华南理工大学计算机网络网络报文抓取与分析实验报告

网络报文分析实验报告实验目的本次实验旨在通过对网络报文的分析，深入了解网络通信过程中数据的传输和交互。

实验背景随着互联网的快速发展，网络通信已经成为了人们日常生活中一个不可或缺的组成部分。

网络通信的基本单位是报文，它是在网络中传输的数据单元。

通过对网络报文的分析，可以帮助我们更好地理解、掌握网络通信的工作原理。

实验材料- Wireshark软件：用于捕获和分析网络报文。

实验步骤1. 下载并安装Wireshark软件。

2. 打开Wireshark软件并选择要监测的网络接口。

3. 开始捕获网络报文。

4. 执行特定操作，如访问一个网页、发送邮件等，以产生网络通信。

5. 停止网络报文捕获。

6. 分析捕获到的网络报文。

实验结果通过对网络报文的捕获和分析，我们可以了解到以下几个方面的信息：1. 源IP地址和目标IP地址：可以确定报文是从哪个主机发送到哪个主机。

2. 源端口号和目标端口号：可以确定报文是通过哪个应用程序发送和接收的。

3. 报文的数据内容：可以查看报文中的数据部分，并进行进一步的分析，如解码加密的数据、查找特定信息等。

4. 报文的协议类型：可以确定报文使用的是哪个协议，如TCP、UDP、HTTP 等。

5. 报文的长度和时间戳：可以了解报文的大小和传输时间。

实验分析通过分析捕获到的网络报文，我们可以获得以下几个方面的信息：1. 网络通信的双方：通过源IP地址和目标IP地址，我们可以知道网络通信是由哪两台主机之间进行的。

2. 通信所使用的协议：通过报文的协议类型，我们可以确定报文是使用TCP、UDP、HTTP还是其他协议进行传输。

3. 通信的具体内容：通过分析报文的数据部分，我们可以了解到通信中传输的具体内容，如网页的HTML代码、文件的二进制数据等。

4. 通信的时间和速率：通过报文的时间戳和长度，我们可以了解到通信过程所花费的时间和传输速率。

实验总结通过本次实验，我们对网络报文的分析有了更深入的了解。

电子商务应用开发技术实验报告实验报告二课程计算机网络开课实验室日期2013 年 4 月 22 日实验项目学号1040407105利用Wireshark进行抓包分析名称学院经济管理学院指导教师王斌成绩教师评语一：实验目的利用 Wireshark 二：实验内容：教师签名：年月日进行抓包分析，对以前学习过的内容进行进一步的理解和掌握1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

3、设置完成后，点击“ start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构，并对其进行分析三．实验步骤实验项目学号1040407105利用Wireshark进行抓包分析名称上面的截图是抓取到的包，下面分别针对其中的一个TCP， UDP和 ICMP进行分析1. TCPTCP ：Transmission Control Protocol 的、可靠的、基于字节流的运输层（传输控制协议TCP 是一种面向连接（连接导向）Transport layer）通信协议，由IETF 的 RFC 793说明（ specified）。

在简化的计算机网络OSI模型中，它完成第四层传输层所指定的功能。

在因特网协议族（Internet protocol suite）中，TCP层是位于IP 层之上，应用层之下的中间层。

不同主机的应用层之间经常需要可靠的、像管道一样的连接，但是IP 层不提供这样的流机制，而是提供不可靠的包交换。

应用层向TCP 层发送用于网间传输的、用8 位字节表示的数据流，然后TCP 把数据流分割成适当长度的报文段（通常受该计算机连接的网络的数据链路层的最大传送单元(MTU) 的限制）。

之后 TCP 把结果包传给 IP 层，由它来通过网络将包传送给接收端实体的TCP 层。

TCP 为了保证不发生丢包，就给每个字节一个序号，同时序号也保证了传送到接收端实体的包的按序接收。

实验报告题目网络抓包及网络命令实验报告学院专业班级学号学生姓名成绩指导教师完成日期网络工具应用实践实验报告1.实验概要通过使用软件Wireshark抓取网络上的数据包，并作相应分析。

