网络数据包分析实验

实验一：网络数据包分析实验

班级：班学号：姓名：一、实验目的

通过对实际的网络数据包进行捕捉，分析数据包的结构，加深对网络协议分层概念的理解，并实际的了解数据链路层，网络层，传输层以及应用层的相关协议和服务。

二、实验内容

1．IGMP包解析

1.1数据链路层

源数据：

数据链路层头部：01 00 5e 00 00 16 00 21 97 0a e5 16 08 00

数据链路层尾部：00 00 00 00 00 00

分析如下：

数据头部的前6个字节是接收者的mac地址：01 00 5e 00 00 16；

数据头部的中间6个字节是发送者的mac地址：00 21 97 0a e5 16；

数据头部的最后2个字节代表网络协议，即：08 00协议类型。

1.2 网络层

源数据：46 00 00 28 1d 38 00 00 01 02 d8 5c ac 10 a3 14 e0 00 00 16 94 04 00 00

数据分析：

第一个字节（46）的前4位表示的是IP协议的版本，即IPv4；它的后4位表示首部长度为6，最大十进制数值时为15

第二个字节（00）是区分服务，一直缺省，所以为0

第三、四字节（00 28）是指首部和数据之和的长度40个字节

第五、六字节（1d 38）是一个数据报被分片后的标识，便于正确地重装原来的数据报

第七、八字节（00 00）分前3位为标志位和后13位为片偏移，其中标识位只有两位有意义，表明这已经是若干用户数据报片最后一个（MF=0，并且DF=0）不需要再分片了。偏移为0

第九个字节（01）表示的是数据报在网络中的寿命为128

第十个字节（02）指出这个数据报携带的数据时使用的IGMP协议

第十一、十二字节（d8 5c）表示首部检验和，大小为55388字节，对数据报的保留与丢弃进行判别

第十三个字节加上后面的3个字节（ac 10 a3 14）是发送者的IP源地址（172.16.163.20）

第十七个字节及后面的三个字节（e0 00 00 16）是接收者的IP地址（224.00.00.22）

最后四个字节（94 04 00 00）是任意的

1.3 IGMP协议层

源数据：22 00 f2 6d 00 00 00 01 04 00 00 00 e0 03 07 8d 数据分析:

第一个字节（22）代表的这个为多播地址路由器

第三、四个字节（f2 6d）是一个检验和

第七、八个字节（00 01）是组播的第一个分组

第九个字节（04）是记录类型

最后4个字节（e0 03 07 8d）是个组播地址2．ICMP包解析

2．1数据链路层

源始数据：00 0c 86 ed 40 09 70 5a b6 61 8d c8 08 00

数据分析：

前6个字节(00 0c 86 ed 40 09)表示的是接收者MAC地址

接下来的6个字节（70 5a b6 61 8d c8）表示是发送者的MAC地址

最后连个字节（08 00）是类型字段，0x0800表示上一层使用的是IP数据包2．2 网络层

源始数据：

45 00 00 3c d6 c3 00 00 80 01 91 26 ac 10 d7 9a ac 10 a3 1b

数据分析：

第一个字节（45）的前4位表示的是IP协议的版本，即IPv4；它的后4位表示首部长度为5，最大十进制数值时15

第二个字节（00）是区分服务，一直缺省，所以为0

第三、四字节（00 3c）是指首部和数据之和的长度60个字节

第五、六字节（d6 c3）是一个数据报被分片后的标识，便于正确地重装原来的数据报

第七、八字节（00 00）分前3位为标志位和后13位为片偏移，其中标识位只有两位有意义，表明这已经是若干用户数据报片最后一个（MF=0，并且DF=0）不需要再分片了。偏移为0

第九个字节（80）表示的是数据报在网络中的寿命为128

第十个字节（01）指出这个数据报携带的数据时使用的ICMP协议

第十一、十二字节（91 26）表示首部检验和，大小为401字节，对数据报的保留与丢弃进行判别

第十二个字节后的四位（ac 10 d7 9a）表示源地址（172.16.215.154）

最后四个字节（ac 10 a3 1b）表示目的地址（172.16.163.27）

2．3 ICMP协议层

源始数据：

08 00 d8 5b 02 00 73 00 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69

数据分析：

第一个字节（08）是说明ICMP报文为询问报文，送回（Echo）请求或回答第二个字节（00）指的是代码为0

第四、五个字节（d8 5b）是检验和

第六、七个字节（02 00）是标识符

第八、九个字节（73 00）是这个报文的序列号位29440

第九个字节以后的字节（61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69）是这个报文所带的数据

3．ARP包解析

3．1 数据链路层

源始数据：

数据的头部：ff ff ff ff ff ff 70 5a b6 61 8d c8 08 06

数据的尾部：11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11

数据分析：

头部的前6个字节（ff ff ff ff ff ff）是表示广播地址，告诉所有这个电脑所在的本网络的电脑

第七个字节到第十二个字节（70 5a b6 61 8d c8）表示的是发这个广播的以太网地址

第十三、十四字节（08 06）表示ARP协议的类型

3．2 网络层

源始数据：

00 01 08 00 06 04 00 01 70 5a b6 61 8d c8 ac 10 d7 9a 00 00 00 00 00 00 ac 10 d7 01

数据分析：

开头的两个字节（00 01）是硬件接口类型，即对于以太网

第三、四个字节（08 00）是高层协议类型，即十六进制

第五个字节（06）是硬件地址长度

第六个字节（04）是表示协议地址长度

第七、八个字节（00 01）是表示操作码，请求第一个主机

第九个字节和其后面的五个字节（70 5a b6 61 8d c8）是发出广播人的MAC 地址

第十五个字节和其后面的三个字节（ac 10 d7 9a）是发出广播人的IP地址第二十个字节和其后面的五个字节（00 00 00 00 00 00）是接收端MAC地址，由于是在广播寻找，所以都为0

最后四个字节（ac 10 d7 01）是接受端的IP地址