抓包分析

802.11抓包分析

1.实验目的

分析802.11协议，了解802.11的帧格式

2.实验环境及工具

操作系统：ubuntu

实验工具：WireShark

3.实验原理

（1）802.11MAC层数据帧格式：

Version：表明版本类型，现在所有帧里面这个字段都是0

Type：指明数据帧类型，是管理帧，数据帧还是控制帧,00表示管理帧，01表示控制帧，10表示数据帧

Subtype：指明帧的子类型 ,Data=0000,Data+CF-ACK=0001，Data+CF-Poll=0010, Data+CF-ACK+CF-Poll=0011,Nulldata=0100,CF-ACK=0101,

CF-Poll=0110,Data+CF-ACK+CF-Poll=0111,QoS Data=1000,

Qos Data+CF-ACK=1001,QoS Data+CF-Poll=1010,

QoS Data+CF-ACK+CF-Poll=1011,QoS Null =1100,

QoS CF-ACK=1101,QoS CF-Poll=1110,QoS Data+CF-ACK+CF-Poll=1111

To DS/From DS：这两个数据帧表明数据包的发送方向，分四种情况：

若数据包To DS为0，From DS为0，表明该数据包在网络主机间传输

若数据包To DS为0，From DS为1，表明该数据帧来自AP

若数据包To DS为1，From DS为0，表明该数据帧发送往AP

若数据包To DS为1，From DS为1，表明该数据帧是从AP发送往AP

More flag.:置1表明后面还有更多段

Retry：置1表明这个以前发送一帧的重传

Pwr mgt.:置1表明发送发进入节能模式

More data：置1表明发送发还有更多的帧需要发送给接收方，当AP缓存了处于省电模式下

的网络主机的数据包时，AP给该省电模式下的网络主机的数据帧中该位为1，否

则为0

Protected：置1表明该帧的帧体已经被加密

Order：置1告诉接收方高层希望严格按照顺序来处理帧序列

Duration：通告本帧和其确认帧将会占用信道多长时间

Address 1：发送方地址 Address 2：接收地址 Address 3：远程端点

Sequence：帧的编号

Data:有效载荷，长度可达2312字节

Check Sequence：CRC校验码

（2）802.11控制帧，每种控制帧的帧格式不一样，以RTS帧为例说明

Version：表明版本类型，现在所有帧里面这个字段都是0

Type：指明数据帧类型，是管理帧，数据帧还是控制帧,00表示管理帧，01表示控制帧，10表示数据帧

Subtype：指明数据帧的子类型，Power Save(PS)-Poll（省电轮询）=1010,RTS=1011,CTS=1100,ACK=1101,CF-End(无竞争周期结束)=1110，

CF-End(无竞争周期结束)+CF-ACK(无竞争周期确认)=1111，Block ACK=1001,

控制帧的To DS 至Order除Pwr.mgt.外必然为0

Receiver Address：接收方地址

Transmitter Address：发送发地址，CTS和ACK没有该字段

Check sequence：校验码

（3）管理帧,

Bytes 2 2 6 6 6 2 0-2312 4

Version：表明版本类型，现在所有帧里面这个字段都是0

Type：指明数据帧类型，是管理帧，数据帧还是控制帧,00表示管理帧，01表示控制帧，10表示数据帧

Subtype：指明数据帧的子类型，

Association Request(关联请求)=0000，

Association Response (关联响应)=0001，

Reassociation Request(重关联请求)=0010，

Reassociation Response(重关联响应)=0011，

Probe Request(探测请求)=0100，

Probe Response(探测响应)=0101，

Beacon(信标帧)=1000，

ATIM(通知传输指示信息)=1001，

Disassociation(解除关联)=1010，

Authentication(身份验证)=1011，

Deauthentication(解除身份验证)=1100

管理帧的To DS 与From DS均为0，其余Frame Control字段意义与数据帧一致Destination Address：目的地址

Source Address:源地址

BSSID:基本服务集ID, 用于过滤收到的MAC帧(在基础型网络里为工作站所关联的AP的MAC 地址)

Sequence:帧序列号

Address Check sequence：校验码

4.实验步骤

1.配置wireshark，启动monitor mode,抓取wifi的数据包,如下图

2.分析抓取到的wifi数据包

5.实验结果及分析

1.数据帧

（1）数据帧

Version ，Type 和Subtype的08H,即00001000，后两位00，表明协议版本为0，倒数3、4位10 表明这是一个数据帧，前四位0000是subtype。

Frame control 后8位0AH，即00001010。 To DS=0，From DS=1，表明该数据帧来自AP。More frag=0,表明这是该帧的最后一段，Retry=1,表明这是重传帧，Pwr. Mgt.=0,表明

发送方没有进入节能模式；More data=0表明没有更多的帧，即No data buffered .Protected=0，表明没有加密，Order=0,表明没有严格的顺序要求。

Duration位为d500，低位为00，高位为d5，所以持续时间为00d5H=213微秒。Address 1 =0022698ea744，接收方的MAC地址;Address 2= 0611b51a0a05,发送发地址，即AP地址；Address 3= 00005e00040a，远程远端地址；Sequence=3032,高位为32，低位为30，即 0011 0010 0011 0010,段号为0，帧号为0011 0010 0011B=803D，CheckH，检测结果为正确。（2）上图帧紧接着的下一个数据帧

每发出去一帧Sequence中的12位帧号递增，Address 1 =0022698ea744，接收方的MAC 地址;Address 2= 0611b51a0a05,发送发地址，即AP地址；Address 3= 00005e00040a，远程远端地址；这三个地址与上图中的帧一致，是同一发送方发送给同一接收方的连续两帧，帧号=804,帧号递增。

2．控制帧

（1）RTS帧

Frame control 后8位00H，控制帧的这几位除Pwr.mgt.外必然是0. Pwr.mgt即发送方没有进入节能模式。

Duration位为6709，低位为67，高位为09，所以持续时间为096fH=2407微秒。

Receiver Address =00:22:69:8e:a7:44，接收方的MAC地址; Transmitter Address =06:11:b5:1a:0a:05，发送方地址；Check sequence=6e24f28cH，检测结果为正确。（2）CTS帧

Version ，Type 和Subtype的C4H,即11000100，后两位00，表明协议版本为0，倒数3、4位01 表明这是一个控制帧，前四位1100是subtype,表明这是一个CTS.

