Wireshark 分析 TCPIP协议

TCP/IP网络协议分析实验一、实验目的1. 通过实验，学习和掌握TCP/IP协议分析的方法及其相关工具的使用；2. 熟练掌握 TCP/IP体系结构；3. 学会使用网络分析工具；4. 网络层、传输层和应用层有关协议分析。

二、实验类型分析类实验三、实验课时2学时四、准备知识1.Windows 2003 server 操作系统2.TCP/IP 协议3.Sniffer工具软件五、实验步骤1.要求掌握网络抓包软件Wireshark。

内容包括：●捕获网络流量进行详细分析●利用专家分析系统诊断问题●实时监控网络活动●收集网络利用率和错误等2.协议分析（一）：IP协议，内容包括：●IP头的结构●IP数据报的数据结构分析3.协议分析（二）：TCP/UDP协议，内容包括：●TCP协议的工作原理●TCP/UDP数据结构分析六、实验结果1.IP协议分析：（1）工作原理：IP协议数据报有首部和数据两部分组成，首部的前一部分是固定长度，共20字节，是IP数据报必须具有的。

首部分为，版本、首部长度、服务类型、总长度、标识、标志、片偏移、生存时间、协议、首部检验和、源地址、目的地址、可选字段和数据部分（2）IPV4数据结构分析：2.TCP协议分析：（1）工作原理：TCP连接是通过三次握手的三条报文来建立的。

第一条报文是没有数据的TCP报文段，并将首部SYN位设置为1。

因此，第一条报文常被称为SYN分组，这个报文段里的序号可以设置成任何值，表示后续报文设定的起始编号。

连接时不能自动从1开始计数，选择一个随机数开始计数可避免将以前连接的分组错误地解释为当前连接的分组。

（2）TCP数据结构分析第一次握手：第二次握手：第三次握手：3.UDP协议分析：（1）工作原理：与我们所熟悉的TCP一样，UDP协议直接位于IP的顶层。

根据OSI(开放系统互联)参考模型，UDP和TCP都属于传输层协议。

UDP的主要作用是将网络数据流量压缩成数据报的形式。

实验五使用Wireshark分析TCP协议一、实验目的分析TCP协议二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、实验步骤1、TCP介绍（1）连接建立：TCP连接通过称为三次握手的三条报文来建立的。

在Wireshark中选择open->file,选择文件tcp_pcattcp_n1.cap，其中分组3到5显示的就是三次握手。

第一条报文没有数据的TCP报文段，并将首部SYN位设置为1。

因此，第一条报文常被称为SYN分组。

这个报文段里的序号可以设置成任何值，表示后续报文设定的起始编号。

连接不能自动从1开始计数，选择一个随机数开始计数可避免将以前连接的分组错误地解释为当前连接的分组。

观察分组3，Wireshark显示的序号是0。

选择分组首部的序号字段，原始框中显示“94 f2 2e be”。

Wireshark显示的是逻辑序号，真正的初始序号不是0。

如图1所示：图１：逻辑序号与实际初始序号SYN分组通常是从客户端发送到服务器。

这个报文段请求建立连接。

一旦成功建立了连接，服务器进程必须已经在监听SYN分组所指示的IP地址和端口号。

如果没有建立连接，SYN分组将不会应答。

如果第一个分组丢失，客户端通常会发送若干SYN分组，否则客户端将会停止并报告一个错误给应用程序。

如果服务器进程正在监听并接收到来的连接请求，它将以一个报文段进行相应，这个报文段的SYN位和ACK位都置为1。

通常称这个报文段为SYNACK分组。

SYNACK 分组在确认收到SYN分组的同时发出一个初始的数据流序号给客户端。

分组4的确认号字段在Wireshark的协议框中显示1，并且在原始框中的值是“94 f2 2e bf”（比“94 f2 2e be”多1）。

这解释了TCP的确认模式。

TCP接收端确认第X个字节已经收到，并通过设置确认号为X+1来表明期望收到下一个字节号。

分组4的序号字段在Wireshark的协议显示为0，但在原始框中的实际值却是“84 ca be b3”。

一、目的及要求：
1.了解wireshark软件的使用和过滤方法
2. 通过wireshark软件分析TCP协议的特点
二、实验步骤
1.下载wireshark软件并在Windows环境下安装
2. 掌握数据包的分析、过滤器的配置及过滤语法
3. 分析TCP协议
4. 通过Ping命令，使用wireshark分析ICMP数据包
三、实验内容：
1、选择物理网卡
Capture -> interface list -> start
2、启动新捕获
1) capture —> start
2) restart the running live capture
3、分析包列表、包详情、包字节中的内容
1) capture -> Options
2) 填写Capture Filter创建过滤器
Or
3) 单击Capture Filter按钮创建捕捉过滤器
1、主界面Fliter框内输入过滤器语法
2、单击主界面上的“Expression…”按钮，按提示逐步填写
6、分析TCP协议（三次握手）
1、甲方建立到乙方的连接
2、乙方确认甲方连接、同时建立到甲方连接
3、甲方确认乙方连接、同时开始传数据(从选定行开始依次为三次握手)
7、分析ping命令时的ICMP网络数据包
1) Echo ping request
2) Echo ping reply
3) Destination unreachable
4) who has ***?
…。