2.实验环境硬件：台式笔记本或Pc、网卡、网络环境。

软件：Windows xp sp3及Windows 7、8。

3.实验目的了解网络抓包的意义，学习并了解使用网络抓包Wiresh 。

对互联网进行数据抓包；了解网络抓包的相关协议。

4.实验要求合理地使用电脑进行数据分析，提高自身对网络的安全意识。

5.实验环境搭建安装Wireshark软件，Wireshark的安装非常简单，只需按照步骤即可。

并且要求电脑具有上网的环境。

6.实验内容及步骤（1）安装Wireshark，简单描述安装步骤。

（2）打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

（3）设置完成后，点击“start”开始抓包，显示结果。

（4）选择某一行抓包结果，双击查看此数据包具体结构。

（5）捕捉TCP数据报。

a.写出TCP数据报的格式。

b.捕捉TCP数据报的格式图例。

针对每一个域所代表的含义进行解释。

7.实验过程及结果分析安装Wireshark软件，安装过程如下（如图1-1——1-3）：图1-1图1-2图1-3安装完毕。

打开软件，界面如图1-4：图1-4：打开软解截面图选中Start下的以太网，点击Start就可以捕获以太网上的数据包了。

流量如图1-5：图1-5：流量截图选择某一行抓包结果，双击查看数据属性，如图1-6：图1-6：数据属性截图(4)捕捉到的TCP信息如图1-7：图1-8：TPC信息截图由图可知这个TCP信息如下：Host: 来自Professorlee的新浪博客User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0HTTP/1.1 200 OKServer: nginx/1.2.8Date: Thu, 12 Sep 2013 12:37:01 GMTContent-Type: application/x-javascriptLast-Modified: Thu, 12 Sep 2013 09:51:17 GMTTransfer-Encoding: chunkedConnection: keep-aliveVary: Accept-EncodingExpires: Thu, 12 Sep 2013 12:37:31 GMTCache-Control: max-age=30X-debug: 114.80.223.58Content-Encoding: gzip8.网络抓包相关网络协议TCP/IP协议不是TCP和IP这两个协议的合称，而是指因特网整个TCP/IP协议族。

实验⼆IP报⽂的捕获与分析实验⼆ IP报⽂的捕获与分析——实验报告⼀、实验⽬的（1）掌握IP协议报⽂格式。

（2）对捕捉到的包进⾏IP分析。

⼆、实验内容⽤Wireshark过滤出IP数据包，查看并分析具体的IP包的内容。

三、实验原理1、wireshark简介Wireshark（前称Ethereal）是⼀个⽹络封包分析软件。

⽹络封包分析软件的功能是撷取⽹络封包，并尽可能显⽰出最为详细的⽹络封包资料。

在GNUGPL通⽤许可证的保障范围底下，使⽤者可以以免费的代价取得软件与其程式码，并拥有针对其源代码修改及客制化的权利。

Ethereal是⽬前全世界最⼴泛的⽹络封包分析软件之⼀。

Wireshark可以帮助⽹络管理员检测⽹络问题，帮助⽹络安全⼯程师检查资讯安全相关问题，开发者使⽤Wireshark来为新的通讯协议除错，普通使⽤者使⽤Wireshark来学习⽹络协定的相关知识当然，有的⼈⽤它来寻找⼀些敏感信息Wireshark不是⼊侵侦测软件（Intrusion DetectionSoftware,IDS）。

对于⽹络上的异常流量⾏为，Wireshark不会产⽣警⽰或是任何提⽰。

然⽽，仔细分析Wireshark撷取的封包能够帮助使⽤者对于⽹络⾏为有更清楚的了解。

Wireshark不会对⽹络封包产⽣内容的修改，它只会反映出⽬前流通的封包信息，它也不会送出封包⾄⽹络上2、IP数据报格式IP数据报TCP/IP协议定义了⼀个在因特⽹上传输的包，称为IP数据报(IP Datagram)。

这是⼀个与硬件⽆关的虚拟包，由⾸部和数据两部分组成。

⾸部的前⼀部分是固定长度，共20字节，是所有IP数据报必须具有的。

在⾸部的固定部分的后⾯是⼀些可选字段，其长度是可变的。

⾸部中的源地址和⽬的地址都是IP协议地址。

IP数据包格式如图1所⽰。

图1 IP报⽂格式上⽹查找资料，整理如下更详细更易懂的IP报⽂格式与字段含义：IP协议偏移量0~34~78~1516~1819~31偏移量0~34~78~1516~1819~31 0版本⾸部长度服务类型总长度32标识符标识分段偏移64存活时间协议⾸部校验和96源IP地址128⽬的IP地址160选项160或192+数据IP报⽂字段含义版本指 IP 协议所使⽤的版本。

实验报告二课程计算机网络开课实验室日期2013年4月22日学号1040407105 实验项目名称利用Wireshark 进行抓包分析学院经济管理学院指导教师王斌成绩教师评语教师签名：年月日一：实验目的利用Wireshark进行抓包分析，对以前学习过的内容进行进一步的理解和掌握二：实验内容：1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

3、设置完成后，点击“start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构，并对其进行分析三．实验步骤学号1040407105 实验项目名称利用Wireshark 进行抓包分析1.1抓到的数据链路层中的帧Frame 211:56bytes 即所抓到的帧的序号为211，大小是56字节1.2 IP层中的IP数据报Header Length:20bytes 即首部长度为20个字节；Differentiated Services Field:00x0 即区分服务；Total length:40 指首部长度和数据之和的长度为40字节；Identification:0x8a6e(35438) 标识；Flag:0x02 标识此处MF=0，DF=0；Fragment offset:0 指片偏移为0；表示本片是原分组中的第一片。