Frame control 后8位00H，控制帧的这几位除Pwr.mgt.外必然是0. Pwr.mgt即发送方没有进入节能模式。

Duration位为6f09，低位为6f，高位为09，所以持续时间为096fH=2415微秒。Receiver Address =70f1al496492，接收方的MAC地址;Check sequence=a1d1f7e5H，检测结果为正确。（3）ACK帧

Frame control 后8位00H，控制帧的这几位除Pwr.mgt.外必然是0. Pwr.mgt即发送方没有进入节能模式。

Duration位为0000，所以持续时间为0微秒,ACK表明该帧的传送结束，所以持续时间为0，Receiver Address =00:22:69:8e:a7:44，接收方的MAC地址; Check sequence=6e24f28cH，检测结果为正确。

（4）Block ACK帧

后两位00，表明协议版本为0，倒数3、4位01 表明这是一个控制帧，前四位1001是subtype,表明这是一个Block Ack,这是一个块确定帧

Frame control 后8位00H，控制帧的这几位除Pwr.mgt.外必然是0. Pwr.mgt即发送方没有进入节能模式。

Duration位为9400，低位为94，高位为00，所以持续时间为0094H=148微秒。Receiver Address =70f1al496492，接收方的MAC地址。Transmitter Address =3822d67704d3,发送方的MAC地址，Check sequence=d2ed060f，检测结果为正确。其余位与Block ACK该种帧有关，Block Ack Type=02H，compressed Block；Block Ack Control=0005H,Block Ack Starting Sequence Control=9320H.

3. 管理帧

Version ，Type 和Subtype的80H,即1000 0000，后两位00，表明协议版本为0，倒数3、4位00 表明这是一个管理帧，前四位1000是subtype,表明这是信标帧，AP每隔一段时间就会发出的 Beacon（信标）信号，用来宣布 802.11 网络的存在

Frame control 后8位00H. To DS=0，From DS=0，管理帧这两位固定。More frag=0,表明这是该帧的最后一段，Retry=0,表明这不是重传帧，Pwr. Mgt.=0,表明发送方没有进入节能模式，More data=0表明没有更多的帧，即No data buffered ,该位被置是因为有AP 缓存了数据给在休眠中的主机，由于To DS=0，From DS=0,数据再主机之间传送，所以More data必定为0.Protected=0，表明没有加密，Order=0,表明没有严格的顺序要求。

Duration位为0000，信标帧传送完，此次传输就已经结束，所以持续时间为0微秒。Destination Address=ff ff ff ff,即为广播; Source Address=3822d67705d0, 为AP地址；BSSID=3822d67705d0,即AP地址；Sequence=6002,高位为02，低位为60，即0000 0010 0110 0000，段号为0，帧号为0000 0010 0110B=38D，Check sequence=8007c6e2H，检测结果为正确。

6.实验总结

十六进制表示的帧与帧格式字段，顺序对应关系不太合理。如数据帧Frame Control 在Packet bytes面板为080a，在Packet detail 面板显示为0a08. 0a08=0000 1010 0000

1000,所表示的分别是 Order, Protected,Moredata,Pwr.mgt,Retry,More frag.From DS,To DS,Subtype,Type和Version,顺序与帧格式中描述的正好相反。而Duration，Source字段均是两个字节，如Duration在Packet bytes面板中的十六进制为d500,延迟=213D=00d5H，后两位为高字节，与正常顺序相反。而地址字节，在Packet bytes面板为0022698ea744，则MAC地址就为0022698ea744，这里的字节顺序没有反过来。所以说用wireshark抓包得到的十六进制表示的帧，其顺序与帧格式中描述的顺序对应关系比较难理解。

7.参考资料

1.计算机网络（第五版）.Andrew S.Tanenbaum,David J.Wetherall

2.802.11无线网络权威指南（第二版）Mattbew S. Gast

计算机网络课程设计---基于Wireshark的网络数据包内容解析

基于Wireshark的网络数据包内容解析 摘要本课程设计是利用抓包软件Wireshark，对网络服务器与客户端进行网络数据收发过程中产生的包进行抓取，然后对所抓取的包进行分析，并结合的协议进行分析，达到了解各种数据包结构的目的。设计过程中对各种包进行抓取分析，各种包之间比较，了解每种包的传输过程与结构，通过本次课程设计，能很好的运用Wireshark对数据包分析和Wireshark各种运用，达到课程设计的目的。 关键词IP协议；TCP协议；UDP协议；ARP协议；Wireshark；计算机网络； 1 引言 本课程设计主要是设计一个基于Wireshark的网络数据包内容解析，抓取数据包，然后对所抓取的包进行分析，并结合的协议进行分析，达到了解各种数据包结构的目的 1.1 课程设计目的 Wireshark是一个网络封包分析软件。可以对网络中各种网络数据包进行抓取，并尽可能显示出最为详细的网络封包资料，计算机网络课程设计是在学习了计算机网络相关理论后，进行综合训练课程，其目的是： 1.了解并会初步使用Wireshark，能在所用电脑上进行抓包； 2.了解IP数据包格式，能应用该软件分析数据包格式。 1.2 课程设计要求 （1）按要求编写课程设计报告书，能正确阐述设计结果。 （2）通过课程设计培养学生严谨的科学态度，认真的工作作风和团队协作精神。 （3）学会文献检索的基本方法和综合运用文献的能力。