竭诚为您提供优质文档/双击可除wireshark怎么看tcp报文中ip首部中"协议"字段的取值篇一：wireshark捕获分组深入理解tcpip协之ip协议wireshark捕获分组深入理解tcp/ip协议之ip协议摘要：本文简单介绍了网络层理论知识，详细讲解了ip数据报各个字段，并从wireshark俘获分组中选取ip数据报进行分析，也阐述了分组和分片的区别。

一、ipv4数据报网络层是处理端到端数据传输的最低层。

网络层关注如何将分组从源端沿着网络路径送达目的端，期间可能需要经过许多跳中间路由器。

即提供转发(数据从路由器那个接口出去)、选路(发送方与接收方间的路径)、网络建立(如atm、帧中继)。

这里以ipv4为例，关于ipv6报文格式详见博文《ipv4与ipv6数据报格式详解》。

图1ipv4数据报格式版本号(version)不同的ip协议版本使用不同的数据报格式。

首部长度(hl,internetheadlength)确定ip数据报中数据部分实际从哪里开始，包含可变数量的选项。

若ip数据报没有包含选项，则ip数据报首部长度为20字节。

服务类型(tos,typeofservice)更好地服务不同类型ip数据报(如实时数据报ip电话应用、非实时通信流Ftp)，cisco将tos前3位标识不同服务等级，即优先级。

数据报长度(tl,totallength)ip数据报长度，即首部+数据。

分片：标识(identification)、标志(flags)、段位移(Fragmentoffset)这3个字段跟ip分片有关，当目的主机从同一个源收到一批数据报时，需要确定这些数据报是完整数据报还是分片后的数据报，数据报首部标识字段解决这个问题，检查数据报的标识号确定哪些数据报真正是同一个较大数据报的片；如何判断最后一个分片已收到，数据报首部标志字段解决这个问题，将最后一片的标志为0，其他标记为1；如何顺序重组这些片，这就需要记录每个片的在数据报有效净荷的偏移量，这也确定了片是否丢失。

wireshark协议树解析步骤Wireshark是一款功能强大的网络分析工具，可以用于捕获、分析和解码网络数据包。

它可以解析多种网络协议，并以可视化的方式呈现协议树的结构。

以下是解析Wireshark协议树的一般步骤：2. 启动Wireshark：安装完成后，启动Wireshark应用程序。

主界面显示了可用的网络接口。

3. 选择捕获接口：Wireshark支持同时捕获多个网络接口的数据包。

选择一个接口来捕获所有传入和传出的数据包。

单击所需的接口即可开始捕获。

4. 开始数据包捕获：在单击接口后，Wireshark开始捕获数据包。

捕获进程将始终处于活动状态，直到您停止捕获。

5. 分析捕获的数据包：一旦停止捕获，Wireshark将显示捕获的数据包列表。

每个数据包都会显示源、目标IP地址、协议类型、长度和时间戳等信息。

6.选择要分析的数据包：从列表中选择您要分析的数据包。

您可以单击其中一个数据包以查看详细信息。

7. 查看协议树：选中一个数据包后，Wireshark将在下半部分显示包含协议树的详细信息。

协议树以树状结构显示，从最底层的数据链路层开始，逐级向上解析各个网络层，直到应用层。

8.展开协议树：在协议树中，您可以展开不同的协议层级以查看更详细的信息。

单击“+”或双击具有“+”符号的协议名称，以展开该层级。

9.查看协议详细信息：展开每个协议层级后，您可以查看该协议的详细信息。

例如，如果展开了“传输层”协议，您将看到TCP或UDP的详细信息。

10. 分析协议字段：在协议的详细信息中，您可以查看不同的字段和值。

Wireshark在对每个字段进行解码时会提供解析结果，如源端口、目标端口、标志位等。

11. 过滤数据包：如果您只想查看特定类型的数据包，可以使用Wireshark的过滤功能。

通过在过滤框中输入过滤条件，可以只显示符合该条件的数据包。

12.导出协议树：如果您想保存协议树，可以将其导出为纯文本或HTML格式。

WireShark——IP协议包分析（Ping分析IP协议包）互联⽹协议 IP 是 Internet Protocol 的缩写，中⽂缩写为“⽹协”。

IP 协议是位于 OSI 模型中第三层的协议，其主要⽬的就是使得⽹络间能够互联通信。

前⾯介绍了 ARP 协议，该协议⽤在第⼆层处理单⼀⽹络中的通信。

与其类似，第三层则负责跨⽹络通信的地址。

在这层上⼯作的不⽌⼀个协议，但是最普遍的就是互联⽹协议（IP）1. IP协议介绍互联⽹协议地址（Internet Protocol Address，⼜译为⽹际协议地址），缩写为 IP 地址（IP Address）。