Time to live :57说明这个数据报还可以在路由器之间转发57次Protocal:TCP 指协议类型为TCP；Source：源地址：119.147.91.131Destination:目的地址180.118.215.1751.3运输层中的TCPSource port:http(80)即源端口号为80Destination port:50001(50001) 即目的端口为50001Sequence number:411 序号为411Acknowledgent number:2877 确认号为2877Header length:20bytes 首部长度为20个字节Flags:0x011 除了确认ACK为1，别的都为0学号1040407105 实验项目名称利用Wireshark 进行抓包分析Window size value:8316 窗口值为8316Checksum:0x18c5 检验和为0x18c52．UDPUDP，是一种无连接的协议。

课程设计报告数据包的获取与分析学院：专业班级：学生姓名：学号：指导教师：成绩：2011 年 12 月1. 设计任务使用抓包软件抓取网络传输中的数据包，并对所抓取的数据包进行分析，在这里我使用的抓包软件是“锐捷”，使用“锐捷”抓包软件对邮件发送过程中所产生的数据包进行抓取，并从所抓取的数据包中筛选出邮件发送所产生的包，对其进行数据分析，包括数据包所属协议、作用以及首部字段和数据内容（具有相同功能的数据包只分析一次）。

并且需要截图做详细说明。

2. 操作步骤首先打开“锐捷”抓包软件，匿名登录上该软件。

从IE浏览器中打开163邮箱的登陆界面。

从一登陆上的界面点击开始按钮，开始捕捉网络中的数据包。

登陆163邮箱，编辑所要发送的邮件，编辑完成后，点击发送。

发送完成后，关闭邮箱。

查看并分析抓包软件所抓取的数据包。

3. 数据包分析3.1图3.1.1为我的主机的网络配置。

图3.1.1 计算机IP配置3.2 捕获到的数据包分析3.2.1 IP数据报的格式IP数据报的格式，在网络中要对I数据经行封装，在网络中要发送一个数据要对其进行封装。

3.2.1 IP数据包格式还需要地址解析协议ARP，如果主机A要向主机B发送IP数据报是如果高速缓存中没有主机B的IP地址，ARP进程在本局域网上广播发送一个ARP请求分组，主机B在ARP请求分组中看的自己的IP地址，就想主机A发送ARP响应分组，主机A收到主机B的响应分组后，就在ARP高速缓存中写入主机B的IP地址到ＭＡＣ地址的映射。

图3.2.2为邮件发送过程中所发送的ARP请求。

3.2.2 ARP会话树3.2.3 ARP协议结构树由图3.2.3可见，该ARP 硬件类型 0001 协议类型 0800 硬件长度 6 协议长度 4 操作码 1 源物理地址8c-89-a5-fb-15 源IP地址10.10.20.102 目标物理地址还未知3.2.2在网络层封装层IP数据包在网络层封装层IP数据包，数据链路层把网络层交下来的IP数据报添加首部和尾部封装成帧，并把封装好的帧发送给目的主机的数据链路层，对方的数据链路层收到的帧无差错，则从收到的帧中提取出IP数据报上交给上面的网络层，否则丢弃这个帧。

计算机网络基础实验报告实验名称：利用wireshark进行网络抓包姓名：学号：班级：目录一、实验目的 (3)二、实验步骤 (3)三、结果分析 (3)3.1 DNS响应分析 (4)3.2 HTTP响应分析 (6)3.3 ARP响应示例 (9)3.4 TCP响应示例 (10)3.5 UDP响应示例 (11)四、实验总结 (12)一、实验目的1、能够使用Wireshark执行基本的包的捕获。

2、利用wireshark分析HTTP 和 DNS报文。

3、尝试分析其他数据。

二、实验步骤1、安装wireshark软件，因为原电脑上已安装WinPcap，则不进行重复安装。

2、打开sogou浏览器中的Internet选项，清除临时文件。

3、利用开始菜单中的运行指令，清除已有DNS。

4、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

5、打开wireshark,选择"Capture>>Interfaces",选择有数据的网卡。

图16、选择"Start"开始监控流量。

开始抓包，显示结果。

图27、打开sogou浏览器，显示主页为/；一段时间后，打开淘宝网并将主页关闭；一段时间后从搜索栏中打开电子科大教务处网站，由教育网通道进入，同时关闭淘宝网。

8、抓包结束，保存并观察数据。

三、结果分析3.1 DNS响应分析在filter中输入“dns”并回车，则显示如下图【】。

因为请求得显示主页为/，则在该主页上涉及到例如百度、谷歌等多个网站的链接。

由此，可以先利用wireshark对所抓的DNS查询报文进行分析，再分析相应的回答报文。

图3以淘宝网为例，对查询报文进行分析。

图4将DNS查询报文展开：图5表1首部区域图6展开DNS回答报文：图7表3首部区域图8表4问题区域3.2 HTTP响应分析当在filter一栏输入“HTTP”，显示如下图：图9 以学校教务处网站为例，抓包显示如下：图10由此我们可以先来分析由wireshark所抓的一个含有http请求报文的帧。

