)通过这次试验，培养了自己动手的能力，另外，通过对wireshark抓包软件的使用，用其来抓取数据包，对ip, icmp报文的格式有了进一步的了解，通过对报文格式的分析，并且把课本上多学的理论知识与实践结合起来，对以前的知识得到深化和巩固，为以后学习新的知识打下基础，也提高了学习的兴趣，收获很大。

实验报告二课程计算机网络开课实验室日期2013年4月22日学号1040407105 实验项目名称利用Wireshark 进行抓包分析学院经济管理学院指导教师王斌成绩教师评语教师签名：年月日一：实验目的利用Wireshark进行抓包分析，对以前学习过的内容进行进一步的理解和掌握二：实验内容：1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

3、设置完成后，点击“start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构，并对其进行分析三．实验步骤学号1040407105 实验项目名称利用Wireshark 进行抓包分析1.1抓到的数据链路层中的帧Frame 211:56bytes 即所抓到的帧的序号为211，大小是56字节1.2 IP层中的IP数据报Header Length:20bytes 即首部长度为20个字节；Differentiated Services Field:00x0 即区分服务；Total length:40 指首部长度和数据之和的长度为40字节；Identification:0x8a6e(35438) 标识；Flag:0x02 标识此处MF=0，DF=0；Fragment offset:0 指片偏移为0；表示本片是原分组中的第一片。

Time to live :57说明这个数据报还可以在路由器之间转发57次Protocal:TCP 指协议类型为TCP；Source：源地址：119.147.91.131Destination:目的地址180.118.215.1751.3运输层中的TCPSource port:http(80)即源端口号为80Destination port:50001(50001) 即目的端口为50001Sequence number:411 序号为411Acknowledgent number:2877 确认号为2877Header length:20bytes 首部长度为20个字节Flags:0x011 除了确认ACK为1，别的都为0学号1040407105 实验项目名称利用Wireshark 进行抓包分析Window size value:8316 窗口值为8316Checksum:0x18c5 检验和为0x18c52．UDPUDP，是一种无连接的协议。

Wireshark抓包⼯具计算机⽹络实验实验⼀ Wireshark 使⽤⼀、实验⽬的1、熟悉并掌握Wireshark 的基本使⽤；2、了解⽹络协议实体间进⾏交互以及报⽂交换的情况。

⼆、实验环境与因特⽹连接的计算机，操作系统为Windows ，安装有Wireshark 、IE 等软件。

三、预备知识要深⼊理解⽹络协议，需要观察它们的⼯作过程并使⽤它们，即观察两个协议实体之间交换的报⽂序列，探究协议操作的细节，使协议实体执⾏某些动作，观察这些动作及其影响。

这种观察可以在仿真环境下或在因特⽹这样的真实⽹络环境中完成。

Wireshark 是⼀种可以运⾏在Windows, UNIX, Linux 等操作系统上的分组嗅探器，是⼀个开源免费软件，可以从/doc/d2530113af45b307e871976b.html 下载。

运⾏Wireshark 程序时，其图形⽤户界⾯如图2所⽰。

最初，各窗⼝中并⽆数据显⽰。

Wireshark 的界⾯主要有五个组成部分：图1命令和菜单协议筛选框捕获分组列表选定分组⾸部明细分组内容左：⼗六进制右：ASCII 码●命令菜单（command menus）：命令菜单位于窗⼝的最顶部，是标准的下拉式菜单。

●协议筛选框（display filter specification）：在该处填写某种协议的名称，Wireshark 据此对分组列表窗⼝中的分组进⾏过滤，只显⽰你需要的分组。

●捕获分组列表（listing of captured packets）：按⾏显⽰已被捕获的分组内容，其中包括：分组序号、捕获时间、源地址和⽬的地址、协议类型、协议信息说明。

