wireshark实验抓包分析

计算机通信与网络实验报告实验题目：抓包并进行分析班级：..姓名：..学号：..Wireshark抓包分析Wireshark是世界上最流行的网络分析工具。

这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息，与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉。

一、安装软件并抓包1：安装并运行wireshark并打开捕获界面。

2、捕获选项图1捕获选项的设置3、开始抓包点击上图中的“Start”开始抓包几分钟后就捕获到许多的数据包了，主界面如图所示：图2 主界面显示如上图所示，可看到很多捕获的数据。

第一列是捕获数据的编号；第二列是捕获数据的相对时间，从开始捕获算为0.000秒；第三列是源地址，第四列是目的地址；第五列是数据包的信息。

选中第8个数据帧，然后从整体上看看Wireshark的窗口，主要被分成三部分。

上面部分是所有数据帧的列表；中间部分是数据帧的描述信息；下面部分是帧里面的数据。

二、分析UDP、TCP、 ICMP协议1、UDP协议UDP 是User Datagram Protocol的简称，中文名是用户数据包协议，是 OSI 参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。

它是IETF RFC 768是UDP的正式规范。

（1） UDP是一个无连接协议，传输数据之前源端和终端不建立连接，当它想传送时就简单地去抓取来自应用程序的数据，并尽可能快地把它扔到网络上。

在发送端，UDP传送数据的速度仅仅是受应用程序生成数据的速度、计算机的能力和传输带宽的限制；在接收端，UDP把每个消息段放在队列中，应用程序每次从队列中读一个消息段。

（2）由于传输数据不建立连接，因此也就不需要维护连接状态，包括收发状态等，因此一台服务机可同时向多个客户机传输相同的消息。

（3） UDP信息包的标题很短，只有8个字节，相对于TCP的20个字节信息包的额外开销很小。

wireshark抓包实验报告Wireshark抓包实验报告1. 实验简介本次实验旨在通过使用Wireshark软件进行网络抓包，深入了解网络通信过程中的数据传输和协议交互。

通过分析抓包数据，我们可以了解网络流量的组成、协议的运作方式以及网络安全的相关问题。

2. 实验准备在进行实验之前，我们需要准备一台运行Wireshark软件的计算机，并连接到一个网络环境中。

Wireshark是一款开源的网络协议分析工具，可以在各种操作系统上运行。

安装并配置好Wireshark后，我们就可以开始进行抓包实验了。

3. 实验步骤3.1 启动Wireshark打开Wireshark软件，选择需要抓包的网络接口。

Wireshark会监听该接口上的所有网络流量，并将其显示在界面上。

3.2 开始抓包点击“开始”按钮，Wireshark开始抓取网络数据包。

此时，我们可以看到界面上实时显示的数据包信息，包括源地址、目标地址、协议类型等。

3.3 过滤抓包数据由于网络流量非常庞大，我们可以使用过滤器来筛选出我们感兴趣的数据包。

Wireshark提供了丰富的过滤器选项，可以根据协议、源地址、目标地址等条件进行过滤。

3.4 分析抓包数据选中某个数据包后，Wireshark会显示其详细信息，包括协议分层、数据字段等。

通过分析这些信息，我们可以了解数据包的结构和内容，进一步了解网络通信的细节。

4. 实验结果与讨论在实验过程中，我们抓取了一段时间内的网络流量，并进行了分析。

通过对抓包数据的观察和解读，我们得出了以下几点结果和讨论：4.1 协议分层在抓包数据中，我们可以清晰地看到各种协议的分层结构。

从物理层到应用层，每个协议都承担着不同的功能和责任。

通过分析协议分层，我们可以了解协议之间的关系，以及它们在网络通信中的作用。

4.2 数据传输过程通过分析抓包数据，我们可以追踪数据在网络中的传输过程。

我们可以看到数据包从源地址发送到目标地址的路径，了解中间经过的路由器和交换机等设备。

电⼦科⼤⽹络安全实验2Wireshark抓包分析实验完整分析实验2 Wireshark抓包分析实验⼀、实验原理TCP三次握⼿准则介绍TCP是因特⽹中的传输层协议，使⽤三次握⼿协议建⽴连接。

当主动⽅发出SYN连接请求后，等待对⽅回答SYN，ACK。

这种建⽴连接的⽅法可以防⽌产⽣错误的连接，TCP使⽤的流量控制协议是可变⼤⼩的滑动窗⼝协议。

第⼀次握⼿：建⽴连接时，客户端发送SYN包(SEQ=x)到服务器，并进⼊SYN_SEND状态，等待服务器确认。

第⼆次握⼿：服务器收到SYN包，必须确认客户的SYN(ACK=x+1),同时⾃⼰也送⼀个SYN包(SEQ=y),即SYN+ACK包，此时服务器进⼊SYN_RECV状态。

第三次握⼿：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ACK=y+1),此包发送完毕，客户端和服务器进⼊Established状态，完成三次握⼿。

