IP及IPSEC协议数据包的捕获与分析

IP及IPSEC协议数据包的捕获与分析为了掌握掌握IP和IPSEC协议的工作原理及数据传输格式，熟悉网络层的协议。

我进行了以下实验：首先用两台PC互ping并查看其IP报文，之后在两台PC上设置IPSEC互ping并查看其报文。

最终分析两者的报文了解协议及工作原理。

一、用两台PC组建对等网：将PC1与PC2连接并分别配置10.176.5.119和10.176.5.120的地址。

如图1-1所示。

图1-1二、两PC互ping：IP数据报结构如图1-2所示。

图1-2我所抓获的报文如图1-3，图1-4所示：图1-3 请求包图1-4 回应包分析抓获的IP报文：(1)版本：IPV4(2)首部长度：20字节(3)服务：当前无不同服务代码，传输忽略CE位，当前网络不拥塞(4)报文总长度：60字节(5)标识该字段标记当前分片为第1367分片(6)三段标志分别指明该报文无保留、可以分段，当前报文为最后一段(7)片偏移：指当前分片在原数据报（分片前的数据报）中相对于用户数据字段的偏移量，即在原数据报中的相对位置。

(8)生存时间：表明当前报文还能生存64(9)上层协议：1代表ICMP(10)首部校验和：用于检验IP报文头部在传播的过程中是否出错(11)报文发送方IP：10.176.5.120(12)报文接收方IP：10.176.5.119(13)之后为所携带的ICMP协议的信息：类型0指本报文为回复应答，数据部分则指出该报文携带了32字节的数据信息，通过抓获可看到内容为：abcdefghijklmnopqrstuvwabcdefghi三、IPSec协议配置：1、新建一个本地安全策略。

如图1-5。

图1-52、添加IP安全规则。

如图1-6.图1-6 3、添加IP筛选器。

如图1-7，图1-8，图1-9图1-7图1-8 图1-9 4、设置筛选器操作，如图1-10，图1-11所示图1-10图1-115、设置身份验证方法，预共享密钥：123456789，如图1-12所示图1-12 6、将设置好的本地安全策略分配，如图1-13所示图1-13 四、两PC配置IPSEC互ping，并抓获报文分析：所抓取报文如下图1-14所示图1-14下图1-15为协议协商部分报文：图1-15分析：(1)发起方的SPI为：1cfe1a3b68487806(2)响应方的SPI为：未知(3)本报文作用为协商IKE策略(4)交换模式为主模式(5)有效载荷类型：策略协商(6)载荷长度：56(7)解释域为IPSEC协议(8)第二段有效载荷类型为建议部分(9)第二段有效载荷类型为传输，内容是IKE策略下图1-16为KEY交换部分报文：图1-16分析：作用为通过协商DH产生第一阶段的密码。

一、实验目的(1)熟悉ethereal的使用(2)验证各种协议数据包格式(3)学会捕捉并分析各种数据包。

二、使用仪器、器材WinXP、Ethereal软件三、实验内容及原理（1）安装ethereal软件（2）捕捉数据包，验证数据帧、IP数据报、TCP数据段的报文格式。

（3）捕捉并分析ARP报文。

（4）捕捉ping过程中的ICMP报文，分析结果各参数的意义。

（5）捕捉tracert过程中的ICMP报文，分析跟踪的路由器IP是哪个接口的。

（6）捕捉并分析TCP三次握手建立连接的过程。

（7）捕捉整个FTP工作工程的协议包对协议包进行分析说明，依据不同阶段的协议分析，画出FTP工作过程的示意图a.. 地址解析ARP协议执行过程b. FTP控制连接建立过程c . FTP 用户登录身份验证过程d. FTP 数据连接建立过程e. FTP数据传输过程f. FTP连接释放过程（包括数据连接和控制连接）（8）捕捉及研究WWW应用的协议报文，回答以下问题：a. .当访问某个主页时，从应用层到网络层，用到了哪些协议？b. 对于用户请求的百度主页（），客户端将接收到几个应答报文？具体是哪几个？假设从本地主机到该页面的往返时间是RTT，那么从请求该主页开始到浏览器上出现完整页面，一共经过多长时间？c. 两个存放在同一个服务器中的截然不同的Web页（例如，/index.jsp，和/cn/research/index.jsp可以在同一个持久的连接上发送吗？d. 假定一个超链接从一个万维网文档链接到另一个万维网文档，由于万维网文档上出现了差错而使超链接指向一个无效的计算机名，这时浏览器将向用户报告什么？e. 当点击一个万维网文档时，若该文档除了有文本外，还有一个本地.gif图像和两个远地.gif图像，那么需要建立几次TCP连接和有几个UDP过程？（9）捕捉ARP病毒包，分析ARP攻击机制。

