网络数据包分析实验.doc

实验一：网络数据包分析实验 班级： 班 学号： 姓名： 一、实验目的 通过对实际的网络数据包进行捕捉，分析数据包的结构，加深对网络协议分层概念的理解，并实际的了解数据链路层，网络层，传输层以及应用层的相关协议和服务。 二、实验内容 1． IGMP包解析 1.1数据链路层 源数据： 数据链路层头部：01 00 5e 00 00 16 00 21 97 0a e5 16 08 00 数据链路层尾部：00 00 00 00 00 00 分析如下： 数据头部的前6个字节是接收者的mac地址：01 00 5e 00 00 16； 数据头部的中间6个字节是发送者的mac地址：00 21 97 0a e5 16； 数据头部的最后2个字节代表网络协议，即：08 00协议类型。 1.2 网络层 源数据：46 00 00 28 1d 38 00 00 01 02 d8 5c ac 10 a3 14 e0 00 00 16 94 04 00 00 数据分析： 第一个字节（46）的前4位表示的是IP协议的版本，即IPv4；它的后4位表示首部长度为6，最大十进制数值时为15 第二个字节（00）是区分服务，一直缺省，所以为0 第三、四字节（00 28）是指首部和数据之和的长度40个字节 第五、六字节（1d 38）是一个数据报被分片后的标识，便于正确地重装原来的数据报 第七、八字节（00 00）分前3位为标志位和后13位为片偏移，其中标识位只有两位有意义，表明这已经是若干用户数据报片最后一个（MF=0，并且DF=0）不需要再分片了。偏移为0 第九个字节（01）表示的是数据报在网络中的寿命为128 第十个字节（02）指出这个数据报携带的数据时使用的IGMP协议 第十一、十二字节（d8 5c）表示首部检验和，大小为55388字节，对数据报的保留与丢弃进行判别 第十三个字节加上后面的3个字节（ac 10 a3 14）是发送者的IP源地址（172.16.163.20） 第十七个字节及后面的三个字节（e0 00 00 16）是接收者的IP地址（224.00.00.22） 最后四个字节（94 04 00 00）是任意的 1.3 IGMP协议层 源数据：22 00 f2 6d 00 00 00 01 04 00 00 00 e0 03 07 8d 数据分析: 第一个字节（22）代表的这个为多播地址路由器 第三、四个字节（f2 6d）是一个检验和 第七、八个字节（00 01）是组播的第一个分组 第九个字节（04）是记录类型 最后4个字节（e0 03 07 8d）是个组播地址 2．ICMP包解析 2．1数据链路层 源始数据：00 0c 86 ed 40 09 70 5a b6 61 8d c8 08 00 数据分析： 前6个字节(00 0c 86 ed 40 09)表示的是接收者MAC地址 接下来的6个字节（70 5a b6 61 8d c8）表示是发送者的MAC地址 最后连个字节（08 00）是类型字段，0x0800表示上一层使用的是IP数据包 2．2 网络层 源始数据： 45 00 00 3c d6 c3 00 00 80 01 91 26 ac 10 d7 9a ac 10 a3 1b 数据分析： 第一个字节（45）的前4位表示的是IP协议的版本，即IPv4；它的后4位表示首部长度为5，最大十进制数值时15 第二个字节（00）是区分服务，一直缺省，所以为0 第三、四字节（00 3c）是指首部和数据之和的长度60个字节 第五、六字节（d6 c3）是一个数据报被分片后的标识，便于正确地重装原来的数据报 第七、八字节（00 00）分前3位为标志位和后13位为片偏移，其中标识位只有两位有意义，表明这已经是若干用户数据报片最后一个（MF=0，并且DF=0）不需要再分片了。偏移为0 第九个字节（80）表示的是数据报在网络中的寿命为128 第十个字节（01）指出这个数据报携带的数据时使用的ICMP协议 第十一、十二字节（91 26）表示首部检验和，大小为401字节，对数据报的保留与丢弃进行判别 第十二个字节后的四位（ac 10 d7 9a）表示源地址（172.16.215.154） 最后四个字节（ac 10 a3 1b）表示目的地址（172.16.163.27） 2．3 ICMP协议层 源始数据： 08 00 d8 5b 02 00 73 00 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69 数据分析： 第一个字节（08）是说明ICMP报文为询问报文，送回（Echo）请求或回答 第二个字节（00）指的是代码为0 第四