在上⼀章介绍了 ARP 协议，通过分析包可以发现它是依靠 MAC 地址发送数据的。

但是，这样做有⼀个重⼤的缺点。

当 ARP 以⼴播⽅式发送数据包时，需要确保所有设备都要接收到该数据包。

这样，不仅传输效率低，⽽且局限在发送者所在的⼦⽹络。

也就是说，如果两台计算机不在同⼀个⼦⽹络，⼴播是传不过去的。

这种设计是合理的，否则互联⽹上每⼀台计算机都会受到所有包，将会导致⽹络受到危害。

互联⽹是⽆数⼦⽹共同组成的⼀个巨型⽹络。

图中就是⼀个简单的互联⽹环境，这⾥列出了两个⼦⽹络。

如果想要所有电脑都在同⼀个⼦⽹络内，这⼏乎是不可能的。

所以，需要找⼀种⽅法来区分那些 MAC 地址属于同⼀个⼦⽹络，那些不是。

如果是同⼀个⼦⽹络，就采⽤⼴播⽅式发送。

否则就采⽤“路由”发送。

这也是在 OSI 七层模型中“⽹络层”产⽣的原因。

它的作⽤就是引进⼀套新的地址，使得⽤户能够区分不同的计算机是否属于同⼀个⼦⽹络。

这套地址就叫做“⽹络地址”，简称“⽹址”。

但是，⼈们⼀般叫做是 IP 地址。

这样每台计算机就有了两种地址，⼀种是是 MAC 地址，另⼀种是⽹络地址（IP 地址）。

但是，这两种地址之间没有任何联系，MAC 地址是绑定在⽹卡上的，⽹络地址是管理员分配的，它们只是随机组合在⼀起。

2. IP地址IP 地址是 IP 协议提供的⼀种统⼀的地址格式。

实验3 Wireshark抓包分析TCP和UDP协议一、实验目的1、通过利用Wireshark抓包分析TCP和UDP报文,理解TCP和UDP报文的封装格式.2、理解TCP和UDP的区别。

二、实验环境与因特网连接的计算机网络系统；主机操作系统为windows；使用Wireshark、IE等软件。

三、实验原理1、wireshark是非常流行的网络封包分析软件，功能十分强大。

可以截取各种网络封包，显示网络封包的详细信息。

2、TCP则提供面向连接的服务。

在传送数据之前必须先建立连接，数据传送结束后要释放连接。

TCP的首部格式为：3.UDP则提供面向非连接的服务。

UDP的首部格式为：四、实验步骤1．如图所示这是TCP的包，下面蓝色的是TCP中所包含的数据。

由截图可以看出来TCP报文中包含的各个数据，TCP报文段（TCP报文通常称为段或TCP报文段），与UDP数据报一样也是封装在IP中进行传输的，只是IP报文的数据区为TCP报文段。

这是TCP的源端口号目的端口号10106序列号是167确认端口号50547头长度20字节窗口长度64578校验合0x876e五、实验内容1．找出使用TCP和UDP协议的应用。

2．利用wireshark抓获TCP数据包。

3．分析TCP数据包首部各字段的具体内容，画出TCP段结构，填写其中内容。

4．利用wireshark抓获UDP数据包。

5．分析UDP数据包首部各字段的具体内容，画出UDP段结构，填写其中内容。

6．找出TCP建立连接的一组数据包，指出其中的序号和确认号变化。

7．找出TCP关闭连接的一组数据包，指出其中的标志字段数值。

一、实验目的及要求：1、分析IP协议，熟知IP协议数据包各个字段的含义与作用；2、分析IP数据报分片，熟悉IP数据包的传递方式。

二、实验设备：与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE浏览器等软件。

三、实验原理：1、DHCP（动态主机配置协议）报文说明：(1)DHCP-DISCOVER：DHCP客户端广播发送的，用来查找网络中可用的DHCP服务器。

(2)DHCP-OFFER：DHCP服务器用来响应客户端的DHCP-DISCOVER请求，并为客户端指定相应配置参数。

(3)DHCP-REQUEST：DHCP客户端广播发送DHCP服务器，用来请求配置参数或者续借租用。

(4)DHCP-ACK：DHCP服务器通知客户端可以使用分配的IP地址和配置参数。

(5)DHCP-NAK：DHCP服务器通知客户端地址请求不正确或者租期已过期，续租失败。

(6)DHCP-RELEASE：DHCP客户端主动向DHCP服务器发送，告知服务器该客户端不再需要分配的IP地址。

(7)DHCP-DECLINE：DHCP客户端发现地址冲突或者由于其它原因导致地址不能使用，则发送DHCP-DECLINE报文，通知服务器所分配的IP地址不可用。

(8)DHCP-INFORM：DHCP客户端已有IP地址，用它来向服务器请求其它配置参数2、pingPING（Packet Internet Groper），因特网包探索器，用于测试网络连接量的程序。

Ping是工作在TCP/IP网络体系结构中应用层的一个服务命令，主要是向特定的目的主机发送ICMP （Internet Control Message Protocol因特网报文控制协议）Echo请求报文，测试目的站是否可达及了解其有关状态。