（4）在老师的指导下，要求每个学生独立完成课程设计的全部内容。 1.3 课程设计背景 一、Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。 网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。Wireshark的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Wireshark是目前全世界最广泛的网络封包分析软件之一。 二、网络嗅探需要用到网络嗅探器，其最早是为网络管理人员配备的工具，有了嗅探器网络管理员可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器分析网络流量，找出网络阻塞的来源。网络嗅探是网络监控系统的实现基础。 网络嗅探需要用到网络嗅探器，其最早是为网络管理人员配备的工具，有了嗅探器网络管理员可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器分析网络流量，找出网络阻塞的来源。嗅探器也是很多程序人员在编写网络程序时抓包测试的工具，因为我们知道网络程序都是以数据包的形式在网络中进行传输的，因此难免有协议头定义不对的。 网络嗅探的基础是数据捕获，网络嗅探系统是并接在网络中来实现对于数据的捕获的，这种方式和入侵检测系统相同，因此被称为网络嗅探。网络嗅探是网络监控系统的实现基础，首先就来详细地介绍一下网络嗅探技术，接下来就其在网络监控系统的运用进行阐述。 2 网络协议基础知识 2.1 IP协议 （1） IP协议介绍

wireshark抓包分析报告TCP和UDP

计 算 机 网 络Wireshark抓包分析报告

目录 1. 使用wireshark获取完整的UDP报文 (3) 2. 使用wireshark抓取TCP报文 (3) 2.1 建立TCP连接的三次握手 (3) 2.1.1 TCP请求报文的抓取 (4) 2.1.2 TCP连接允许报文的抓取 (5) 2.1.3 客户机确认连接报文的抓取 (6) 2.2 使用TCP连接传送数据 (6) 2.3 关闭TCP连接 (7) 3. 实验心得及总结 (8)

1. 使用wireshark获取完整的UDP报文 打开wireshark，设置监听网卡后，使用google chrome 浏览器访问我腾讯微博的首页 p.t.qq./welcomeback.php?lv=1#!/list/qqfriends/5/?pgv_ref=im.perinfo.perinfo.icon? ptlang=2052&pgv_ref=im.perinfo.perinfo.icon，抓得的UDP报文如图1所示。 图1 UDP报文 分析以上的报文容，UDP作为一种面向无连接服务的运输协议，其报文格式相当简单。第一行中，Source port：64318是源端口号。第二行中，Destination port：53是目的端口号。第三行中，Length：34表示UDP报文段的长度为34字节。第四行中，Checksum之后的数表示检验和。这里0x表示计算机中16进制数的开始符，其后的4f0e表示16进制表示的检验和，把它们换成二进制表示为：0100 1111 0000 1110. 从wireshark的抓包数据看出，我抓到的UDP协议多数被应用层的DNS协议应用。当一台主机中的DNS应用程序想要进行一次查询时，它构成了一个DNS 查询报文并将其交给UDP。UDP无须执行任何实体握手过程，主机端的UDP为此报文添加首部字段，并将其发出。 2. 使用wireshark抓取TCP报文 2.1 建立TCP连接的三次握手 建立TCP连接需要经历三次握手，以保证数据的可靠传输，同样访问我的腾讯微博主页，使用wireshark抓取的TCP报文，可以得到如图2所示的客户机和服务器的三次握手的过程。 图2 建立TCP连接的三次握手

网络协议分析——抓包分析

计算机网络技术及应用实验报告

第一部分是菜单和工具栏，Ethereal提供的所有功能都可以在这一部分中找到。 第二部分是被捕获包的列表，其中包含被捕获包的一般信息，如被捕获的时间、源和目的IP地址、所属的协议类型，以及包的类型等信息。 第三部分显示第二部分已选中的包的每个域的具体信息，从以太网帧的首部到该包中负载内容，都显示得清清楚楚。 第四部分显示已选中包的16进制和ASCII表示，帮助用户了解一个包的本来样子。 3、具体分析各个数据包 TCP分析：

源端口 目的端口序号 确认号 首部长度窗口大小值

运输层: 源端口：占2个字节。00 50（0000 0000 1001 0000） 目的端口：占2个字节。C0 d6(1100 0000 1101) 序号：占四个字节。b0 fe 5f 31(1011 0000 0101 1110 0011 0001) 确认号：占四个字节。cd 3e 71 46(1100 1101 0011 1110 0110 0001 0100 0110)首部长度：共20个字节：50（0101 0001） 窗口大小值：00 10（0000 0000 0001 00000） 网络层： 不同的服务字段：20 （0010 0000）

总的长度：00 28（0000 0000 0010 10000） 识别：81 28（1000 0001 0010 10000） 片段抵消：40 00（0100 0000 0000 0000） 生存时间：34 （0011 0100） 协议： 06(0000 0110)

69 5b(0110 1001 0101 1011) 首部来源：dd b4 15 f1(1101 1101 1011 0100 0001 0101 1110 0001) 目的地：70 04 f8 82 （0110 0000 0000 0100 1111 1000 1000 0010） 点对点协议：00 21 （0000 0000 0010 0001）

网络协议分析——抓包分析

计算机网络技术及应用实验报告开课实验室：南徐学院网络实验室

第一部分是菜单和工具栏，Ethereal提供的所有功能都可以在这一部分中找到。第二部分是被捕获包的列表，其中包含被捕获包的一般信息，如被捕获的时间、源和目的IP地址、所属的协议类型，以及包的类型等信息。 第三部分显示第二部分已选中的包的每个域的具体信息，从以太网帧的首部到该包中负载内容，都显示得清清楚楚。 第四部分显示已选中包的16进制和ASCII表示，帮助用户了解一个包的本来样子。 3、具体分析各个数据包 TCP分析：

源端口 目的端口序号 确认号 首部长度窗口大小值

运输层: 源端口：占2个字节。00 50（0000 0000 1001 0000） 目的端口：占2个字节。C0 d6(1100 0000 1101) 序号：占四个字节。b0 fe 5f 31(1011 0000 0101 1110 0011 0001) 确认号：占四个字节。cd 3e 71 46(1100 1101 0011 1110 0110 0001 0100 0110) 首部长度：共20个字节：50（0101 0001） 窗口大小值：00 10（0000 0000 0001 00000） 网络层： 不同的服务字段：20 （0010 0000）

总的长度：00 28（0000 0000 0010 10000） 识别：81 28（1000 0001 0010 10000） 片段抵消：40 00（0100 0000 0000 0000） 生存时间：34 （0011 0100） 协议： 06(0000 0110)

