实验三_捕获TCP数据包_杨磊

实验三 网络数据包的捕获与分析一、实验目的和要求通过本次实验，了解sniffer 的基本作用，并能通过sniffer 对指定的网络行为所产生的数据包进行抓取，并分析所抓取的数据包。

二、实验内容A ：1、首先打开sniffer 软件，对所要监听的网卡进行选择2、选择网卡按确定后，进入sniffer 工作主界面，对主界面上的操作按钮加以熟悉。

B ：设置捕获条件进行抓包基本的捕获条件有两种：1、链路层捕获，按源MAC 和目的MAC 地址进行捕获，输入方式为十六进制连续输入，如：00E0FC123456。

2、IP 层捕获，按源IP 和目的IP 进行捕获。

输入方式为点间隔方式，如：10.107.1.1。

如果选择IP 层捕获条件则ARP 等报文将被过滤掉。

链任意捕获条件编辑协议捕获编辑缓冲区编辑基本捕获条件路层捕获IP 层捕获数据流方向链路层捕获地址条件高级捕获条件在“Advance ”页面下，你可以编辑你的协议捕获条件，如图：选择要捕获的协议捕获帧长度条件错误帧是否捕获保存过滤规则条件高级捕获条件编辑图在协议选择树中你可以选择你需要捕获的协议条件，如果什么都不选，则表示忽略该条件，捕获所有协议。

在捕获帧长度条件下，你可以捕获，等于、小于、大于某个值的报文。

在错误帧是否捕获栏，你可以选择当网络上有如下错误时是否捕获。

在保存过滤规则条件按钮“Profiles”，你可以将你当前设置的过滤规则，进行保存，在捕获主面板中，你可以选择你保存的捕获条件。

C：捕获报文的察看：Sniffer软件提供了强大的分析能力和解码功能。

如下图所示，对于捕获的报文提供了一个Expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息。

专家分析系统专家分析系统捕获报文的图形分析捕获报文的其他统计信息专家分析专家分分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。

在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。

淮海工学院计算机工程学院实验报告书课程名：《TCP/IP与网络互联》题目：实验三Optiview数据包捕获和分析班级：D计算机101学号：姓名：一、实验目的掌握OptiView远程控制软件的结构，OptiView自身信息的查看和设置方法。

掌握数据包捕获和分析的基本过程；掌握协议过滤器的设定方法，能够捕获并分析常见的网络层，运输层和应用层数据包。

二、实验内容运行OptiView软件并熟悉软件的界面构成和使用方法；设定过滤器，将捕获数据包的范围缩小为ARP、ICMP、DNS、HTTP、FTP、TELNET等常见的协议；开始捕获数据包，同时制造特定协议的数据；对捕获的数据包进行分析，解析出常见的网络层，运输层和应用层数据包的格式，要求解析出ARP、IP、ICMP、TCP、UDP、DNS、HTTP、FTP、TELNET中网络层，运输层和应用层的数据包每层次至少一个；区分在同一台计算机上使用OptiView和SNIFFER捕获相同协议（如HTTP）时，数据包的差别，并分析其原因。

三、实验步骤首先打开桌面的opt快捷方式，进入操作界面，如图1-1所示。

图1-1 optiview操作界面如图1-1所示，设备已找到，可以进入，单击第二个图标进入，如图1-2所示。

图1-2 front page 界面打开Statistic窗口，可以看到其中的多项数据，如图1-3所示。

打开discovery项，可以看到同一个交换机目录下主机的ip地址以及mac地址，如图1-3所示。

图1-3 Discovery 项具体信息下面开始重点操作，打开“Capture”项，开始选择过滤器以及自己想要捕获的信息，具体操作如下：选择Capture Generate——>packet capture filter在其中我们即可设定过滤器，对每个数据包进行捕获。