四、实验内容和步骤：1、用300字左右，描述你对IP协议的认识；IP协议，即互联网协议（Internet Protocol），是互联网技术的核心组成部分，它定义了数据如何在互联网中传输。

wireshark抓包分析——TCPIP协议本⽂来⾃当我们需要跟踪⽹络有关的信息时，经常会说“抓包”。

这⾥抓包究竟是什么？抓到的包⼜能分析出什么？在本⽂中以TCP/IP协议为例，简单介绍TCP/IP协议以及如何通过wireshark抓包分析。

Wireshark 是最著名的⽹络通讯抓包分析⼯具。

功能⼗分强⼤，可以截取各种⽹络封包，显⽰⽹络封包的详细信息。

Wireshark下载安装，略。

注意，若在Windows系统安装Wireshark，安装成功后可能会出现Wireshark的两个图标，⼀个是Wireshark(中⽂版）；另外⼀个是Wireshark Legacy （英⽂版）。

下⾯的内容会以Wireshark Legacy为例介绍。

打开Wireshark，开始界⾯如下：Wireshark捕获的是⽹卡的⽹络包，当机器上有多块⽹卡的时候，需要先选择⽹卡。

开始界⾯中的Interface List，即⽹卡列表，选择我们需要的监控的⽹卡。

点击Capture Options，选择正确的⽹卡，然后点击"Start"按钮, 开始抓包。

我们打开浏览器输⼊任意http⽹址，连接再关闭，⽐如：。

然后，我们回到Wireshark界⾯，点击左上⾓的停⽌按键。

查看此时Wireshark的抓包信息。

在看抓包信息之前，先简单介绍下Wireshark界⾯的含义。

其中，封包列表的⾯板中显⽰编号、时间戳、源地址、⽬标地址、协议、长度，以及封包信息。

封包详细信息是⽤来查看协议中的每⼀个字段。

各⾏信息分别对应TCP/IP协议的不同层级。

以下图为例，分别表⽰：传输层、⽹络层、数据链路层、物理层，⼀共四层。

如果有应⽤层数据会显⽰第五层，即⼀共会出现五层。

每⼀层都有⼀个字段指向上⼀层，表明上⼀层是什么协议。

这⼤概是因为发包的时候会在数据上依次加上应⽤层、传输层、⽹络层、链路层的头部，但是对⽅收到数据包后是从最底层（链路层）开始层层剥去头部解包的，所以在每层上有⼀个字段指向上层，表明上层的协议，对⽅就知道下⼀步该怎么解包了。

实验三协议分析专业班级姓名学号完成日期2011.11.20 本机IP 172.18.105.83本机MAC 00-1B-FC-C0-38-5B 指导教师本机默认网关172.18.105.1本机DNS服务器202.120.111.3本机子网掩码255.255.255.0教师评阅结果[一]实验名称网络协议分析[二]实验目的熟悉实验室软件环境掌握网络常用工具的使用学习和了解网络协议分析的概念掌握wireshark网络协议分析软件的使用技术通过wireshark捕捉网络协议保温并进行分析自己熟悉sniffer软件[三]实验环境和主要设备（包括主要软硬件设备）硬件环境：P4 PC机+100M网卡，交换机，路由器等。

软件环境：Windows Server 2000系统及其安装源文件，天网防火墙等网络环境：100BaseT以太网[四]列出仅仅获取条件为UDP命令的实验主要步骤（包括命令和截图）（如下图，要显示UDP命令的情况，并且还要列出主要步骤）1.进入wireshark操作页面后，点击capture>interface，选择可用的IP，点击Start。

2.清空displayfilter，点击capture>options,在capturefilter中输入所需抓的包的类型udp,同时取消Capture packets in promiscuous mode,点击start.3.在该栏可同样进行捕捉过滤操作还可以对其进行命名操作。

4.上图为抓包过程页面图5.若需要，抓取特定IP地址的包，可在选中filter expression中的ip src-Source和relation中的==，并在value中输入指定的IP地址即可，如上图。

6.点击下栏中的Frame，可以查看序号为5的包的信息，如图，其长度为74字节，并有包的来源的和目的地及相关的以太网信息7.如上图，包的协议部分的信息，阴影部分为数据内容[五]思考题（以下手写）1)目前，您还知道哪些网络分析软件，各有什么特点？Ethereal Ethereal 主要具有以下特征：在实时时间内，从网络连接处捕获数据，或者从被捕获文件处读取数据；Ethereal 可以读取从tcpdump（libpcap）、网络通用嗅探器（被压缩和未被压缩）、SnifferTM 专业版、NetXrayTM、Sun snoop 和atmsnoop、Shomiti/Finisar 测试员、AIX 的iptrace、Microsoft 的网络监控器、Novell 的LANalyzer、RADCOM 的W AN/LAN 分析器、ISDN4BSD 项目的HP-UX nettl 和i4btrace、Cisco 安全IDS iplog 和pppd 日志（pppdump 格式）、WildPacket 的EtherPeek/TokenPeek/AiroPeek 或者可视网络的可视UpTime 处捕获的文件。