HTTP协议介绍HTTP协议⽤于在Internet上发送和接收消息。

HTTP协议是⼀种请求-应答式的协议 ——客户端发送⼀个请求，服务器返回该请求的应答，所有的请求与应答都是HTTP包。

HTTP协议使⽤可靠的TCP 连接，默认端⼝是80。

HTTP的第⼀个版本是HTTP/0.9，后来发展到了HTTP/1.0，现在最新的版本是HTTP/1.1。

HTTP/1.1由RFC 2616 定义。

⼆、实验⽬的1、了解并会初步使⽤Wireshark，能在所⽤电脑上进⾏抓包。

2、了解IP数据包格式，能应⽤该软件分析数据包格式。

3、了解HTTP请求中的三次握⼿准则，并能利⽤该软件对该过程进⾏简要分析。

三、实验内容（1）安装wireshark软件，并使⽤该软件捕获HTTP请求中的报⽂，分析该过程中TCP建⽴连接的握⼿过程以及报头各字段的含义，记录实验结果和数据。

（2）尝试利⽤wireshark软件捕获Ping请求中的报⽂，并分析报⽂中各字段的含义，记录实验结果和数据。

网络层数据包抓包分析一.实验内容（1）使用Wireshark软件抓取指定IP包。

（2）对抓取的数据包按协议格式进行各字段含义的分析。

二.实验步骤（1）打开Wireshark软件，关闭已有的联网程序（防止抓取过多的包），开始抓包；（2）打开浏览器，输入/网页打开后停止抓包。

（3）如果抓到的数据包还是比较多，可以在Wireshark的过滤器（filter）中输入http，按“Apply”进行过滤。

过滤的结果就是和刚才打开的网页相关的数据包。

（4）在过滤的结果中选择第一个包括http get请求的帧，该帧用于向/网站服务器发出http get请求（5）选中该帧后，点开该帧首部封装明细区中Internet Protocol 前的”+”号，显示该帧所在的IP包的头部信息和数据区：（6）数据区目前以16进制表示，可以在数据区右键菜单中选择“Bits View”以2进制表示：（注意:数据区蓝色选中的数据是IP包的数据，其余数据是封装该IP包的其他层的数据）回答以下问题：1、该IP包的“版本”字段值为_0100_(2进制表示)，该值代表该IP包的协议版本为：√IPv4□IPv62、该IP包的“报头长度”字段值为__01000101__(2进制表示)，该值代表该IP包的报头长度为__20bytes__字节。

3、该IP包的“总长度”字段值为___00000000 11101110___ (2进制表示)，该值代表该IP包的总长度为__238__字节，可以推断出该IP包的数据区长度为__218__字节。

4、该IP包的“生存周期”字段值为__01000000__ (2进制表示)，该值代表该IP包最多还可以经过___64__个路由器5、该IP包的“协议”字段值为__00000110__ (2进制表示) ，该值代表该IP包的上层封装协议为__TCP__。

6、该IP包的“源IP地址”字段值为__11000000 1010100000101000 00110011__ (2进制表示) ，该值代表该IP包的源IP地址为_192_._168_._40_._51_。

Wireshark抓包实验报告!10Wireshark是一款网络抓包工具，可以对网络通信进行实时分析和捕获数据包。

本实验使用Wireshark工具对HTTP协议进行抓包分析，对其协议报文格式、HTTP请求和响应分析等进行总结和说明。

一、实验环境和工具Wireshark版本：Wireshark 3.4.8操作系统：macOS Big Sur 11.2浏览器：Google Chrome 98.0.4758.102（64 位）二、实验内容本实验选择一个网站的首页进行抓包分析，抓取HTTP协议的请求和响应报文。

操作步骤如下：1. 打开浏览器，输入目标网站的URL，进入网站首页。

2. 打开Wireshark工具，选择需要抓包的网卡以及抓包过滤条件。

3. 在浏览器上刷新一次网页，等待网页加载完成。

4. 在Wireshark上停止抓包，对抓取到的数据进行分析。

三、实验结果1. HTTP协议报文格式HTTP协议报文由请求报文和响应报文两部分组成。

请求报文分为请求行、请求头和请求体三个部分，响应报文分为状态行、响应头和响应体三个部分。

具体格式如下：请求报文：请求行：方法URI HTTP/版本请求头：Header1：value1Header2：value2…请求体：Content-Type：typeContent-Length：lengthContent：data2. HTTP请求分析通过Wireshark抓取到的数据包，可以看到浏览器发送的HTTP请求报文。

请求报文的三个部分如下：请求体为空。

请求行包括请求方法、URI和HTTP版本号。

请求方法有GET、POST、HEAD、PUT、DELETE、OPTIONS等。

URI是请求的资源地址，如/表示根目录下的index.html文件。

HTTP 版本号有HTTP/1.0、HTTP/1.1等。

请求头包括Host、User-Agent、Accept、Accept-Encoding、Accept-Language等信息。

wireshark抓包实验报告总结一、实验目的本次实验的主要目的是学习Wireshark抓包工具的使用方法，掌握网络通信过程中数据包的组成和解析方式，以及了解常见网络协议的运行机制。

