wireshark抓包分析报告TCP和UDP

wireshark抓包实验报告Wireshark抓包实验报告1. 实验简介本次实验旨在通过使用Wireshark软件进行网络抓包，深入了解网络通信过程中的数据传输和协议交互。

通过分析抓包数据，我们可以了解网络流量的组成、协议的运作方式以及网络安全的相关问题。

2. 实验准备在进行实验之前，我们需要准备一台运行Wireshark软件的计算机，并连接到一个网络环境中。

Wireshark是一款开源的网络协议分析工具，可以在各种操作系统上运行。

安装并配置好Wireshark后，我们就可以开始进行抓包实验了。

3. 实验步骤3.1 启动Wireshark打开Wireshark软件，选择需要抓包的网络接口。

Wireshark会监听该接口上的所有网络流量，并将其显示在界面上。

3.2 开始抓包点击“开始”按钮，Wireshark开始抓取网络数据包。

此时，我们可以看到界面上实时显示的数据包信息，包括源地址、目标地址、协议类型等。

3.3 过滤抓包数据由于网络流量非常庞大，我们可以使用过滤器来筛选出我们感兴趣的数据包。

Wireshark提供了丰富的过滤器选项，可以根据协议、源地址、目标地址等条件进行过滤。

3.4 分析抓包数据选中某个数据包后，Wireshark会显示其详细信息，包括协议分层、数据字段等。

通过分析这些信息，我们可以了解数据包的结构和内容，进一步了解网络通信的细节。

4. 实验结果与讨论在实验过程中，我们抓取了一段时间内的网络流量，并进行了分析。

通过对抓包数据的观察和解读，我们得出了以下几点结果和讨论：4.1 协议分层在抓包数据中，我们可以清晰地看到各种协议的分层结构。

从物理层到应用层，每个协议都承担着不同的功能和责任。

通过分析协议分层，我们可以了解协议之间的关系，以及它们在网络通信中的作用。

4.2 数据传输过程通过分析抓包数据，我们可以追踪数据在网络中的传输过程。

我们可以看到数据包从源地址发送到目标地址的路径，了解中间经过的路由器和交换机等设备。

Wireshark抓包实例分析通信工程学院010611班赖宇超01061093一．实验目的1.初步掌握Wireshark的使用方法，熟悉其基本设置，尤其是Capture Filter和Display Filter 的使用。

2.通过对Wireshark抓包实例进行分析，进一步加深对各类常用网络协议的理解，如：TCP、UDP、IP、SMTP、POP、FTP、TLS等。

3.进一步培养理论联系实际，知行合一的学术精神。

二．实验原理1.用Wireshark软件抓取本地PC的数据包，并观察其主要使用了哪些网络协议。

2.查找资料，了解相关网络协议的提出背景，帧格式，主要功能等。

3.根据所获数据包的内容分析相关协议，从而加深对常用网络协议理解。

三．实验环境1.系统环境：Windows 7 Build 71002.浏览器：IE83.Wireshark：V 1.1.24.Winpcap：V 4.0.2四．实验步骤1.Wireshark简介Wireshark（原Ethereal）是一个网络封包分析软件。

其主要功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。

其使用目的包括：网络管理员检测网络问题，网络安全工程师检查资讯安全相关问题，开发者为新的通讯协定除错，普通使用者学习网络协议的相关知识……当然，有的人也会用它来寻找一些敏感信息。

值得注意的是，Wireshark并不是入侵检测软件（Intrusion Detection Software,IDS）。

对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。

然而，仔细分析Wireshark 撷取的封包能够帮助使用者对于网络行为有更清楚的了解。

Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。

Wireshark本身也不会送出封包至网络上。

2.实例实例1：计算机是如何连接到网络的？一台计算机是如何连接到网络的？其间采用了哪些协议？Wireshark将用事实告诉我们真相。

电⼦科⼤⽹络安全实验2Wireshark抓包分析实验完整分析实验2 Wireshark抓包分析实验⼀、实验原理TCP三次握⼿准则介绍TCP是因特⽹中的传输层协议，使⽤三次握⼿协议建⽴连接。