华南理工大学《高级计算机网络》实验报告纯IPv6网通达、边界网关协议BGP、IP组播、服务质量（QoS）学院计算机科学与工程专业计算机科学与技术（全英创新班）指导教师袁华、张凌组长黄炜杰(201230590051)组员2 刘政锡(201230590129)组员3 罗达志(201230590150)组员4 吴宸(201230590228)组员5 伍楚丹(201230590242)组员6 张弘(201230590280)组员7 黄健文(201236590048)组员8 柳雨新(201236590130)实验时间 2016年1月5日实验过程：实验拓扑请按照如下拓扑图连接实验设备，两台路由器分别是Router-A和Router-B；每台路由器各挂接一台交换机，分别是S1和S2；每台交换机下至少挂接1台PC。

Router-A Router-BS1S2PC1PC3PC5PC7PC2PC4PC6PC8Fa0/0Fa0/0Fa0/1Fa0/12001:DB8:ACAD:12::/642001:DB8:ACAD:A::/642001:DB8:ACAD:B::/64在上述拓扑中，各设备的地址分配建议如下表（也可自行设计规划）所示：设备接口IPv6 本地链路地址默认网关路由器Router-AFa0/0 2001:DB8:ACAD:12::1/64 FE80::1 未配置Fa0/1 2001:DB8:ACAD:A::1/64 FE80::1 未配置路由器Router-BFa0/0 2001:DB8:ACAD:12::2/64 FE80::2 未配置Fa0/1 2001:DB8:ACAD:B::1/64 FE80::1 未配置交换机S1和S2 无须做任何配置，做傻瓜交换机用PC1 FastEthernet 2001:DB8:ACAD:A::/64 FE80：：/64 手动配置或自动获取。

PC2 FastEthernet 2001:DB8:ACAD:B::/64 FE80：：/64基本配置：根据拓扑图连接好实验设备1.路由器更名：实验结果：成功把路由器名称从‘Ruijie’改为‘HWJ’2.手动配置2个路由器4个接口的IPv6地址其中Router-A配置如下，Router-B同理，不贴出配置结果:路由器A可以看到与其直连的路由器B，其本地链路地址配置正确（此时路由器并未学习到与B直连的网络2001:db8:acad:b::/64）3.个人电脑IPv6配置★IPv6协议栈安装及测试：实验结果：IPv6栈成功安装★连接名称及索引号查看：★本机地址网关设置：【思考题】1. 从PC1向Router-A发出ping命令，是否可以通达？答：可以。

广西民族大学网络数据捕获及分析实验报告学院：信息科学与工程学院班级 10网络姓名郭璇学号 110263100129 实验日期 2012年10月19日指导老师周卫实验名称网络数据捕获及分析实验报告一、实验目的1、通过捕获网络通信数据，使学生能够真实地观察到传输层（TCP）和应用层（HTTP）协议的数据，对计算机网络数据传输有感性的认识。

2、通过对捕获的数据的分析，巩固学生对这些协议制定的规则以及工作的机制理解，从而对计算机网络数据传输有初步的认识，以便为之后通信协议设计以及通信软件设计打下良好的基础。

二、协议理论TCP：1、Transmission Control Protocol 传输控制协议TCP是一种面向连接（连接导向）的、可靠的、基于字节流的运输层（Transport layer）通信协议，由IETF的RFC 793说明（specified）。

在简化的计算机网络OSI模型中，它完成第四层传输层所指定的功能，UDP是同一层内另一个重要的传输协议。

2、TCP所提供服务的主要特点：（1）面向连接的传输；（2）端到端的通信；（3）高可靠性，确保传输数据的正确性，不出现丢失或乱序；（4）全双工方式传输；（5）采用字节流方式，即以字节为单位传输字节序列；（6）紧急数据传送功能。

3、TCP连接的建立与终止TCP连接的建立：TCP协议通过三个报文段完成连接的建立，这个过程称为三次握手（three-way handshake），过程如下图所示。

