SNIFFER网络数据包分析
sniffer 实验报告
sniffer 实验报告Sniffer实验报告引言:在当今数字化时代,网络安全问题备受关注。
Sniffer作为一种网络安全工具,被广泛应用于网络流量监测、数据包分析和安全漏洞发现等领域。
本报告旨在介绍Sniffer的原理、应用以及实验结果,并探讨其在网络安全中的重要性。
一、Sniffer的原理与工作方式Sniffer是一种网络数据包嗅探器,它能够截获经过网络的数据包,并对其进行分析和解码。
其工作原理主要包括以下几个步骤:1. 网络接口监听:Sniffer通过监听网络接口,获取经过该接口的数据包。
这可以通过底层网络协议(如以太网、无线网络等)提供的API实现。
2. 数据包截获:一旦Sniffer监听到网络接口上的数据包,它会将其截获并保存在内存或磁盘中,以便后续分析。
3. 数据包解析:Sniffer对截获的数据包进行解析,提取其中的关键信息,如源IP地址、目标IP地址、协议类型、端口号等。
这些信息可以帮助分析人员了解网络流量的来源、目的和内容。
4. 数据包分析:通过对解析得到的数据包进行深入分析,Sniffer可以检测网络中的异常行为、安全漏洞以及潜在的攻击。
二、Sniffer的应用领域Sniffer作为一种功能强大的网络安全工具,在各个领域都有广泛的应用。
以下是几个典型的应用场景:1. 网络管理与监控:Sniffer可以用于监测网络流量,分析网络性能和带宽利用情况。
通过对数据包的分析,可以及时发现网络故障和异常,提高网络管理的效率。
2. 安全漏洞发现:Sniffer可以检测网络中的异常流量和未经授权的访问行为,帮助发现系统的安全漏洞。
它可以捕获潜在的攻击数据包,并通过分析判断是否存在安全威胁。
3. 网络流量分析:Sniffer可以对网络流量进行深入分析,了解用户的行为习惯、访问偏好以及网络应用的使用情况。
这对于网络服务提供商和广告商来说,有助于优化服务和精准投放广告。
4. 数据包调试与故障排查:在网络通信过程中,数据包传输可能会出现错误或丢失。
sniffer工作原理
sniffer工作原理
Sniffer是一种网络数据包捕捉工具,用于监控和分析网络通信的内容。
其工作原理如下:
1. 网络数据包捕获:Sniffer通过在网络接口上设置混杂模式(promiscuous mode),接收并记录通过网络传输的数据包。
在这种模式下,网卡将接收到的所有数据包都传递给操作系统,而不仅仅是针对该网卡的目的地地址或广播地址的数据包。
2. 数据包过滤与捕获:Sniffer会根据用户预定义的规则对接收到的数据包进行过滤处理,只保留满足规则要求的数据包。
这些规则可以是源/目的IP地址、端口号、协议类型等。
3. 数据包解析:Sniffer对捕获到的数据包进行解析,将网络数据包的各个部分进行拆解,并生成能够被阅读和分析的格式。
解析后的数据包可以展示源IP地址、目的IP地址、源端口号、目的端口号、协议类型、数据内容等相关信息。
4. 数据包分析:Sniffer对解析后的数据包进行进一步的分析,包括但不限于检测网络流量、监测网络通信行为、捕获网络攻击等。
通过分析这些信息,可以帮助网络管理员识别安全隐患、优化网络性能、调查网络故障等。
需要注意的是,由于Sniffer在网络上实时监控和捕获数据包,因此在使用过程中需要遵守法律法规,确保合法使用,并保护用户隐私与数据安全。
实验四snifferpro数据包捕获与协议分析
实验四SnifferPro数据包捕获与协议分析一. 实验目的1.了解Sniffer的工作原理。
2.掌握SnifferPro工具软件的基本使用方法。
3.掌握在交换以太网环境下侦测、记录、分析数据包的方法。
二、实验原理数据在网络上是以很小的被称为“帧”或“包”的协议数据单元(PDU)方式传输的。
以数据链路层的“帧”为例,“帧”由多个部分组成,不同的部分对应不同的信息以实现相应的功能,例如,以太网帧的前12个字节存放的是源MAC地址和目的MAC地址,这些数据告诉网络该帧的来源和去处,其余部分存放实际用户数据、高层协议的报头如TCP/IP的报头或IPX报头等等。
帧的类型与格式根据通信双方的数据链路层所使用的协议来确定,由网络驱动程序按照一定规则生成,然后通过网络接口卡发送到网络中,通过网络传送到它们的目的主机。
目的主机按照同样的通信协议执行相应的接收过程。
