计算机网络-实验三

1、淮海工学院计算机工程学院实验报告书课程名： 计算机网络 题 目： 实验三 网络数据包的捕获与分析 班 级： 学 号： 姓 名： 评语：成绩： 指导教师： 批阅时间： 年 月 日一、实验目的通过本次实验，了解sniffer的基本作用，并能通过sniffer对指定的网络行为所产生的数据包进行抓取，并分析所抓取的数据包。二、 实验内容与要求实验内容A：1、首先打开sniffer软件，对所要监听的网卡进行选择2、选择网卡按确定后，进入sniffer工作主界面，对主界面上的操作按钮加以熟悉。B：设置捕获条件进行抓包基本的捕获条件有两种：1、链路层捕获，按源MAC和目的MAC地址进行捕获，输入方式为十六进

2、制连续输入，如：00E0FC。2、IP层捕获，按源IP和目的IP进行捕获。输入方式为点间隔方式，如：10.107.1.1。如果选择IP层捕获条件则ARP等报文将被过滤掉。高级捕获条件在“Advance”页面下，编辑你的协议捕获条件。在协议选择树中你可以选择你需要捕获的协议条件，如果什么都不选，则表示忽略该条件，捕获所有协议。在捕获帧长度条件下，你可以捕获，等于、小于、大于某个值的报文。在错误帧是否捕获栏，你可以选择当网络上有如下错误时是否捕获。在保存过滤规则条件按钮“Profiles”，你可以将你当前设置的过滤规则，进行保存，在捕获主面板中，你可以选择你保存的捕获条件。C：捕获报文的察看：Sn

3、iffer软件提供了强大的分析能力和解码功能。如下图所示，对于捕获的报文提供了一个Expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息。D:专家分析专家分分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内 容，可以方便了解网络中高层协议出现故障的可能点。对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。E:解码分析对捕获报文进行解码的显示，通常分为三部分，目前大部分此类软件结构都采用这种结构显示

4、。对于解码主要要求分析人员对协议比较熟悉，这样才能看懂解析出来的报文。使用该软件是很简单的事情，要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太多，这里不对协议进行过多讲解，请参阅其他相关资料。 对于MAC地址，Snffier软件进行了头部的替换，如00e0fc开头的就替换成Huawei，这样有利于了解网络上各种相关设备的制造厂商信息。功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为 Capture-Define Filter和Display-Define Filter。过滤器可以根据物理地址或IP地

5、址和协议选择进行组合筛选。实验要求：按照图例学习捕获以太网数据帧，并选取其中一条记录解释其构造。三、主要实验仪器及材料装有Windows 2000/XP系统的计算机，局域网，sniffer pro软件。四、实验结果及数据分析数据分析数据总大小是：74byte74byte=60byte+14byte(以太类型帧头部)注：以太网类型帧头部是 6个字节源地址6个字节目标地址2个字节类型14字节IP数据总长度是：60byte60byte=20byte(ip头部)+8（icmp头部）+32（ping包）在图中我们还可以看到 这个帧没有分割，flags0x，因为不需要分割。以太网帧实际承载数据部分最大为1

6、500，这里面还包含其他协议的报头，所以实际承载数据肯定小于1500，如果ping 192.168.1.1 -l 1500，那么数据必要会被分割，但计算方法还是一样的，只是需要特别注意，后续帧无需包含第一个帧所包含的icmp报头。所以第一个帧的大小会是 1500（实际数据部分大小，含ip和icmp报头）14（以太类型帧头部）1514，在第一个帧里实际携带了多少数据的是150020（IP 报头）8（icmp报头）1472，剩余28bytes数据会在后续帧中后续帧大小：14（以太类型头）20（ip头）28（实际数据）62注意上面的计算我们都不计算尾部4字节校验的。可以实际抓包验证上面的分析。五、实

7、验的分析体会我们知道数据在网络上是以很小的称为帧（Frame）的单位传输的，帧由几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧已到达，然后对其进行存储。每一个在局域网（LAN）上的工作站都有其硬件地址，这些地址惟一地表示了网络上的机器。当用户发送一个数据包时，这些数据包就会发送到LAN上所有可用的机器。 在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据包则不予响应（换句话说，工作站A不会捕获属于工作站B的数据，而是简单地忽略这些数据）。如果某个工作站的网络接口处于混杂模式，那么它就可以捕获网络上所有的数据包和帧。Sniffer程序是一种利用以太网的特性把网络适配卡（NIC，一般为以太网卡）置为杂乱（promiscuous）模式状态的工具，一旦网卡设置为这种模式，它就能接收传输在网络上的每一