wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告

wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告全文共13頁(yè)，當(dāng)前為第1頁(yè)。Dwireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告全文共13頁(yè)，當(dāng)前為第1頁(yè)。wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告全文共13頁(yè)，當(dāng)前為第2頁(yè)。wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告全文共13頁(yè)，當(dāng)前為第2頁(yè)。wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告全文共13頁(yè)，當(dāng)前為第3頁(yè)。wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告全文共13頁(yè)，當(dāng)前為第3頁(yè)。wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告全文共13頁(yè)，當(dāng)前為第4頁(yè)。wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告全文共13頁(yè)，當(dāng)前為第4頁(yè)。Winpcap4.12’）點(diǎn)擊‘Install’，接著彈出“Installing”窗口（在運(yùn)行時(shí)彈出“Winpcap4.12Setup”窗口，點(diǎn)擊‘確定’，且在接下來(lái)彈出的窗口下按如下步驟點(diǎn)擊：next—next—IAgree—Install—finsh），接著點(diǎn)擊‘next’彈出如下窗口：并選擇‘RunWireshork1.6.3(32bit)’并點(diǎn)擊‘Finsh’：2.打開(kāi)wireshark，選擇接口選項(xiàng)列表?；騿螕簟癈apture”，配置“option”選項(xiàng)。wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告全文共13頁(yè)，當(dāng)前為第5頁(yè)。wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告全文共13頁(yè)，當(dāng)前為第5頁(yè)。3.設(shè)置完成后，點(diǎn)擊“start”開(kāi)始抓包.wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告全文共13頁(yè)，當(dāng)前為第6頁(yè)。wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告全文共13頁(yè)，當(dāng)前為第6頁(yè)。顯示結(jié)果：wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告全文共13頁(yè)，當(dāng)前為第7頁(yè)。wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告全文共13頁(yè)，當(dāng)前為第7頁(yè)。4.選擇某一行抓包結(jié)果，雙擊查看此數(shù)據(jù)包具體結(jié)構(gòu)如下：三．捕捉IP數(shù)據(jù)包。數(shù)據(jù)包信息：wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告全文共13頁(yè)，當(dāng)前為第8頁(yè)。wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告全文共13頁(yè)，當(dāng)前為第8頁(yè)。寫(xiě)出IP數(shù)據(jù)包的格式如下：將捕捉的IP數(shù)據(jù)包的分析得出格式圖例如下：針對(duì)每一個(gè)域所代表的含義進(jìn)行解釋。IP數(shù)據(jù)報(bào)首部各部分含義：版本占4位，指IP協(xié)議的版本。通信雙方使用的IP協(xié)議版本必須一致。目前廣泛使用的IP協(xié)議版本號(hào)為4（即IPv4）。首部長(zhǎng)度占4位，可表示的最大十進(jìn)制數(shù)值是15。請(qǐng)注意，這個(gè)字段所表示數(shù)的單位是32位字長(zhǎng)（1個(gè)32位字長(zhǎng)是4字節(jié)），因此，當(dāng)IP的首部長(zhǎng)度為1111時(shí)（即十進(jìn)制的15），首部長(zhǎng)度就達(dá)到60字節(jié)。當(dāng)IP分組的首部長(zhǎng)度不是4字節(jié)的整數(shù)倍時(shí)，必須利用最后的填充字段加以填充。因此數(shù)據(jù)部分永遠(yuǎn)在4字節(jié)的整數(shù)倍開(kāi)始，這樣在實(shí)現(xiàn)IP協(xié)議時(shí)較為方便。首部長(zhǎng)度限制為60字節(jié)的缺點(diǎn)是有時(shí)可能不夠用。但這樣做是希望用戶盡量減少開(kāi)銷(xiāo)。最常用的首部區(qū)分服務(wù)占8位，用來(lái)獲得更好的服務(wù)。這個(gè)字段在舊標(biāo)準(zhǔn)中叫做服務(wù)類(lèi)型，但實(shí)際上一直沒(méi)有被使用過(guò)。1998年IETF把這個(gè)字段改名為區(qū)分服務(wù)DS(DifferentiatedServices)。只有在使用區(qū)分服務(wù)時(shí)，這個(gè)字段才起作用?？傞L(zhǎng)度總長(zhǎng)度指首部和數(shù)據(jù)之和的長(zhǎng)度，單位為字節(jié)?？傞L(zhǎng)度字段為16位，因此數(shù)據(jù)報(bào)的最大長(zhǎng)度為216-1=65535字節(jié)。