根据实验要求我们需要捕获ICMP协议的数据包，点击“start capture”即可开始捕获。

一、实验目的1. 理解捕获法的基本原理及其在通信过程中的应用。

2. 掌握使用Wireshark等工具进行数据包捕获的方法。

3. 学习分析捕获到的数据包，了解网络协议的工作机制。

4. 培养实际操作能力和问题解决能力。

二、实验环境1. 实验设备：电脑一台、网络连接线一根。

2. 实验软件：Wireshark网络分析工具。

3. 实验网络：以太网。

三、实验内容1. 实验一：捕获并分析HTTP数据包（1）启动Wireshark，选择合适的网络接口进行数据包捕获。

（2）在过滤栏中输入“http”，只捕获HTTP协议的数据包。

（3）观察并分析捕获到的HTTP数据包，包括请求和响应内容、请求方法、URL、状态码等信息。

（4）分析实验过程中可能遇到的问题，如数据包捕获失败、数据包内容不完整等，并提出解决方案。

2. 实验二：捕获并分析DNS数据包（1）启动Wireshark，选择合适的网络接口进行数据包捕获。

（2）在过滤栏中输入“dns”，只捕获DNS协议的数据包。

（3）观察并分析捕获到的DNS数据包，包括查询类型、域名、响应代码等信息。

（4）分析实验过程中可能遇到的问题，如DNS解析失败、DNS数据包丢失等，并提出解决方案。

3. 实验三：捕获并分析TCP数据包（1）启动Wireshark，选择合适的网络接口进行数据包捕获。

（2）在过滤栏中输入“tcp”，只捕获TCP协议的数据包。

（3）观察并分析捕获到的TCP数据包，包括源端口、目的端口、序列号、确认号、窗口大小、标志位等信息。

（4）分析实验过程中可能遇到的问题，如TCP连接失败、数据包丢失等，并提出解决方案。

4. 实验四：捕获并分析ICMP数据包（1）启动Wireshark，选择合适的网络接口进行数据包捕获。

（2）在过滤栏中输入“icmp”，只捕获ICMP协议的数据包。

（3）观察并分析捕获到的ICMP数据包，包括类型、代码、校验和等信息。

（4）分析实验过程中可能遇到的问题，如ICMP请求未响应、数据包丢失等，并提出解决方案。

一、实验模块计算机网络二、实验标题捕获再捕获实验三、实验目的1. 掌握网络数据包捕获的基本方法；2. 了解不同网络协议的工作原理；3. 学习使用Wireshark等网络抓包工具进行数据包捕获和分析。

四、实验环境1. 实验设备：电脑一台，网络连接正常；2. 实验软件：Wireshark抓包工具；3. 实验环境：以太网。

五、实验内容1. 捕获原始网络数据包；2. 分析捕获到的数据包；3. 再次捕获网络数据包，观察变化。

六、实验步骤1. 打开Wireshark，选择合适的网络接口进行抓包；2. 设置过滤条件，只捕获特定的协议数据包，如TCP、UDP等；3. 启动抓包，进行网络操作（如浏览网页、发送邮件等）；4. 停止抓包，查看捕获到的数据包；5. 分析捕获到的数据包，了解协议工作原理；6. 再次进行网络操作，观察数据包的变化；7. 对比分析两次捕获到的数据包，找出差异。

七、实验过程1. 打开Wireshark，选择以太网接口进行抓包；2. 设置过滤条件，只捕获HTTP协议数据包；3. 启动抓包，打开网页进行浏览；4. 停止抓包，查看捕获到的数据包；5. 分析捕获到的数据包，了解HTTP协议工作原理；6. 再次进行网络操作，如发送邮件；7. 对比分析两次捕获到的数据包，找出差异。

八、实验结果与分析1. 第一次捕获到的数据包为HTTP请求，包含请求方法、URL、版本等信息；2. 第二次捕获到的数据包为HTTP响应，包含响应状态码、内容长度、实体等；3. 对比两次捕获到的数据包，发现第二次捕获的数据包中，请求方法和URL与第一次相同，但响应状态码、内容长度等有所不同。

九、实验总结1. 通过本次实验，掌握了网络数据包捕获的基本方法；2. 学习了不同网络协议的工作原理，如HTTP协议；3. 使用Wireshark等网络抓包工具，对捕获到的数据包进行分析，有助于了解网络通信过程。

十、实验反思1. 在实验过程中，需要注意设置合适的过滤条件，以便快速定位所需捕获的数据包；2. 分析数据包时，要熟悉不同协议的格式和内容，以便准确解读数据包；3. 实验过程中，遇到的问题主要包括数据包捕获失败、分析不准确等，通过查阅资料和请教他人，成功解决了这些问题。

计算机网络实验（实习）报告
Ⅰ. 实验（实习）名称：数据包捕获与协议分析
实验（实习）日期 2012年11月26日
专业通信工程10级01班姓名：学号： 2
（或使用青岛农业大学实验报告纸）
1、实验目的
（1）掌握网络协议分析工具Ethereal的使用方法；
（2）截获数据包并对它们观察和分析，了解协议的运行机制；
2、实验内容:
（1）设计一个捕获HTTP实现的完整过程，并对捕获的结果进行分析和统计。