IGMP及抓包分析

IGMP IGMP 是Internet Group Management Protocol（互联网组管理协议）的简称。它是TCP/IP 协议族中负责IP 组播成员管理的协议，用来在IP 主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。 到目前为止，IGMP 有三个版本： 1、IGMPv1（由RFC 1112 定义） 2、IGMPv2（由RFC 2236 定义） 3、IGMPv3（由RFC 3376定义） 一、IGMPv1 1.1报文格式 1、版本： 版本字段包含IGMP版本标识，因此设置为1。 2、类型： 成员关系查询（0x11） 成员关系报告（0x12） 3、校验和 4、组地址： 当一个成员关系报告正被发送时，组地址字段包含组播地址。 当用于成员关系查询时，本字段为0，并被主机忽略。 1.2组成员加入过程 当一个主机希望接收一个组播组的数据，则发送成员加入报告给组播组。

IGMPv1 join包如下： 1.3查询与响应过程 路由器RTA（IGMP查询器）周期性地（默认60秒）向子网内所有主机（224.0.0.1代表子网内所有主机）发送成员关系查询信息。

所有主机收到IGMPv1成员关系查询信息，一主机首先向组播组发送IGMPv1成员关系报告。 组的其他成员监听到报告后抑制自己的成员关系报告发送。 1.4 抑制机制 当主机收到IGMP成员关系查询时，对它已经加入的每个组播组启动一个倒计数报告计时器。各个报告计时器初始值为从0到最大响应之间一个随机数，默认值是10秒。 计时器到时的主机则主动发送成员关系报告，目的地为该主机所属的组地址。 其它主机收到该成员关系报告，则抑制成员关系报告的发送，并删除计时器。 1.5 组成员离开过程 主机“默不作声”地离开组（不发送报告了）。 路由器发送成员关系查询信息。 路由器没有收到该组的IGMP报告，则再发送成员关系信息（3次查询周期过后）。 组播组超时，剪枝。 二、IGMPv2 2.1报文格式 1、类型 成员关系查询（0x11） 常规查询：用于确定哪些组播组是有活跃的，即该组是否还有成员在使用，常规查询地址由全零表示； 特定组查询：用于查询某具体组播组是否还有组成员。 版本2成员关系报告（0x16） 版本1成员关系报告（0x12） 离开组消息（0x17）

抓包分析的方法

抓包分析的方法: 1. 先按照下面的方法将抓到的包的TIME STAMP 打开。 Ethereal →view →time display format →Date and time of day 2. 假定在一定的时间段里抓到三个包A1.cap,A2.cap,A 3.cap,则在合并包的时候按照从后往前 的时间顺序,打开A3.cap 再在菜单中选 FILE ->merge-->选择相应路径，选定A2.cap 选定 merge packet chronological 并将其另存为32.cap 3. 按照2的方法，将收集到的多个包组合成为一个全包AB.CAP 。 4.打开全包AB.CAP, 如需分析H248信令，则按照如下流程过虑 i.在里边先过虑:megaco.termid=="tdm/410" ，这里的终端标识 tdm/410请依照自己节点的相应标识输入； ii.从出来的信令里找到context ID CCC 和主叫侧rtp 端口号X1X1X1X1 被叫侧rtp 端口X2X2X2X3再修改 过虑条件为megaco.termid=="tdm/410" or megaco.context==CCC 这样再过虑出来的megaco 信令另存后就是比较全的信令流程； 如需看是否有丢包，以及AG 和TG 等的打包时间等，还需进行RTP 的分析，则继续按照如下条件过虑： iii ．再修改过虑条件为 UDP.port==X1X1X1X1 or UDP.port==X2X2X2X2 这样过虑出来的包都是rtp 流，再如下操作： Analyze →decode as-→(选中decode) transport 里UDP 选both →再在右面的筐里选RTP. 如图所示： 再进行如附件的操作： statistics →RTP — stream analyse 经过虑后可以看到前向和后向的rtp 的相关信息，里边有是丢包情况的统计信息，Delta 是打包时长等。 如需听听RTP 语音流是什么内容，则再按照如下操作： 选 SA VE PAYLOAD →选择存储路径－>format 选Both ----→channels 选both ，并将其存为 HHH.au 这样得到的hhh.au 文件就可以用Adobe Audition 工具打开即可听到其中的话音内容。

wireshark抓包分析了解相关协议工作原理

安徽农业大学 计算机网络原理课程设计 报告题目wireshark抓包分析了解相关协议工作原理 姓名学号 院系信息与计算机学院专业计算机科学与技术 中国·合肥 二零一一年12月

Wireshark抓包分析了解相关协议工作原理 学生：康谦班级：09计算机2班学号：09168168 指导教师：饶元 （安徽农业大学信息与计算机学院合肥） 摘要：本文首先ping同一网段和ping不同网段间的IP地址，通过分析用wireshark抓到的包，了解ARP地址应用于解析同一局域网内IP地址到硬件地址的映射。然后考虑访问https://www.360docs.net/doc/c313834330.html,抓到的包与访问https://www.360docs.net/doc/c313834330.html,抓到的包之间的区别，分析了访问二者网络之间的不同。 关键字：ping 同一网段不同网段 wireshark 协议域名服务器 正文： 一、ping隔壁计算机与ping https://www.360docs.net/doc/c313834330.html,抓到的包有何不同，为什么？（1）、ping隔壁计算机 ARP包：

ping包： （2）ing https://www.360docs.net/doc/c313834330.html, ARP包：

Ping包： （3）考虑如何过滤两种ping过程所交互的arp包、ping包；分析抓到的包有

何不同。 答：ARP地址是解决同一局域网上的主机或路由器的IP地址和硬件地址的映射问题，如果要找的主机和源主机不在同一个局域网上，就会解析出网 关的硬件地址。 二、访问https://www.360docs.net/doc/c313834330.html,，抓取收发到的数据包，分析整个访问过程。（1）、访问https://www.360docs.net/doc/c313834330.html, ARP（网络层）： ARP用于解析IP地址与硬件地址的映射，本例中请求的是默认网关的硬件地址。源主机进程在本局域网上广播发送一个ARP请求分组，询问IP地址为192.168.0.10的硬件地址，IP地址为192.168.0.100所在的主机见到自己的IP 地址，于是发送写有自己硬件地址的ARP响应分组。并将源主机的IP地址与硬件地址的映射写入自己ARP高速缓存中。 DNS（应用层）： DNS用于将域名解析为IP地址，首先源主机发送请求报文询问https://www.360docs.net/doc/c313834330.html, 的IP地址，DNS服务器210.45.176.18给出https://www.360docs.net/doc/c313834330.html,的IP地址为210.45.176.3