接收端机器的网络接口卡一旦捕获到这些帧,会告诉操作系统有新的帧到达,然后对其进行校验及存储等处理。
在正常情况下,网络接口卡读入一帧并进行检查,如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址,网络接口卡通过产生一个硬件中断引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理,否则就将这个帧丢弃。
如果网络中某个网络接口卡被设置成“混杂”状态,网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧,该网络接口卡将接收所有在网络中传输的帧,这就形成了监听。
如果某一台主机被设置成这种监听(Snfffing)模式,它就成了一个Sniffer。
一般来说,以太网和无线网被监听的可能性比较高,因为它们是一个广播型的网络,当然无线网弥散在空中的无线电信号能更轻易地截获。
三、实验内容及要求要求:本实验在虚拟机中安装SnifferPro4.7版本,要求虚拟机开启FTP、Web、Telnet等服务,即虚拟机充当服务器,物理机充当工作站。
物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。
sniffer pro的工作原理
sniffer pro的工作原理
Sniffer Pro是一种网络分析工具,用于在计算机网络上捕获、分析和解码网络数据包。
它的工作原理主要包括以下几个步骤:
1. 捕获数据包:Sniffer Pro通过网络接口卡或者网络设备,如交换机、路由器等,实时监听网络通信流量,并捕获经过的数据包。
2. 数据包过滤:Sniffer Pro可以根据用户定义的过滤规则来筛选感兴趣的数据包。
例如,可以根据源IP地址、目标IP地址、协议类型、端口号等条件进行过滤,以便只关注特定的网络流量。
3. 解析和重组数据包:Sniffer Pro对捕获到的数据包进行解析和重组,将二进制数据转换成可读的格式,显示出数据包的各个字段和内容。
它可以支持多种协议解析,如TCP/IP、HTTP、FTP、DNS等。
4. 分析网络流量:Sniffer Pro提供了丰富的分析功能,可以对网络流量进行统计、绘图和报表生成。
用户可以通过这些分析结果来查找网络问题、检测安全漏洞、优化网络性能等。
5. 高级功能:除了基本的捕获和分析功能,Sniffer Pro 还提供了一些高级功能,如会话重建、流量重放、协议模拟等。
这些功能可以帮助用户更深入地了解网络通信过程,并
进行相关的测试和调试工作。
总之,Sniffer Pro通过捕获、分析和解码网络数据包,提供了一个全面的工具集,用于帮助用户监控和分析计算机网络中的数据流量,以实现网络故障排查、网络性能优化和网络安全等目的。
实验八--网络性能监测分析工具Sniffer捕获高层协议数据包并分析
实验八-网络性能监测分析工具Sniffer捕获高层协议数据包并分析实验目的: 使用Sniffer抓取ftp的数据报分析FTP的三次“握手”的过程。
分析FTP客户端和服务器端通信过程实验环境: Windows环境下常用的协议分析工具: sniffer 搭建Serv-U FTP Server, 在计算机上建立FTP服务器VMware虚拟机, 用虚拟机进行登录FTP。
实验内容和步骤:1. 建立网络环境。
用Serv-U FTP Server在计算机上建立一台FTP服务器, 设置IP地址为: 192.168.0.10。
在Serv-U FTP Server中已设定用户xyz, 密码123123。
(也可以自行设定其他帐号)2. 在此计算机上安装了sniffer。
3.启动该机器上的虚拟机作为一台FTP客户端, 设置IP地址为: 192.168.0.12。
4. 使用ping命令看是否连通。
记录结果。
5. 使用虚拟机登录FTP服务器。
6. 运行sniffer嗅探器, 并在虚拟机的“运行”中输入ftp://192.168.0.10, 点确定后出现如下图的登录窗口:在登录窗口中输入:用户名(xyz), 密码(123123)使用sniffer抓包, 再在sniffer软件界面点击“stop and display”, 选择“Decode”选项, 完成FTP命令操作过程数据包的捕获。
8.在sniffer嗅探器软件上点击Objects可看到下图, 再点击“DECODE(反解码)。
