抓包分析報告

計算機通信與網絡實驗報告實驗題目：抓包并進行分析班級：..姓名：..學號：..Wireshark抓包分析Wireshark是世界上最流行的網絡分析工具。這個強大的工具可以捕捉網絡中的數據，并為用戶提供關于網絡和上層協(xié)議的各種信息，與很多其他網絡工具一樣，Wireshark也使用pcapnetworklibrary來進行封包捕捉。

一、安裝軟件并抓包

1：安裝并運行wireshark并翻開捕獲界面。2、捕獲選項圖1捕獲選項的設置3、開始抓包 點擊上圖中的“Start”開始抓包幾分鐘后就捕獲到許多的數據包了，主界面如下圖：圖2主界面顯示如上圖所示，可看到很多捕獲的數據。

第一列是捕獲數據的編號；

第二列是捕獲數據的相對時間，從開始捕獲算為0.000秒；

第三列是源地址，第四列是目的地址；

第五列是數據包的信息。選中第8個數據幀，然后從整體上看看Wireshark的窗口，主要被分成三局部。上面局部是所有數據幀的列表；中間局部是數據幀的描述信息；下面局部是幀里面的數據。

分析UDP、TCP、ICMP協(xié)議1、UDP協(xié)議UDP是UserDatagramProtocol的簡稱，中文名是用戶數據包協(xié)議，是OSI參考模型中一種無連接的傳輸層協(xié)議，提供面向事務的簡單不可靠信息傳送效勞。它是IETFRFC768是UDP的正式標準。〔1〕UDP是一個無連接協(xié)議，傳輸數據之前源端和終端不建立連接，當它想傳送時就簡單地去抓取來自應用程序的數據，并盡可能快地把它扔到網絡上。在發(fā)送端，UDP傳送數據的速度僅僅是受應用程序生成數據的速度、計算機的能力和傳輸帶寬的限制；在接收端，UDP把每個消息段放在隊列中，應用程序每次從隊列中讀一個消息段?！?〕由于傳輸數據不建立連接，因此也就不需要維護連接狀態(tài)，包括收發(fā)狀態(tài)等，因此一臺效勞機可同時向多個客戶機傳輸相同的消息。〔3〕UDP信息包的標題很短，只有8個字節(jié)，相對于TCP的20個字節(jié)信息包的額外開銷很小?！?〕吞吐量不受擁擠控制算法的調節(jié)，只受應用軟件生成數據的速率、傳輸帶寬、源端和終端主機性能的限制?！?〕UDP使用盡最大努力交付，即不保證可靠交付，因此主機不需要維持復雜的鏈接狀態(tài)表〔這里面有許多參數〕?！?〕UDP是面向報文的。發(fā)送方的UDP對應用程序交下來的報文，在添加首部后就向下交付給IP層。既不拆分，也不合并，而是保存這些報文的邊界，因此，應用程序需要選擇適宜的報文大小。原始框顯示了分組中包含的數據的每個字節(jié).從中可以觀察最原始的傳輸數據.方框左邊是十六進制的數據,右邊是ASCII碼。報文的二進制碼，即發(fā)送的最原始內容?，F在選擇其中第8個包進行分析。圖3第8個Frame第1行，現在此貞根本信息。名稱，354字節(jié)。6。第4-6行，1275000，幀距離第一個幀的捕獲時間差：0.201217000

