抓包分析报告

计算机通信与网络实验报告实验题目：抓包并进行分析班级：..姓名：..学号：..Wireshark抓包分析Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息，与很多其他网络工具一样，Wireshark也使用pcapnetworklibrary来进行封包捕捉。

一、安装软件并抓包

1：安装并运行wireshark并翻开捕获界面。2、捕获选项图1捕获选项的设置3、开始抓包 点击上图中的“Start”开始抓包几分钟后就捕获到许多的数据包了，主界面如下图：图2主界面显示如上图所示，可看到很多捕获的数据。

第一列是捕获数据的编号；

第二列是捕获数据的相对时间，从开始捕获算为0.000秒；

第三列是源地址，第四列是目的地址；

第五列是数据包的信息。选中第8个数据帧，然后从整体上看看Wireshark的窗口，主要被分成三局部。上面局部是所有数据帧的列表；中间局部是数据帧的描述信息；下面局部是帧里面的数据。

分析UDP、TCP、ICMP协议1、UDP协议UDP是UserDatagramProtocol的简称，中文名是用户数据包协议，是OSI参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送效劳。它是IETFRFC768是UDP的正式标准。〔1〕UDP是一个无连接协议，传输数据之前源端和终端不建立连接，当它想传送时就简单地去抓取来自应用程序的数据，并尽可能快地把它扔到网络上。在发送端，UDP传送数据的速度仅仅是受应用程序生成数据的速度、计算机的能力和传输带宽的限制；在接收端，UDP把每个消息段放在队列中，应用程序每次从队列中读一个消息段。〔2〕由于传输数据不建立连接，因此也就不需要维护连接状态，包括收发状态等，因此一台效劳机可同时向多个客户机传输相同的消息。〔3〕UDP信息包的标题很短，只有8个字节，相对于TCP的20个字节信息包的额外开销很小。〔4〕吞吐量不受拥挤控制算法的调节，只受应用软件生成数据的速率、传输带宽、源端和终端主机性能的限制。〔5〕UDP使用尽最大努力交付，即不保证可靠交付，因此主机不需要维持复杂的链接状态表〔这里面有许多参数〕。〔6〕UDP是面向报文的。发送方的UDP对应用程序交下来的报文，在添加首部后就向下交付给IP层。既不拆分，也不合并，而是保存这些报文的边界，因此，应用程序需要选择适宜的报文大小。原始框显示了分组中包含的数据的每个字节.从中可以观察最原始的传输数据.方框左边是十六进制的数据,右边是ASCII码。报文的二进制码，即发送的最原始内容。现在选择其中第8个包进行分析。图3第8个Frame第1行，现在此贞根本信息。名称，354字节。6。第4-6行，1275000，帧距离第一个帧的捕获时间差：0.201217000

第8、9行，现在贞长度和捕获长度，分别为354字节和60字节。第12、13、14行，现在此贞类型，为UDP类型。图4以太网图5显示了此贞的源地址为〔70:5a:b6:64:ab:bb〕.目的地址(ff:ff:ff:ff:ff:ff)图5Internet协议7.152；55。第2行，Version＝4，表示IP协议的版本号为4，即IPV4,占4位，HeaderLength=20Bytes，表示IP包头的总长度为20个字节，该局部占4个位。所以第一行合起来就是一个字节。第3行，给出头长度，20字节。第6行，Identification=4732，表示IP包识别号为4732。该局部占两个字节。第7行，Flags，表示片标志，占3个位。各位含义分别为：第一个“0”不用，第二位为不可分片位标志位，此处值为“1”表示该数据表禁制分片。第三位为是否最后一段标志位，此处“0”表示最后一段。第10行，给出贞类型，为UDP。第11行，HeaderChecksun=0x1981(correct)，表示IP包头校验和为0x1981，括号内的Correct表示此IP数据包是正确的，没有被非法修改正。该局部占两字节。图6用户数据报协议第2行，源端口：1538。2字节，源端口号，即发送这个TCP包的计算机所使用的端口号。第3行，目的端口：2654。2字节，目标端口号，即接受这个TCP包计算机所使用的端口号。第4行，长度320字节。第5行，Checksum－检验和，校验和。在数据处理和数据通信领域中，用于校验目的的一组数据项的和。这些数据项可以是数字或在计算检验和过程中看作数字的其它字符串。2、TCP协议在因特网协议族〔Internetprotocolsuite〕中，TCP层是位于IP层之上，应用层之下的中间层。不同主机的应用层之间经常需要可靠的、像管道一样的连接，但是IP层不提供这样的流机制，而是提供不可靠的包交换。TCP建立连接之后，通信双方都同时可以进行数据的传输，其次，他是全双工的；在保证可靠性上，采用超时重传和捎带确认机制。图7窗口中的TCP协议贞图8第183个FRAME第1行，现在此贞根本信息。名称，60字节。6。第4-6行，帧距离前一个帧的捕获时间差：0.004356000，帧距离第一个帧的捕获时间差2.409387000。第8、9行，现在贞长度和捕获长度，都是60字节。第12行，现在此贞类型，为TCP类型。第13行，用不同颜色染色标记的协议名称：HTTP第14行，染色显示的规那么的字符串

图9以太网信息图10显示了此贞的源地址和目的地址，指出协议类型为TCP。图10Internet信息第1行，给出了源地址和目的地址，分别为5.139。第2行，Version＝4，表示IP协议的版本号为4，即IPV4,占4位，HeaderLength=20Bytes，表示IP包头的总长度为20个字节，该局部占4个位。所以第一行合起来就是一个字节。第3行，给出头长度，20字节。第6行，Identification=25910，表示IP包识别号为25910。该局部占两个字节。第7行，Flags，表示片标志，占3个位。各位含义分别为：第一个“0”不用，第二位为不可分片位标志位，此处值为“1”表示该数据表禁制分片。第三位为是否最后一段标志位，此处“0”表示最后一段。第10行，给出贞类型，为TCP。第11行，HeaderChecksun=0x3f4c(correct)，表示IP包头校验和为0x3f4c，括号内的Correct表示此IP数据包是正确的，没有被非法修改正。该局部占两字节。图11传输控制协议〔TransmissionControlProtocol，TCP〕是一种面向连接的、可靠的、基于字节流的运输层通信协议，通常由IETF的RFC793说明。在简化的计算机网络OSI模型中，它完成传输层所指定的功能。第1行，源端口：80。2字节，源端口号，即发送这个TCP包的计算机所使用的端口号。第2行，目的端口：1247。2字节，目标端口号，即接受这个TCP包计算机所使用的端口号。第3行，序列数，1。第4行，接收数，1。第5行，包头长度20字节。第6行，Flags，表示片标志，占3个位。各位含义分别为：第一个“0”不用，第二位为不可分片位标志位，此处值为“1”表示该数据表禁制分片。第三位为是否最后一段标志位，此处“0”表示最后一段。下面各行，都没有被设置，其中Syn，为首部同步位，在TCP向另