记录FTP三次握手信息, 写出判断这三个数据包的依据(如syn及ack)。
记录端口信息等内容。
9.找出数据包中包含FTPUSER命令的数据包, 记录显示的用户名。
10.捕获用户发送PASS命令的数据包, 记录显示的密码。
11. 找出FTP服务器端与客户端端口20进行三次握手打开数据传输。
记录数据信息。
实验三使用Sniffer工具进行TCPIP、ICMP数据包分析
实验三使用Sniffer工具进行TCP/IP、ICMP数据包分析1、实验目的通过实验掌握Sniffer工具的安装及使用,1)实现捕捉ICMP、TCP等协议的数据报;2)理解TCP/IP协议中TCP、IP、ICMP数据包的结构,会话连接建立和终止的过程,TCP序列号、应答序号的变化规律,了解网络中各种协议的运行状况;3)并通过本次实验建立安全意识,防止明文密码传输造成的泄密。
2、实验环境两台安装Windows2000/XP的PC机,其中一台上安装有Sniffer软件,两台PC是通过HUB或交换机处于联网状态。
3、实验任务1)了解Sniffer安装和基本使用方法,监测网络中的传输状态;2)定义过滤规则,进行广义的数据捕获,分析数据包结构;3)定义指定的捕获规则,触发并进行特定数据的捕获:●ping ip-address●ping ip-address –l 1000●ping ip-address –l 2000●ping ip-address –l 2000 –f●(在IE地址栏中,输入)4、实验步骤:(1)、打开Sniffer软件,点击捕获——过滤设置——选择TCP和IP。
图(一)图(二)图(三)图(四)(2)定义指定的捕获规则,触发并进行特定数据的捕获:●ping ip-address●ping ip-address –l 1000●ping ip-address –l 2000●ping ip-address –l 2000 –f●(在IE地址栏中,输入)5、实验总结:由图(一)可以知道:帧捕获的时间、帧长、源和目的,以及IP的信息。
由图(二)可以知道:TCP的信息,源端口号(80)、目的端口号(1234)、序列号(2602531683)、偏移量等由图(三)可以知道:ICMP的信息,Type=8,序列号(2048)图(四)是IP的详细信息。
ping 172.16.26.60Ping -l 1000 172.16.26.60 (-l :发送指定数据量的ECHO数据包。
Sniffer抓包分数据包分析手册
现在大家在一线解决故障过程中,经常会利用 sniffer 软件来分析网络中的数据包,从而 为故障的解决及相关的部门(如研发)提供更有说服力的数据。应该来说,sniffer 的包文对 于解决问题确实起到了很大的作用,但很多时候有些人所提供的 sniffer 数据包什么数据都抓, 很混,要花很大的力气才能对看明白该数据包,另外,很多时候没有给出相应的抓包的网络拓 扑图,数据包中的源端口、目的端口、IP 地址等方面的说明,这样不利于相关人员的分析和定 位。为此,我做个这方面的 case,供大家参考,望大家能够提供更有价值的数据给相关的人员。
十、分析捕获所得到的数据包: 1、首先分析客户端软件发起认证时的 802.1X EAPOL-START 数据包
vii
报文说明: A、 一般来说,由客户端发起一个带有组播地址为 0180-C200-0003 的 EAPOL-START 数据帧。 B、 在数据包中,整个 EAPOL 数据包封装在普通 802.3 以太网帧中。首先是一个普通以太网相 关的源 MAC 地址和目的 MAC 地址,其中目的 MAC 地址是 802.1X 协议申请了一个组播地址 0180-C200-0003。后面是 802.1X 协议包头内容:(1)802.1X 协议版本:0000 0001;(2)802.1X 报文类型:0000 0001 表示是一个 EAPOL-START 报文;(3)802.1X 报文长度为 0,表示是 PACKET BODY FIELD 没有实际内容,全部采用零来填充。(4)在 802.1X 报文中,版本字段长度是一个 字节,指明现今 EAPOL 的版本号,一般来说填充的是:0000 00001。(4)包类型字段(Packet Type):其中长度为一个字节,表示的正在传输包的类型,主要有以下几种数据类型:
sniffer详解第三天