第8、9行，現在貞長度和捕獲長度，分別為354字節(jié)和60字節(jié)。第12、13、14行，現在此貞類型，為UDP類型。圖4以太網圖5顯示了此貞的源地址為〔70:5a:b6:64:ab:bb〕.目的地址(ff:ff:ff:ff:ff:ff)圖5Internet協(xié)議7.152；55。第2行，Version＝4，表示IP協(xié)議的版本號為4，即IPV4,占4位，HeaderLength=20Bytes，表示IP包頭的總長度為20個字節(jié)，該局部占4個位。所以第一行合起來就是一個字節(jié)。第3行，給出頭長度，20字節(jié)。第6行，Identification=4732，表示IP包識別號為4732。該局部占兩個字節(jié)。第7行，Flags，表示片標志，占3個位。各位含義分別為：第一個“0”不用，第二位為不可分片位標志位，此處值為“1”表示該數據表禁制分片。第三位為是否最后一段標志位，此處“0”表示最后一段。第10行，給出貞類型，為UDP。第11行，HeaderChecksun=0x1981(correct)，表示IP包頭校驗和為0x1981，括號內的Correct表示此IP數據包是正確的，沒有被非法修改正。該局部占兩字節(jié)。圖6用戶數據報協(xié)議第2行，源端口：1538。2字節(jié)，源端口號，即發(fā)送這個TCP包的計算機所使用的端口號。第3行，目的端口：2654。2字節(jié)，目標端口號，即接受這個TCP包計算機所使用的端口號。第4行，長度320字節(jié)。第5行，Checksum－檢驗和，校驗和。在數據處理和數據通信領域中，用于校驗目的的一組數據項的和。這些數據項可以是數字或在計算檢驗和過程中看作數字的其它字符串。2、TCP協(xié)議在因特網協(xié)議族〔Internetprotocolsuite〕中，TCP層是位于IP層之上，應用層之下的中間層。不同主機的應用層之間經常需要可靠的、像管道一樣的連接，但是IP層不提供這樣的流機制，而是提供不可靠的包交換。TCP建立連接之后，通信雙方都同時可以進行數據的傳輸，其次，他是全雙工的；在保證可靠性上，采用超時重傳和捎帶確認機制。圖7窗口中的TCP協(xié)議貞圖8第183個FRAME第1行，現在此貞根本信息。名稱，60字節(jié)。6。第4-6行，幀距離前一個幀的捕獲時間差：0.004356000，幀距離第一個幀的捕獲時間差2.409387000。第8、9行，現在貞長度和捕獲長度，都是60字節(jié)。第12行，現在此貞類型，為TCP類型。第13行，用不同顏色染色標記的協(xié)議名稱：HTTP第14行，染色顯示的規(guī)那么的字符串

圖9以太網信息圖10顯示了此貞的源地址和目的地址，指出協(xié)議類型為TCP。圖10Internet信息第1行，給出了源地址和目的地址，分別為5.139。第2行，Version＝4，表示IP協(xié)議的版本號為4，即IPV4,占4位，HeaderLength=20Bytes，表示IP包頭的總長度為20個字節(jié)，該局部占4個位。所以第一行合起來就是一個字節(jié)。第3行，給出頭長度，20字節(jié)。第6行，Identification=25910，表示IP包識別號為25910。該局部占兩個字節(jié)。第7行，Flags，表示片標志，占3個位。各位含義分別為：第一個“0”不用，第二位為不可分片位標志位，此處值為“1”表示該數據表禁制分片。第三位為是否最后一段標志位，此處“0”表示最后一段。第10行，給出貞類型，為TCP。第11行，HeaderChecksun=0x3f4c(correct)，表示IP包頭校驗和為0x3f4c，括號內的Correct表示此IP數據包是正確的，沒有被非法修改正。該局部占兩字節(jié)。圖11傳輸控制協(xié)議〔TransmissionControlProtocol，TCP〕是一種面向連接的、可靠的、基于字節(jié)流的運輸層通信協(xié)議，通常由IETF的RFC793說明。在簡化的計算機網絡OSI模型中，它完成傳輸層所指定的功能。第1行，源端口：80。2字節(jié)，源端口號，即發(fā)送這個TCP包的計算機所使用的端口號。第2行，目的端口：1247。2字節(jié)，目標端口號，即接受這個TCP包計算機所使用的端口號。第3行，序列數，1。第4行，接收數，1。第5行，包頭長度20字節(jié)。第6行，Flags，表示片標志，占3個位。各位含義分別為：第一個“0”不用，第二位為不可分片位標志位，此處值為“1”表示該數據表禁制分片。第三位為是否最后一段標志位，此處“0”表示最后一段。下面各行，都沒有被設置，其中Syn，為首部同步位，在TCP向另