《TCP/IP协议分析》实验报告实验序号：3 实验项目名称：分析IPv4和IPv6 数据包20网工学号姓名专业、班实验地点指导教师实验时间2022-9-14 一、实验目的及要求，步骤和结果动手项目3-1:使用Wireshark软件查看IPv4数据包首部所需时间: 20 分钟。

项目目标:学习使用Wireshark软件查看IPv4数据包的首部。

过程描述:本项目介绍如何捕获网络上的一个数据包，选择一个特定的数据包，查看该数据包的IPv4首部。

你可以捕获自己的数据进行分析，或启动Wireshark 软件，打开从本书配套网站上下载的文件IPv4Fields.pcap,直接跳到第(8)步。

(1)启动Wireshark软件(单击“开始”，指向“所有程序”，然后单击Wireshark。

也可以单击“开始”，在“运行”对话框中输入"Wireshark", 然后单击“确定”按钮)。

(2)单击Capture菜单，然后单击Interfaces 菜单项，出现Capture Interfaces 窗口。

(3)可能会显示有多个网卡，选定一个在Packets栏显示了实时数据包的网卡，然后单击Start 按钮，出现Capturing窗口。

(4)打开一个命令提示符窗口(单击“开始”按钮，在“运行”对话框中输入cmd,然后单击“确定”按钮)。

(5) ping 本地网络中的计算机IPv4地址。

(6)在命令提示符窗口中输入exit命令并按Enter键，关闭命令提示符窗口。

(7)在Wireshark软件中，单击菜单栏上的Capture,然后单击Stop (或者单击工具栏上的Stop 图标)。

(8)在数据包列表面板(上部面板)中选择一个TCP数据包(9)在数据包详细内容面板(中部面板)，展开Internet Protocol Version4, 如图所示。

(10)查看Version和Header lenght字段的值。

(11)展开Differentiated Services Field, 查看Total Length和ldentification字段的值，然后再收起它。

实验三使用Wireshark 分析IP 协议一、实验目的1、分析IP 协议协议2、分析IP 数据报分片数据报分片二、实验环境与因特网连接的计算机，操作系统为Windows ，安装有Wireshark 、IE 等软件。

件。

三、实验步骤IP 协议是因特网上的中枢。

它定义了独立的网络之间以什么样的方式协同工作从而形成一个全球户联网。

因特网内的每台主机都有IP 地址。

数据被称作数据报的分组形式从一台主机发送到另一台。

每个数据报标有源IP 地址和目的IP 地址，然后被发送到网络中。

如果源主机和目的主机不在同一个网络中，那么一个被称为路由器的中间机器将接收被传送的数据报，并且将其发送到距离目的端最近的下一个路由器。

这个过程就是分组交换。

IP 允许数据报从源端途经不同的网络到达目的端。

每个网络有它自己的规则和协定。

IP 能够使数据报适应于其途径的每个网络。

例如，每个网络规定的最大传输单元各有不同。

IP 允许将数据报分片并在目的端重组来满足不同网络的规定。

的规定。

表1.1 DHCP 报文报文报文类型报文类型主要功能主要功能 DHCP-DISCOVER DHCP 客户端广播发送的，用来查找网络中可用的DHCP服务器服务器DHCP-OFFER DHCP 服务器用来响应客户端的DHCP-DISCOVER 请求，并为客户端指定相应配置参数 DHCP-REQUEST DHCP 客户端广播发送DHCP 服务器，用来请求配置参数或者续借租用 DHCP-ACK DHCP 服务器通知客户端可以使用分配的IP 地址和配置参数 DHCP-NAK DHCP 服务器通知客户端地址请求不正确或者租期已过期，续租失败 DHCP-RELEASE DHCP 客户端主动向DHCP 服务器发送，告知服务器该客户端不再需要分配的IP地址DHCP-DECLINE DHCP客户端发现地址冲突或者由于其它原因导致地址不能使用，则发送DHCP-DECLINE报文，通知服务器所分配的IP地址不可用DHCP-INFORM DHCP客户端已有IP地址，用它来向服务器请求其它配置参数图3.1 DHCP报文1、使用DHCP获取IP地址地址（1）打开命令窗口,启动Wireshark。

《TCP/IP协议分析》实验报告实验序号：4 实验项目名称：分析ARP缓冲区、IPv4和IPv6的路由表和路由协议20网工学号姓名专业、班实验地点指导教师实验时间2022-09-28 一、实验目的、步骤和结果动手项目4-1：管理本地ARP缓冲区项目目标:学习如何管理本地ARP的内容。

