计算机实验报告：计算机网络抓包实验分析.docVIP

计算机网络抓包实验分析

Wireshark工具是常用的网络监测工具，通过对Wireshark截获的数据包进行分析，使学生能够更加清楚地掌握网络分层的思想，同时通过对捕获各个具体协议的数据包分析，可加强对TCP/IP协议的分析与理解，掌握协议的实现过程。另外，本实验也可以采用IPTOOLS、EtherDetect等其他流行的网络监测工具。

1.实验目的

1)了解常用的网络监测工具和管理工具。

2)了解Internet网际层协议如IP、ICMP、ARP的工作原理。

3)了解Internet传输层协议TCP和UDP的工作原理。

4)了解Internet应用层协议HTTP、FTP、DNS、SMTP、POP3的工作原理。5)了解并熟悉使用常用的网络命令如ipconfig，net，tracert,ping等。

2.实验要求

1)任意捕获一个数据包，分析其数据链路层格式、网络层格式和传输层格式，加深对计算机网络分层概念的理解。

2)在IE中输入，分析相应TCP连接的前10个报文的TCP头、IP头;截取抓包结果，分析其工作过程。

3)抓取www服务的HttP包，找到http协议的典型数据请求和接收包，截取抓包结果，分析关键字段如标志字段的值。

4)通过IE登录邮箱收发邮件，截取抓包结果，分析SMTP/POP3协议交互过程;5)抓取一个FTP或者其他网络服务的TCP包，读取其包信息，截取抓包结果，并画出该包的包结构。(参考书中TCP包结构图，给出各字段的具体值)

6)抓取FTP或者其他网络服务的TCP包，找到tcp三次握手和四次挥手的包，截取抓包结果，分析关键字段如序列号、标志字段的变化规律。

7)抓取一个DNS或者其他网络服务的UDP包，读取其包信息，截取抓包结果，并画出该包的包结构。(参考书中UDP包结构图，给出各字段的具体值)。

8)抓取FTP服务的ftP包，找到ftp协议的典型数据请求和接收包,截取抓包结果，分析关键字段如标志字段的值。

9)捕获并分析地址解析协议(ARP)。

10)发PING检测报文，捕获ICMP请求数据包和应答数据包，截取抓包结果，画出该ICMP包的包结构，记录并分析各字段的含义。(参考书中包结构图，给出各字段的具体值)11)熟悉使用网络命令netstatnetnetuseripconfigtracertping，尝试使用其各类参数。

3.实验步骤

使用软件:Wireshark

1)任意获取一个数据包，分析其数据链路层，网格层和传输层协议，加深对计算机分层概念的理解。

打开WireShark，选择CaptureOptions，在Capturefilter中输入“tcp”，单击start。点击stop。捕获到数据包:

可以看出解码窗口分为三部分，最上面是捕获的报文，中间是报文的解码，最下面是报文的二进制码(发送的最原始内容)，解码表对应每一个层次的协议进行解码分析。对应关系如下图:

任意选取一个捕获的数据包进行分析:

上图是物理层的数据帧状况。可以看出第1号帧线路上有54字节，实际捕获54字节。捕获时间为2015年6月12日18:26:25。测试时间为1434104785.243458000秒。此包与前一捕获帧的时间间隔为0.000157000秒，与前一个显示帧的间隔时间为0.000157000秒，与第一帧的间隔时间为2.419899000秒。帧号为346，帧长为54字节，捕获长度为54字节。此帧没有被标记且没有被忽略，帧内封装的协议结构为tcp协议，用不同颜色染色标记的协议名为HTTP，染色显示规则字符串为http||tcp.port==80||http2。

此包为以太网协议版本2，源地址为IntelCor_1b:c1:1a(e0:94:67:1b:c1:1a)，其网卡地址为e0:94:67:1b:c1:1a。目标地址为Hangzhou_3b:24:72(00:23:89:3b:24:72),网卡地址为00:23:89:3b:24:72，帧内封装的上层协议类型为IPv6，十六进制代码为0x86dd。

上图是互联网层IP报头协议，互联网协议为IPv6，源地址为

2001:da8:208:4095:b9d4:532b:1527:944f，ip版本号为6，目的地址为

2a00:1450:4016:804::2004。

上图为传输层tcp头部信息，源端口号为61146，目的端口号为80，序号为1，确认序号为1，头部长度为20字节，标记字段为0x