二、实验环境本次实验使用的操作系统为Windows 10，使用Wireshark版本为3.4.6。

三、实验步骤1. 安装Wireshark软件并打开。

2. 选择需要抓包的网络接口，并开始抓包。

3. 进行相应的网络操作，例如访问网站、发送邮件等。

4. 停止抓包，并对捕获到的数据包进行分析和解析。

四、实验结果1. 抓取HTTP请求和响应数据包通过Wireshark抓取HTTP请求和响应数据包，可以轻松地了解HTTP协议在通信过程中所传输的信息。

例如，在访问一个网站时，可以看到浏览器向服务器发送GET请求，并获取到服务器返回的HTML 页面等信息。

同时还可以看到HTTP头部中所携带的信息，例如User-Agent、Cookie等。

2. 抓取TCP连接数据包通过Wireshark抓取TCP连接数据包，可以了解TCP协议在建立连接、传输数据和关闭连接时所涉及到的所有步骤。

例如，在进行FTP 文件传输时，可以看到TCP三次握手建立连接，以及文件传输过程中TCP的流量控制和拥塞控制等。

3. 抓取UDP数据包通过Wireshark抓取UDP数据包，可以了解UDP协议在通信过程中所涉及到的所有信息。

例如，在进行DNS域名解析时，可以看到DNS服务器返回的IP地址等信息。

五、实验总结通过本次实验，我学会了使用Wireshark抓包工具进行网络数据包分析的方法，并了解了常见网络协议的运行机制。

同时也发现，在网络通信过程中，数据包所携带的信息非常丰富，能够提供很多有用的参考和指导。

因此，在实际工作中，我们应该灵活运用Wireshark等工具进行网络数据包分析，并结合具体业务场景进行深入研究和分析。

用wireshark分析和 Dns 报文一、请求报文和响应报文wireshark所抓的一个含有请求报文的帧：1、帧的解释链路层的信息上是以帧的形式进展传输的,帧封装了应用层、传输层、网络层的数据.而wireshark抓到的就是链路层的一帧.图中解释：Frame 18：所抓帧的序号是11,大小是409字节Ethernet ：以太网,有线局域网技术 ,属链路层Inernet Protocol：即IP协议,也称网际协议,属网络层Transmisson Control Protocol：即TCP协议,也称传输控制协议.属传输层Hypertext transfer protocol：即协议,也称超文本传输协议.属应用层图形下面的数据是对上面数据的16进制表示.2、分析上图中的请求报文报文分析：请求行：GET /img/2009people_index/images/hot_key.gif /1.1方法字段 / URL字段 /协议的版本我们发现,报文里有对请求行字段的相关解释.该报文请求的是一个对象,该对象是图像.首部行：Accept: */*Referer: m/这是Accept-Language: zh-语言中文Accept-Encoding: gzip, deflate可承受编码,文件格式用户代理,浏览器的类型是Netscape浏览器；括号内是相关解释Host: 目标所在的主机Connection: Keep-Alive激活连接在抓包分析的过程中还发现了另外一些请求报文中所特有的首部字段名,比如下面请求报文中橙黄色首部字段名：Accept: */*Referer: 这是html文件Accept-Language: zh-语言中文Accept-Encoding: gzip, deflate可承受编码,文件格式If-Modified-Since: Sat, 13 Mar 2010 06:59:06 GMT内容是否被修改：最后一次修改时间If-None-Match: "9a4041-197-2f11e280"关于资源的任何属性〔 ETags值〕在ETags的值中可以表现,是否改变用户代理,浏览器的类型是Netscape浏览器；括号内是相关解释目标所在的主机Connection: Keep-Alive激活连接Cookie: cdb_sid=0Ocz4H; cdb_oldtopics=D345413D; cdb_visitedfid=17; __gads=ID=7ab350574834b14b:T=1287731680:S=ALNI_Mam5QHAAK2cJdDTRuSxY24VDbjc1Acookie,允许站点跟踪用户,coolie ID是7ab350574834b14b3、分析的响应报文,针对上面请求报文的响应报文如下：wireshark对于2中请求报文的响应报文：展开响应报文：报文分析：状态行：/1.0 200 OK首部行：Content-Length: 159内容长度Accept-Ranges: bytes承受X围Server: nginx服务器X-Cache经过了缓存服务器路由响应信息Date: Fri, 22 Oct 2010 12:09:42 GMT响应信息创建的时间Content-Type: image/gif内容类型图像Expires: Fri, 22 Oct 2010 12:10:19 GMT设置内容过期时间Last-Modified: Fri, 11 Jun 2010 00:50:48 GMT内容最后一次修改时间Powered-By-ChinaCache:PENDINGfromC-BJ-D-3BA ChinaCache的是一家领先的内容分发网络〔CDN〕在中国的服务提供商.Age: 34缓存有效34天Powered-By-ChinaCache: HIT from USA-SJ-1-3D3ChinaCache是一家领先的内容分发网络〔CDN〕在中国的服务提供商.Connection: keep-alive保持TCP连接图中最后一行puserve GIF 是对所传图像的信息的描述GIF是puserve公司开发的图像格式标准.二、DNS查询报文和回答报文1、 Wireshark所抓的DNS查询报文：展开DNS查询报文：报文分析：首部区域：标识符：Transaction ID: 0x4b48 16位比特数,标志该查询标志： Flags： 0x0100〔standard query〕0………. ….= Respone：Messsage is a query0表示为dns查询报文.000 0……. ….=opcode： standard query<0>操作码为标准查询.…..0. …. ….=Truncated：message is not truncated信息没有被截断.… ..1. …. ….=Recursion desired：Do queryrecursively 执行递归查询…. …. .0.. …..=z：reserved〔0〕…. …. …0 …..=Nontheticated data： unacceptable 问题数：Question:1 只查询一个主机名回答RR数：Answer RRS:0权威RR数：Authority RRS:0附加RR数：Additional RRS:0问题区域：Type A<Host address> class：IN<0x0001>包含最初请求的名字的资源记录权威〔资源记录的变量数〕：无附加信息：无2、Wireshark 对应的DNS回答报文：展开DNS回答报文：报文分析：首部区域：标识符：Transaction ID: 0x4b48 16位比特数,与对应的查询报文标识符一样标志： Flags： 0x8180〔standard query〕问题数：Question:1 表示只查询一个主机回答RR数：Answer RRS:5 表示该主机对应的有5条资源记录权威RR数：Authority RRS:0附加RR数：Additional RRS:0问题区域：Type A<Host address> class：IN<0x0001>最初请求的名字的资源记录回答〔资源记录的变量数〕：Answers 5条RR,即主机与ip的5条资源记录权威〔资源记录的变量数〕：无附加信息：无。

