计算机网络抓包实验分析

辽宁工业大学

创新实验（论文）题目计算机网络抓包实验分析

电子与信息工程学院院（系）啊啊啊专业班

学生姓名

学号

指导教师

开题日期：2010年 6 月 10 日

实验目的

通过软件捕获网络流量，分析数据报结构，能够更加清楚地掌握网络分层的思想，从感性认识飞跃到理性认识。再通过捕获各个具体协议的通信数据包，一步一步具体分析其实现步骤，更加具体地掌握协议的实现过程。

实验内容

本次实验包括五项实验内容。分别是捕获报文基本分析实验、捕获并分析地址识变协议(ARP)、捕获并分析因特网控制信息协议、捕获并分析传输控制协议、捕获并分析用户数据报协议。

1.任意捕获一个数据包，分析其数据链路层格式、网络层格式和传输层格

式，加深对计算机网络分层概念的理解。

2.地址识变协议(ARP)是LAN环境中最重要的协议之一。ARP允许你的网

络上使用的设备自动将物理(MAC)地址映射为IP地址，因此需要对ARP

有很详细的了解，并清楚它是怎样工作的。

3.传输控制协议(TCP)是因特网上最常用的第四层协议，TCP可以保证数据

传输的可靠性。很多因特网服务，比如HTTP、FTP、SMTP和Telnet，

都要依靠TCP来传输数据。另外，很多传统的LAN程序，比如文件传

输和SQL也都要使用TCP/IP。

4.用户数据报协议(UDP)是网络上另外一种很常用的第四层协议。UDP由

很多上层协议使用－例如，SNMP、普通文件传输协议(TFTP)和DNS－

当DNS请求需要解析时(DNS在进行区域传输时使用TCP)。所以，要很

清楚的理解UDP的重要性。

实验主要仪器设备和材料

每人一台联网计算机、软件。

实验方法、步骤及结构测试

1 启动软件

启动桌面软件图标

2 捕获报文基本分析实验

1. 打开程序后，选择Capture(捕获)—Start(开始)，或者使用F10键，或者是工具栏上的开始箭头。

2. 一小段时间过后，再次进入Capture(捕获)菜单，然后选择Stop(停止)或者按下F10键，还可以使用工具栏。

3. 还可以按F9键来执行“停止并显示”的功能，或者可以进入Capture(捕获)菜单，选择“停止并显示”。

4. 停止捕获后，在对话框最下角增加了一组窗口卷标，包括高级、解码、矩阵、主机表单、协议分布和统计信息。

5. 选择解码卷标，可以看到缓冲器中的所有实际“数据”。分析该卷标结构及其内容。

图1 解码窗口

从解码卷标上可以看出解码窗口分为三部分，最上面是捕获的报文，中间是报文的解码，最下面是报文的二进制码，即发送的最原始内容。我们可以看出捕获到的报文有DLC，IP，TCP，HTTP等协议，解码表对应每一个层次的协议进行解码分析。从以前的实验，我们已经得知链路层对应的是DLC协议，在DLC协议里面，长度为14字节，我们可以看到发送数据包的目标MAC地址（Destination）和发送数据包的源MAC地址(Source)，并且可以得知此数据包携带的协议类型为IP。

打开IP的标签，可以看到有IP协议报头的详细解码，其中IP协议报头长度为20个字节。其中从上图得到的数据分析如下：

第一行，Version＝4，表示IP协议的版本号为4，即IPV4,占4位，Header Length=20 Bytes，表示IP包头的总长度为20个字节，该部分占4个位。所以第一行合起来就是一个字节。