当主动⽅发出SYN连接请求后，等待对⽅回答SYN，ACK。

这种建⽴连接的⽅法可以防⽌产⽣错误的连接，TCP使⽤的流量控制协议是可变⼤⼩的滑动窗⼝协议。

第⼀次握⼿：建⽴连接时，客户端发送SYN包(SEQ=x)到服务器，并进⼊SYN_SEND状态，等待服务器确认。

第⼆次握⼿：服务器收到SYN包，必须确认客户的SYN(ACK=x+1),同时⾃⼰也送⼀个SYN包(SEQ=y),即SYN+ACK包，此时服务器进⼊SYN_RECV状态。

第三次握⼿：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ACK=y+1),此包发送完毕，客户端和服务器进⼊Established状态，完成三次握⼿。

HTTP协议介绍HTTP协议⽤于在Internet上发送和接收消息。

HTTP协议是⼀种请求-应答式的协议 ——客户端发送⼀个请求，服务器返回该请求的应答，所有的请求与应答都是HTTP包。

HTTP协议使⽤可靠的TCP 连接，默认端⼝是80。

HTTP的第⼀个版本是HTTP/0.9，后来发展到了HTTP/1.0，现在最新的版本是HTTP/1.1。

HTTP/1.1由RFC 2616 定义。

⼆、实验⽬的1、了解并会初步使⽤Wireshark，能在所⽤电脑上进⾏抓包。

2、了解IP数据包格式，能应⽤该软件分析数据包格式。

3、了解HTTP请求中的三次握⼿准则，并能利⽤该软件对该过程进⾏简要分析。

三、实验内容（1）安装wireshark软件，并使⽤该软件捕获HTTP请求中的报⽂，分析该过程中TCP建⽴连接的握⼿过程以及报头各字段的含义，记录实验结果和数据。

（2）尝试利⽤wireshark软件捕获Ping请求中的报⽂，并分析报⽂中各字段的含义，记录实验结果和数据。

wireshark抓包实验报告总结一、实验目的本次实验的主要目的是学习Wireshark抓包工具的使用方法，掌握网络通信过程中数据包的组成和解析方式，以及了解常见网络协议的运行机制。