(1)单击Start(开始)按钮，单击Run（运行），在Open（打开）文本框中输入cmd，单击OK（确定)按钮。

屏幕上显示一个命令提示符窗口。

(2)在命令提示符下，输入arp -a命令，按Enter 键，浏览本地ARP缓冲区的内容。

记录出现在ARP缓冲区中的任何项。

(3)输入arp -d命令，按Enter键,删除本地ARP缓冲区的内容。

(4)输入arp -a命令，按Enter键，再次浏览ARP缓冲区。

记录出现在你的ARP缓冲区中的新项。

此时缓冲区应该为空。

(5)输入ping ip_address命令，其中ip_address 本地网络中的一台IP主机，然后按Enter键。

(6)在ping命令运行结束后，输入arp -a命令并按Enter 键，再次查看ARP缓冲区的内容,记录出现的新项。

此时的ARP缓冲区应只有ping之后的项了，如图所示。

动手项目4-2：读取本地IPv4路由表项目描述:学习如何查看本地计算机IPv4网卡路由表。

(1)单击Start（开始）按钮，单击Run（运行）按钮，在Open（打开）文本框中输入cmd，单击OK（确定)按钮。

屏幕上显示一个命令提示符窗口。

(2)在命令提示符下，输入netsh命令，并按Enter键。

(3)在netsh提示符后面，输入interface ipv4命令,然后按Enter 键。

(4)在命令提示符下，输入show route 命令，并按Enter键，查看本地IPv4路由表，如图所示。

(5)输入exit命令并按Enter 键，然后再输入exit命令并按Enter键，关闭命令提示符窗口。

Wireshark数据抓包分析之传输层协议（TCP协议）实验步骤⼀根据实验环境，本实验的步骤如下：1.在测试环境使⽤发包⼯具和Wireshark抓取TCP三次握⼿和四次断开的数据包。

2.详细分析TCP协议的三次握⼿以及四次断开。

任务描述：安装发包⼯具，并配置TCP客户端，服务端，与Wireshark配合使⽤此⼯具与分析UDP协议时相同，实验室环境中已经安装，在此再重复⼀遍，我们使⽤" TCP&UDP测试⼯具"来制作和发送TCP数据包。

双击测试者机器桌⾯的" TCP&UDP测试⼯具",会出现下图显⽰页⾯：下⾯我们需要配置TCP的服务端以及客户端。

1.配置服务器端选择10.1.1.33的机器，双击桌⾯的" TCP&UDP测试⼯具",右键点击服务器模式，在下拉列表中，选择创建服务器，如下图：选择"创建服务器"之后，会弹出服务器端⼝设置，本次使⽤默认⼯具给的6000端⼝即可，点击"确定"按钮。

点击"确定"按钮之后，在左侧的服务器模式列表中，会出现创建的列表，选择我们创建的服务器，右键点击，选择"启动服务器"，即完成了服务器端的配置2.配置客户端选择10.1.1.142的机器，双击桌⾯的" TCP&UDP测试⼯具",右键点击客户端模式，在下拉列表中，选择"创建连接"，如下图：在弹出的窗⼝中，选择TCP协议，服务器IP为10.1.1.33.端⼝6000，本机随意IP，如下图点击创建后，如下图，3.获取TCP数据包获取的TCP协议的数据包。

分为两部分，即TCP三次握⼿，四次断开的数据。

但在实际的操作中，可能遇到的情况较多，⽐如源IP和⽬的IP⽐较多，协议的帧号乱序等各种问题。

在此，我们教⼤家简单的过滤功能，着⾊功能⽅便过滤和查看。

Wireshark⽹络抓包（三）——⽹络协议⼀、ARP协议ARP（Address Resolution Protocol）地址解析协议，将IP地址解析成MAC地址。

IP地址在OSI模型第三层，MAC地址在OSI第⼆层，彼此不直接通信；在通过以太⽹发⽣IP数据包时，先封装第三层（32位IP地址）和第⼆层（48位MAC地址）的报头；但由于发送数据包时只知道⽬标IP地址，不知道其Mac地址，且不能跨越第⼆、三层，所以需要使⽤地址解析协议。

ARP⼯作流程分请求和响应：在dos窗⼝内“ping”某个域名抓取到的包：⼆、IP协议IP（Internet Protocol）互联⽹协议，主要⽬的是使得⽹络间能够互相通信，位于OSI第三层，负责跨⽹络通信的地址。

当以⼴播⽅式发送数据包的时候，是以MAC地址定位，并且需要电脑在同⼀⼦⽹络。

当不在同⼀⼦⽹络就需要路由发送，这时候就需要IP地址来定位。

同样在dos窗⼝内“ping”某个域名抓取到的包：三、TCP协议TCP（Transmission Control Protocol）传输控制协议，⼀种⾯向连接、可靠、基于IP的传输层协议，主要⽬的是为数据提供可靠的端到端传输。