要求：
（2）设计一个捕获TCP实现的完整过程，并对捕获的结果进行分析和统计。

要求：给出捕获某一数据包后的屏幕截图。

以16进制形式显示其包的内容，并分析
TCP报文（源端口、目的端口、序号、确认号，ACK、SYN、窗口等）。

（3） 设计一个捕获ICMP 实现的完整过程，并对捕获的结果进行分析和统计
要求：给出捕获某一数据包后的屏幕截图。

以16进制形式显示其包的内容，并分析
该ICMP 报文。

（4） 设计一个捕获IP 数据包的过程，并对捕获的结果进行分析和统计
要求：
并分析
3. 实验总结(掌握了哪些内容？遇到了什么问题？如何解决的？你的体会或
收获如何？)
学会使用Wireshark 软件进行抓包，并且用过滤器实现有目的获取数据包，并对数据包中的各层协议进行分析。

源地址，目的地址
服务类型，总长度。

arp,ip,icmp协议数据包捕获分析实验报告数据篇一：网络协议分析实验报告实验报告课程名称计算机网络实验名称网络协议分析系别专业班级指导教师学号姓名实验成绩一、实验目的掌握常用的抓包软件，了解ARP、ICMP、IP、TCP、UDP 协议的结构。

二、实验环境1．虚拟机（VMWare或Microsoft Virtual PC）、Windows XX Server。

客户机A客户机B2．实验室局域网，WindowsXP三、实验学时2学时，必做实验。

四、实验内容注意：若是实验环境1，则配置客户机A的IP地址:/24,X为学生座号；另一台客户机B的IP地址:（X+100）。

在客户机A上安装EtherPeek（或者sniffer pro）协议分析软件。

若是实验环境2则根据当前主机A的地址，找一台当前在线主机B完成。

1、从客户机A ping客户机B ，利用EtherPeek（或者sniffer pro）协议分析软件抓包，分析ARP 协议；2、从客户机A ping客户机B，利用EtherPeek（或者sniffer pro）协议分析软件抓包，分析icmp协议和ip协议；3、客户机A上访问，利用E(转载于: 小龙文档网:arp,ip,icmp协议数据包捕获分析实验报告数据)therPeek（或者sniffer pro）协议分析软件抓包，分析TCP和UDP 协议；五、实验步骤和截图（并填表）1、分析arp协议，填写下表12、分析icmp协议和ip协议，分别填写下表表一：ICMP报文分析233、分析TCP和UDP 协议，分别填写下表4表二： UDP 协议 5篇二：网络层协议数据的捕获实验报告篇三：实验报告4-网络层协议数据的捕获实验报告。

实验3.1 TCP协议数据包捕获实验【实验目的】•理解TCP的工作过程【实验过程】1 TCP数据流的追踪TCP数据流在Internet流量中占据了很大一部分。

在这么多的TCP流量里，如何追踪数据流的蛛丝马迹呢？Wireshark分析功能中最实用的功能就是数据流的追踪了。

数据流追踪，也就是说它能将各种流重组成容易阅读的格式。

Wireshark提供了TCP、UDP、SSL、HTTP四种最常见数据流的追踪功能。

以一个简单的TCP交互为例，在捕获的流量数据里，鼠标点击任何一个TCP数据包（找到一个TCP数据包是非常容易的，协议字段已经表明各个数据包的类型），右键菜单中就会出现“追踪流”功能，再选择TCP，Wireshark就会显示这个TCP会话所有的数据包，并且列表在一个新的窗口中显示。

2 TCP连接的建立追踪任何一个TCP数据流，这个数据流开始的三个数据包都是其连接建立过程的三次握手。

也可以使用FLAGS标志位进行检索，例如三次握手的第二个数据包非常特殊，SYN ACK 同时置位，可以利用这个特点发现一个三次握手过程。

实例：Wireshark过滤显示SYN ACK置位数据包tcp.flags.syn == 1 && tcp.flags.ack == 1 ～flags表示TCP标志字段TCP连接建立过程的三次握手：No Time Source Destination Protocol Length Info4 7.0908192.168.1.103 223.119.144.197 TCP 66 54168 →80 [SYN] Seq=08 7.1840223.119.144.197 192.168.1.103 TCP 66 80→54168 [SYN, ACK] Seq=0 Ack=19 7.1841192.168.1.103 223.119.144.197 TCP 54 54168 →80 [ACK] Seq=1 Ack=13 TCP连接的终止在每个正常结束的TCP数据流，其尾部都是TCP连接终止时在客户机和服务器间的数据包交互。