TCP连接的终止：建立一个连接需要三次握手，而终止一个连接要经过四次握手，这是由TCP的半关闭（half-close）造成的。

具体过程如下图所示。

4、服务流程TCP协议提供的是可靠的、面向连接的传输控制协议，即在传输数据前要先建立逻辑连接，然后再传输数据，最后释放连接3个过程。

TCP提供端到端、全双工通信；采用字节流方式，如果字节流太长，将其分段；提供紧急数据传送功能。

计算机网络实验指南（计算机类本科生试用）广东省计算机网络重点实验室计算机科学与工程学院华南理工大学2014年5月目录目录 (1)实验一网线制作 (3)1. 实验目的 (3)2. 实验器材及安排 (3)3. 实验步骤 (3)3.1任务与说明 (3)3.2直通线 (4)3.3交叉线 (4)3.3 RJ－45接头的制作步骤 (5)实验二网络报文抓取与分析 (7)1．实验目的 (7)2．实验环境 (7)2.1 Wireshark介绍 (7)2.2 实验要求 (7)3．实验步骤 (8)3.1 wireshark的安装 (8)3.2 查看本机的网络适配器列表 (8)3.3 在指定网络适配器上进行监听 (8)3.4 记录一个TCP三次握手过程 (9)3.5 一个TCP握手不成功的例子 (9)3.6 侦听网络上的ARP包 (10)3.7 侦听网络上的ICMP包 (11)实验三路由器的基本操作 (13)1．实验目的 (13)2．实验环境和要求 (13)3．实验步骤 (13)4．主要实验内容 (14)4.1 观察和验证类 (14)4.2 配置类 (15)实验四组网实验 (18)实验四组网实验 (18)1. 实验目的 (18)2. 实验环境和要求 (18)2.1 实验拓扑 (18)2.2 实验器材 (18)2.3 实验要求 (19)3.实验步骤（参考） (19)3.1 按实验图连接线路 (19)3.2 两个路由器的初始化配置 (19)3.3 路由配置 (21)实验五：网络Socket编程 (23)1. 实验目的 (23)2. 实验主要内容 (23)2.1 实验要求 (23)2.1 推荐参考书籍 (23)3. 实验环境要求 (24)4.编程参考 (24)4.1套接字简介 (24)4.2 WinSock简介 (31)可选实验交换机相关的实验 (32)1. 实验目的 (32)2. 实验设备 (32)3. 实验拓扑 (32)4. 主要实验内容 (33)4.1 交换机的基本配置 (33)4.2 VLAN间路由 (35)致谢 (37)附录1：实验室网络设备的使用 (38)附录2：实验报告提交要求 (40)附录3：Packet Tracer简介 (41)实验一网线制作1. 实验目的（1）了解常用传输介质的性质。

任务三网络嗅探器的使用一、任务目的1．熟悉捕获软件的使用2．利用捕获软件捕获数据包，并对数据包进行分析二、任务要求要求分析的协议包括：ARP, ICMP, FTP以及HTTP报文1、对捕获的数据包结构进行分析2、对帧头，IP头、TCP头中的各项进行分析3、分析TCP连接的3次握手和4次挥手过程4、对于FTP用分析出控制连接建立，数据连接建立，数据连接释放，控制连接释放的全过程5、ARP协议要能完整的分析ARP查询以及返回的信息6、对典型的ICMP协议报文进行分析（ping ,tracert等应用）7、对TCP/IP协议体系结构的工作过程和协议分布进行充分认识。

三、任务内容（报文分析）1.、ARP报文分析a. ARP request报文b.ARP response 报文注：ARP的报文格式：Hardware type（硬件类型）：指明硬件的类型，以太网是1；Protocol type（协议类型）：指明发送者映射到数据链路标识的网络层协议类型,其中ip 对应（0*0800）；Hardware size(硬件地址长度)：MAC地址的长度，共六字节。

Protocol size（协议地址长度）：网络层地址的长度，即ip地址的长度，这里共四字节。

Opcode（操作）：这里是ARP请求为一，即request（1）；Sender MAC address（源MAC地址）Sender IP address（源IP地址）Target MAC address(目的MAC地址)Target IP address（目的IP地址）分析：以上是用10.16.134.11去ping 10.16.134.10 得到的结果：ARP报文被分装在以太帧里面，第一个是一个request的报文，先发送一个广播，广播里面告诉我们10.16.134.11在寻找10.16.134.10。

ARP协议的基本功能就是通过目标设备的ip地址，查询目标设备的mac 地址。

洛阳理工学院实验报告计算机网络实验目的： 1•学会简单使用网络分析工具（如 WireShark （Ethereal ） Sniffer 、科来等）抓取网络报 文。