今天的课程是snifffer详解第三天1、数据包的捕获2、专家模式的应用3、解码分析如何捕获数据包捕获数据的机制相对比较简单,需要做的就是实际分析虽然sniffer是一款强大的网络嗅探软件,但是它不能监测网络任意点的所有流量,sniffer主要用于捕获该工具所在的网络链路的流量并进行分析。
在显示捕获信息的窗口中,包括:高级、解码、矩阵、主机列表、协议分布、统计{Expert}高级专家模式在没有捕获到数据之前,这个窗口不会显示任何信息,捕获的信息和过滤器相关联Diagnoses 产生一些错误或者问题Symptoms 征兆Objects 可以得到数据包在各个层的信息常见的一些征兆:ack too long(180ms)“ACK 过长”这个问题是由于发送方没能在指定时内收到预期的回应而引起的。
这个问题在比较慢的LAN 区段或者WAN 链接中经常出现。
这里,我们会与一个流量受到限制的Novell NetWare 服务器进行通讯,这里得到TCP ACK 回应就需要长一点时window Frozen“窗口冻结”这条信息说明一个应用程序可能存在性能上的问题,原因是接收方的主机可能不能跟上发送方主机传输数据的速度WIND No Response当你的主机找不到WINS 服务器或者设置的WINS 服务器有错误时,经常会出现这条信息解码{Decode}:单击Decode选项,显示解码窗口,其显示了所有被sniffer pro 按照过滤器规则捕获的解码窗口从上到下分为三个部分:总结:给出了捕获的数据,源地址、目标地址、时间和长度详细资料:可以详细查看所捕获的协议信息HEX窗口:以十六进制表示的解码时间标记:绝对时间(Abs.Time)表明了数据包捕获的时间,和当前系统时间一样相对时间(Rel.Time)表明了捕获过程中某个被标记的帧和当前帧的时间差差值间距时间(Delta Time)表明的是两个相邻数据包之间的时间差。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SNIFFER网络数据包分析实验班级:学号:姓名:指导教师:日期:使用SNIFFER工具进行网络数据包分析一、实验目的通过使用Sniffer Pro软件捕获网络流量,分析数据报结构,来验证我们在计算机网络基础课堂中所学习的知识,使学生能够更加清楚地掌握网络分层的思想,从感性认识飞跃到理性认识。
再通过捕获各个具体协议的通信数据包,一步一步具体分析其实现步骤,更加具体地掌握协议的实现过程。
二、实验主要仪器设备和材料一台联网计算机和Sniffer Pro v4.7.530软件。
三、实验内容和要求本次实验包括三项实验内容,分别是捕获报文基本分析实验、捕获并分析用户数据报协议(UDP)、捕获并分析传输控制协议(TCP)。
a)任意捕获一个数据包,分析其数据链路层格式、网络层格式和传输层格式,加深学生对计算机网络分层概念的理解。
b)用户数据报协议(UDP)是网络上另外一种很常用的第四层协议。
用户数据报协议是OSI 参考模型中一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务。
UDP 协议基本上是IP 协议与上层协议的接口。
UDP 协议适用端口分别运行在同一台设备上的多个应用程序。
c)传输控制协议(TCP)一种面向连接(连接导向)的、可靠的、基于字节流的运输层(Transport layer)通信协议,由IETF的RFC 793说明(specified)。
在简化的计算机网络OSI模型中,它完成第四层传输层所指定的功能,UDP是同一层内另一个重要的传输协议。
四、实验原理1、UDP协议UDP协议使用端口号为不同的应用保留其各自的数据传输通道。
UDP正是采用这一机制实现对同一时刻内多项应用同时发送和接收数据的支持。
数据发送一方(可以是客户端或服务器端)将UDP数据报通过源端口发送出去,而数据接收一方则通过目标端口接收数据。
有的网络应用只能使用预先为其预留或注册的静态端口;而另外一些网络应用则可以使用未被注册的动态端口。
UDP报头由4个域组成,其中每个域各占用2个字节,具体如下:源端口号、目标端口号、数据报长度、校验值。
Source Port — 16位。
源端口是可选字段。
当使用时,它表示发送程序的端口,同时它还被认为是没有其它信息的情况下需要被寻址的答复端口。
如果不使用,设置值为0。
