实验6分析IP数据报格式分析

1、实验 6 分析 IP 数据报格式6.1 实验目的1. 了解 IP 数据报的格式；2. 理解 IP 各个数据项的涵义；3. 理解 TCP、UDP 协议的工作原理；4. 了解TCP报文段、UDP数据报各个字段的作用。6.2 相关背景知识1. Winpcap 基本介绍数据报捕获的原理：为了进行数据报 ,网卡必须被设置为混杂模式。在现实 的网络环境中 ,存在着许多共享式的以太网络。这些以太网是通过Hub 连接起来的总线网络。在这种拓扑结构的网络中 ,任何两台计算机进行通信的时候 ,它们之 间交换的报文全部会通过Hub进行转发，而Hub以广播的方式进行转发，网络中所 有的计算机都会收到这个报文 ,不过只

2、有目的机器会进行后续处理 ,而其它机器简 单的将报文丢弃。目的机器是指自身 MAC 地址与消息中指定的目的 MAC 地址 相匹配的计算机。网络监听的主要原理就是利用这些原本要被丢弃的报文 ,对它 们进行全面的分析 ,这样就可以得到整个网络中信息的现状。Tcpdump的简单介绍：Tcpdump是Unix平台下的捕获数据报的一个架构。 Tcpdump最初有美国加利福尼亚大学的伯克利分校洛仑兹实验室的Craig Leres、Van Jcaobso和Steve McCa nne共同开发完成，它可以收集网上的IP数据报文，并 用来分析网络可能存在的问题。现在，Tcpdump已被移植到几乎所有的UNIX系

3、统上，如：HP-UX、SCO UNIX、SGI Irix、SunOS Mach、Linux和FreeBSD等 等。更为重要的是Tcpdump是一个公开源代码和输出文件格式的软件，我们可以 在Tcpdu np的基础上进行改进，加入辅助分析的功能，增强其网络分析能力。(详 细信息可以参看相关的资料)。Winpcap的简单介绍：Winpcap是由意大利 Fulvio Risso和Loris Degioanni等人 提出并实现的应用于Win32平台的数据报捕获与分析的一种软件包，包括内核级 的数据报监听设备驱动程序、低级动态链接库 (Packet.dll) 和高级系统无关库 (Winpcap.dll)

4、。Win pcap 由 3 个模块组成：(1)NPF( NetgroupPacket Filter)，是一个虚拟 设备驱动程序文件。 它的功能是过滤数据报， 并把这些数据报原封不动地传给用户态模块。（2） Packet.dll为Win32平台提供了一个公共的接口。不同版本的Win dows系统都有自己的内核模块和用户层模块。Packet.d l直接映射了内核的调 用，运行在用户层，把应用程序和数据报监听设备驱动程序隔离开，使应用程序可以不加修改地在不同的Windows系统上运行。通过Packet.dl提供的能用来直接 访问BPF驱动程序的包驱动API利用raw模式发送和接收包。（3）Wpcap

5、.dlI是不 依赖于操作系统的。Wpcap.dll和应用程序链接在一起，使用低级动态链接库提 供的服务，向应用程序提供完善的监听接口和更加友好、功能更加强大的函数调用。Winpcap（ Windows packet capture 是 Windows 平台下一个免费、公共的网 络访问系统。开发winpcap这个项目的目的在于为 win32应用程序提供访问网络 底层的能力。它提供了以下的各项功能：（1） 捕获原始数据报，包括在共享网络上各主机发送/接收的以及相互之间 交换的数据报；（2）在数据报发往应用程序之前，按照自定义的规则将某些特殊的数据报 过滤掉；（3）在网络上发送原始的数据报；（4）收

6、集网络通信过程中的统计信息。（详细信息可以参看相关的资料）2. IP数据报的格式IP数据报的由首部和数据两部分组成。首部的前一部分是固定长度，共20个字节，是所有IP数据报必须具有的。在首部的固定部分的后面是一些可选字 段，其长度是可变的。下图是IP数据报的格式：04816192431版本首部长度服务类型总长度标识标志片偏移生存时间协议首部校验和源地址目的地址可选字段（长度可变）填充数据部分图5-1 IP数据报的格式3. TCP报文段的格式一个TCP报文段分为首部和数据两部分，TCP的全部功能都体现在首部中 各个字段的作用。基于这一点，能清楚了TCP首部各个字段的作用也就掌握了TCP的工作原理