计算机网络qq抓包分析

QQ数据包分析 一、实验内容： 分析QQ数据包协议：Ethernet、IP、TCP、UDP、DNS、HTTP 等，按层详细分析数据包工作机制和各协议数据组成及功能作用。 二、实验环境： Window 7环境下、QQ2014 三、实验工具： QQ2014、Ethereal抓包工具、Wiresshark抓包工具 四、实验内容 1、QQ登录数据包分析 ①利用Wireshark抓包工具的过滤规则OICQ对于qq登录的第一条登录信息进行截取分析 ②首先我们通过对第一条信息的截图我们可以看到信息

1、帧的信息： 该数据帧的帧号为：37 帧的大小：648 bits 数据接口：interface 0 到达时间：Mar 9, 2015 14:57:07.546829000 中国标准时间帧所用到的协议：eth ethertype ip udp oicq 2、数据链路层帧（eth）： 以太网帧首部大小：14个字节 目的地址：Dst: AsustekC_60:5e:44 (14:da:e9:60:5e:44), 源地址：Src:DigitalC_02:f6:fe (00:03:0f:02:f6:fe) 类型字段：0800 字段类型：IP

3、网络层协议IP Ip数据报首部长度：20字节 版本号：4，目前使用为IPV4 首部长度：20字节 区分服务：00 总长度：67字节 标识：0x5c5c (23644) 标志：0x00 片偏移：0个单位 生存时间：64，表明的是这个数据报之前没有经过路由结点协议：UDP（17） 头部检验和：0x1b3c [validation disabled] 源IP地址：192.168.83.9 (192.168.83.9) 目的地址：183.60.56.36 (183.60.56.36) 4、用户数据协议UDP

网络层数据包抓包分析

网络层数据包抓包分析 一.实验内容 （1）使用Wireshark软件抓取指定IP包。 （2）对抓取的数据包按协议格式进行各字段含义的分析。 二.实验步骤 （1）打开Wireshark软件，关闭已有的联网程序（防止抓取过多的包），开始抓包； （2）打开浏览器，输入https://www.360docs.net/doc/c313834330.html,/网页打开后停止抓包。 （3）如果抓到的数据包还是比较多，可以在Wireshark的过滤器（filter）中输入http，按“Apply”进行过滤。过滤的结果就是和刚才打开的网页相关的数据包。 （4）在过滤的结果中选择第一个包括http get请求的帧，该帧用

于向https://www.360docs.net/doc/c313834330.html,/网站服务器发出http get请求 （5）选中该帧后，点开该帧首部封装明细区中Internet Protocol 前的”+”号，显示该帧所在的IP包的头部信息和数据区： （6）数据区目前以16进制表示，可以在数据区右键菜单中选择“Bits View”以2进制表示：

（注意:数据区蓝色选中的数据是IP包的数据，其余数据是封装该IP包的其他层的数据） 回答以下问题： 1、该IP包的“版本”字段值为_0100_(2进制表示)，该值代表该IP包的协议版本为： √IPv4 □IPv6 2、该IP包的“报头长度”字段值为__01000101__(2进制表示)，该值代表该IP包的报头长度为__20bytes__字节。 3、该IP包的“总长度”字段值为___00000000 11101110___ (2进制表示)，该值代表该IP包的总长度为__238__字节，可以推断出该IP包的数据区长度为__218__字节。 4、该IP包的“生存周期”字段值为__01000000__ (2进制表示)，该值代表该IP包最多还可以经过___64__个路由器 5、该IP包的“协议”字段值为__00000110__ (2进制表示) ，该值代表该IP包的上层封装协议为__TCP__。 6、该IP包的“源IP地址”字段值为__11000000 10101000

802.11数据抓包分析

802.11抓包分析 1.实验目的 分析802.11协议，了解802.11的帧格式 2.实验环境及工具 操作系统：ubuntu 实验工具：WireShark 3.实验原理 （1）802.11MAC层数据帧格式： Bytes 2 2 6 6 6 2 0-2312 4 Bits 2 2 4 1 1 1 1 1 1 1 1 Version：表明版本类型，现在所有帧里面这个字段都是0 Type：指明数据帧类型，是管理帧，数据帧还是控制帧,00表示管理帧，01表示控制帧，10表示数据帧 Subtype：指明帧的子类型 ,Data=0000,Data+CF-ACK=0001，Data+CF-Poll=0010, Data+CF-ACK+CF-Poll=0011,Nulldata=0100,CF-ACK=0101, CF-Poll=0110,Data+CF-ACK+CF-Poll=0111,QoS Data=1000, Qos Data+CF-ACK=1001,QoS Data+CF-Poll=1010, QoS Data+CF-ACK+CF-Poll=1011,QoS Null =1100, QoS CF-ACK=1101,QoS CF-Poll=1110,QoS Data+CF-ACK+CF-Poll=1111 To DS/From DS：这两个数据帧表明数据包的发送方向，分四种情况： 若数据包To DS为0，From DS为0，表明该数据包在网络主机间传输 若数据包To DS为0，From DS为1，表明该数据帧来自AP 若数据包To DS为1，From DS为0，表明该数据帧发送往AP 若数据包To DS为1，From DS为1，表明该数据帧是从AP发送往AP More flag.:置1表明后面还有更多段