IP和TCP抓包分析实验实验需求1. 配置IP地址，R1的g0/0口是1.1.1.1/24，R2的g0/0口是1.1.1.2/242. 在该链路上开启抓包3. 在R1上ping R24. 开启wireshark，查看抓取的ping包的内容5. 在R2上开启FTP服务6. 在R1上访问R2的FTP7. 刷新wireshark，查看抓取的FTP的登录名和密码实验解法修改设备名称<H3C>system‐viewSystem View: return to User View with Ctrl+Z.[H3C]sysname R1[R1]1<H3C>system‐viewSystem View: return to User View with Ctrl+Z.[H3C]sysname R2[R2]2配置IP地址[R1]interface g0/0[R1‐GigabitEthernet0/0]ip address 1.1.1.1 243[R2]interface g0/0[R2‐GigabitEthernet0/0]ip address 1.1.1.2 244开启抓包在R1上PING R2[R1]ping 1.1.1.2Ping 1.1.1.2 (1.1.1.2): 56 data bytes, press CTRL_C to break 56 bytes from 1.1.1.2: icmp_seq=0 ttl=255 time=1.000 ms56 bytes from 1.1.1.2: icmp_seq=1 ttl=255 time=1.000 ms56 bytes from 1.1.1.2: icmp_seq=2 ttl=255 time=0.000 ms56 bytes from 1.1.1.2: icmp_seq=3 ttl=255 time=1.000 ms56 bytes from 1.1.1.2: icmp_seq=4 ttl=255 time=1.000 ms5开启Wireshark，查看抓取的Ping包内容6在R2上开启FTP服务，创建用户“wangdaye”，密码“123456”[R2]ftp server enable[R2]local‐user wangdaye class manageNew local user added.[R2‐luser‐manage‐wangdaye]password simple 123456[R2‐luser‐manage‐wangdaye]authorization‐attribute user‐role level‐15 [R2‐luser‐manage‐wangdaye]service‐type ftp7在R1上访问FTP服务，输入用户名和密码<R1>ftp 1.1.1.2Press CTRL+C to abort.Connected to 1.1.1.2 (1.1.1.2).220 FTP service ready.User (1.1.1.2:(none)): wangdaye331 Password required for wangdaye.Password:230 User logged in.Remote system type is UNIX.Using binary mode to transfer files.8刷新Wireshark，查看抓取的FTP的登录名和密码9。

第一次实验：利用Wireshark软件进行数据包抓取1.3.2 抓取一次完整的网络通信过程的数据包实验一，实验目的：通过本次实验，学生能掌握使用Wireshark抓取ping命令的完整通信过程的数据包的技能，熟悉Wireshark软件的包过滤设置和数据显示功能的使用。

二，实验环境：操作系统为Windows 7,抓包工具为Wireshark.三，实验原理：ping是用来测试网络连通性的命令，一旦发出ping命令，主机会发出连续的测试数据包到网络中，在通常的情况下，主机会收到回应数据包，ping采用的是ICMP协议。

四，验步骤：1.确定目标地址：选择作为目标地址。

2.配置过滤器：针对协议进行过滤设置，ping使用的是ICMP协议，抓包前使用捕捉过滤器，过滤设置为icmp,如图 1- 1图 1-13.启动抓包：点击【start】开始抓包，在命令提示符下键入ping , 如图 1-2图 1-2停止抓包后，截取的数据如图 1-3图 1-34，分析数据包：选取一个数据包进行分析，如图1- 4图1-4每一个包都是通过数据链路层DLC协议，IP协议和ICMP协议共三层协议的封装。

DLC协议的目的和源地址是MAC地址，IP协议的目的和源地址是IP地址，这层主要负责将上层收到的信息发送出去，而ICMP协议主要是Type和Code来识别，“Type:8,Code：0”表示报文类型为诊断报文的请求测试包，“Type:0,Code:0”表示报文类型为诊断报文类型请正常的包。

ICMP提供多种类型的消息为源端节点提供网络额故障信息反馈，报文类型可归纳如下：（1）诊断报文（类型：8，代码0；类型：0代码：0）；(2）目的不可达报文（类型：3，代码0-15）；（3）重定向报文（类型：5，代码：0--4）；（4）超时报文（类型：11，代码：0--1）；（5）信息报文（类型：12--18）。