wireshark抓包实验报告Wireshark抓包实验报告引言：网络是现代社会中不可或缺的一部分，人们在日常生活中几乎无时无刻不在使用网络。

然而，网络的复杂性使得网络问题的排查变得困难。

Wireshark作为一款强大的网络抓包工具，可以帮助我们深入分析网络数据包，从而更好地理解和解决网络问题。

本文将介绍Wireshark的基本原理和使用方法，并通过实际抓包实验来验证其功能和效果。

一、Wireshark的基本原理Wireshark是一款开源的网络协议分析工具，可以运行在多个操作系统上。

它通过捕获网络接口上的数据包，并将其解析成可读的形式，以便我们进行深入分析。

Wireshark支持多种协议，包括以太网、无线网络、TCP/IP等，使得我们能够全面了解网络通信的细节。

二、Wireshark的使用方法1. 下载和安装Wireshark可以从其官方网站上免费下载，根据自己的操作系统选择合适的版本进行安装。

安装完成后，打开Wireshark并选择要抓包的网络接口。

2. 抓包设置在开始抓包之前，我们需要进行一些设置以确保我们能够捕获到想要分析的数据包。

首先，我们可以设置抓包过滤器来过滤出特定的数据包，以减少不必要的干扰。

其次，我们可以选择是否启用深度分析，以获取更详细的协议信息。

3. 开始抓包一旦设置完成，我们可以点击“开始”按钮开始抓包。

Wireshark将开始捕获网络接口上的数据包，并将其显示在主界面上。

我们可以看到每个数据包的详细信息，包括源IP地址、目标IP地址、协议类型等。

4. 数据包分析Wireshark提供了丰富的功能和工具，使得我们可以对抓包的数据包进行深入分析。

我们可以通过点击每个数据包来查看其详细信息，并根据需要进行过滤、排序和搜索。

此外，Wireshark还提供了统计功能，帮助我们了解网络流量的情况。

三、实验验证为了验证Wireshark的功能和效果，我们进行了一次抓包实验。

实验中，我们使用Wireshark抓取了一段时间内的网络数据包，并进行了分析。

计算机网络Wireshark抓包分析报告目录1. 使用wireshark获取完整的UDP报文 (3)2. 使用wireshark抓取TCP报文 (3)2.1 建立TCP连接的三次握手 (3)2.1.1 TCP请求报文的抓取 (4)2.1.2 TCP连接允许报文的抓取 (5)2.1.3 客户机确认连接报文的抓取 (6)2.2 使用TCP连接传送数据 (6)2.3 关闭TCP连接 (7)3. 实验心得及总结 (8)1. 使用wireshark获取完整的UDP报文打开wireshark，设置监听网卡后，使用google chrome 浏览器访问我腾讯微博的首页/welcomeback.php?lv=1#!/list/qqfriends/5/?pgv_ref=im.perinfo.pe rinfo.icon?ptlang=2052&pgv_ref=im.perinfo.perinfo.icon，抓得的UDP报文如图1所示。

图1 UDP报文分析以上的报文内容，UDP作为一种面向无连接服务的运输协议，其报文格式相当简单。

第一行中，Source port：64318是源端口号。

第二行中，Destination port：53是目的端口号。

第三行中，Length：34表示UDP报文段的长度为34字节。

第四行中，Checksum之后的数表示检验和。

这里0x表示计算机中16进制数的开始符，其后的4f0e表示16进制表示的检验和，把它们换成二进制表示为：0100 1111 0000 1110.从wireshark的抓包数据看出，我抓到的UDP协议多数被应用层的DNS协议应用。

当一台主机中的DNS应用程序想要进行一次查询时，它构成了一个DNS 查询报文并将其交给UDP。

UDP无须执行任何实体握手过程，主机端的UDP为此报文添加首部字段，并将其发出。

2. 使用wireshark抓取TCP报文2.1 建立TCP连接的三次握手建立TCP连接需要经历三次握手，以保证数据的可靠传输，同样访问我的腾讯微博主页，使用wireshark抓取的TCP报文，可以得到如图2所示的客户机和服务器的三次握手的过程。