单击某⼀列的列名，可以使分组列表按指定列排序。

其中，协议类型是发送或接收分组的最⾼层协议的类型。

●分组⾸部明细（details of selected packet header）：显⽰捕获分组列表窗⼝中被选中分组的⾸部详细信息。

包括该分组的各个层次的⾸部信息，需要查看哪层信息，双击对应层次或单击该层最前⾯的“＋”即可。

计算机网络技术及应用实验报告开课实验室：南徐学院网络实验室源端口目的端口序号确认号首部长度窗口大小值总的长度：0028（0000 00000010 10000）识别：81 28（1000 0001 0010 10000）片段抵消：40 00（0100 0000 0000 0000）生存时间：34（0011 0100）69 5b(0110 10010101 1011)首部来源： b4 15 f1(11011101 1011 0100 0001 01011110 0001)目的地：70 04 f8 82（0110 0000 0000 01001111 1000 1000 0010）点对点协议：00 21（0000 0000 00100001）版本类型：11（0001 0001）代码：00（0000 0000）会话：21 a6（0010 0001 1010 0110 ）载荷长度：00 2a（0000 0000 0010 1010）网络协议层首部长度：占4位，45（0100 0101） 区分服务：占8位，00（0000 0000） 总长度:: 00 9c(0000 0000 1001 1100)标识：占16位，2f 70（0010 1111 0111 0000） 片偏移：占13位，00 a0(0000 0000 1010 0000) 生存时间：33（0011 0011） 协议：11（0001 0001）报头校验和：75 （0111 0101 1100 1101 ）来源： e1 a8 76（1101 1101 1110 0001 1010 1000 0111 0110） 目的地：b7 d3 a3 48（1011 0111 1101 0011 1010 0011 0100 1000）点对点协议：00 21（0000 0000 00100001）分析版本，类型：11（0001 0001）代码：00（0000 0000）会话：20 24（0010 0000 0010 0100）荷载长度：00 9e（0000 0000 1001 1110）目的地：00 1b 38 7e 1d 39（0000 0000 0001 1011 0011 1000 0111 1110 0001 1101 0011 1001）来源：00 30 88 13 d2 （0000 0000 0011 0000 1000 1000 0001 0011 1101 0010数据部分：00 00 00 00 95 85 c0 28 01 00 37 f6 02 13 e5 67 e2 b8 6c（0000 0000 0000 0000 1001 0101 1000 0101 1100 00000010 1000 0000 0001 0000 0000 0011 0111 1111 0110 0000 0010 0001 0011 1110 0101 0110 0111 1110 0010 1011 1000 0110 1100版本，报头长度：45（0100 0101）区分服务：00（0000 0000）总长度：00 43（0000 0000 0100 0011）标识：89 00（1000 1001 0000 0000） 片偏移：00 00（0000 0000） 生存时间：40（0100 0000）协议：11（0001 0001）报头校验和：32 （0011 0010 1011 1111）、来源：b7 d3 a3 48（1011 0111 1101 0011 1010 0011 0100 1000） 目的地：2a e5 38 （0010 1010 1110 0101 0011 1000 1110 1010）点对点协议：00 21（0000 00000010 0001）。

Wireshark抓包分析实验若惜年一、实验目的：1.学习安装使用wireshark软件，能在电脑上抓包。

2.对抓出包进行分析，分析得到的报文，并与学习到的知识相互印证。

二、实验内容：使用抓包软件抓取HTTP协议通信的网络数据和DNS通信的网络数据，分析对应的HTTP、TCP、IP协议和DNS、UDP、IP协议。

三、实验正文：IP报文分析：从图中可以看出：IP报文版本号为:IPV4首部长度为:20 bytes数据包长度为:40标识符：0xd74b标志：0x02比特偏移：0寿命：48上层协议：TCP首部校验和：0x5c12源IP地址为：目的IP为：从图中可以看出：源端口号：1891目的端口号：8000udp报文长度为：28检验和：0x58d7数据长度：20 bytesUDP协议是一种无需建立连接的协议，它的报文格式很简单。