计算机网络抓包报告

西安邮电大学 《计算机网络技术与应用》 课内实验报告书 院系名称：管理工程学院 实验题目：Wireshark抓包分析实验 学生姓名： 专业名称：信息管理与信息系统 班级： 学号： 时间： 2013年06月26日

目录 1. 使用wireshark获取完整的UDP报文 (3) 2. 使用wireshark抓取TCP报文 (6) 2.1 TCP请求报文的抓取 (7) 2.2 TCP连接允许报文的抓取 (8) 2.3 客户机确认连接报文的抓取 (9) 3. 实验心得及总结 (10)

1使用wireshark获取完整的UDP报文安装Wireshark，简单描述安装步骤。

打开wireshark，选择接口选项列表。或单击“Capture”，配置“option”选项。 打开Wireshark,其界面如下图: 单击capture,配置option:

抓得的UDP 报文如图1所示。 图1 UDP报文 分析以上的报文内容，UDP作为一种面向无连接服务的运输协议，其报文格式相当简单。第一行中，Source port：64318是源端口号。第二行中，Destination port：53是目的端口号。第三行中，Length：34表示UDP报文段的长度为34字节。第四行中，Checksum之后的数表示检验和。这里0x表示计算机中16进制数的开始符，其后的4f0e表示16进制表示的检验和，把它们换成二进制表示为：0100 1111 0000 1110. 从wireshark的抓包数据看出，我抓到的UDP协议多数被应用层的DNS协议应用。当一台主机中的DNS应用程序想要进行一次查询时，它构成了一个DNS 查询报文并将其交给UDP。UDP无须执行任何实体握手过程，主机端的UDP为此报文添加首部字段，并将其发出。 2. 使用wireshark抓取TCP报文 建立TCP连接的三次握手 建立TCP连接需要经历三次握手，以保证数据的可靠传输，同样访问我的腾

IPV6抓包协议分析

IPV6协议抓包分析 一、实践名称： 在校园网配置使用IPv6，抓包分析IPv6协议 二、实践内容和目的 内容：网络抓包分析IPv6协议。 目的：对IPv6协议的更深层次的认识，熟悉IPv6数据报文的格式。 三、实践器材： PC机一台，网络抓包软件Wireshark 。 四、实验数据及分析结果： 1．IPv6数据报格式： 2. 网络抓包截获的数据：

3. 所截获的IPv6 的主要数据报为:? Internet Protocol Version 6?0110 .... = Version: 6?. (0000) 0000 .... .... .... .... .... = Traffic class: 0x00000000?.... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000 Payload length: 93 Next header: UDP (0x11)?Hop limit: 1?Source: fe80::c070:df5a:407a:902e (fe80::c070:df5a:407a:902e) Destination: ff02::1:2 (ff02::1:2) 4. 分析报文： 根据蓝色将报文分成三个部分：

第一部分： 33 33 00 01 00 02，目的组播地址转化的mac地址， 以33 33 00表示组播等效mac；00 26 c7 e7 80 28， 源地址的mac地址；86 dd，代表报文类型为IPv6 (0x86dd)； 第二部分： 60，代表包过滤器"ip.version == 6"； 00 00 00，Traffic class（通信类别）: 0x00000000； 00 5d，Payload length（载荷长度，即报文的最后一部分，或者说是报文携带的信息）: 32； 11，Next header（下一个封装头）: ICMPv6 (17)； 01，Hop limit（最多可经历的节点跳数）: 1； fe 80 00 00 00 00 00 00 c0 70 df 5a 40 7a 90 2e，源ipv6地址； ff 02 00 00 00 00 00 00 00 00 00 00 00 01 00 02，目的ipv6地址； 第三部分（报文携带的信息）： 02，表示类型为Neighbor Solicitation (2)； 22，表示Code: 38； 02 23是Checksum（校验和）: 0x6faa [correct]； 00 5d 36 3a，Reserved（保留位）: 00000000； fe 80 00 00 00 00 00 00 76 d4 35 ff fe 03 56 b0，是组播地址中要通信的那个目的地址； 01 01 00 23 5a d5 7e e3，表示

实验二 网络抓包及协议分析实验

实验二网络抓包及协议分析实验 一．实验目的： 1．了解抓包与协议分析软件的简单使用方法。 2．了解并验证网络上数据包的基本结构。 二．实验环境 1．硬件：PC、配备网卡，局域网环境。 2．软件：Windows 2000或者XP操作系统、winpcap、analyzer。 三．实验内容 利用Ethereal软件抓取网络上的数据包，并作相应分析。 四．实验范例 （1）安装 Etheral的安装非常简单，只要按照提示安装即可。 （2）运行 双击桌面的Ethereal，显示“The Ethereal Network Analyzer”的主界面，菜单的功能是：（3）设置规则 这里有两种方式可以设置规则： ●使用interface 1）选择Capture—>interfaces，将显示该主机的所有网络接口和所有流经的数据包，单击“Capture”按钮，及执行捕获。 2）如果要修改捕获过程中的参数，可以单击该接口对应的“Prepare”按钮。在捕获选项对话框中，可以进一步设置捕获条件： ●Interface——确定所选择的网络接口 ●Limit each packet to N bytes——指定所捕获包的字节数。 选择该项是为了节省空间，只捕获包头，在包头中已经拥有要分析的信息。 ●Capture packet in promiscuous mode——设置成混杂模式。 在该模式下，可以记录所有的分组，包括目的地址非本机的分组。 ●Capture Filter——指定过滤规则 有关过滤规则请查阅以下使用Filter方式中的内容。 ●Capture files——指定捕获结果存放位置 ●Update list of packets in real time——实时更新分组