本科实验报告实验名称：利用EtherPeek工具进行的网络抓包实验学员：学号：专业：所属学院：国防科学技术大学训练部制【实验名称】利用Wireshark工具进行的抓包实验【实验目的】通过Wireshark软件捕获并观察ARP协议、ICMP协议、FTP协议、HTTP协议以及TCP协议的工作原理，包括协议序列和报文内容【实验内容】实验环境描述：网络环境：因特网操作系统：Windows 7软件：Wiresharkv1.12.4实验步骤：1.Ping命令（ARP, ICMP分析）2.在实验主机使用FTP应用(FTP分析)3.在实验主机使用web应用(HTTP分析)【实验过程】1.ping命令(ICMP、ARP分析)实验主机的IP地址为：实验主机的MAC地址为：9c:4e:36:cf:db:e4在实验主机的命令框内输入命令：pingWireshark抓获的数据包如下：观察可得，抓获的报文里协议类型有ICMP与ARP。

（前12条是输入ping命令后抓取的）（1）ICMP分析：首先明确一下ICMP的相关知识：ICMP是（Internet Control Message Protocol）Internet控制报文协议。

它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。

控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。

这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。

各种ICMP报文的前32bits都是三个长度固定的字段：type类型字段(8位)、code代码字段(8位)、checksum校验和字段(16位) 8bits类型和8bits代码字段：一起决定了ICMP报文的类型。

常见的有：类型0、代码0：回应应答。

类型3、代码0：网络不可达类型3、代码1：主机不可达类型5、代码1：为主机重定向数据包类型8、代码0：回应类型11、代码0：传输中超出TTL（常说的超时）16bits校验和字段：包括数据在内的整个ICMP数据包的校验和，其计算方法和IP头部校验和的计算方法是一样的。

wireshark实验报告Wireshark实验报告Wireshark是一个非常强大的网络协议分析工具，它可以帮助我们监控和分析网络上的数据包，从而深入了解网络通信的细节。

在本次实验中，我们使用Wireshark来分析一个简单的网络通信场景，并进行一些实验来了解它的功能和用途。

实验一：捕获数据包首先，我们打开Wireshark并选择要监控的网络接口，然后开始捕获数据包。

在捕获过程中，我们可以看到不断出现的数据包，它们包含了网络通信中的各种信息，如源地址、目标地址、协议类型等。

通过Wireshark的过滤功能，我们可以只显示特定协议的数据包，从而更方便地进行分析。

实验二：分析HTTP通信接下来，我们模拟了一个简单的HTTP通信场景，比如在浏览器中访问一个网页。

通过Wireshark捕获到的数据包，我们可以看到HTTP请求和响应的细节，包括请求头、响应头、数据内容等。

通过分析这些数据包，我们可以了解HTTP 通信的工作原理，以及了解网页加载过程中的各种细节。

实验三：检测网络异常最后，我们模拟了一个网络异常的场景，比如断开网络连接或者遭遇网络攻击。

通过Wireshark捕获到的数据包，我们可以看到异常情况下的网络通信情况，从而及时发现问题并进行处理。

Wireshark的强大过滤功能可以帮助我们快速定位异常数据包，以便更快地解决网络问题。

通过以上实验，我们对Wireshark的功能和用途有了更深入的了解。

它不仅可以帮助我们监控网络通信，还可以帮助我们分析网络问题、学习网络协议等。

在今后的网络工作中，Wireshark将成为我们不可或缺的利器，帮助我们更好地理解和管理网络通信。

Wireshark抓包分析实验若惜年一、实验目的：1.学习安装使用wireshark软件，能在电脑上抓包。

2.对抓出包进行分析，分析得到的报文，并与学习到的知识相互印证。

二、实验内容：使用抓包软件抓取HTTP协议通信的网络数据和DNS通信的网络数据，分析对应的HTTP、TCP、IP协议和DNS、UDP、IP协议。

三、实验正文：IP报文分析：从图中可以看出：IP报文版本号为:IPV4首部长度为:20 bytes数据包长度为:40标识符：0xd74b标志：0x02比特偏移：0寿命：48上层协议：TCP首部校验和：0x5c12源IP地址为：目的IP为：从图中可以看出：源端口号：1891目的端口号：8000udp报文长度为：28检验和：0x58d7数据长度：20 bytesUDP协议是一种无需建立连接的协议，它的报文格式很简单。

当主机中的DNS 应用程序想要惊醒一次查询时，它构造一个DNS查询报文段并把它给UDP，不需要UDP之间握手，UDP为报文加上首部字段，将报文段交给网络层。

第一次握手：从图中看出：源端口号：56770目的端口号：80序列号为:0首部长为: 32 bytesSYN为1表示建立连接成功当fin为1时表示删除连接。

第二次握手：从图中看出：源端口号是：80目的端口号为：56770序列号为：0ack为：1Acknowledgement为1表示包含确认的报文Syn为1表示建立连接。

第三次握手：从图中看出：源端口：56770目的端口：80序列号为：1ACK为：1首部长为：20bytesAcknowledgement为1表示包含确认的报文所以，看出来这是TCP连接成功了Tcp是因特网运输层的面向连接的可靠的运输协议，在一个应用进程可以开始向另一个应用进程发送数据前，这两个进程必须先握手，即它们必须相互发送预备文段，建立确保传输的参数。

发送报文：GET/HTTP/：是请求一个页面文件HOST：是请求的主机名Connection：持续连接Accept: 收到的文件User-Agent : 浏览器的类型Accept-encoding: gzip ,deflate ,sdch限制回应中可以接受的内容编码值，指示附加内容的解码方式为gzip ,deflate ,sdch 。