当主机中的DNS 应用程序想要惊醒一次查询时，它构造一个DNS查询报文段并把它给UDP，不需要UDP之间握手，UDP为报文加上首部字段，将报文段交给网络层。

第一次握手：从图中看出：源端口号：56770目的端口号：80序列号为:0首部长为: 32 bytesSYN为1表示建立连接成功当fin为1时表示删除连接。

第二次握手：从图中看出：源端口号是：80目的端口号为：56770序列号为：0ack为：1Acknowledgement为1表示包含确认的报文Syn为1表示建立连接。

第三次握手：从图中看出：源端口：56770目的端口：80序列号为：1ACK为：1首部长为：20bytesAcknowledgement为1表示包含确认的报文所以，看出来这是TCP连接成功了Tcp是因特网运输层的面向连接的可靠的运输协议，在一个应用进程可以开始向另一个应用进程发送数据前，这两个进程必须先握手，即它们必须相互发送预备文段，建立确保传输的参数。

发送报文：GET/HTTP/：是请求一个页面文件HOST：是请求的主机名Connection：持续连接Accept: 收到的文件User-Agent : 浏览器的类型Accept-encoding: gzip ,deflate ,sdch限制回应中可以接受的内容编码值，指示附加内容的解码方式为gzip ,deflate ,sdch 。

二．实验工具wireshark软件三．实验主要过程与结果本次实验使用了wireshark抓包软件对QQ的协议数据进行了分析。

1、首先打开wireshark,登录QQ2、然后点击开始抓包，给好友发送消息3、最后停止抓包，分析协议数据结果：停止抓包后，可以看到wireshark的页面如下，分为了三个区域：从上到下依次为数据包列表，数据包细节和数据包字节。

源地址为120.204.17.118，目的地址为172.17.62.0即为本机的地址）。

从数据包细节窗口可以看出总共有五层，从下到上依次为应用层，运输层，网络层，数据链路层，物理层。

分别对其不同层进行分析。

四、分析讨论1、应用层应用层是五层协议体系结构中的最高层，其任务是通过应用进程间的交互来完成特定网络应用。

本实验使用的应用进程为QQ,从下图中可以看出QQ所使用的协议为OICQ协议，其中里面包含了交互数据，即为报文。

在数据包细节中OICQ协议中的第五行，可以看到自己的QQ号（302702230）。

选中最后一行的DaTa可以看到传输的数据，即为报文。

2、运输层运输层的任务就是负责向两台主机中进程之间的通信提供通用的数据传输服务，应用进程利用该服务传送应用层报文。

从下图可以看到运输层所使用的协议为UDP协议，UDP协议提供无连接的、尽最大努力的数据传输服务（不保证数据传输的可靠性），其数据的单位是用户数据报。

图中所选中的数据部分是运输层给数据加的报头。

其源端口号为8000，目的端口号为4009，数据包字节长度为87。

UDP协议的第四行表示检验和显示为验证禁用，不能验证，如下图。

3、网络层网络层负责为分组交换网上的不同主机提供通信服务。

在发送数据时，网络层把运输层产生的报文段或用户数据报封装成分组或包进行传送。

从图中可以看出可以看到IP的版本号为4；IP头的长度是20字节，所以从图中可以看出第一个数45，即代表版本号和IP头的长度；首部和载荷的总长度是107字节（0x006b），00在前，6b在后，说明进行网络传输的时候是先传输高位再传输低位,即高字节数据在低地址，低字节数据在高地址，从图中可以看出是00 6b；TTL（存活时间）域的值是54；协议为UDP。