1.4.1，TCP协议的分析实验一，实验目的：通过本次实验，掌握使用Wireshark抓取TCP协议的数据包的技能，能够在深入分析“TCP的三次握手”，TCP的四次挥手协议在网络数据流的基础上，进一步提高理论联系实践的能力。

计算机网络实验指导——捕获数据包在网络中传输的数据包，可以通过相关软件，将其捕获，并且能够查看数据包中包含的相关信息。

下面我们通过Ethereal数据包捕获软件来介绍网络数据包的捕获方法。

1．实验目的：●安装Ethereal软件●应用软件捕获数据包2．实验步骤：（1）双击Ethereal软件的安装文件，即可启动该软件的安装向导。

并在弹出的对话框中，单击Next按钮。

如图3-29所示。

双击单击图3-29 启动软件安装向导（2）在弹出的License Agreement对话框中，单击I Agree按钮，将弹出Choose Components对话框。

然后，启用该对话框中T ools复选框，并单击Next按钮。

如图3-30所示。

启用复选框图3-30 启用复选框（3）此时，将弹出Select Additional Tasks对话框，并单击Next按钮。

然后，在弹出对话框中，单击Browse按钮，选择软件安装位置，并单击【确定】按钮。

如图3-31所示。

图3-31 选择软件安装位置（4）单击Choose Install Location 对话框中的Next 按钮，将弹出Install WinPcap?对话框。

然后，启用该对话框中Install WinPcap 3.1复选框，并单击Install 按钮，即开始安装软件。

如图3-32所示。

图3-32 启用复选框（5）待软件安装完毕，在弹出对话框中，单击Finish 按钮。

并双击桌面Ethereal 快捷方式图标，即可弹出The Ethereal Network Analyzer 窗口。

然后，执行Capture|Options 命令，并在弹出对话框中，单击Interface 下拉按钮，选择本地计算机网卡，单击Start 按钮。

如图3-33所示。

提 示单击Install 按钮，开始软件的安装，在安装过程中，将会弹出WinPcap 软件的安装向导，按照其向导将其安装即可。

《TCP/IP协议分析》实验报告实验序号：3 实验项目名称：分析IPv4和IPv6 数据包20网工学号姓名专业、班实验地点指导教师实验时间2022-9-14 一、实验目的及要求，步骤和结果动手项目3-1:使用Wireshark软件查看IPv4数据包首部所需时间: 20 分钟。

项目目标:学习使用Wireshark软件查看IPv4数据包的首部。

过程描述:本项目介绍如何捕获网络上的一个数据包，选择一个特定的数据包，查看该数据包的IPv4首部。

你可以捕获自己的数据进行分析，或启动Wireshark 软件，打开从本书配套网站上下载的文件IPv4Fields.pcap,直接跳到第(8)步。

(1)启动Wireshark软件(单击“开始”，指向“所有程序”，然后单击Wireshark。

也可以单击“开始”，在“运行”对话框中输入"Wireshark", 然后单击“确定”按钮)。

(2)单击Capture菜单，然后单击Interfaces 菜单项，出现Capture Interfaces 窗口。

(3)可能会显示有多个网卡，选定一个在Packets栏显示了实时数据包的网卡，然后单击Start 按钮，出现Capturing窗口。

(4)打开一个命令提示符窗口(单击“开始”按钮，在“运行”对话框中输入cmd,然后单击“确定”按钮)。

(5) ping 本地网络中的计算机IPv4地址。

(6)在命令提示符窗口中输入exit命令并按Enter键，关闭命令提示符窗口。

(7)在Wireshark软件中，单击菜单栏上的Capture,然后单击Stop (或者单击工具栏上的Stop 图标)。

(8)在数据包列表面板(上部面板)中选择一个TCP数据包(9)在数据包详细内容面板(中部面板)，展开Internet Protocol Version4, 如图所示。

(10)查看Version和Header lenght字段的值。

(11)展开Differentiated Services Field, 查看Total Length和ldentification字段的值，然后再收起它。

淮海工学院计算机工程学院实验报告书课程名：《计算机网络》题目：实验三网络数据包的捕获与分析班级：学号：姓名：实验三网络数据包的捕获与分析一、实验目的和要求通过本次实验，了解协议编辑器及协议分析器的作用，并能通过对网络层协议数据包的编辑、发送、捕获、分析，掌握数据封装的格式和方法，能对捕获的数据包分析其数据链路层和网络层的首部。