7、。TCP报文首部的前20个字节是固定的，后面有4N字节是根 据需要而增加的选项（N必须是整数），因此TCP首部的最小长度是20字节 图5-2是TCP数据报文首部的格式。08162431源端口目的端口序号确认号数据偏保留UAPRSF窗口移RCSSNICKHTYN校验和紧急指针选项（长度可变）填充图5-2 TCP数据报文的首部格式TCP是TCP/IP体系中面向连接的运输层协议，它提供全双工的和可靠交付 的服务。TCP则提供面向连接的服务，在传送数据之前必须先建立连接，数据传 送结束后要释放连接。由于 TCP要提供可靠的、面向连接的运输服务，因此， 不可避免地增加了许多开销，如确认、流量控制、计时器

8、以及连接管理等，这就 使协议数据单元的首部增加很多。4. UDP数据报的格式UDP在传送数据之前不需要先建立连接，远地主机的运输层在收到 UDP数 据报文后，不需要给出任何确认。因此 UDP数据报的首比较简单。UDP数据报 首部由4个字段组成，每个字段都是2个字节。UDP首部格式及含义见表5-1.表5-1 UDP首部格式及含义源端口目的端口长度校验和源端口号目的端口号UDP数据报的长度防止传输过程中出错5.伪首部无论是TCP报文段，还是UDP数据报，在计算校验和时，都需要增加 12 个字节的伪首部。所谓伪首部是因为这种首部并不是 TCP报文段或UDP数据报 的真正首部，只是在计算校验和时，临时

9、和 TCP报文段或UDP数据报连接在一 起，得到一个过渡的TCP报文段或UDP数据报。校验和就是按照这个过渡的 TCP报文段或UDP数据报计算的。伪首部不向下传送也不向上传递，而仅仅是 为了计算校验和。伪首部各字段内容及长度如图5-3所示。字节44112源IP地址目的IP地址06/17TCP/UDP 长度图5-3 求检验和时增加的伪首部6.3实验内容1. 查看捕获到的数据报的首部；2. 根据所捕获到的IP数据报中协议字段值，每一种协议选择一条记录分别 填入表5-2中；表5-2 IP数据报格式表版本：首部长度：服务类型：总长度：标识：标志：片偏移：生存时间：协议：首部校验和：源地址：目的地址：可

10、选字段（长度可变）：填充：数据部分：3. 分析实验结果，加深对数据报首部个字段的理解;4. 整理实验结果，书写实验报告。6.4 实验步骤1.运行程序 Wiresharkr软件，将显示如图5-4所示运行界面:牛E 冊月 疽H凹 运应血|SlftAi 时5JZAU MSSltli 什中沖嘟harfc忖 即0&屯何觀0斯炉切口即配图5-4运行界面2. 然后捕获数据包，如图5-5捕获数据包后的界面，所示 Broicam NvlMramc -G flbil Elharml ivcr - W rnhirk立那巴 ij現0卫尿宦曲 应Q 窘侨使I 右:也 氐Id Lll *fr2fGi Ci i Tirn*

11、.DpirtirticnPralccsl I hit44Q Z 舫上匸I：32 I nt- LOl.1759 :安 53 漪TL91：?6 讥；犷：7:ACK：0635-222- Il-i-ISZWLr-i-.4z044】ILSimTB;SQ2,】Ld】.SHTaa. 昨良吕BTI：F刃 56)书1辭亍丁2二 1(航耳昭=7227芳Mk=：Z2B!jr【n=LS2S4Len=B4JD专船0驱為 为，鉄監韶卸乱196, W1, 207丁F讯呻丁粘：二；左、：匸 屈22宜k-b&5垢13订MBO LbQ虽二*I LIB2笨-輛.山.油；站.2応；LJliTCP91鸿：讥阿斑丄狀.1矢孑二化勺壮I:

12、芒!：5 X旷诂2期LmFt汕454 2. 936794312. 30. 154.90 20Za 156.101. 3S7 HJP Siurte jert; 20432 UetliiatR Jftr?; arrctrHiHJJltJiTrniflliElca Conirl Froxgcol. Sarc Fqtte 轧3审 I9l3-$) Det Frx ； riprs-fsl 仃却l剳 5eq：:軀期，A曲255. Lee! 1440 尙 Uata l.liJA bytesiData; 5dL3c3Oed941beflM96dd(M7fl 0 w 一h in 勺二tu 0 出占 a o Qi

13、2 & h-爼 ? 5 3 6 i 2 3 1 f t- ftA tf 5 4 o r -y b 4 o &- 9 H.k 6 d 9 3 3 3 b 15r c 4 6a日& u214,-w 15 5f69bG 3- c i o 3 3 3 - - 5 2 1 d A Ofl CA03 f530 es31 9si洁5c 4s 44:a的32朋17 4：n-3o-? l:y m 二 QqA p r I - 5 G- G- f - s 6 & R 勢刘ssflos也触福凸岀聯 4- f 07 T _M- Ku- 3 丈 rn 0 匕吕 b&9c a X- Tw 电1 -=o un吧唱H- & &

