数据包的捕获与分析

实验一数据包的捕获与分析

一、实验目的

数据包捕获技术是网络管理系统的关键技术。本实验通过Wireshark软件的安装使用，监控局域网的状态，捕获在局域网中传输的数据包，并结合在计算机网络课程中学习到的理论知识，对常用网络协议的数据包做出分析，加深网络课程知识的理解和掌握。

二、实验内容

Wireshark是一种开源的网络数据包的捕获和分析软件，本实验通过Wireshark软件的安装使用，监控局域网的状态，捕获在局域网中传输的数据包，并结合在计算机网络课程中学习到的理论知识，对常用网络协议的数据包做出分析，加深网络课程知识的理解和掌握。具体内容及要求如下：

●Wireshark软件的安装；

●Wireshark软件的启动，并设置网卡的状态为混杂状态，使得Wireshark可以监

控局域网的状态；

●启动数据包的捕获，跟踪PC之间的报文，并存入文件以备重新查；

●设置过滤器过滤网络报文以检测特定数据流；

●对常用协议的数据包的报文格式进行分析，利用协议分析软件的统计工具显示网络

报文的各种统计信息。

三、实验结果与分析

抓包结果:

分析：首先是6字节的目的地址字段，代码为：00 21 5d 39 df 44

接下来是6字节的源地址字段，代码为：00 24 d7 26 64 84

然后是2字节的类型代码字段，代码为：08 00，即为IP (0x0800)

抓包结果：

分析：首先是6字节的的目的地址字段，此报文的地址字段代码为：01 80 c2 00 00 00 00。接下来的6字节的源地址字段，此报文的源地址字段代码为：00 0f 23 80 ef e2,接着是两字节的长度字段，代码为 00 26，即长度为 38。

抓包结果：

分析：普通IP头部长度为20个字节，不包含IP选项字段。(1)首先是版本号字段，此报文为4，即目前协议版本号为4。接下来是IP数据包头部长度，此报文头部长度为20bytes。接下来是服务类型字段，该字段包括一个3位的优先权字段，4位的TOS字段和1位未用位，此报文的服务类型字段代码为：0x00。接下来是IP总长度字段，长度为1020 (0x03fc).接下来是标识符字段，他是唯一地表示主机发送的每一份数据，此报文标识符为13990 (0x36a6)。接着是flags字段，第一位为reserved 比他；0为未用，1为以用。第二位为df(是否可分)：0为可分片，1为不可分片。第三位为mf：0为片已完，1为片已完。此报文flags字段为0x00.接着是片偏移字段（指出本片数据的第一个字节在初始数据包得数据区中的偏移量），为0。

接着是生存时间字段，设置了数据包可以经过的路由器数目，，每经过一个，TTL就会减一，

当减到0时，数据包将被丢弃，此报文可以经过1个路由器。接着是协议字段，用来确定数据包内传送的上层协议。此报文的协议字段为17 (0x11)，即为UDP协议，接着是报头校验和字段，为0Xcd44，是正确的。接下来是源IP地址和目的IP地址，分别为192.168.1.100和239.255.255.250。