2.对抓取的网络报文进行分析，加深对网络数据分层封装理论的理解。

实验内容：利用任意一款网络分析工具抓取网络数据（推荐 WireShark ）,开启抓包功能，进 行网络信息浏览等简单的网络使用。

分析抓到的数据包，能够辨别传输层三次握手的 过程，能够辨别分析网络各层添加的头部与数据部分的组成。

实验步骤：1•选择一个网络分析工具，学会简单使用，本实验使用 WireShark 来抓取网络报文。

WireShark 是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你 需要选择一个网卡。

点击Caputre->lnterfaces 选择正确的网卡。

然后点击"Start"按钮，开 始抓包。

2 •抓取若干数据包，对照理论所学数据包，辨别、分析数据包结构。

TCP 分析：一个TCP 报文段分为首部和数据两部分。

TCP 报文段首部的前二十个字节是固定的，后面有 4N 个字节是根据需要而增加的选项。

因此TCP 的最小长度是 20个字节。

源端口和目的端口字段：各占两个字节，分别写入源端口号和目的端口号。

在抓取的数据报中，源端口号和目的端口号的值分别是： 80和5677。

系别计算机系 班级 学号 姓名 课程名称实验名称实验日期 网络报文分析 成绩序号字段：占4个字节。

序号范围是 0到232-1，共232个序号 [stream i ndex: 0]确认号字段：在四个字节，是期望收到对方下一个报文段的第一个字节的序 号。

LNext sequence number : 2921 trelatlve sequence number^」Acknowledgement number: 1已 ack number)Header length: 20 bytes+i Flag5: 0x010 (ACK ) -rrF0020 If 24 00 50 16 2d 03 a9 0030 20 14 ea 5f 00 00 34 25 nrvin 7C1 广a 广A he 7r Hd数据偏移字段：占 4位，它指出TCP 报文段的数据起始处距离TCP 报文段的 起始处有多远。

.计算机网络实验指南（计算机类本科生试用）广东省计算机网络重点实验室计算机科学与工程学院华南理工大学2014年5月实验二网络报文抓取与分析1．实验目的（1）、学习了解网络侦听（2）、学习抓包工具Wireshark的简单使用（3）、对所侦听到的信息作初步分析，包括ARP报文，ICMP报文。

（4）、从侦听到的信息中分析TCP的握手过程，进行解释（5）、分析了解TCP握手失败时的情况2．实验环境2.1 Wireshark介绍Wireshark（前称Ethereal）是一个免费的网络报文分析软件。

网络报文分析软件的功能是抓取网络报文，并逐层显示报文中各字段取值。

网络报文分析软件有个形象的名字“嗅探工具”，像一只猎狗，忠实地守候在接口旁，抓获进出该进口的报文，分析其中携带的信息，判断是否有异常，是网络故障原因分析的一个有力工具。

网络报文分析软件曾经非常昂贵，Ethereal/wireshark 开源软件的出现改变了这种情况。

在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。

Ethereal/wireshark 是目前世界使用最广泛的网络报文分析软件之一。

请需要的同学在教学在线上下载中文操作手册。

2.2 实验要求软件：Wireshark （目前最新版本1.4.1）硬件：上网的计算机3．实验步骤3.1 wireshark的安装wireshark的二进制安装包可以在官网/download.html#release下载，或者可以在其他网站下载。

注意：下载后双击执行二进制安装包即可完成wireshark的安装。

安装包里包含了WinPcap，并不需要单独安装WinPcap。

3.2 查看本机的网络适配器列表操作：单击菜单Capture中的Interfaces选项记录下你看到的信息，并回答问题：（1）、你机器上的网络适配器有几个？4（2）、它们的编号分别是？VMware Network Adapter VMnet8实际地址: 00-50-56-C0-00-08IP 地址: 192.168.241.1子网掩码: 255.255.255.0验证网卡实际地址: 00-1E-30-2D-FF-BAIP 地址: 169.254.2.191子网掩码: 255.255.0.0默认网关:DNS 服务器: 222.201.130.30, 222.201.130.33WINS 服务器:VMware Network Adapter VMnet1实际地址: 00-50-56-C0-00-01IP 地址: 192.168.133.1子网掩码: 255.255.255.0默认网关:DNS 服务器:WINS 服务器:Console网卡实际地址: 78-E3-B5-A5-B5-2BIP 地址: 192.168.3.53子网掩码: 255.255.252.0默认网关: 192.168.1.254DNS 服务器: 222.201.130.30WINS 服务器:3.3 在指定网络适配器上进行监听操作：在步骤3.2中弹出的Interfaces选项中，选择指定的网络适配器并单击start按钮记录并解释wireshark监听的包内容（解释1条记录即可）传输时间，发送方IP地址，接收方IP地址，协议类型，报文长度，报文信息报文内第一行：60bytes是报文大小，报文内第二行：发送方的mac地址，接收方的mac地址报文内第三行：发送方的IP地址，接收方的IP地址报文内第四行：发送方的端口号（80）接收方的端口号（1993）请求序列号为450，回执序列号191。