第一次实验：利用Wireshark软件进行数据包抓取1.3.2 抓取一次完整的网络通信过程的数据包实验一，实验目的：通过本次实验，学生能掌握使用Wireshark抓取ping命令的完整通信过程的数据包的技能，熟悉Wireshark软件的包过滤设置和数据显示功能的使用。

二，实验环境：操作系统为Windows 7,抓包工具为Wireshark.三，实验原理：ping是用来测试网络连通性的命令，一旦发出ping命令，主机会发出连续的测试数据包到网络中，在通常的情况下，主机会收到回应数据包，ping采用的是ICMP协议。

四，验步骤：1.确定目标地址：选择作为目标地址。

2.配置过滤器：针对协议进行过滤设置，ping使用的是ICMP协议，抓包前使用捕捉过滤器，过滤设置为icmp,如图 1- 1图 1-13.启动抓包：点击【start】开始抓包，在命令提示符下键入ping , 如图 1-2图 1-2停止抓包后，截取的数据如图 1-3图 1-34，分析数据包：选取一个数据包进行分析，如图1- 4图1-4每一个包都是通过数据链路层DLC协议，IP协议和ICMP协议共三层协议的封装。

DLC协议的目的和源地址是MAC地址，IP协议的目的和源地址是IP地址，这层主要负责将上层收到的信息发送出去，而ICMP协议主要是Type和Code来识别，“Type:8,Code：0”表示报文类型为诊断报文的请求测试包，“Type:0,Code:0”表示报文类型为诊断报文类型请正常的包。

ICMP提供多种类型的消息为源端节点提供网络额故障信息反馈，报文类型可归纳如下：（1）诊断报文（类型：8，代码0；类型：0代码：0）；(2）目的不可达报文（类型：3，代码0-15）；（3）重定向报文（类型：5，代码：0--4）；（4）超时报文（类型：11，代码：0--1）；（5）信息报文（类型：12--18）。

1.4.1，TCP协议的分析实验一，实验目的：通过本次实验，掌握使用Wireshark抓取TCP协议的数据包的技能，能够在深入分析“TCP的三次握手”，TCP的四次挥手协议在网络数据流的基础上，进一步提高理论联系实践的能力。

二．实验工具wireshark软件三．实验主要过程与结果本次实验使用了wireshark抓包软件对QQ的协议数据进行了分析。

1、首先打开wireshark,登录QQ2、然后点击开始抓包，给好友发送消息3、最后停止抓包，分析协议数据结果：停止抓包后，可以看到wireshark的页面如下，分为了三个区域：从上到下依次为数据包列表，数据包细节和数据包字节。

源地址为120.204.17.118，目的地址为172.17.62.0即为本机的地址）。

从数据包细节窗口可以看出总共有五层，从下到上依次为应用层，运输层，网络层，数据链路层，物理层。

分别对其不同层进行分析。

四、分析讨论1、应用层应用层是五层协议体系结构中的最高层，其任务是通过应用进程间的交互来完成特定网络应用。

本实验使用的应用进程为QQ,从下图中可以看出QQ所使用的协议为OICQ协议，其中里面包含了交互数据，即为报文。

在数据包细节中OICQ协议中的第五行，可以看到自己的QQ号（302702230）。

选中最后一行的DaTa可以看到传输的数据，即为报文。

2、运输层运输层的任务就是负责向两台主机中进程之间的通信提供通用的数据传输服务，应用进程利用该服务传送应用层报文。

从下图可以看到运输层所使用的协议为UDP协议，UDP协议提供无连接的、尽最大努力的数据传输服务（不保证数据传输的可靠性），其数据的单位是用户数据报。

图中所选中的数据部分是运输层给数据加的报头。

其源端口号为8000，目的端口号为4009，数据包字节长度为87。

UDP协议的第四行表示检验和显示为验证禁用，不能验证，如下图。

3、网络层网络层负责为分组交换网上的不同主机提供通信服务。

在发送数据时，网络层把运输层产生的报文段或用户数据报封装成分组或包进行传送。

从图中可以看出可以看到IP的版本号为4；IP头的长度是20字节，所以从图中可以看出第一个数45，即代表版本号和IP头的长度；首部和载荷的总长度是107字节（0x006b），00在前，6b在后，说明进行网络传输的时候是先传输高位再传输低位,即高字节数据在低地址，低字节数据在高地址，从图中可以看出是00 6b；TTL（存活时间）域的值是54；协议为UDP。

洛阳理工学院实验报告计算机网络实验目的： 1•学会简单使用网络分析工具（如 WireShark （Ethereal ） Sniffer 、科来等）抓取网络报 文。