在OSI模型的第四层⼯作，能够处理数据的顺序和错误恢复，最终保证数据能够到达其应到达的地⽅。

1）标志位SYN：同步，在建⽴连接时⽤来同步序号。

SYN=1， ACK=0表⽰⼀个连接请求报⽂段。

SYN=1，ACK=1表⽰同意建⽴连接。

FIN：终⽌，FIN=1时，表明此报⽂段的发送端的数据已经发送完毕，并要求释放传输连接。

ACK：确认，ACK = 1时代表这是⼀个确认的TCP包，取值0则不是确认包。

DUP ACK：重复，重复确认报⽂，有重复报⽂，⼀般是是丢包或延迟引起的，从这个报⽂看应该是丢包了。

URG：紧急，当URG=1时，表⽰报⽂段中有紧急数据，应尽快传送PSH：推送，当发送端PSH=1时，接收端尽快的交付给应⽤进程RST：复位，当RST=1时，表明TCP连接中出现严重差错，必须释放连接，再重新建⽴连接2）端⼝客户端与不同服务器建⽴连接时，源端⼝和⽬标端⼝可不同。

wireshark protocol类型Wireshark支持以下常见的协议类型：1. 以太网（Ethernet）：用于局域网和广域网中的数据链路层通信。

2. ARP（Address Resolution Protocol）：用于将IP地址映射到物理MAC地址，以实现网络设备之间的通信。

3. IP（Internet Protocol）：用于在Internet上进行数据传输，提供路由功能和数据包分片重组等功能。

4. ICMP（Internet Control Message Protocol）：用于网际控制报文的传输，可用于网络故障诊断、错误报告等。

5. TCP（Transmission Control Protocol）：提供面向连接的可靠数据传输，确保数据按顺序到达目的地。

6. UDP（User Datagram Protocol）：提供面向非连接的无连接数据传输，适用于实时通信和简单的数据传输。

7. DNS（Domain Name System）：用于将域名解析为IP地址，实现域名与IP地址之间的映射。

8. HTTP（Hypertext Transfer Protocol）：用于在Web浏览器和Web服务器之间传输超文本的应用层协议。

9. TLS（Transport Layer Security）：提供安全的通信通道，用于保护数据的机密性和完整性。

10. SSH（Secure Shell）：用于加密远程登录和文件传输的安全协议。

11. FTP（File Transfer Protocol）：用于在客户端和服务器之间传输文件的协议。

12. SMTP（Simple Mail Transfer Protocol）：用于电子邮件的发送和传输。

13. POP3（Post Office Protocol version 3）：用于电子邮件的接收协议。

14. IMAP（Internet Message Access Protocol）：用于电子邮件的接收和管理协议。

TCPIP协议分析实验一、实验目的本实验旨在通过对TCP/IP协议的分析，加深对网络协议的理解，掌握抓包工具的使用以及网络通信的过程。

二、实验器材1.计算机一台2.网络抓包工具三、实验内容1.实验前准备首先需要在计算机上安装网络抓包工具，如Wireshark等。

2.抓包过程使用抓包工具在计算机上开启抓包功能，并进行网络通信。

例如使用浏览器访问一个网页、发送电子邮件等。

3.抓包数据分析将抓包工具捕获的数据进行分析。

根据每个包的协议类型、源地址、目的地址、数据内容等信息，逐一分析TCP/IP协议的流程和通信过程。

四、实验结果与分析通过抓包工具捕获的数据，我们可以得到以下实验结果和分析：1.协议类型分析根据抓包得到的数据，可以看到TCP、IP等协议的使用情况。

TCP协议是一种可靠的传输协议，用于确保数据能够准确无误地传输。

IP协议则是一种网络层协议，用于将数据包从一个主机传输到另一个主机。

2.源地址与目的地址分析通过抓包数据中的源地址和目的地址，可以了解数据包的发送方和接收方。

源地址是发起通信的主机，目的地址是接收通信的主机。

通过分析源地址和目的地址，可以确定通信的源和目的地，进而了解通信的主要参与者。

3.数据包的信息分析根据抓包数据中的数据内容，我们可以了解通信中所传输的具体信息。

例如，对于网页访问，可以从抓包数据中看到HTTP协议的使用，以及网页的具体内容。

对于电子邮件，可以从抓包数据中看到SMTP协议的使用，以及邮件的具体内容。

五、实验总结通过以上分析，我们可以了解到TCP/IP协议在网络通信中的重要性和应用情况。

TCP/IP协议是一种常用的网络协议，广泛应用于互联网、局域网等各类网络中。

通过对抓包数据的分析，我们可以进一步了解网络通信过程中各个环节的工作原理和特点，提高网络故障排除和优化的能力。

此外，实验过程中还需注意保护个人隐私和数据安全，避免在未经授权的情况下对他人进行抓包和分析。

六、参考资料1.《计算机网络》（第七版）-谢希仁。

实验三使用Wireshark分析IP协议一、实验目的1、分析IP协议2、分析IP数据报分片二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、实验步骤IP协议是因特网上的中枢。

