Wireshark的抓包数据分析.doc

Wireshark的抓包数据分析姓名：杨桢 学号：s20071232 班级：信研3班在用Wireshark进行抓包实验中，首先是对其进行软件设置。我在实验过程中的设置如图（1）。在Capture Options的设置中，将Interface设置为图上所示。该字段指定我想用于进行捕捉的接口。一次只能使用一个接口。我的IP address是：3。Capture Filter是捕捉过滤器，我只是选择抓取tcp的包。进行简单的设置之后，点击开始进行抓包，等待几秒后，停止抓包，得到如图（2）所示。整个窗口被分成三个部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。 使用Wireshark可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地址、所属协议等。选取第一个包进行分析：帧号 时间 源地址 目的地址 高层协议 包内信息概况No. Time Source Destination Protocol Info1 0.000000 3 TCP dawn http SYN Seq=0 Len=0 MSS=1460 源端口目的端口请求建立TCP链接 以下为物理层的数据帧概况如图（3）所示：Frame 1 (62 bytes on wire, 62 bytes captured)1号帧，线路62字节，实际捕获62字节Arrival Time: Apr 12, 2008 14:54:08.525951000 捕获日期和时间Time delta from previous captured frame:0.00000 seconds此包与前1个捕获帧的时间间隔Time delta from previous displayed frame:0.00000 seconds 此包与前1个显示帧的时间间隔Time since reference or first frame: 0.00 seconds此包与第1帧的间隔时间Frame Number: 1 帧序号Packet Length: 62 bytes 帧长度Capture Length: 62 bytes 捕获长度Frame is marked: False 此帧是否做了标记：否Protocols in frame: eth:ip:tcp 帧内封装的协议层次结构以下为数据链路层以太网帧头部信息如图（4）所示：Ethernet II, Src: Asustekc_e9:63:5d (00:1b:fc:e9:63:5d), Dst:HuaweiTe_45:04:d2 (00:e0:fc:45:04:d2)以太网协议版本II，源地址：厂名_序号（网卡地址），目的：厂名_序号（网卡地址）Destination: Dst:HuaweiTe_45:04:d2 (00:e0:fc:45:04:d2) 目的：厂名_序号（网卡地址） Source: Asustekc_e9:63:5d(00:1b:fc:e9:63:5d) 源：厂名_序号（网卡地址） Type: IP (0x0800) 帧内封装的上层协议类型为IP（十六进制码0800）以下为互联网层IP包头部信息如图（5）所示：Internet Protocol, Src: 3 (3), Dst: () 互联网协议，源IP地址，目的IP地址Version: 4 互联网协议IPv4Header length: 20 bytes IP包头部长度Differentiated Services Field:0x00(DSCP 0x00:Default;ECN:0x00)差分服务字段Total Length: 48IP包的总长度Identification:0x45f4 (17908) 标志字段Flags:0x04（Do not Fragment）记字段（在路由传输时，不允许将此IP包分段）Fragment offset: 0分段偏移量（将一个IP包分段后传输时，本段的标识）Time to live: 128 生存期TTLProtocol: TCP (0x06) 此包内封装的上层协议为TCPHeader checksum: 0x23a4 correct 头部数据的校验和Source: 3 (3) 源IP地址Destination: ()目的IP地址 以下为传输层TCP数据段头部信息如图(6)所示:Transmission Control Protocol, Src Port: dawn (1908), Dst Port: http (80), Seq: 0, Len:0 传输控制协议TCP的内容Source port: dawn (1908） 源端口名称（端口号）Destination port: http (80) 目的端口名http（端口号80）Sequence number: 0 (relative sequence number) 序列号（相对序列号）Header length: 28 bytes 头部长度Flags: 0x0