第二行，Type of Service=00，表示服务类型为0。用来描述数据报所要求的服务质量。

接下来的六行, 000 前三位不用;0 表示最小时延;0 表示吞吐量;0 表示可靠性;0 表示最小代价;0 不用。第二到第八行合占1字节。

第九行，Total Length=40Bytes,表示该IP包的总长度为40个字节。该部分占两字节。

图2 IP协议报头

第十行，Identification=34833，表示IP包识别号为34833。该部分占两个字节。第十一行到十三行，Flags，表示片标志，占3个位。各位含义分别为：第一个“0”不用，第二位为不可分片位标志位，此处值为“1”表示该数据表禁制分片。第三位为是否最后一段标志位，此处“0”表示最后一段。

第十四行，Fragment Offset＝0，表示片偏移为0个字节。该部分占13位。第十五行，Time to Live=51Secongs/Hops，表示生存时间TTL值为51，占1字节。第十六行，Proctol＝6（TCP），表示协议类型为TCP，协议代码是6，占1字节。第十七行，Header Checksun=88AE(correct)，表示IP包头校验和为88AE，括号内的Correct表示此IP数据包是正确的，没有被非法修改过。该部分占两字节。第十八行，Source Address=[59.74.42.45]，表示IP数据包源地址为：59.74.42.45，占四字节。

第十九行，Destination Address=[10.10.199.143],表示IP数据包目的地址为：10.10.199.143，占四字节。

第二十行，No Options，表示IP数据包中未使用选项部分。当需要记录路由时才使用该选项。

接下来的协议在以下捕获内容后分析。

3 捕获并分析地址识变协议(ARP)

1. 选择“捕获”――“定义过滤器”。

2. 在“定义过滤器”中，选择“文件”――“新建”。

3. 将这个文件命名为ARP，点击OK，然后点击“完成”。

4. 现在选择“高级”，从协议列表中选择ARP。

5. 点击OK，关闭定义过滤器窗口。已经定义了过滤器，可以按F10来捕获流量。

6. 输入arp －d IP 来清除默认网关上的ARP，这个命令中的IP是你的默认网关IP地址，然后Ping你的默认网关。

7. 停止捕获并打开代码窗口。至少会看到2个捕获到的帧(假设你可以连接到默认网关)。

8. 分析捕获到的结果(即解释数据包的内容和协议具体实现过程)。

4.4捕获并分析传输控制协议

从下面截图可以看出，可以分析ARP的工作过程：首先，在本局域网上的所有主机上运行的ARP进程都收到本机发送的ARP请求分组（从目标地址为Broadcast可以看出）。其次，从摘要中，PA=[10.10.199.129],可以看出ARP请求地址为10.10.199.129，而此IP地址的网络设备在ARP请求分组中见到自己的IP 地址，就向本机发送ARP响应分组，并写于自己的硬件地址。至于在此ARP分组的其余的所有主机都不会理睬这个ARP请求分组。从以上可以分析，ARP请求分组是广播的，但ARP响应分组是单一的，即一对一。

一下对第一个ARP包进行分析。

第二行（Destination），6个字节，可以看出ARP包是采取广播方式，目标地址从下面的解码可以看出是FFFFFFFFFFFF，翻译过来就是全1，全1为一个广播地址，这里代表一个链路层的广播地址。

接下第三行（Source），6个字节，值为0003254A3982，这个MAC地址为发起该ARP的主机接口的MAC地址，即源MAC地址。

接下来第四行（Ethertype），2个字节，是协议类型，0806代表ARP类型，表示该帧是ARP帧。

接下来第五行（Hardware type），2字节，是硬件类型。我们用的是标准以太网，值为1H（0001），表示是10M以太网。

接下来第六行（Protocol type），长度2字节，是协议类型，我们用的是IP 协议，IP对应的值为800，所以显示值为0800.

接下来第七行（HLEN），1字节，记录硬件地址长度，这个值告诉处理该帧的程序，读取硬件地址时读到哪里结束。因为使用到网卡的MAC地址，而MAC地址的长度为6字节，所以这里显示长度为6。

接下第八行（PLEN），1字节，为协议长度，这个值告诉处理该帧的程序，