2.对抓取的网络报文进行分析，加深对网络数据分层封装理论的理解。

实验内容：利用任意一款网络分析工具抓取网络数据（推荐 WireShark ）,开启抓包功能，进 行网络信息浏览等简单的网络使用。

分析抓到的数据包，能够辨别传输层三次握手的 过程，能够辨别分析网络各层添加的头部与数据部分的组成。

实验步骤：1•选择一个网络分析工具，学会简单使用，本实验使用 WireShark 来抓取网络报文。

WireShark 是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你 需要选择一个网卡。

点击Caputre->lnterfaces 选择正确的网卡。

然后点击"Start"按钮，开 始抓包。

2 •抓取若干数据包，对照理论所学数据包，辨别、分析数据包结构。

TCP 分析：一个TCP 报文段分为首部和数据两部分。

TCP 报文段首部的前二十个字节是固定的，后面有 4N 个字节是根据需要而增加的选项。

因此TCP 的最小长度是 20个字节。

源端口和目的端口字段：各占两个字节，分别写入源端口号和目的端口号。

在抓取的数据报中，源端口号和目的端口号的值分别是： 80和5677。

系别计算机系 班级 学号 姓名 课程名称实验名称实验日期 网络报文分析 成绩序号字段：占4个字节。

序号范围是 0到232-1，共232个序号 [stream i ndex: 0]确认号字段：在四个字节，是期望收到对方下一个报文段的第一个字节的序 号。

LNext sequence number : 2921 trelatlve sequence number^」Acknowledgement number: 1已 ack number)Header length: 20 bytes+i Flag5: 0x010 (ACK ) -rrF0020 If 24 00 50 16 2d 03 a9 0030 20 14 ea 5f 00 00 34 25 nrvin 7C1 广a 广A he 7r Hd数据偏移字段：占 4位，它指出TCP 报文段的数据起始处距离TCP 报文段的 起始处有多远。

Wireshark抓包实例分析通信工程学院 010611班赖宇超 01061093一(实验目的1.初步掌握Wireshark的使用方法，熟悉其基本设置，尤其是Capture Filter 和Display Filter的使用。

2.通过对Wireshark抓包实例进行分析，进一步加深对各类常用网络协议的理解，如:TCP、IP、SMTP、POP、FTP、TLS等。

UDP、3.进一步培养理论联系实际，知行合一的学术精神。

二(实验原理1.用Wireshark软件抓取本地PC的数据包，并观察其主要使用了哪些网络协议。

2.查找资料，了解相关网络协议的提出背景，帧格式，主要功能等。

3.根据所获数据包的内容分析相关协议，从而加深对常用网络协议理解。

三(实验环境1.系统环境:Windows 7 Build 71002.浏览器:IE83.Wireshark:V 1.1.24.Winpcap:V 4.0.2四(实验步骤1.Wireshark简介Wireshark(原Ethereal)是一个网络封包分析软件。

其主要功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。

其使用目的包括:网络管理员检测网络问题，网络安全工程师检查资讯安全相关问题，开发者为新的通讯协定除错，普通使用者学习网络协议的第1页，共12页相关知识……当然，有的人也会用它来寻找一些敏感信息。

值得注意的是，Wireshark并不是入侵检测软件(Intrusion Detection Software,IDS)。

对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。

然而，仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。

Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。

Wireshark本身也不会送出封包至网络上。

2.实例实例1:计算机是如何连接到网络的,一台计算机是如何连接到网络的,其间采用了哪些协议,Wireshark将用事实告诉我们真相。

《计算机通信与网络》——网络抓包分析实验报告Wireshark抓包分析实验报告一．实验目的1.了解并初步使用Wireshark，能在所用电脑上进行抓包。

2.了解IP数据包格式，能应用该软件分析数据包格式。

3.查看一个抓到的包的内容，并分析对应的IP数据包格式。

二．主要仪器设备协议分析软件Wireshark，联网的PC机。

三．实验原理和实验内容2打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

3打开WireShark,选择"Capture>>Interfaces",选择自己的网卡，设置完成后，选择"Start"开始监控流量。

开始抓包，显示结果。

4选择某一行抓包结果，双击查看此数据包具体结构。

5 捕捉IP数据报。

IP数据报的格式如下图所示：捕捉到的IP帧如下图所示：由图可知，这个IP帧的一下信息：版本号：IPV4首部长度：20 bytes总长度：202 Bytes，即可变部分为182.标识：0x1aa3（6819）标志：0x00片偏移:0，表示本片是原分组中的第一片。

生存时间：64，说明这个数据报还可以在路由器之间转发64次。

协议：UDP(17)头部检验和：0xd8a1 （接受正确）Source：192.168.2.143Destination：192.168.2.255四．实验总结：本次wireshark抓包实验，我分析了IP抓包，捕捉IP数据报。

IP协议的提出有它的必然性。

正如黑格尔所述：凡是存在的，都是合理的。

正是有了各种各样协议的存在，人们的网络生活才会变的如此丰富。

然而，学习一种协议是一种相当枯燥的事，这一点我已深有体会，更不用说编写协议了。

所以我们在享受丰富多彩的网络生活的同时，不能忘记那些协议工作者，正所谓“饮水思源”。

Wireshark是一款基于winpcap的抓包软件，它的界面是友好的，功能是强大的，上手是容易的，掌握是困难的。

Wireshark抓包及分析实验学生姓名：学号：___________________任务分配日期：______________课程名称：计算机组网技术WireShark实验报告: 用Wireshark完成计算机网络协议分析报告开始时间: __________报告截至日期: ______________一．实验的目的本次实验的目的就是要学会wireshark抓包软件的基本使用方法，wireshark抓包的基本过程，以及对所抓到的数据包进行详细的分析并能很好的李杰一些基本的数据的含义。

能达到对网络数据的基本的监控和查询的能力。

实验一802.3协议分析和以太网（一）实验目的1、分析802.3协议2、熟悉以太网帧的格式、了解ARP、ICMP、IP数据包格式实验步骤：1、捕获并分析以太帧（1）清空浏览器缓存（在IE窗口中，选择“工具/Internet选项/删除文件”命令）。