Destination Port 目标端口在特殊因特网目标地址的情况下具有意义。
Length 该用户数据报的八位长度,包括协议头和数据。
长度最小值为8。
Checksum IP 协议头、UDP 协议头和数据位,最后用0填补的信息假协议头总和。
如果必要的话,可以由两个八位复合而成。
UDP协议使用报头中的校验值来保证数据的安全。
校验值首先在数据发送方通过特殊的算法计算得出,在传递到接收方之后,还需要再重新计算。
虽然UDP提供有错误检测,但检测到错误时,UDP不做错误校正,只是简单地把损坏的消息段扔掉,或者给应用程序提供警告信息。
2、TCP协议在因特网协议族(Internet protocol suite)中,TCP层是位于IP层之上,应用层之下的中间层。
不同主机的应用层之间经常需要可靠的、像管道一样的连接,但是IP层不提供这样的流机制,而是提供不可靠的包交换。
应用层向TCP层发送用于网间传输的、用8位字节表示的数据流,然后TCP 把数据流分割成适当长度的报文段(通常受该计算机连接的网络的数据链路层的最大传送单元(MTU)的限制)。
之后TCP把结果包传给IP层,由它来通过网络将包传送给接收端实体的TCP层。
TCP为了保证不发生丢包,就给每个字节一个序号,同时序号也保证了传送到接收端实体的包的按序接收。
然后接收端实体对已成功收到的字节发回一个相应的确认(ACK);如果发送端实体在合理的往返时延(RTT)内未收到确认,那么对应的数据(假设丢失了)将会被重传。
TCP用一个校验和函数来检验数据是否有错误;在发送和接收时都要计算校验和。
首先,TCP建立连接之后,通信双方都同时可以进行数据的传输。
其次,他是全双工的,在保证可靠性上,采用超时重传和捎带确认机制;在流量控制上,采用滑动窗口协议,协议中规定,对于窗口内未经确认的分组需要重传;在拥塞控制上,采用慢启动算法。
下图展示了TCP首部的数据格式。
如果不计任选(Options)字段,那么,它的大小是20个字节。
TCP协议通过三个报文段完成连接的建立,这个过程称为三次握手(three-way handshake),过程如下图所示。
在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。
第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND 状态,等待服务器确认;第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态;第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。
完成三次握手,客户端与服务器开始传送数据,在上述过程中,还有一些重要的概念:未连接队列:在三次握手协议中,服务器维护一个未连接队列,该队列为每个客户端的SYN包(syn=j)开设一个条目,该条目表明服务器已收到SYN包,并向客户发出确认,正在等待客户的确认包。
这些条目所标识的连接在服务器处于Syn_RECV状态,当服务器收到客户的确认包时,删除该条目,服务器进入ESTABLISHED状态。
Backlog参数:表示未连接队列的最大容纳数目。
SYN-ACK 重传次数服务器发送完SYN-ACK包,如果未收到客户确认包,服务器进行首次重传,等待一段时间仍未收到客户确认包,进行第二次重传,如果重传次数超过系统规定的最大重传次数,系统将该连接信息从半连接队列中删除。
注意,每次重传等待的时间不一定相同。
半连接存活时间:是指半连接队列的条目存活的最长时间,也即服务从收到SYN 包到确认这个报文无效的最长时间,该时间值是所有重传请求包的最长等待时间总和。
有时我们也称半连接存活时间为Timeout时间、SYN_RECV存活时间。
SYN:同步标志同步序列编号(Synchronize Sequence Numbers)栏有效。
该标志仅在三次握手建立TCP连接时有效。
它提示TCP连接的服务端检查序列编号,该序列编号为TCP 连接初始端(一般是客户端)的初始序列编号。
在这里,可以把TCP序列编号看作是一个范围从0到4,294,967,295的32位计数器。
通过TCP连接交换的数据中每一个字节都经过序列编号。
在TCP报头中的序列编号栏包括了TCP分段中第一个字节的序列编号。
ACK:确认标志确认编号(Acknowledgement Number)栏有效。
