抓包分析报告

计算机通信与网络试验报告试验题目：抓包并进行分析 班级：. 姓名：.学号：. Wireshark抓包分析 Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕获网络中的数据，并为用户供应关于网络和上层协议的各种信息，与很多其他网络工具一样，Wireshark也运用pcap network library来进行封包捕获。一、安装软件并抓包1：安装并运行wireshark并打开捕获界面。2、捕获选项图1捕获选项的设置3、起先抓包点击上图中的“Start”起先抓包几分钟后就捕获到很多的数据包了，主界面如图所示：图2 主界面显示如上图所示，可看到很多捕获的数据。第一列是捕获数据的编号；其次列是捕获数据的相对时间，从起先捕获算为0.000秒；第三列是源地址，第四列是目的地址；第五列是数据包的信息。选中第8个数据帧，然后从整体上看看Wireshark的窗口，主要被分成三部分。上面部分是全部数据帧的列表；中间部分是数据帧的描述信息；下面部分是帧里面的数据。二、 分析UDP、TCP、 ICMP协议1、UDP协议UDP 是User Datagram Protocol的简称， 中文名是用户数据包协议，是 OSI 参考模型中一种无连接的传输层协议，供应面对事务的简洁不行靠信息传送服务。它是IETF RFC 768是UDP的正式规范。（1） UDP是一个无连接协议，传输数据之前源端和终端不建立连接，当它想传送时就简洁地去抓取来自应用程序的数据，并尽可能快地把它扔到网络上。在发送端，UDP传送数据的速度仅仅是受应用程序生成数据的速度、计算机的实力和传输带宽的限制；在接收端，UDP把每个消息段放在队列中，应用程序每次从队列中读一个消息段。 （2） 由于传输数据不建立连接，因此也就不须要维护连接状态，包括收发状态等，因此一台服务机可同时向多个客户机传输相同的消息。 （3） UDP信息包的标题很短，只有8个字节，相对于TCP的20个字节信息包的额外开销很小。 （4） 吞吐量不受拥挤限制算法的调整，只受应用软件生成数据的速率、传输带宽、源端和终端主机性能的限制。 （5）UDP运用完最大努力交付，即不保证牢靠交付，因此主机不须要维持困难的链接状态表（这里面有很多参数）。 （6）UDP是面对报文的。发送方的UDP对应用程序交下来的报文，在添加首部后就向下交付给IP层。既不拆分，也不合并，而是保留这些报文的边界，因此，应用程序须要选择合适的报文大小。原始框显示了分组中包含的数据的每个字节.从中可以视察最原始的传输数据.方框左边是十六进制的数据,右边是ASCII码。报文的二进制码，即发送的最原始内容。现在选择其中第8个包进行分析。图3 第8个Frame第1行，现在此贞基本信息。名称，354字节。6。第4-6行，帧距离前一个帧的捕获时间差：0.131275000，帧距离第一个帧的捕获时间差：0.201217000第8、9行，现在贞长度和捕获长度，分别为354字节和60字节。第12、13、14行，现在此贞类型，为UDP类型。图4 以太网图5显示了此贞的源地址为（70:5a:b6:64:ab:bb）. 目的地址(ff:ff:ff:ff:ff:ff)图5 Internet协议7.152； 255.255.255.255。第2行，Version4，表示IP协议的版本号为4，即IPV4,占4位，Header Length=20 Bytes，表示IP包头的总长度为20个字节，该部分占4个位。所以第一行合起来就是一个字节。第3行，给出头长度，20字节。第6行，Identification=4732，表示IP包识别名为4732。该部分占两个字节。第7行，Flags，表示片标记，占3个位。各位含义分别为：第一个“0”不用，其次位为不行分片位标记位，此处值为“1”表示该数据表禁制分片。第三位为是否最终一段标记位，此处“0”表示最终一段。第10行，给出贞类型，为UDP。第11行，Header Checksun=0x1981(correct)，表示IP包头校验和为0x1981，括号内的Correct表示此IP数据包是正确的，没有被非法修改过。该部分占两字节。图6 用户数据报协议第2行，源端口：1538。2字节，源端口号，即发送这个TCP包的计算机所运用的端口号。第3行，目的端口：2654。2字节，目标端口号，即接受这个TCP包计算机所运用的端口号。第4行，长度320字节。第5行，Checksum检验和，校验和。在数据处理和数据通信领域中，用于校验目的的一组数据项的和。这些数据项可以是数字或在计算检验和过程中看作数字的其它字符串。2、TCP协议在因特网协议族（Internet protocol suite）中，TCP层是位于IP层之上，应用层之下的中间层。不同主机的应用层之间常常须要牢靠的、像管道一样的连接，但是IP层不供应这样的流机制，而是供应不行靠的包交换。TCP建立连接之后，通信双方都同时可以进行数据的传输，其次，他是全双工的；在保证牢靠性上，采纳超时重传和捎带确认机制。图7 窗口中的TCP协议贞图8 第183个FRAME第1行，现在此贞基本信息。名称，60字节。6。第4-6行，帧距离前一个帧的捕获时间差：0.004356000，帧距离第一个帧的捕获时间差2.409387000。第8、9行，现在贞长度和捕获长度，都是60字节。第12行，现在此贞类型，为TCP类型。第13行，用不同颜色染色标记的协议名称：HTTP第14行，染色显示的规则的字符串 图9 以太网信息图10显示了此贞的源地址和目的地址，指出协议类型为TCP。图10 Internet信息第1行，给出了源地址和目的地址，分别为220.181.124.85.139。第2行，Version4，表示IP协议的版本号为4，即IPV4,占4位，Header Length=20 Bytes，表示IP包头的总长度为20个字节，该部分占4个位。所以第一行合起来就是一个字节。第3行，给出头长度，20字节。第6行，Identification=25910，表示IP包识别名为25910。该部分占两个字节。第7行，Flags，表示片标记，占3个位。各位含义分别为：第一个“0”不用，其次位为不行分片位标记位，此处值为“1”表示该数据表禁制分片。第三位为是否最终一段标记位，此处“0”表示最终一段。第10行，给出贞类型，为TCP。第11行，Header Checksun=0x3f4c(correct)，表示IP包头校验和为0x3f4c，括号内的Correct表示此IP数据包是正确的，没有被非法修改过。该部分占两字节。图11 传输限制协议（Transmission Control Protocol，TCP）是一种面对连接的、牢靠的、基于字节流的运输层通信协议，通常由IETF的RFC 793说明。在简化的计算机网络OSI模型中，它完成传输层所指定的功能。第1行，源端口：80。2字节，源端口号，即发送这个TCP包的计算机所运用的端口号。第2行，目的端口：1247。2字节，目标端口号，即接受这个TCP包计算机所运用的端口号。第3行，序列数，1。第4行，接收数，1。第5行，包头长度20字节。第6行，Flags，表示片标记，占3个位。各位含义分别为：第一个“0”不用，其次位为不行分片位标记位，此处值为“1”表示该数据表禁制分片。第三位为是否最终一段标记位，此处“0”表示最终一段。下面各行，都没有被设置，其中Syn，为首部同步位，在TCP向另一个发送连接恳求报文段，设置为1。Fin,在TCP释放连接的时候用到，用来表示结束，它须要消耗一个序号。三、试验心得经过此次试验，进行抓包以及分析，让我对数据包分析有了肯定了解，对计算机数据通信与网络这门课程有了肯定的实践的相识，对我以后的学习和工作有肯定的帮助！四、 参考文献计算机通信与网络，清华出版社，杨庚，章韵，成卫青，沈金龙编著。9