如下图（2）启动WireShark，开始分组捕获。

（3）在浏览器的地址栏中输入：/浏览器将显示华科大主页。

如下图所示：（4）停止分组捕获。

首先，找到你的主机向服务器发送的HTTP GET消息的Segment序号，以及服务器发送到你主机上的HTTP 响应消息的序号。

http的segement段序号是47 45 54如下图：由下图可以得到服务器发送到我主机上的http响应消息的序号是：由上图可知为44：1、你的主机的48位以太网地址(MAC地址)是多少？我的主机的mac地址是：2、目标MAC地址是服务器的MAC地址吗？如果不是，该地址是什么设备的MAC地址？不是服务器的MAC地址；该地址是网关的地址。

3、给出Frame头部Type字段(2字节)的十六进制值。

十六进制的值是08 00如图所示：4、在包含“HTTP GET”的以太网帧中，字符“G”的位置(是第几个字节，假设Frame头部第一个字节的顺序为1)？如果frame得头部为顺序1，则“G”的位置为67。

Wireshark抓包分析实验实验Wireshark抓包分析实验⼀、实验⽬的1、了解并会初步使⽤Wireshark，能在所⽤电脑上进⾏抓包2、了解IP数据包格式，能应⽤该软件分析数据包格式3、查看⼀个抓到的包的内容，并分析对应的IP数据包格式4、学会使⽤nslookup⼯具查询并分析Internet 域名信息或诊断DNS 服务器。

5、会⽤wireshark分析DNS协议。

对DNS协议有个全⾯的学习与了解。

⼆、实训器材1、接⼊Internet的计算机主机；2、抓包⼯具WireShark。

三、实验内容（⼀）IP包分析实验1、打开wireshark，选择接⼝选项列表。

或单击“Capture”，配置“option”选项。

2、设置完成后，点击“start”开始抓包，显⽰结果。

3、选择某⼀⾏抓包结果，双击查看此数据包具体结构。

4、查看IP数据报。

[1]写出IP数据报的格式。

[2]捕捉IP数据报的格式图例。

[3]记录IP数据报包的所有域，针对每⼀个域所代表的含义进⾏解释。

（⼆）DNS协议分析实验1、启动WireShark，并开始抓包。

2、在命令⾏运⾏nslookup 发现成都⼤学或其他单位官⽅DNS服务器。

nslookup /doc/cd9178b4f46527d3250ce03a.html /3、停⽌抓包4、显⽰过滤DNS包，查看其请求包和响应包的运输层协议是UDP 还是TCP，DNS请求包的⽬的端⼝及DNS响应包的源端⼝号分别是多少，DNS 请求包是发往哪个地址的，⽤ipconfig查看你的本地DNS服务器的IP地址，判断它们是否相同。

5、查看接下来你的主机发出的⼀些TCP SYN 包，其中的⽬的IP地址是否有刚才DNS应答包中的IP地址?Wireshark抓包分析实验报告⼀．实验⽬的1.了解并初步使⽤Wireshark，能在所⽤电脑上进⾏抓包。

2.了解IP数据包格式，能应⽤该软件分析数据包格式。

3.查看⼀个抓到的包的内容，并分析对应的IP数据包格式。

wireshark抓包分析实验报告Wireshark抓包分析实验报告引言：网络是现代社会不可或缺的一部分，它连接了世界各地的计算机和设备。

为了确保网络的正常运行和安全，网络分析工具是必不可少的。

Wireshark作为一款开源的网络抓包分析工具，具有强大的功能和广泛的应用范围。

本实验旨在通过使用Wireshark来抓包并分析网络数据，以深入了解网络通信的细节和原理。

实验目的：1. 了解Wireshark的基本原理和使用方法；2. 掌握抓包和分析网络数据的技巧；3. 分析网络数据包的结构和内容。

实验步骤：1. 下载和安装Wireshark软件；2. 打开Wireshark，选择要进行抓包的网络接口；3. 开始抓包，并进行需要的过滤设置；4. 分析抓到的数据包，包括查看源地址、目标地址、协议类型等信息；5. 进一步分析数据包的内容，如查看HTTP请求和响应的头部信息、查看传输层协议的数据等；6. 结束抓包并保存数据。

实验结果与分析：通过使用Wireshark进行抓包和分析，我们可以获得大量有关网络通信的信息。

以下是一些实验结果和分析：1. 数据包的源地址和目标地址：通过查看数据包的源地址和目标地址，我们可以确定通信的两端设备和它们之间的关系。

这对于网络故障排除和安全分析非常重要。

2. 协议类型：Wireshark可以自动识别和解析各种协议，包括TCP、UDP、HTTP、FTP等。

通过查看数据包的协议类型，我们可以了解网络通信所使用的协议，并进一步分析其特点和性能。

3. HTTP请求和响应：Wireshark可以解析HTTP协议，并显示请求和响应的详细信息。

通过查看HTTP请求和响应的头部信息，我们可以了解到客户端和服务器之间的通信内容，如请求的URL、请求方法、响应状态码等。

4. 传输层协议的数据：Wireshark可以显示传输层协议的数据，如TCP和UDP的数据。

通过查看传输层协议的数据，我们可以了解到数据包的具体内容，如传输的文本、文件等。