它定义了独立的网络之间以什么样的方式协同工作从而形成一个全球户联网。

因特网的每台主机都有IP地址。

数据被称作数据报的分组形式从一台主机发送到另一台。

每个数据报标有源IP地址和目的IP地址，然后被发送到网络中。

如果源主机和目的主机不在同一个网络中，那么一个被称为路由器的中间机器将接收被传送的数据报，并且将其发送到距离目的端最近的下一个路由器。

这个过程就是分组交换。

IP允许数据报从源端途经不同的网络到达目的端。

每个网络有它自己的规则和协定。

IP能够使数据报适应于其途径的每个网络。

例如，每个网络规定的最大传输单元各有不同。

IP允许将数据报分片并在目的端重组来满足不同网络的规定。

表1.1 DHCP报文图3.1 DHCP报文1、使用DHCP获取IP地址（1）打开命令窗口,启动Wireshark。

（2）输入“ipconfig /release”。

这条命令会释放主机目前的IP地址，此时，主机IP地址会变为0.0.0.0（3）然后输入“ipconfig /renew”命令。

这条命令让主机获得一个网络配置，包括新的IP地址。

（4）等待，直到“ipconfig /renew”终止。

然后再次输入“ipconfig/renew”命令。

（5）当第二个命令“ipconfig /renew”终止时，输入命令“ipconfig /release”释放原来的已经分配的IP地址（6）停止分组俘获。

如图3.2所示：图3.2 Wireshark俘获的分组下面，我们对此分组进行分析：IPconfig 命令被用于显示机器的IP地址及修改IP地址的配置。

当输入命ipconfig /release命令时，用来释放机器的当前IP地址。

wireshark使用教程及协议分析报告Wireshark是一个强大的网络协议分析工具，它能够捕获和分析网络数据包，并提供详细的协议分析报告。

以下是一份简要的Wireshark使用教程以及协议分析报告。

第一部分：Wireshark使用教程2. 打开Wireshark：打开Wireshark后，你将看到一个主界面，其中包含一个网卡列表、捕获包的显示窗口和一个过滤器。

3.设置捕获接口：在网卡列表中选择你要捕获数据包的接口，并点击“开始”按钮开始捕获数据包。

4. 捕获数据包：一旦你开始捕获数据包，Wireshark将开始记录通过所选接口的所有数据包。

5. 分析捕获数据包：Wireshark会以表格形式显示捕获到的数据包，并提供有关每个数据包的详细信息。

你可以点击一些数据包来查看更详细的信息。

6. 过滤数据包：Wireshark还提供了一个过滤器，可以帮助你筛选出你感兴趣的数据包。

你可以使用过滤器的语法来定义你要显示的数据包的特定条件。

在Wireshark中，你可以使用协议分析功能来分析捕获的数据包，并生成相应的协议分析报告。

这个报告可以帮助你理解网络通信中不同协议的工作原理和特点。

协议分析报告通常包括以下几个方面：1. 协议识别：通过Wireshark提供的协议识别功能，你可以查看捕获数据包中使用的不同网络协议，如HTTP、TCP、UDP等。

2. 协议分析：Wireshark提供了强大的协议分析功能，可以帮助你深入了解每个协议的工作原理和特点。

你可以查看每个数据包的详细信息，并观察不同协议之间的交互。

3. 流分析：Wireshark可以对捕获数据包中的流进行分析。

流是一组相关的数据包，通常在网络通信中用于传输特定类型的数据。

通过流分析，你可以确定每种类型的流的特征和规律。

4. 性能分析：Wireshark可以提供有关网络性能的分析报告，包括吞吐量、延迟和丢包率等。

这些分析报告可以帮助你评估网络的性能和优化网络配置。

实验4：利用Wireshark进行协议分析1、实验目的熟悉并掌握Wireshark的基本操作，了解网络协议实体间进行交互以及报文交换的情况。

2、实验环境➢Windows9x/NT/2000/XP/2003➢与因特网连接的计算机网络系统➢分组分析器Wireshark：要深入理解网络协议，需要仔细观察协议实体之间交换的报文序列。

为探究协议操作细节，可使协议实体执行某些动作，观察这些动作及其影响。

这些任务可以在仿真环境下或在如因特网这样的真实网络环境中完成。

观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer）。

顾名思义，一个分组嗅探器俘获（嗅探）计算机发送和接收的报文。

一般情况下，分组嗅探器将存储和显示出被俘获报文的各协议头部字段的内容。

图4-1 为一个分组嗅探器的结构。

图4-1 右边是计算机上正常运行的协议（在这里是因特网协议）和应用程序（如：w eb 浏览器和ftp 客户端）。

分组嗅探器（虚线框中的部分）是附加计算机普通软件上的，主要有两部分组成。

分组俘获库（packetcapture library）接收计算机发送和接收图4-1分组嗅探器的结构的每一个链路层帧的拷贝。

高层协议（如：HTTP、FTP、TCP、UDP、DNS、IP 等）交换的报文都被封装在链路层帧中，并沿着物理媒体（如以太网的电缆）传输。

图1 假设所使用的物理媒体是以太网，上层协议的报文最终封装在以太网帧中。

分组嗅探器的第二个组成部分是分析器。

分析器用来显示协议报文所有字段的内容。

为此，分析器必须能够理解协议所交换的所有报文的结构。

例如：我们要显示图4-1 中HTTP 协议所交换的报文的各个字段。

分组分析器理解以太网帧格式，能够识别包含在帧中的IP 数据报。

分组分析器也要理解IP 数据报的格式，并能从IP 数据报中提取出TCP 报文段。

然后，它需要理解TCP 报文段，并能够从中提取出HTTP 消息。