長(zhǎng)度就是20字節(jié)（即首部長(zhǎng)度為0101），這時(shí)不使用任何選項(xiàng)。wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告全文共13頁(yè)，當(dāng)前為第9頁(yè)。標(biāo)識(shí)(identification)占16位。IP軟件在存儲(chǔ)器中維持一個(gè)計(jì)數(shù)器，每產(chǎn)生一個(gè)數(shù)據(jù)報(bào)，計(jì)數(shù)器就加1，并將此值賦給標(biāo)識(shí)字段。但這個(gè)“標(biāo)識(shí)”并不是序號(hào)，因?yàn)镮P是無(wú)連接服務(wù)，數(shù)據(jù)報(bào)不存在按序接收的問(wèn)題。當(dāng)數(shù)據(jù)報(bào)由于長(zhǎng)度超過(guò)網(wǎng)絡(luò)的MTU而必須分片時(shí)，這個(gè)標(biāo)識(shí)字段的值就被復(fù)制到所有的數(shù)據(jù)報(bào)的標(biāo)識(shí)字段中。相同的標(biāo)識(shí)字段的值使分片后的各數(shù)據(jù)報(bào)片最后能正確地重裝成為原來(lái)的數(shù)據(jù)報(bào)。wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告全文共13頁(yè)，當(dāng)前為第9頁(yè)。標(biāo)志(flag)占3位，但目前只有2位有意義。標(biāo)志字段中的最低位記為MF(MoreFragment)。MF=1即表示后面“還有分片”的數(shù)據(jù)報(bào)。MF=0表示這已是若干數(shù)據(jù)報(bào)片中的最后一個(gè)。標(biāo)志字段中間的一位記為DF(Don’tFragment)，意思是“不能分片”。只有當(dāng)DF=0時(shí)才允許分片。片偏移占13位。片偏移指出：較長(zhǎng)的分組在分片后，某片在原分組中的相對(duì)位置。也就是說(shuō)，相對(duì)用戶數(shù)據(jù)字段的起點(diǎn)，該片從何處開(kāi)始。片偏移以8個(gè)字節(jié)為偏移單位。這就是說(shuō)，每個(gè)分片的長(zhǎng)度一定是8字節(jié)（64位）的整數(shù)倍。生存時(shí)間占8位，生存時(shí)間字段常用的的英文縮寫(xiě)是TTL(TimeToLive)，表明是數(shù)據(jù)報(bào)在網(wǎng)絡(luò)中的壽命。由發(fā)出數(shù)據(jù)報(bào)的源點(diǎn)設(shè)置這個(gè)字段。其目的是防止無(wú)法交付的數(shù)據(jù)報(bào)無(wú)限制地在因特網(wǎng)中兜圈子，因而白白消耗網(wǎng)絡(luò)資源。最初的設(shè)計(jì)是以秒作為T(mén)TL的單位。每經(jīng)過(guò)一個(gè)路由器時(shí)，就把TTL減去數(shù)據(jù)報(bào)在路由器消耗掉的一段時(shí)間。若數(shù)據(jù)報(bào)在路由器消耗的時(shí)間小于1秒，就把TTL值減1。當(dāng)TTL值為0時(shí)，就丟棄這個(gè)數(shù)據(jù)報(bào)。協(xié)議占8位，協(xié)議字段指出此數(shù)據(jù)報(bào)攜帶的數(shù)據(jù)是使用何種協(xié)議，以便使目的主機(jī)的IP層知道應(yīng)將數(shù)據(jù)部分上交給哪個(gè)處理過(guò)程。首部檢驗(yàn)和占16位。這個(gè)字段只檢驗(yàn)數(shù)據(jù)報(bào)的首部，但不包括數(shù)據(jù)部分。這是因?yàn)閿?shù)據(jù)報(bào)每經(jīng)過(guò)一個(gè)路由器，路由器都要重新計(jì)算一下首部檢驗(yàn)和（一些字段，如生存時(shí)間、標(biāo)志、片偏移等都可能發(fā)生變化）。不檢驗(yàn)數(shù)據(jù)部分可減少計(jì)算的工作量。源地址占32位。目的地址占32位。部分分析：目的地址：源地址：1編號(hào)：14大?。?6捕捉時(shí)間：Apr1.2012.14:13:08協(xié)議：HTTP目的地址：（00:18:8b:90:50:65）源地址：Hangzhou_ac:d5:72(00:0f:ez:ac:d5:75)Type：IP（0x0800）實(shí)驗(yàn)內(nèi)容（續(xù)，可選）捕捉特定內(nèi)容捕捉內(nèi)容：httpwireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告全文共13頁(yè)，當(dāng)前為第10頁(yè)。步驟：①在wireshark軟件上點(diǎn)開(kāi)始捕捉。wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告全文共13頁(yè)，當(dāng)前為第10頁(yè)。②用Filter進(jìn)行設(shè)置，找到包含http格式的數(shù)據(jù)包。點(diǎn)擊下圖中的下拉式按鈕，選擇http，然后按Apply。wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告全文共13頁(yè)，當(dāng)前為第11頁(yè)。③wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告全文共13頁(yè)，當(dāng)前為第11頁(yè)。④在該數(shù)據(jù)幀中找到Get的內(nèi)容（下圖中選擇的灰色區(qū)域）。實(shí)驗(yàn)體會(huì)wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告全文共13頁(yè)，當(dāng)前為第12頁(yè)。在本次的實(shí)驗(yàn)中，我學(xué)習(xí)到Wireshark是一個(gè)網(wǎng)絡(luò)協(xié)議檢測(cè)工具，支持Windows平臺(tái)和Unix平臺(tái)，我一般只在Windows平臺(tái)下使用Wireshark，在Windows平臺(tái)下，Wiresh