第三次课堂实践报告高国栋20同实验者韦纯韦方宇王尊严一、实践容11. 两台PC通过交换机或网线互相ping通。

2. 抓取1个ARP请求报文和1个ARP响应报文。

3. 抓取1个ICMP ECHO报文和1个ICMP ECHO REPLY报文。

Ping通目标主机192.168.0.150（对方也ping通192.168.0.100）在ping命令时抓取的arp与icmp数据包分别选择其中的任意一个ARP请求报文、ARP响应报文、ICMP ECHO报文、ICMP ECHO REPLY报文，并打开其数据包。

4. 要求:(1) 列出上述报文对应MAC帧原始数据，附上对应截图。

对应的帧原始数据为框中的容：ARP请求报文：ARP响应报文：IMP ECHO 报文ICMP ECHO REPLY报文：(2) 找出上述报文对应MAC帧的源MAC地址、目的MAC地址、类型、数据长度，附上与原始数据的对应图。

ARP请求报文ARP响应报文IMP ECHO 报文ICMP ECHO REPLY报文(3) 找出ICMP ECHO和ECHO REPLAY报文的首部长度、总长度、生存时间、协议、首部校验和、源IP地址、目的IP地址，计算单次成功ping的时间，附上与原始数据的对应图。

ICMP ECHO报文数据包如下：可看到时间标记为10：28：06.312741400ECHO REPLAY报文：时间标记为10：28：06.314322400单次成功ping的时间=10：28：06.314322400-10：28：06.312741400=0.002570000s 所以单次成功ping的时间0.00257秒(4) 找出ARP请求报文希望获得的MAC地址及其对应的IP地址，附上对应截图。

从图中可以知道ARP请求报文希望获得的MAC地址为50:7B:9D:07:D0:B2。

它对应的IP地址为：192.168.0.100。

因为此时是IP地址为192.168.0.150在ping 192.168.0.100，所以是192.168.0.150给192.168.0.100发送ARP请求报文，所以捕获到的目的IP地址为192.168.0.100。

求是学院实验报告实验名称报文捕获解析课程名称计算机网络姓名李勇成绩学号 082013010014 教师游子毅日期 2010-12-17 地点信息楼1031 实验目的掌握Sniffer 的用法，了解报文的发送过程2 实验环境 （软件、硬件及条件）系统：Microsoft windows xp professional 版本2002 service pack 3 软件：Sniffer3 实验方法1、认识Sniffer安装好Sniffer 软件后运行，出现捕捕获开始捕获暂停捕获停止获停止并查看捕获查看捕获条件编辑选择捕获条件。

当我们在运行处输入我们要访问的地址比如：那么我们就要对它进行捕获并分析那么我们要先运行Sniffer 软件，点击开始按钮，那么该软件就对我们的输入命令进行捕获分析，当然我们用的是中文版的，它就会出现这样的窗口在图的下方有很多的按钮，我们找到有一个为解码的按钮点击它就可以出现，当出现这样的的窗口时，我们要如何才知道这是我们发出去的东西呢？我们可以将窗口放大一点然后看看时间就行，只要我们保证我们在同一时间没有出现两个命令，那么就会出现上面的窗口，我们研究的是IP协议，所以我们就点击第一个那么就会出现下面的窗口：就是一个IP协议头，还有tcp协议头如:我们很清楚的就看到了，一个详细的分析，还有dic头如：但是我们只研究IP和TCP两个，所以其他的就不管，我们点击到IP 头里面的每一段代码都会有相应的二进制数对应，当然里面还有一个重要的协议ICMP协议，4 实验分析从上述的实验中我们知道我们如果要发送一个信息，首先我们的电脑会有一个请求发送到我们的区域服务器上，然后服务器在返回我们一个地址，我们的电脑就根据该地址再发送一个请求，知道返回我们要访问的地址，在做该试验前我们一定要设置好我们的软件，里面有一个定义过滤器设置，我们一定要设置好，“1”的地方填的是机器码，后面的是“任意的”那么我们在做实验时就更好的操作。

实验三和四_网络报文格式分析和捕获[1]实验三网络报文格式分析一、实验目的：1、学习sniffer程序(IRIS)的使用方法，掌握如何分析特定类型的报文格式。

2、熟悉各种网络报文格式的组成和结构。

3、熟悉各种协议的通信交互过程。

二、实验步骤1、利用IRIS打开附录文件htm1.cap和htm2.cap，利用Capture分析各种网络报文(MAC、IPv4、TCP)的首部格式和上下报文之间的关系。

(1)分析MAC帧的首部格式，特别注意上下报文之间MAC地址字段的变化。

(2)分析IP数据报首部格式，特别注意上下报文之间IP地址字段和标识字段的变化。

(3)分析TCP报文段的首部格式(图1)，特别注意上下报文之间端口字段、序号字段、确认号字段和窗口字段的变化；通过TCP首部中的控制比特，了解相应比特的应用环境，分析TCP连接的建立(图2)，释放和拒绝过程。