二、实验环境本次实验使用的操作系统为Windows 10，使用Wireshark版本为3.4.6。

三、实验步骤1. 安装Wireshark软件并打开。

2. 选择需要抓包的网络接口，并开始抓包。

3. 进行相应的网络操作，例如访问网站、发送邮件等。

4. 停止抓包，并对捕获到的数据包进行分析和解析。

四、实验结果1. 抓取HTTP请求和响应数据包通过Wireshark抓取HTTP请求和响应数据包，可以轻松地了解HTTP协议在通信过程中所传输的信息。

例如，在访问一个网站时，可以看到浏览器向服务器发送GET请求，并获取到服务器返回的HTML 页面等信息。

同时还可以看到HTTP头部中所携带的信息，例如User-Agent、Cookie等。

2. 抓取TCP连接数据包通过Wireshark抓取TCP连接数据包，可以了解TCP协议在建立连接、传输数据和关闭连接时所涉及到的所有步骤。

例如，在进行FTP 文件传输时，可以看到TCP三次握手建立连接，以及文件传输过程中TCP的流量控制和拥塞控制等。

3. 抓取UDP数据包通过Wireshark抓取UDP数据包，可以了解UDP协议在通信过程中所涉及到的所有信息。

例如，在进行DNS域名解析时，可以看到DNS服务器返回的IP地址等信息。

五、实验总结通过本次实验，我学会了使用Wireshark抓包工具进行网络数据包分析的方法，并了解了常见网络协议的运行机制。

同时也发现，在网络通信过程中，数据包所携带的信息非常丰富，能够提供很多有用的参考和指导。

因此，在实际工作中，我们应该灵活运用Wireshark等工具进行网络数据包分析，并结合具体业务场景进行深入研究和分析。

wireshark抓包实验报告Wireshark抓包实验报告引言：网络是现代社会中不可或缺的一部分，人们在日常生活中几乎无时无刻不在使用网络。

然而，网络的复杂性使得网络问题的排查变得困难。

Wireshark作为一款强大的网络抓包工具，可以帮助我们深入分析网络数据包，从而更好地理解和解决网络问题。

本文将介绍Wireshark的基本原理和使用方法，并通过实际抓包实验来验证其功能和效果。

一、Wireshark的基本原理Wireshark是一款开源的网络协议分析工具，可以运行在多个操作系统上。

它通过捕获网络接口上的数据包，并将其解析成可读的形式，以便我们进行深入分析。

Wireshark支持多种协议，包括以太网、无线网络、TCP/IP等，使得我们能够全面了解网络通信的细节。

二、Wireshark的使用方法1. 下载和安装Wireshark可以从其官方网站上免费下载，根据自己的操作系统选择合适的版本进行安装。

安装完成后，打开Wireshark并选择要抓包的网络接口。

2. 抓包设置在开始抓包之前，我们需要进行一些设置以确保我们能够捕获到想要分析的数据包。

首先，我们可以设置抓包过滤器来过滤出特定的数据包，以减少不必要的干扰。

其次，我们可以选择是否启用深度分析，以获取更详细的协议信息。

3. 开始抓包一旦设置完成，我们可以点击“开始”按钮开始抓包。

Wireshark将开始捕获网络接口上的数据包，并将其显示在主界面上。

我们可以看到每个数据包的详细信息，包括源IP地址、目标IP地址、协议类型等。

4. 数据包分析Wireshark提供了丰富的功能和工具，使得我们可以对抓包的数据包进行深入分析。

我们可以通过点击每个数据包来查看其详细信息，并根据需要进行过滤、排序和搜索。

此外，Wireshark还提供了统计功能，帮助我们了解网络流量的情况。

三、实验验证为了验证Wireshark的功能和效果，我们进行了一次抓包实验。

实验中，我们使用Wireshark抓取了一段时间内的网络数据包，并进行了分析。

1.引上次我们说了IPS测试，对大家来说，基本没什么给予，不过提到个WireShark抓包软件，这个软件与软件背后的知识模块倒是很值得学习的，想当初测试IPS所用的数据包都是应用这个软件来抓的（保存格式为.pcap，供Tomahawk做发包）。

用WireShark抓包一是方便，因为它在Windows平台上，图形界面，易操作，二是其强大的过滤器决定了这个抓包器的地位（关于过滤器的使用，可参见其软件的Help->Manual Pages->WireShark Filter帮助），三是该软件对所抓的包有十分详细的解释，很适合学习，特别是对网络协议的熟悉与掌握。

2.WireShark简单操作打开WireShark，点击Caputre->Option…选择进入抓包设置窗口（图2-1）。

图2-1从这个窗口中我们可以对我们的抓包环境，策略，显示项做一个整体的设置。

首先是对抓包环境与策略的设置，如图2-2：图2-2“Interface”就是选择再哪一个网卡上进行抓包。

“Link-layer header type”就是对网络环境的掌控，即数据链路层的头部形态，一般选择以太网（Ethernet）。

“Buffer Size”当然就是缓冲区大小了（不好意思，这个具体作用不明，望达人指点）。

“Caputre packets in promiscuous mode”当然就是开启网卡的混杂模式，使得软件对网络上经过该网卡的包都捕获下来。

“Limit packet to”就是限制抓包的大小。

“Capture Filter”就是过滤器，用于对抓包的类型进行控制。

点击，可以选择已有的过滤器。

其次，“Stop Capture…”栏，就是可以设置抓包的停止条件，分别可以从抓包数，抓包的总大小，抓包时间进行设置。

再次，“Display Options”设置显示选项，其下三点内容包括抓包实施更新显示，自动滚屏，隐藏捕捉信息对话框。

Wireshark抓包分析TCP.IP.UDP.ICMP报⽂格式（移动互联⽹⽅向）TCP 报⽂格式分析：TCP 报⽂段的报头有 10 个必需的字段和 1 个可选字段。

