实验5：使用Analyzer捕获并分析网络数据包

1、 实验5：使用Analyzer捕获并分析网络数据包实验目的：分析并理解数据链路层以太网协议头部信息各字段意义。分析并理解网络层IP协议头部信息各字段意义。分析并理解传输层TCP协议头部信息各字段意义。分析并理解应用HTTP协议头部信息各字段意义。实验说明：1：安装analyzer和winpcap2：设置analyzer并捕获相应数据包 3：分析所捕获的数据包注意:1：按照要求完成各实验项目。2：详细记录操作过程中的每一个步骤，包括命令、菜单的选项等。实验5：使用Analyzer捕获并分析网络数据包姓名焦宇成绩组号时间2011/10/26学号20081121018教师评价： 姓名： 日期：组成员

2、实验记录：1Analyzer、winpcap 安装安装WinPcap_4_1_2.exe,一路NEXT。安装Iris Network Traffic Analyzer，此实验以Iris Traffic Analyzer 4.0.7为蓝本。再安装汉化补丁。Iris可以运行在Win2003/WinXP/Win2000/WinNT/Win9x环境下。 Iris的安装和普通的windows应用程序安装一样都是向导式的安装，按下一步一直到完成就可以方便的安装完成！ 运行界面如下（系统为虚拟机下的 Windows 2003 企业版）：2设置Analyzer捕获选项点击左面栏中的过滤器，打开过滤器设置窗口。

3、因为在虚拟机里只对IE浏览器访问百度首页进行抓包，虚拟机里没有其他的软件进行网络数据交换。所以过滤器里的选项一律默认；实际中可以选定对特定IP地址或MAC地址、特定端口、特定协议有选择性地进行侦听。3捕获数据包点击开始图标 ；然后打开IE浏览器，访问百度主页；可以看到已经抓取了143个包；点击停止，抓包结束；4分析数据包，包括该数据包的类型，以及各字段的含义下面通过分析用IRIS捕获的包来分析一下TCP/IP的工作过程，为了更清晰的解释数据传送的过程，按传输的不同阶段抓了俩组数据，分别是查找服务器、建立连接。每组数据，按下面三步进行解释。 显示数据包 解释该数据包 按层分析该包的头信息第一组数

4、据 查找服务器 下图显示的是10、11行的数据 解释数据包 在第10行中，源端主机的MAC地址是00:0C:29:FC:CC:50。目的端主机的MAC地址是FF:FF:FF:FF:FF:FF，这个地址是十六进制表示的，F换算为二进制就是1111，全1的地址就是广播地址。第11行中，在同一个以太网中的每台机器都会"接收"到这个报文，但正常状态下除了1号机外其他主机应该会忽略这个报文，而1号的主机的ARP层收到这份广播报文后，识别出这是发送端在寻问它的IP地址，于是发送一个ARP应答。告知自己的IP地址和MAC地址。第11行可以清楚的看出本地机回答的信息_：自己的MAC地址00

5、:0C:29:FC:CC:50。头信息分析 如下图左栏所示，第10数据包包含了两个头信息：以太网（Ethernet）和ARP。行以太网目的地址（6）以太网源地址（6）帧类型（2）10FF FF FF FF FF FF00 0C 29 FC CC 5008 061100 0C 29 FC CC 50 E0 05 C5 99 75 8E08 06上表是以太网的头信息：（括号内的数均为该字段所占字节数）以太网目的：地址以太网报头中的前两个字段是以太网的源地址和目的地址，目的地址为全1的特殊地址是广播地址。帧类型：对于ARP请求或应答来说，该字段的值为0806。 行硬件类型（2）协议类型（2）硬件地址

6、长度（1）协议地址长度（1）Op发送端以太网地址发送端IP地址（4）目的以太网地址（6）目的IP地址（4）1000 0008 00060600 0100 0C 29 FC CC 50C0 A8 01 6400 00 00 00 00 00C0 A8 01 011100 0008 00060600 02E0 05 C5 99 75 8EC0 A8 01 0100 0C 29 FC CC 50C0 A8 01 64上表是ARP协议的头信息：硬件类型字段：表示硬件地址的类型。它的值为1即表示以太网地址。协议类型字段：表示要映射的协议地址类型。它的值为0800即表示IP地址。它的值与包含I P数据报的

7、以太网数据帧中的类型字段的值相同。接下来的两个1字节的字段，硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度，以字节为单位。对于以太网上IP地址的ARP请求或应答来说，它们的值分别为6和4。Op：即操作（Opoperation），1是ARP请求、2是ARP应答、3是RARP请求和4为RARP应答，第二行中该字段值为2表示应答。接下来的四个字段是发送端的硬件地址、发送端的IP地址、目的端的硬件地址和目的端IP地址。第二组数据 建立连接下图显示的是14-21行的数据解释数据包其中14-16行的数据：是两机建立连接的过程。 这三行的意思就是TCP协议的三次握手。TCP的数据包是靠IP协议来

8、传输的。但IP协议是只管把数据送到出去，但不能保证IP数据报能成功地到达目的地，保证数据的可靠传输是靠TCP协议来完成的。当接收端收到来自发送端的信息时，接受端详发送短发送一条应答信息，意思是：“我已收到你的信息了。”第三组数据将能看到这个过程。TCP是一个面向连接的协议。无论哪一方向另一方发送数据之前，都必须先在双方之间建立一条连接。建立连接的过程就是三次握手的过程。 下面分析一下本次连接的三次握手过程： 1)主机发送一个初始序号（SEQ）1843672147给百度的服务器。 2)服务器收到这个序号后，将此序号加1值为1843672148作为应答信号（ACK），同时随机产生一个初始序号（SE

9、Q）3322820107，这两个信号同时发回到请求端主机，意思为：“消息已收到，让我们的数据流以3322820107这个数开始。” 3)本地机收到后将确认序号设置为服务器的初始序号（SEQ）3322820107加1为3322820108作为应答信号。 以上三步完成了三次握手，双方建立了一条通道，接下来就可以进行数据传输了。 头信息分析 如下图所示，第14数据包包含了三头信息：以太网（Ethernet）和IP和TCP。 IP协议头信息 IP数据报头各行信息解释如下: 版本号:4          

10、 首部长度：20字节           服务类型：全零 总长度：48字节     标识：980                还有分片MF:1 不能分片DF:0       片偏移：0 &

11、#160;                生存时间:128ms 协议：6 TCP         首部检验和：0xE42E        源地址：00（虚拟机IP）目的地址：09 （百度服务器IP） ； TCP协议

12、头信息 （上图）TCP数据报头各行信息解释如下; 源端口：1086        目的端口：80      序号：1843672147 确认号：0           数据偏移（首部长度）：28字节  保留 ：全零 URG:0          &#

13、160;    ACK:0                        PSH:0 RST:0               SYN:1