计算机网络数据包的获取与分析实验报告.doc

课程设计报告 数据包的获取与分析 学 院： 专业班级： 学生姓名： 学 号： 指导教师： 成 绩： 2011 年 12 月 1. 设计任务 使用抓包软件抓取网络传输中的数据包，并对所抓取的数据包进行分析，在这里我使用的抓包软件是“锐捷”，使用“锐捷”抓包软件对邮件发送过程中所产生的数据包进行抓取，并从所抓取的数据包中筛选出邮件发送所产生的包，对其进行数据分析，包括数据包所属协议、作用以及首部字段和数据内容（具有相同功能的数据包只分析一次）。并且需要截图做详细说明。 2. 操作步骤 首先打开“锐捷”抓包软件，匿名登录上该软件。 从IE浏览器中打开163邮箱的登陆界面。 从一登陆上的界面点击开始按钮，开始捕捉网络中的数据包。 登陆163邮箱，编辑所要发送的邮件，编辑完成后，点击发送。发送完成后，关闭邮箱。 查看并分析抓包软件所抓取的数据包。 3. 数据包分析 3.1图3.1.1为我的主机的网络配置。 图3.1.1 计算机IP配置 3.2 捕获到的数据包分析 3.2.1 IP数据报的格式 IP数据报的格式，在网络中要对I数据经行封装，在网络中要发送一个数据要对其进行封装。 3.2.1 IP数据包格式 还需要地址解析协议ARP，如果主机A要向主机B发送IP数据报是如果高速缓存中没有主机B的IP地址，ARP进程在本局域网上广播发送一个ARP请求分组，主机B在ARP请求分组中看的自己的IP地址，就想主机A发送ARP响应分组，主机A收到主机B的响应分组后，就在ARP高速缓存中写入主机B的IP地址到ＭＡＣ地址的映射。图3.2.2为邮件发送过程中所发送的ARP请求。 3.2.2 ARP会话树 3.2.3 ARP协议结构树 由图3.2.3可见，该ARP 硬件类型 0001 协议类型 0800 硬件长度 6 协议长度 4 操作码 1 源物理地址 8c-89-a5-fb-15 源IP地址02 目标物理地址还未知 3.2.2在网络层封装层IP数据包 在网络层封装层IP数据包，数据链路层把网络层交下来的IP数据报添加首部和尾部封装成帧，并把封装好的帧发送给目的主机的数据链路层，对方的数据链路层收到的帧无差错，则从收到的帧中提取出IP数据报上交给上面的网络层，否则丢弃这个帧。 数据会以16进制的形式在网络上传输，图3.2.4是HTTP协议包中的16进制数据区。 3.2.4 HTTP数据包 3.2.3 在网络层 在网络层，为了更有效地转发IP数据报和提高交付成功的机会，使用了网络控制报文协议ICMP，ICMP允许主机或路由器报告差错情况和提供有关异常情况的报告。以下是接受发送邮件数据包时产生的ICMP不可达和ICMP回显截取的图。 图3.2.5 ICMP不可达会话树 图3.2.6 ICMP不可达分类列表 图3.2.6由源地址是41服务器向我的主机发送的一个ICMP目的不可达协议包。 3.2.7 ICMP不可达协议结构树 由图3.2.7可知，该ICMP数据包类型：3 为终点不可达 代码：4 检验和：0XFASE 保留 1500 数据 E 3.2.8 ICMP回显会话树 3.2.9 ICMP数据包列表 3.2.10 ICMP回显 3.3 运输层上的数据包 TCP/IP运输层的两个主要协议分别为 用户数据报协议UDP和传输控制协议TCP，分别称之为TCP报文段和UDP用户数据报 3.3.1 UDP报头由4个域组成，其中每个域各占用2个字节，具体如下：源端口号目标端口号数据报长度校验值　 源端口号— 16位。源端口是可选字段。当使用时，它表示发送程序的端口，同时它还被认为是没有其它信息的情况下需要被寻址的答复端口。如果不使用，设置值为0。 目标端口号目标端口在特殊因特网目标地址的情况下具有意义。 数据报长度 该用户数据报的八位长度，包括协议头和数据。长度最小值为8。 校验值IP 协议头、UDP 协议头和数据位，最后用0填补的信息假协议头总和如果必要的话，可以由两个八位复合而成。　 UDP协议使用报头中的校验值来保证数据的安全。校验值首先在数据发送方通过特殊的算法计算得出，在传递到接收方之后，还需要再重新计算。虽然UDP提供有错误检测，但检测到错误时，UDP不做错误校正，只是简单地把损坏的消息段扔掉，或者给应用程序提供警告信息。 图3.3.1 UDP首部 端口号 137 目标端口 137 数据长度 58 校验和 0XFAE3 3.3