网络抓包实验报告网络抓包实验报告一、实验目的网络抓包是一种常见的网络分析技术，通过截获和分析网络通信数据包，可以深入了解网络通信过程中的细节和问题。

本实验旨在通过抓包实践，掌握网络抓包的基本原理和操作方法，并能够利用抓包工具进行网络数据分析。

二、实验环境本次实验使用了一台运行Windows 10操作系统的电脑，并安装了Wireshark作为网络抓包工具。

Wireshark是一款开源的网络协议分析软件，可以截获并分析网络数据包。

三、实验步骤1. 安装Wireshark：从官方网站下载Wireshark安装包，并按照提示完成安装过程。

2. 打开Wireshark：双击Wireshark桌面图标，启动软件。

3. 选择网络接口：在Wireshark界面的主菜单中，点击“捕获”选项，选择要进行抓包的网络接口。

4. 开始抓包：点击“开始”按钮，Wireshark开始截获网络数据包。

5. 进行网络通信：在另一台电脑上进行网络通信，例如访问一个网站或发送电子邮件。

6. 停止抓包：在Wireshark界面的主菜单中，点击“停止”按钮，停止截获网络数据包。

7. 分析数据包：在Wireshark界面的数据包列表中，可以看到截获的网络数据包，点击其中的一条数据包，可以查看其详细信息。

四、实验结果与分析通过实验，我们成功截获了多个网络数据包，并进行了分析。

在分析过程中，我们发现了一些有趣的现象。

首先，我们观察到了HTTP通信中的明文传输问题。

在抓包过程中，我们截获了一些HTTP请求和响应的数据包，其中包含了网页的内容。

通过查看数据包的详细信息，我们发现这些数据包中的内容并没有进行加密处理，因此存在信息泄漏的风险。

这提醒我们在进行网络通信时，应尽量使用HTTPS等加密协议来保护数据的安全性。

其次，我们还观察到了TCP连接的建立和断开过程。

在进行网络通信时，客户端和服务器之间需要建立TCP连接来传输数据。

通过分析数据包中的TCP协议头部信息，我们可以清晰地看到连接的建立过程，包括三次握手和连接的断开过程，包括四次挥手。

第三次课堂实践报告高国栋20同实验者韦纯韦方宇王尊严一、实践容11. 两台PC通过交换机或网线互相ping通。

2. 抓取1个ARP请求报文和1个ARP响应报文。

3. 抓取1个ICMP ECHO报文和1个ICMP ECHO REPLY报文。

Ping通目标主机192.168.0.150（对方也ping通192.168.0.100）在ping命令时抓取的arp与icmp数据包分别选择其中的任意一个ARP请求报文、ARP响应报文、ICMP ECHO报文、ICMP ECHO REPLY报文，并打开其数据包。

4. 要求:(1) 列出上述报文对应MAC帧原始数据，附上对应截图。

对应的帧原始数据为框中的容：ARP请求报文：ARP响应报文：IMP ECHO 报文ICMP ECHO REPLY报文：(2) 找出上述报文对应MAC帧的源MAC地址、目的MAC地址、类型、数据长度，附上与原始数据的对应图。

ARP请求报文ARP响应报文IMP ECHO 报文ICMP ECHO REPLY报文(3) 找出ICMP ECHO和ECHO REPLAY报文的首部长度、总长度、生存时间、协议、首部校验和、源IP地址、目的IP地址，计算单次成功ping的时间，附上与原始数据的对应图。

ICMP ECHO报文数据包如下：可看到时间标记为10：28：06.312741400ECHO REPLAY报文：时间标记为10：28：06.314322400单次成功ping的时间=10：28：06.314322400-10：28：06.312741400=0.002570000s 所以单次成功ping的时间0.00257秒(4) 找出ARP请求报文希望获得的MAC地址及其对应的IP地址，附上对应截图。

从图中可以知道ARP请求报文希望获得的MAC地址为50:7B:9D:07:D0:B2。

它对应的IP地址为：192.168.0.100。

因为此时是IP地址为192.168.0.150在ping 192.168.0.100，所以是192.168.0.150给192.168.0.100发送ARP请求报文，所以捕获到的目的IP地址为192.168.0.100。

淮海工学院计算机工程学院实验报告书课程名：《计算机网络》题目：实验三网络数据包的捕获与分析班级：学号：姓名：实验三网络数据包的捕获与分析一、实验目的和要求通过本次实验，了解协议编辑器及协议分析器的作用，并能通过对网络层协议数据包的编辑、发送、捕获、分析，掌握数据封装的格式和方法，能对捕获的数据包分析其数据链路层和网络层的首部。