大多数情况下该标志位是置位的。
TCP报头内的确认编号栏内包含的确认编号(w+1,Figure-1)为下一个预期的序列编号,同时提示远端系统已经成功接收所有数据。
RST:复位标志复位标志有效。
用于复位相应的TCP连接。
URG:紧急标志紧急(The urgent pointer) 标志有效。
紧急标志置位,PSH:推标志该标志置位时,接收端不将该数据进行队列处理,而是尽可能快将数据转由应用处理。
在处理telnet 或rlogin 等交互模式的连接时,该标志总是置位的。
FIN:结束标志带有该标志置位的数据包用来结束一个TCP回话,但对应端口仍处于开放状态,准备接收后续数据。
五、实验步骤:1、捕获报文基本分析实验1. 打开Sniffer Pro程序后,选择Capture(捕获)—Start(开始),或者使用F10键,或者是工具栏上的开始箭头。
2. 一小段时间过后,再次进入Capture(捕获)菜单,然后选择Stop(停止)或者按下F10键,还可以使用工具栏。
3. 还可以按F9键来执行“停止并显示”的功能,或者可以进入Capture(捕获)菜单,选择“停止并显示”。
4. 停止捕获后,在对话框最下角增加了一组窗口卷标,包括高级、解码、矩阵、主机表单、协议分布和统计信息。
5. 选择解码卷标,可以看到Sniffer Pro缓冲器中的所有实际“数据”。
分析该卷标结构及其内容。
具体结构:分割为上中下三个相连接的窗口,分别用于显示不同信息内容;内容:1)最上面得窗口显示的是捕获各帧的数量和主要信息(包括帧编号,帧状态,源地址与目的地址,摘要等信息);2)中间的窗口显示的是所选取帧的协议信息(DLC,IP,UDP及TCP协议等的协议内容);3)最下面得窗口显示的是帧中协议各项内容对应的位置和机器码(默认以ASCII码显示)。
2、捕获并分析用户数据报协议(UDP)(图一)选择的数据包是用蓝色标记的IP数据包封装UDP此数据包是ip数据包(图二)说明1 Version=4代表的是现在使用的是IPv4网络层协议2 Header length=20表明头部长度为20bytes IP 协议规定的首部信息是20bytes符合3 Type of service=00表示为普通服务分析如下:000. . . . .=00代表的是优先权选择字段(现在已经忽略)…0 ….=0 最小时延字段为0代表正常时延…. 0…=0 最大吞吐量字段为0代表正常吞吐量…. . 0..=0 最高可靠性字段为0代表正常可靠性…. ..0.=0 0表示将忽略下面的CE字段…. …0=0 0表示没有阻塞4total length =1308=1024+256+16+8+4所以二进制表示为101000111005标识位为346446标志位为说明此标志位数据报最后一个分片倒数最后一位为DF位DF=0表示可以分片;7片偏移为08生存时间为2559上层协议是UDP协议(因为代码为17 ip封装的UDP即ip层的上层是UDP 协议)10首部校验和为9560是正确的(用反码求和)我主机的ip地址是192.168.1.101(图三)根据9所列出的理由所以IP层的上层是UDP数据包根据图一可以看出,在传输层抓的是UDP数据包,源ip地址(即我所用的这台电脑的ip)为(图一、图三)192.168.1.101服务器端的ip地址(图一)为183.93.32.177,源端口(我电脑上所接受的数据包所用端口号)为7138,目的端口(服务器上的)为7300.满足要求(电脑上的端口号为16位的<65536)ip数据包的长度为1308字节,但他是封装了UDP,在UDP头部加了ip的头部,ip数据包头部长度为20,所以1308-20=1288为UDP数据包的长度,从而也验证了图一UDP数据包长度为1288 bytes本ip数据包验证了ip层和传输层的UDP协议之间的关系,网络层(ip层)对传输层(传输层有UDP协议)数据的的封装3、捕获并分析传输控制协议(TCP)(图一)这三次握手是从蓝颜色标记处开始的三个TCP包,机器A源IP为192.168.1.101,机器B目的地址为113.4.72.88(图二)此图是图一蓝色标记那个被截获的TCP数据包的详细内容分析图二如下:机器A(ip为192.168.1.101)访问机器B(113.4.72.88)首先A向B发送连接请求1 源端口号(机器A)为2988,目的端口(机器B)为14095。