14、 & l* -H-亡 r -I & 45 = fa -29-3 岂.1f 一 r * -I- a -1- 匚 -e=J34-.r-. fl-. r Oi ta Hi 1 n tB S 5b=.? C.迅 11 b i iOi 扎,h.hr. *Iltu . ja V. .B. .a.V. Dtfiu-. Z-fi. My. . sd. n_ h,K.,., 2 -1 ?-* ”5 =图5-5捕获数据包后的界面3. 在数据包列表中，选中一条数据报记录，运行界面如图 所示：5-6数据包列表,i- Z65SZS芷=2盟益& 1- E*69K29 ： FE：61. 5E-15. 92Ep 丁 mrou

15、 1 io rm eiMl. !药石&1 101c32 L 284404LIS LTE 31Z34 L Z8E433LIS 17E 19F 91S41 1 322353 LIE 241 46. 122243 1 a 35763236. 32.133. 123Bg 民o o.IEC农。De；l_J7Ci：C4；i29 tJ：L De H：二為民上 IS：SoLEFce peri： CijxiM-vMi DcBTinatisa port； atkSsiire* psri- GjTiM-vrL*T De&ifnaiisa por:； ArMeTrhEotLrte purl： 31746 DesTiM

16、Tica sort- iCK-ticrTtps 13331 10493 :ACK： Seq-66 Ak*lS721 1*46537 L田()二舒：前5號；X驶：疋19f 91Z5Z 1- 36236語生血:L 189255 L.3C&312LlS.tL76- L9&.125817393425：96. 195B6： 1- 3B450 二与.176. 19fi. 9125 - -iSfi r&S 115. Si. 150. 53泗 L_ 491206 LIS. 176.196.51cz：t4;59 h5;61:-3Q Dell_f7 :ar：2f czi:s:s9-t5:61:CI0 Dell_f

17、7:a：:2f已：w;d5:b5;61:fl0 Dell_f7 ;nJ :2fc:cs:d9:t5:6irJ0 Dell.f? :a_:2f ci:ca:c9rbo:61:00 Dell_f7:a:2f ci7ca:d&:b5:61:fil0 Dell_f7:a:2f ci:cfi：d3:b5:61:00 Dell_f7:a7:2fOrOrEire? nr re?SqutC Jiri:iQ3-,n.-tJiri: arKtzitWfhSplit芒益j匸口：已口1:兰：!?11:1匚ySour匚toptina-voet DEmtinatiim part:11131 :：- 1053? :ACK；

18、 Se-57 Ack-li5 T-145 Lsn-0 5Li Source psrt: ujitinarnut 亡stinatpart: axEKntuFh* ritt iCKH6 AGi： S-u-57 Acx-20679 Win-荊53； Lw 51: Source port: cgt ici5-vn.et Desti nat ian mt* :电“S 九話站站 -5S.2 912AO： 5en=22i 址 K諾甜注 ffirt=lT2Sl Len=56i-i6 2. 9&1310112. &D. 154. M20? 19ft. 101. 207Saurce jjnrx:3H&2Ilest

19、iDstian. port: firD：entcrhtjs钊7 S 9C413-I甸乙 196.101. 30TllX.aO.154.3OUDPSouxte wrl;arBCEiitcrtiltps BcllDalion wrt; 2?9124K： e-q=2L Ack=95 肥牛打2汕 Lw=0 viprrTJHAK1 Swrlifi旳5 Ack-2flL lLn-L62BS Len-34404S1 2.91431SZ0Z. 196, LQ1, MT5fl,345-53-90.KF3136 vlptraraslMR 5ra=7a055 lUkBL Th=L62SQ Len=341O；52 2

20、-5：63fli21. X(L 204. 5132fl2_ 1K, 101. S3?TC?SeqzMS 壮：c=90詰野 Ris=12T&S Len=0込 2.92166202.196. L01. 30722L-1Q- 2G5. 2 32TCP&929 8339?aceFSe(rW5的屁05OS Iin-=L6322 Len-4l0|图5-6数据包列表在图5-6中，鼠标单击某个数据包反蓝显示。与此同时，在“数据包详细信息”窗口、 “解析器窗口”中会分别显示这个数据包的所有信息以及16进制数据信息，如图5-7数据包详细信息，所示。谢 Fiaiae 255 S9- byteon wire J712 bitsS 89 bytes capture (12 bitsB Destination: Dell.f 7 :a； :2f 00: lc :23:f7 a7 r2f.1Hthernet II. Src : c4:ca:d9:b5:61:00 (c4:ca:d9:b5:61: 00) Dt: Dell_f7:a7:2f (0Q: 1c