报头⾄少为 20 字节。

1）源端⼝（16位）：标识发送报⽂的计算机端⼝或进程。

⼀个 TCP 报⽂段必须包括源端⼝号，使⽬的主机知道应该向何处发送确认报⽂。

2）⽬的端⼝（16位）：标识接收报⽂的⽬的主机的端⼝或进程。

由抓包数据可得源端⼝号为12762，⽬的端⼝号为803）序号（也叫序列号）（32位）：⽤于标识每个报⽂段，使⽬的主机可确认已收到指定报⽂段中的数据。

当源主机⽤于多个报⽂段发送⼀个报⽂时，即使这些报⽂到达⽬的主机的顺序不⼀样，序列号也可以使⽬的主机按顺序排列它们。

在建⽴连接时发送的第⼀个报⽂段中，双⽅都提供⼀个初始序列号。

TCP 标准推荐使⽤以 4ms 间隔递增 1 的计数器值作为这个初始序列号的值。

使⽤计数器可以防⽌连接关闭再重新连接时出现相同的序列号。

序列号表达达到2^32 - 1后⼜从0开始，当建⽴⼀个新的连接时，SYN标志为1，系列号将由主机随机选择⼀个顺序号由图可得现序列号为25e4d8a84）确认号（32位）:⽬的主机返回确认号，使源主机知道某个或⼏个报⽂段已被接收。

如果 ACK 控制位被设置为 1，则该字段有效。

确认号等于顺序接收到的最后⼀个报⽂段的序号加 1，这也是⽬的主机希望下次接收的报⽂段的序号值。

返回确认号后，计算机认为已接收到⼩于该确认号的所有数据。

由图可得现确认号为59eafa0c5）数据偏移（⾸部长度）（4位）TCP 报⽂段的数据起始处距离 TCP 报⽂段的起始处有多远，即⾸部长度。

由于 TCP 报头的长度随 TCP 选项字段内容的不同⽽变化，因此报头中包含⼀个指定报头字段的字段。

该字段以 32 ⽐特为单位，所以报头长度⼀定是 32 ⽐特的整数倍，有时需要在报头末尾补 0 。

由抓包图有偏移量在0x50中，占4bit,0x50转化为⼆进制数0101 0000 所以偏移量是 0101=5，所以TCP报⽂⾸部长度为5* 4 = 20字节。

Wireshark抓包分析实验若惜年一、实验目的：1.学习安装使用wireshark软件，能在电脑上抓包。

2.对抓出包进行分析，分析得到的报文，并与学习到的知识相互印证。

二、实验内容：使用抓包软件抓取HTTP协议通信的网络数据和DNS通信的网络数据，分析对应的HTTP、TCP、IP协议和DNS、UDP、IP协议。

三、实验正文：IP报文分析：从图中可以看出：IP报文版本号为:IPV4首部长度为:20 bytes数据包长度为:40标识符：0xd74b标志：0x02比特偏移：0寿命：48上层协议：TCP首部校验和：0x5c12源IP地址为：119.75.222.18目的IP为：192.168.1.108从图中可以看出：源端口号：1891目的端口号：8000udp报文长度为：28检验和：0x58d7数据长度：20 bytesUDP协议是一种无需建立连接的协议，它的报文格式很简单。

当主机中的DNS 应用程序想要惊醒一次查询时，它构造一个DNS查询报文段并把它给UDP，不需要UDP之间握手，UDP为报文加上首部字段，将报文段交给网络层。

第一次握手：从图中看出：源端口号：56770目的端口号：80序列号为:0首部长为: 32 bytesSYN为1表示建立连接成功当fin为1时表示删除连接。

第二次握手：从图中看出：源端口号是：80目的端口号为：56770序列号为：0ack为：1Acknowledgement为1表示包含确认的报文Syn为1表示建立连接。

第三次握手：从图中看出：源端口：56770目的端口：80序列号为：1ACK为：1首部长为：20bytesAcknowledgement为1表示包含确认的报文所以，看出来这是TCP连接成功了Tcp是因特网运输层的面向连接的可靠的运输协议，在一个应用进程可以开始向另一个应用进程发送数据前，这两个进程必须先握手，即它们必须相互发送预备文段，建立确保传输的参数。

发送报文：GET/HTTP/1.1：是请求一个页面文件HOST：是请求的主机名Connection：持续连接Accept: 收到的文件User-Agent : 浏览器的类型Accept-encoding: gzip ,deflate ,sdch限制回应中可以接受的内容编码值，指示附加内容的解码方式为gzip ,deflate ,sdch 。