二、实验内容1、利用协议编辑器编辑ARP协议数据包，并使用协议分析器捕获并分析之；2、利用协议编辑器编辑ICMP协议数据包，并使用协议分析器捕获并分析之；三、主要实验仪器及材料装有Windows 2003系统的计算机，局域网，协议编辑器软件和协议分析器软件。

四、实验步骤（需要抓图说明实验过程）（一）ARP协议数据包的编辑与捕获1、打开协议编辑器，编辑ARP协议数据包（先扫描主机，然后按需要设置协议类型（数据链路层首部）、源MAC地址、源IP地址、目的IP地址，并校验数据是否正确）2、打开协议分析器。

设置过滤条件，开启捕获报文。

3、返回协议编辑器发送一定数量的数据包；4、在协议分析其中停止捕获报文，并查看所捕获的报文。

（二）ICMP协议数据包的编辑与捕获1、打开协议编辑器，编辑ICMP协议数据包（先扫描主机，然后按需要设置协议类型（数据链路层首部和网络层首部分别设置）、源MAC地址、源IP地址、目的IP 地址、目的MAC地址，ICMP首部校验和、总长度，IP首部校验和，并校验数据是否正确）2、打开协议分析器。

设置过滤条件，开启捕获报文。

3、返回协议编辑器发送一定数量的数据包；4、在协议分析其中停止捕获报文，并查看所捕获的报文。

五、实验结果分析分别对ARP协议和ICMP协议所编辑的数据包和所捕获的数据包进行分析。

要求：对捕获的报文分析其数据链路层首部和网络层首部内容，并与所编辑的报文做比较。

六、实验小结。

wireshark tcp 实验总结Wireshark是一款非常强大且开源的网络协议分析工具，可以捕获和分析网络数据包。

在进行Wireshark TCP实验时，我们主要研究了TCP协议的工作原理以及相关的网络性能指标。

实验目的：本次实验的主要目的是通过使用Wireshark工具来分析TCP协议的行为，了解TCP协议的工作原理以及网络性能指标，包括延迟、丢包等。

实验内容：实验内容包括使用Wireshark工具捕获TCP数据包、分析TCP连接的建立过程、计算网络延迟和丢包率等。

实验步骤：1.下载和安装Wireshark。

2.打开Wireshark工具，并选择要捕获数据包的网络接口。

3.开始捕获数据包，并进行相关设置，如过滤器设置。

4.运行需要分析的TCP应用程序，例如浏览器或FTP客户端。

5.停止捕获数据包，并保存捕获的数据包文件。

6.使用Wireshark分析捕获的数据包文件，查看TCP连接建立过程、延迟、丢包等信息。

实验结果：通过对Wireshark捕获的数据包进行分析，我们得到了一些有关TCP协议的有用信息：1. TCP连接的建立过程：通过分析捕获的数据包，我们可以看到TCP连接建立的三次握手过程，即客户端发送SYN，服务器回复SYN ACK，客户端再回复ACK，最终建立起TCP连接。

2.延迟与RTT：通过分析数据包的时间戳，我们可以计算出每个数据包的往返时间（RTT），从而得到网络的延迟情况。

可以观察到RTT 的变化情况，以及延迟对网络性能的影响。

3.丢包与重传：通过捕获的数据包，我们可以看到是否有丢包现象发生。

当发生丢包时，Wireshark会显示相应的重传数据包，以及丢包率等相关统计信息。

实验分析：通过进行Wireshark TCP实验，我们对TCP协议的工作原理以及网络性能有了更深入的了解：1. TCP连接建立过程是通过三次握手来实现的，确保了双方的同步和可靠性。

2.延迟是网络性能的一个重要指标，对于实时应用程序（如VoIP或视频流），低延迟是非常重要的。

福建农林大学金山学院信息工程类课程实习报告课程名称：计算机网络实习题目：协议数据包的捕获与分析姓名：专业：计算机科学与技术专业年级：2011学号：指导教师：蒋萌辉职称：副教授2014年6月16日目录1．实习的目的和任务 ............................................................................................................. - 1 - 2．实习要求 ............................................................................................................................. - 1 - 3．实习地点 ............................................................................................................................. - 1 - 4．主要仪器设备（实验用的软硬件环境）.......................................................................... - 2 - 5．实习内容 ............................................................................................................................. - 2 -5.1 ARP协议....................................................................................................................... - 2 -5.2 ICMP协议..................................................................................................................... - 4 -5.3 TCP协议 ....................................................................................................................... - 6 -5.4 bbb协议 ........................................................................................................................ - 8 -5.5 DNS协议 ...................................................................................................................... - 8 -5.6 DHCP协议.................................................................................................................. - 10 - 6．问题讨论与分析 ................................................................................................................ - 11 - 7．结束语 ................................................................................................................................ - 11 - 参考文献 .................................................................................................................................... - 11 -《计算机网络》课程实习--协议数据包的捕获与分析1．实习的目的和任务通过计算机网络课程的学习，学生基本掌握了计算机网络的基础理论知识，但是学生对于计算机网络的理解不够深入。