Wireshark抓包实例分析

Wireshark抓包实例分析 通信工程学院010611班赖宇超01061093 一．实验目的 1.初步掌握Wireshark的使用方法，熟悉其基本设置，尤其是Capture Filter和Display Filter 的使用。 2.通过对Wireshark抓包实例进行分析，进一步加深对各类常用网络协议的理解，如：TCP、UDP、IP、SMTP、POP、FTP、TLS等。 3.进一步培养理论联系实际，知行合一的学术精神。 二．实验原理 1.用Wireshark软件抓取本地PC的数据包，并观察其主要使用了哪些网络协议。 2.查找资料，了解相关网络协议的提出背景，帧格式，主要功能等。 3.根据所获数据包的内容分析相关协议，从而加深对常用网络协议理解。 三．实验环境 1.系统环境：Windows 7 Build 7100 2.浏览器：IE8 3.Wireshark：V 1.1.2 4.Winpcap：V 4.0.2 四．实验步骤 1.Wireshark简介 Wireshark（原Ethereal）是一个网络封包分析软件。其主要功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。其使用目的包括：网络管理员检测网络问题，网络安全工程师检查资讯安全相关问题，开发者为新的通讯协定除错，普通使用者学习网络协议的

相关知识……当然，有的人也会用它来寻找一些敏感信息。 值得注意的是，Wireshark并不是入侵检测软件（Intrusion Detection Software,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark 撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。 2.实例 实例1：计算机是如何连接到网络的？ 一台计算机是如何连接到网络的？其间采用了哪些协议？Wireshark将用事实告诉我们真相。如图所示： 图一：网络连接时的部分数据包 如图，首先我们看到的是DHCP协议和ARP协议。 DHCP协议是动态主机分配协议(Dynamic Host Configuration Protocol)。它的前身是BOOTP。BOOTP可以自动地为主机设定TCP/IP环境，但必须事先获得客户端的硬件地址，而且，与其对应的IP地址是静态的。DHCP是BOOTP 的增强版本，包括服务器端和客户端。所有的IP网络设定数据都由DHCP服务器集中管理，并负责处理客户端的DHCP 要求；而客户端则会使用从服务器分配下来的IP环境数据。 ARP协议是地址解析协议(Address Resolution Protocol)。该协议将IP地址变换成物理地址。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。 让我们来看一下数据包的传送过程：

IP抓包分析

IP抓包实验 一．数据截图 二．分析 这个IP协议报文我是在访问一个网站时抓到的。 从截图中我们可以看到IP的版本号（Version）为4，即IPV4协议。首部长度（Head length）为20字节。服务类型（differentiated services field）为0000，说明是一般服务。数据报总长度（total length）为56 。标识（identification）为0x4a28（18984），由信源机产生，每次自动加1，当IP数据报被分片时，每个数据分片仍然沿用该分片所属的IP数据报的标识符，信宿机根据该标识符完成数据报重组。标志（FLAGS）为0x04，表示不允许分片（DON'T FRAGMENT），标志用于是否允许分片以及是否是最后一片。片位移（fragment

offset）为0，表示本片数据在它所属数据报数据区中的偏移量，是信宿机进行各分片的重组提供顺序依据。生存时间（time to live）为64，用来解决循环路径问题，数据报没经过一个路由器，TTL减1，当TTL减为0时，如果仍未到达信宿机，便丢弃该数据报。协议标识（protocol）为0x06，表示被封装的协议为TCP。首部校验和（head checksum）为0xf5f4，表示首部数据完整。源主机（客户机）地址为192.168.0.103，目的主机（服务器）地址为220.181.92.222。 0806580121 刘敏 2011年1月9日

妈妈新开了个淘宝店，欢迎前来捧场 妈妈的淘宝点开了快半年了，主要卖的是毛绒玩具、坐垫、抱枕之类的，感觉妈妈还是很用心的，花了不少功夫，所以我也来出自己的一份力，帮忙宣传一下。 并且妈妈总是去五亭龙挑最好的玩具整理、发货，质量绝对有保证。另外我家就在扬州五亭龙玩具城旁边，货源丰富，质量可靠，价格便宜。 欢迎大家来逛逛【扬州五亭龙玩具总动员】https://www.360docs.net/doc/c313834330.html,

网络抓包--sniffer pro的使用

实验二 网络抓包——sniffer pro 的使用 实验目的： 1. 了解网络嗅探的原理； 2. 掌握Sniffer Pro 嗅探器的使用方法； 实验学时：2课时 实验形式：上机 实验器材： 联网的PC 机 实验环境：操作系统为Windows2000/XP 实验内容： 任务一 熟悉Sniffer Pro 工具的使用 任务二 使用Sniffer Pro 抓获数据包 实验步骤： 任务一 熟悉Sniffer Pro 工具的使用 1. Sniffer Pro 工具简介 Sniffer 软件是NAI 公司推出的功能强大的协议分析软件，具有捕获网络流量进行详细分析、利用专家分析系统诊断问题、实时监控网络活动和收集网络利用率和错误等功能，实验中使用Sniffer Pro4.7.5来截获网络中传输的FTP 和HTTP 数据包，并进行分析。 2. 使用说明 在sniffer pro 初次启动时，可能会提示选择一个网络适配器进行镜像，如图1所示，此时正确选择接入网络的网卡，这样sniffer pro 才可以把网卡设置为混杂（Promiscuous ）模式，以接收在网络上传输的数据包。 Sniffer Pro 运行后的主界面如图2所示。 （1 ）工具栏简介如图3所示。 图1 网卡设置 图2 sniffer pro 主界面 图3工具栏

快捷键的含义如图4所示。 （2 ）网络监视面板简介 在捕获过程中可以通过Capture Panel 查看网络的利用率、捕获报文的数量和缓冲区的利用率,如图 5所示。 （3）捕获数据包窗口简介 Sniffer 软件提供了强大的分析能力和解码功能。如图6所示，对于捕获的报文提供了一个Expert 专家分析系统进行分析，还有解码选项及图形和表格的统计信息。 专家分析 专家分析系统提供了一个智能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。 在图7中显示出在网络中WINS 查询失败的次数及TCP 重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。 捕获停止 捕获条件 选择捕获捕获开始 捕获暂停 捕获停止并查看捕获查看 编辑条件 图4 快捷键含义 图5 Capture Panel 图6 捕获数据窗口