二、实验内容1、利用协议编辑器编辑ARP协议数据包，并使用协议分析器捕获并分析之；2、利用协议编辑器编辑ICMP协议数据包，并使用协议分析器捕获并分析之；三、主要实验仪器及材料装有Windows 2003系统的计算机，局域网，协议编辑器软件和协议分析器软件。

四、实验步骤（需要抓图说明实验过程）（一）ARP协议数据包的编辑与捕获1、打开协议编辑器，编辑ARP协议数据包（先扫描主机，然后按需要设置协议类型（数据链路层首部）、源MAC地址、源IP地址、目的IP地址，并校验数据是否正确）2、打开协议分析器。

设置过滤条件，开启捕获报文。

3、返回协议编辑器发送一定数量的数据包；4、在协议分析其中停止捕获报文，并查看所捕获的报文。

（二）ICMP协议数据包的编辑与捕获1、打开协议编辑器，编辑ICMP协议数据包（先扫描主机，然后按需要设置协议类型（数据链路层首部和网络层首部分别设置）、源MAC地址、源IP地址、目的IP 地址、目的MAC地址，ICMP首部校验和、总长度，IP首部校验和，并校验数据是否正确）2、打开协议分析器。

设置过滤条件，开启捕获报文。

3、返回协议编辑器发送一定数量的数据包；4、在协议分析其中停止捕获报文，并查看所捕获的报文。

五、实验结果分析分别对ARP协议和ICMP协议所编辑的数据包和所捕获的数据包进行分析。

要求：对捕获的报文分析其数据链路层首部和网络层首部内容，并与所编辑的报文做比较。

六、实验小结。

实验报告二课程计算机网络开课实验室日期2013年4月22日学号1040407105 实验项目名称利用Wireshark 进行抓包分析学院经济管理学院指导教师王斌成绩教师评语教师签名：年月日一：实验目的利用Wireshark进行抓包分析，对以前学习过的内容进行进一步的理解和掌握二：实验内容：1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

3、设置完成后，点击“start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构，并对其进行分析三．实验步骤学号1040407105 实验项目名称利用Wireshark 进行抓包分析1.1抓到的数据链路层中的帧Frame 211:56bytes 即所抓到的帧的序号为211，大小是56字节1.2 IP层中的IP数据报Header Length:20bytes 即首部长度为20个字节；Differentiated Services Field:00x0 即区分服务；Total length:40 指首部长度和数据之和的长度为40字节；Identification:0x8a6e(35438) 标识；Flag:0x02 标识此处MF=0，DF=0；Fragment offset:0 指片偏移为0；表示本片是原分组中的第一片。

Time to live :57说明这个数据报还可以在路由器之间转发57次Protocal:TCP 指协议类型为TCP；Source：源地址：119.147.91.131Destination:目的地址180.118.215.1751.3运输层中的TCPSource port:http(80)即源端口号为80Destination port:50001(50001) 即目的端口为50001Sequence number:411 序号为411Acknowledgent number:2877 确认号为2877Header length:20bytes 首部长度为20个字节Flags:0x011 除了确认ACK为1，别的都为0学号1040407105 实验项目名称利用Wireshark 进行抓包分析Window size value:8316 窗口值为8316Checksum:0x18c5 检验和为0x18c52．UDPUDP，是一种无连接的协议。

实验一抓包和net命令实验一、实验目的网络世界中，最基本的单元是数据包。

本实验内容作为将来各个实验的基础，培养对网络通讯协议底层的分析和认识，加强对网络的理解。

实验内容主要关注 TCP、ICMP、UDP包的检验。

net命令是黑客入侵的基本命令，通过使用该命令，学会控制他人的主机的基本方法。

二、实验环境1.实验室主机一台2.vmware虚拟机及Windows 2000 Advanced Server系统镜像3.ethereal抓包软件或其它抓包软件三、实验内容1.练习ethereal等抓包工具的使用。