——用Ethereal捕获并分析数据包学院：计算机工程学院专业：计算机科学与技术姓名：张徽学号：2008404010135TCP报文格式分析◆TCP提供一种面向连接的、全双工的、可靠的字节流服务。

◆在一个TCP连接中，仅有两方进行彼此通信。

广播和多播不能用于TCP。

◆TCP的接收端必须丢弃重复的数据。

◆TCP对字节流的内容不作任何解释。

对字节流的解释由TCP连接双方的应用层解释。

◆TCP通过下列方式来提供可靠性：应用数据被分割成TCP认为最适合发送的数据块，称为报文段或段。

TCP协议中采用自适应的超时及重传策略。

TCP可以对收到的数据进行重新排序，将收到的数据以正确的顺序交给应用层。

TCP的接收端必须丢弃重复的数据。

TCP还能提供流量控制。

TCP数据报的发送过程图TCP数据报的格式●源端口：占16比特（2个字节），分段的端口号；●目的端口：占16比特（2个字节），分段的目的端口号；端口是传输层与应用层的服务接口。

传输层的复用和分用功能都要通过端口才能实现；●序号字段：占4字节。

TCP连接中传送的数据流中的每一个字节都编上一个序号。

序号字段的值则指的是本报文段所发送的数据的第一个字节的序号。

●确认号字段：占4字节，是期望收到对方的下一个报文段的数据的第一个字节的序号。

●数据偏移：占4比特，它指出TCP报文段的数据起始处距离CP报文段的起始处有多远。

“数据偏移”的单位不是字节而是32bit字（4字节为计算单位）。

●保留字段：占6bit，保留为今后使用，但目前应置为0。

●编码位：编码位含义紧急比特URG 当URG＝1时，表明紧急指针字段有效。

它告诉系统此报文段中有紧急数据，应尽快传送(相当于高优先级的数据)。

确认比特ACK只有当ACK＝1时确认号字段才有效。

当ACK＝0时，确认号无效。

推送比特PSH 当PSH=1时，表示请求急迫操作，即分段一到马上就发送应用程序而不等到接收缓冲区满时才发送应用程序。

复位比特RST(Reset) 当RST＝1时，表明TCP连接中出现严重差错（如由于主机崩溃或其他原因），必须释放连接，然后再重新建立运输连接。

实验四捕获并分析TCP数据包和TCP三次握手和四次挥手过程一、实验目的通过网络嗅探器软件对网络数据进行监听和分析，加深对计算机网络中各层协议数据单元PDU的形象理解。

二、实验内容1、利用网络嗅探器软件(例如Iris、Sniffer、Ethereal、 wireshark等)，获取TCP数据包，记录并分析各字段的含义。

2、打开一个网站，截取TCP数据包（至少三个），分析TCP三次握手建立连接和四次挥手释放连接的过程。

三、实验步骤1、安装数据包捕获软件wireshark。

2、启动捕获软件。

（1）开始捕获数据报：（2）打开一个网站，例：（3）对捕获的TCP数据包进行分析，并保存（4）对捕获的TCP三次握手建立连接的几个数据包进行分析，分别说明各数据包代表的意义和所属的三次握手的第几次。

四、实验分析1、设置显示过滤，只显示源地址是本机的http数据包，说明如何进行设置？答：若要设置只显示源地址是本机的http数据包，需使用以下ip.src==本机IP && http 2、点开软件捕获界面中包详细信息栏的TCP数据包：若想查看TCP数据包的内容，需点击前面的加号，则显示TCP报文段各字段的结构如下图所示：对照课本P202页：TCP报文段的结构图，如下图示：分析并记录说明，所捕获的数据包的在运输层TCP报文段中各字段的具体信息：①源端口号：49896。