2、利用IRIS打开附录文件htm3.cap，利用Decode分析报文的明文内容。

关闭本地计算机上的所用网络应用，运行IRIS捕获所用类型的报文。

IRISIris的最大特点，在你安装完成之后，只需简单的点一下界面上一个按钮就可以开始Sniffing抓包了！Iris的安装文件也不到5M，安装下来才占用10多M。

对比Sniffer Pro 这些而言可谓苗条身材。

实验四网络报文捕获一、实验目的：1．学习sniffer程序(IRIS)的使用方法，掌握如何从正在运行的网络中捕获特定类型的所需报文。

2．熟悉各种网络报文格式的组成和结构。

3．熟悉各种协议的通信交互过程。

二、实验步骤1．熟悉Filters的对话框Edit filter settings的配置功能，以便有目的捕获特定类型的所需报文。

2．捕获任何主机发出的Ethernet 802.3格式的帧(帧的长度字段<=1500)和DIX Ethernet V2(即Ethernet II)格式的帧(帧的长度字段>1500, 帧的长度字段实际上是类型字段)。

实验报告二一：实验目的利用Wireshark进行抓包分析，对以前学习过的内容进行进一步的理解和掌握二：实验内容：1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。

或单击“ Capture”配置“ opti on” 选项。

3、设置完成后，点击“start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构，并对其进行分析三.实验步骤1. TCPTCP : Transmission Control Protocol 传输控制协议TCP是一种面向连接 (连接导向) 的、可靠的、基于字节流的运输层( Tran sport layer )通信协议，由IETF的RFC 793 说明(specified )。

在简化的计算机网络OSI模型中，它完成第四层传输层所指定的功在因特网协议族(In ternet protocol suite )中，TCP层是位于IP层之上，应用层之下的中间层。

不同主机的应用层之间经常需要可靠的、像管道一样的连接，但是IP层不提供这样的流机制，而是提供不可靠的包交换。

应用层向TCP层发送用于网间传输的、用8位字节表示的数据流，然后TCP把数据流分割成适当长度的报文段(通常受该计算机连接的网络的数据链路层的最大传送单元(MTU)的限制)。

之后TCP把结果包传给IP层，由它来通过网络将包传送给接收端实体的TCP层。

TCP为了保证不发生丢包，就给每个字节一个序号，同时序号也保证了传送到接收端实体的包的按序接收。

然后接收端实体对已成功收到的字节发回一个相应的确认(ACK)；如果发送端实体在合理的往返时延(RTT)内未收到确认，那么对应的数据(假设丢失了)将会被重传。

TCP用一个校验和函数来检验数据是否有错误；在发送和接收时都要计算校验和。

首先，TCP建立连接之后，通信双方都同时可以进行数据的传输，其次，他是全双工的；在保证可靠性上，采用超时重传和捎带确认机制。

第1篇一、实验背景随着互联网的快速发展，网络通信数据量呈爆炸式增长，报文抓取技术在网络安全、网络监控、数据分析和数据挖掘等领域具有广泛的应用。

报文抓取技术可以从网络中捕获和解析数据包，提取出有用的信息。

本实验旨在通过报文抓取技术，实现网络数据包的捕获、解析和展示。

二、实验目的1. 熟悉报文抓取的基本原理和流程。

2. 掌握使用Wireshark等工具进行报文抓取的方法。

3. 能够对抓取到的报文进行解析和分析。

4. 提高网络监控、数据分析和数据挖掘等方面的能力。

三、实验环境1. 操作系统：Windows 102. 抓包工具：Wireshark3. 网络设备：路由器、交换机、计算机4. 网络连接：有线网络或无线网络四、实验步骤1. 安装Wireshark（1）从Wireshark官方网站下载最新版本的Wireshark安装包。

（2）按照安装向导完成Wireshark的安装。

2. 配置网络环境（1）将计算机连接到网络设备，确保网络连接正常。

（2）在Wireshark中，选择合适的网络接口进行抓包。

3. 抓取报文（1）在Wireshark界面中，点击“Capture”菜单，选择“Options”。

（2）在“Capture Filters”选项卡中，设置合适的过滤条件，如协议类型、端口号等。

（3）点击“Start”按钮开始抓包，观察网络数据包的传输情况。

4. 解析报文（1）在Wireshark界面中，找到需要分析的报文。

（2）展开报文结构，查看报文头部和负载部的信息。

（3）分析报文的协议类型、源地址、目的地址、端口号等关键信息。

5. 分析报文（1）根据实验需求，对抓取到的报文进行分析，如流量分析、协议分析、安全分析等。

（2）记录分析结果，为后续实验提供参考。

五、实验结果与分析1. 抓取到的报文包括HTTP、FTP、TCP、UDP等协议类型的数据包。

2. 通过分析HTTP协议的报文，发现大部分数据包为网页访问请求，目的地址为网页服务器。