(完整word版)网络协议抓包分析

中国矿业大学《网络协议》 姓名：李程 班级：网络工程2009-2 学号：08093672

实验一：抓数据链路层的帧 一、实验目的 分析MAC层帧结构 二、准备工作 本实验需要2组试验主机，在第一组上安装锐捷协议分析教学系统，使用其中的协议数据发生器对数据帧进行编辑发送，在第二组上安装锐捷协议分析教学系统，使用其中的网络协议分析仪对数据帧进行捕获分析。 三、实验内容及步骤 步骤一：运行ipconfig命令

步骤二：编辑LLC信息帧并发送 步骤三：编辑LLC监控帧和无编号帧，并发送和捕获：步骤四：保存捕获的数据帧 步骤五：捕获数据帧并分析 使用iptool进行数据报的捕获： 报文如下图： 根据所抓的数据帧进行分析： （1）MAC header 目的物理地址：00:D0:F8:BC:E7:06 源物理地址：00:16:EC:B2:BC:68 Type是0x800：意思是封装了ip数据报 （2）ip数据报

由以上信息可以得出： ①版本：占4位，所以此ip是ipv4 ②首部长度：占4 位，可表示的最大十进制数值是15。此ip数据报没有选项，故它的最大十进制为5。 ③服务：占8 位，用来获得更好的服务。这里是0x00 ④总长度：总长度指首都及数据之和的长度，单位为字节。因为总长度字段为16位，所以数据报的最大长度为216-1=65 535字节。 此数据报的总长度为40字节，数据上表示为0x0028。 ⑤标识(Identification)：占16位。IP软件在存储器中维持一个计数器，每产生一个数据报，计数器就加1，并将此值赋给标识字段。但这个“标识”并不是序号， 因为IP是无连接的服务，数据报不存在按序接收的问题。当数据报由于长度超过网络的MTU 而必须分片时，这个标识字段的值就被复制到所有的数据报的标识字段中。相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。 在这个数据报中标识为18358，对应报文16位为47b6 ⑥标志(Flag)：占3 位，但目前只有2位有意义。标志字段中的最低位记为MF (More Fragment)。MF=1即表示后面“还有分片”的数据报。MF=0表示这已是若干数据报片中的最后一个。标志字段中间的一位记为DF(Don't Fragment)，意思是“不能分片”。只有当DF=0时才允许分片。这个报文的标志是010，故表示为不分片！对应报文16位为0x40。 ⑦片偏移：因为不分片，故此数据报为0。对应报文16位为0x00。 ⑧生存时间：占8位，生存时间字段常用的英文缩写是TTL (Time To Live)，其表明数据报在网络中的寿命。每经过一个路由器时，就把TTL减去数据报在路由器消耗掉的一段时间。若数据报在路由器消耗的时间小于1 秒，就把TTL值减1。当TTL值为0时，就丢弃这个数据报。经分析，这个数据报的的TTL为64跳！对应报文16位为0x40。 ⑨协议：占8 位，协议字段指出此数据报携带的数据是使用何种协议，以便使目的主机的IP层知道应将数据部分上交给哪个处理过程。这个ip数据报显示使用得是TCP协议对

数据包抓包分析

数据链路层数据包抓包分析 实验内容 （1）安装Wireshark软件。 （2）掌握抓包软件的使用 （3）掌握通过抓包软件抓取帧并进行分析的办法 实验步骤 （1）常用的抓包软件包括Sniffer、NetXRay、Wireshark (又名EtheReal)。 我们采用免费的Wireshark，可以从https://www.360docs.net/doc/c313834330.html,或其他网站下载。安装完成后，Wireshark的主界面和各模块功能如下： 命令菜单（command menus）：最常用菜单命令有两个：File、Capture。File菜单允许你保存捕获的分组数据或打开一个已被保存的捕获分组数据文件。Capture菜单允许你开始捕获分组。 显示筛选规则（display filter specification）：在该字段中，可以填写协议的名称或其他信息，根据此内容可以对分组列表窗口中的分组进行过滤。 捕获分组列表（listing of captured packets）：按行显示已被捕获的分组内容，其中包括：Wireshark赋予的分组序号、捕获时间、分组的源地址和目的地址、协议类型、分组中所包含的协议说明信息。在该列表中，所显示的协议类型是发送或接收分组的最高层协议的类型。分组首部明细（details of selected packet header）：显示捕获分组列表窗口中被选中分组的头部详细信息。包括：与以太网帧有关的信息，与包含在该分组中的IP数据报有关的信息。如果利用TCP或UDP承载分组， Wireshark也会显示TCP或UDP协议头部信息。最后，分组最高层协议的头部字段也会被显示。 分组内容窗口（packet content）：以ASCII码和十六进制两种格式显示被捕获帧的完整内容。（2）下面我们进行抓包练习。 在capture菜单中选中options,可以设置抓包选项，如下图所示，这里我们需要选

Sniffer抓包中文教程

1捕获面板 报文捕获功能可以在报文捕获面板中进行完成，如下是捕获面板的功能图：图中显示的是处于开始状态的面板 2捕获过程报文统计 在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。 3捕获报文查看

Sniffer软件提供了强大的分析能力和解码功能。如下图所示，对于捕获的报文提供了一个Expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息。 专家分析 专家分分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。 在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。 对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。

解码分析 下图是对捕获报文进行解码的显示，通常分为三部分，目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉，这样才能看懂解析出来的报文。使用该软件是很简单的事情，要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太多，这里不对协议进行过多讲解，请参阅其他相关资料。 对于MAC地址，Snffier软件进行了头部的替换，如00e0fc开头的就替换成Huawei，这样有利于了解网络上各种相关设备的制造厂商信息。

功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为 Capture->Define Filter和Display->Define Filter。过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。 统计分析 对于Matrix，Host Table，Portocol Dist. Statistics等提供了丰富的按照地址，协议等内容做了丰富的组合统计，比较简单，可以通过操作很快掌握这里就不再详细介绍了。 4设置捕获条件 基本捕获条件 基本的捕获条件有两种： 1、链路层捕获，按源MAC和目的MAC地址进行捕获，输入方式为十六进制连续输入，如：00E0FC123456。 2、IP层捕获，按源IP和目的IP进行捕获。输入方式为点间隔方式，