每一个应用进程在运输层都对应一个端口号。

端口是运输层与应用层的服务接口。

运输层的复用和分用功能都要通过端口才能实现。

②目的端口号：80。

说明发送方请求的是一个web服务（http）.③序号：0。

为了对发送的报文段进行可靠传输，对每个发送的报文段的第一个字节都进行编号，称为序号。

例如：一个报文段的序号值为301，携带的数据长度100字节；则下一个报文段的序号为401.④确认号：0。

为了告诉发送方，到目前为止，接收方按顺序接收的报文段达到多少，将下一个期望接收的报文段的第一个字节的编号作为确认号发给发送方。

实验一：TCP数据包捕获及分析实验学时：4实验类型：设计实验要求：必做一、实验目的理解网络数据包的捕获原理及一般分析方法。

二、实验内容1. 根据参考程序编写一段基于Winpcap的TCP数据包捕获并分析的程序。

2. 要求再给定程序的基础上完成相关功能：1）提示用户对要嗅探的网卡进行选择，并在所选择的网卡上进行数据包捕获。

2）完成数据输出功能，输入以下内容，但不限于：✓输出数据包到达的时间，数据包大小等信息。

✓输出对数据包的以太网帧头进行解析，输出其源MAC地址、目的MAC地址、上层协议类型等信息。

✓输出IP协议报头的相关内容。

✓输出TCP报头的相关内容。

三、实验原理、方法和手段以太网（Ethernet）具有共享介质的特征，信息是以明文的形式在网络上传输，当网络适配器设置为监听模式（混杂模式，Promiscuous）时，由于采用以太网广播信道争用的方式，使得监听系统与正常通信的网络能够并联连接，并可以捕获任何一个在同一冲突域上传输的数据包。

IEEE802.3 标准的以太网采用的是持续CSMA 的方式，正是由于以太网采用这种广播信道争用的方式，使得各个站点可以获得其他站点发送的数据。

运用这一原理使信息捕获系统能够拦截的我们所要的信息，这是捕获数据包的物理基础。

Winpcap是针对Win32平台上的抓包和网络分析的一个架构。

它包括一个核心态的包过滤器，一个底层的动态链接库（packet.dll）和一个高层的不依赖于系统的库（wpcap.dll）。

抓包是NPF最重要的操作。

在抓包的时候，驱动使用一个网络接口监视着数据包，并将这些数据包完整无缺地投递给用户级应用程序。

实验可根据Winpcap提供WinPcap Documentation（参考\WpdPack\doc\目录，或下载Winpcap中文手册）的样例程序进行修改和设计。

四、实验组织运行要求1.安装Winpcap驱动及开发库。

2.实验程序需演示和答辩，并记录期末考查成绩中，同时要求最终完成的TCP 包分析器，有较友好的界面和提示，并且在实验程序中设计者的相关信息。

计算机网络与应用实验实验三捕获TCP数据包自94班杨磊 2009011451实验目的通过实验熟悉Wireshark抓包软件的使用方法，理解TCP传输过程，以及慢启动、拥塞避免等相关技术。

实验环境1.操作系统：Windows7 网络环境为紫荆2#527A2.所用软件：wireshark-win32-1.6.3（最新版）实验内容1.在windows环境进行Wireshark抓包。

2.在windows环境Wireshark窗口中查看各种协议下的数据包。

3.在windows环境上传文件到服务器，同时观察TCP传输过程。

实验记录与问题解答回答以下有关TCP 报文段的问题：1．你的客户端电脑传送文件到166.111.180.98的IP地址和端口是什么？从166.111.180.98接收文件的IP地址和端口是什么？答：建立连接的前两条报文如下：15 1.656371 59.66.135.82 166.111.180.98 TCP 66 aura > http-alt [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=4 SACK_PERM=1{Transmission Control Protocol, Src Port: aura (2066), Dst Port: http-alt (8080), Seq:0, Len: 0)}可见，客户端电脑传送文件到166.111.180.98 的IP 地址是59.66.135.82，端口是2066，166.111.180.98 接收文件的IP 地址是166.111.180.98，端口是8080。

2．用来初始化客户端电脑和166.111.180.98的TCP连接的TCP SYN报文段的序号是什么？在报文段中，那个地方表明这是一个SYN报文段？答：报文如下（同上一报文）15 1.656371 59.66.135.82 166.111.180.98 TCP 66 aura > http-alt [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=4 SACK_PERM=1{Sequence number: 0 (relative sequence number)Flags: 0x02 (SYN)}可见初始化这个报文段的序号是0,Flags字段中SYN位为1，表明了这是一个SYN报文段。