2.使用ethereal抓包工具学习TCP、ICMP、UDP等协议。

3.熟悉net use和net user命令的使用方法。

四、实验步骤1、安装vmware和ethereal软件（没有安装的话）。

2、用vmware打开Windows 2000 Advanced Server虚拟机系统镜像。

编辑虚拟机设置：在主机上查看其ip设置等。

在主机上打开虚拟机的网卡。

重新查看主机IP设置。

3、进入虚拟机操作系统后，利用IIS搭建并安装FTP服务器，设置IP地址及FTP站点的文件夹。

在虚拟机上查看虚拟机的IP地址。

在主机上ping虚拟机的IP地址，基本不通。

修改虚拟机地址，使其与主机在同一网段。

在虚拟机上查看其IP设置。

在主机上ping虚拟机。

4.在本机上进行FTP站点测试，打开本机上的ethereal软件，抓取并分析本机和虚拟机之间产生的TCP包。

用Warshark抓到的TCP包：用ethereal软件，抓取的TCP包：源端口号：21，目的端口号：2724。

序号为94，确认号为28，首部长度为32字节。

窗口大小为１７４９３，校验和为0x2cca，其它参数（选项）为１２字节。

源端口号：２７２４，目的端口号：２１，序号为２１，确认号为９４。

首部长度为３２字节。

ＰＳＨ＝１，ＡＣＫ＝１。

窗口大小为６５４４２。

校验和为０x5af9，其它参数为１２字节。

《计算机网络》课程实验报告实验三：数据包结构分析写出捕获的数据包格式。

1.打开软件。

选择网络配适器。

（如此处选择无线网络连接ip : 10.99.45.90 ）2.设置捕捉过滤器，并新建一个自定义规则filter 1。

苫杆HRPICMPFTPARP/RiRPFCMPH□□□PTTF1±IITTF5L SHrcodcastCIFSD卜CPIPMulTirfictNeiDIOSI u cPtPrfSkBSMTPTO□□口□□口口□「□□Lit高謳过淖器名学Filter 1吨江;y iBjatKUH!!店冋□ £□09wQl单為口▼0▼ils址Is 2T血：靖口［S 2▼触2GBW団协议规则协段j--*4-'--Jj厲-芒Ethernet II Ethernet Type [I任豁口qH刚肖4. 停止抓包后协议统计信息 JSS H1P 0 □ 0主二握匕ui 黑 DN& HP ARP/RARP [CMP Hrcoi^cci st CIFS □ □□□□□□ □ □□□□DHCP IP Mukira^t 「□□□□□□□□ □□□□□□□□POPS PPPdE SMB SMTP TCP 了亘冈创函0 3.点击右下角开始按钮，开始抓包，一段时间后停止。

M " J> >11>1 :玄直 W 4屛宀《<申Top 10远程IF地址统计n葢冋思考题2: （6分）得分: 写出实验过程并分析实验结果。

实验中选择http协议进行分析，涵盖了TCP, IP,数据链路层MAC帧等。

1. 选择一个数据包2. 双击打开查看该数据包3. 以太网MAC 帧1） 格式6 6 2 46-1500 4 II 的地址源地址|封装协议类型 效据 FCSHA. 1^102）数据包分析结果3）说明:4. IP 协议氐I 玄两 -lit ■比hPEbt TilE 直』厂 -T •v WFJ !& J •一 -r *r "-"w ■■ ■ ^av - *w wi4：43；rS ：M^7ta .KlJU^ETrriUcTl [t r J O E ZB 口n ：：a-=ez-5ET II I?T 4I协议类型：08000网际协议（IP ）5c>j^cc 11 i!TF -凶特眄傑僅:書F imst ： :Pet 址g 】.2)数据包分析结果3) 说明版本：4指ipv4，长度5*4=20字节服务：00未使用标识：数据分片和重组时使用标志：前三bit 010，最后一个数据片，传输过程中不能分片生存时间：最多经过64个路由上层协议：6 TCP协议5. TCP协议1) 格式2）数据包分析结果3）说明标志位（010000 ）: URG=0紧急指针无效ACK=1确认信号有效PSH=0不立即响应RST=0 TCP连接没有问题SYN=0建立连接FIN=0关闭连接校验和：校验范围：伪首部+首部+数据紧急指针：0，URG=0无效6. HTTP协议1）格式面向文本的。