（选做）（10）TCP采用了拥塞控制机制，事实上，TCP开始发送数据时，使用了慢启动。

协议数据包的捕捉与分析在现代网络通信中，协议数据包的捕捉与分析是一项重要的技术。

通过捕捉和分析数据包，我们可以深入了解网络通信的细节，发现潜在的问题，并进行性能优化。

本文将讨论协议数据包的捕捉与分析的方法和应用。

一、数据包捕捉的方法数据包捕捉是指在网络通信过程中，拦截并记录数据包的内容和相关信息。

常见的数据包捕捉方法有两种：被动捕捉和主动捕捉。

被动捕捉是指通过监听网络接口或交换机端口，将经过的数据包复制并记录下来。

这种方法不会对网络通信产生干扰，适用于对整个网络流量进行全面监控和分析。

被动捕捉可以使用专门的硬件设备，也可以通过软件实现，如Wireshark等。

主动捕捉是指通过发送特定的请求，获取网络中的数据包。

这种方法需要主动参与网络通信，可以有针对性地捕捉特定协议或特定主机的数据包。

主动捕捉常用于网络安全领域的入侵检测和攻击分析。

二、数据包分析的工具数据包捕捉只是第一步，对捕捉到的数据包进行分析才能发现其中的有用信息。

数据包分析的工具有很多，常用的有Wireshark、tcpdump、tshark等。

Wireshark是一款功能强大的开源数据包分析工具，支持多种协议的解析和显示。

它可以将捕捉到的数据包按照协议、源IP地址、目的IP地址等进行过滤和排序，方便用户快速定位感兴趣的数据包。

tcpdump是一款命令行工具，可以实时捕捉和显示网络数据包。

它支持多种过滤条件，可以根据协议、端口、源IP地址等进行过滤。

tcpdump输出的数据包可以导入Wireshark等图形化工具进行进一步分析。

tshark是Wireshark的命令行版本，可以在服务器等无图形界面的环境中使用。

它支持Wireshark的大部分功能，可以通过命令行参数和过滤条件进行数据包的捕捉和分析。

三、数据包分析的应用数据包分析在网络管理和网络安全中有广泛的应用。

以下是一些常见的应用场景：1. 故障排查：当网络出现故障时，通过分析数据包可以确定故障的原因和位置。

任务三计算机网络实验IP数据报捕获与分析一、实验目的本实验的目的是通过使用网络抓包工具捕获IP数据报，了解IP协议的工作过程，分析数据报的结构和内容。

二、实验设备和工具1.计算机2.网络抓包工具：Wireshark三、实验原理IP（Internet Protocol）是网络层的核心协议，在互联网中承担着数据包的传输任务。

IP协议负责将数据包从源主机传输到目标主机，保证数据在不同主机之间的正确传输。

IP数据报是IP协议传输的基本单位，由IP头和数据部分组成。

IP头部包含以下重要字段：1.版本（4位）：表示IP协议的版本号，IPv4为4，IPv6为62.首部长度（4位）：表示IP头部的长度，以32位的字节为单位。

3.区分服务（8位）：用于标识优先级和服务质量等信息。

4.总长度（16位）：指明整个IP数据报的长度。

5.标识（16位）：用于标识同一个数据报的分片。

6.标志位（3位）：标记是否进行数据报的分片。

7.片偏移（13位）：表示数据报组装时的偏移量。

8.生存时间（8位）：表示数据报在网络中的存活时间。

9.协议（8位）：指明IP数据报中携带的数据部分所使用的协议，如TCP、UDP等。

10.头部校验和（16位）：用于对IP头部的校验。

11.源IP地址（32位）：指明数据报的发送者的IP地址。

12.目的IP地址（32位）：指明数据报的目标IP地址。

四、实验步骤1.安装Wireshark软件。

2.打开Wireshark软件，选择需要进行抓包的网络接口。

3.点击“开始”按钮，开始抓包。

4.进行相关网络操作，产生数据包。

5.停止抓包。

6.选中其中一个数据包，进行分析。

五、数据包分析Wireshark软件可以对捕获到的数据包进行详细的分析，提供了丰富的信息和统计数据。

以下是对数据包的一些常规分析内容：1.源IP地址和目的IP地址：根据协议规定，每个IP数据报必须携带源IP地址和目的IP地址，通过分析这两个字段可以确定数据包的发送方和接收方。

CENTRAL SOUTH UNIVERSITY计算机网络课程设计报告题目IP数据包的捕获与分析学生姓名廖成班级学号0902130408指导教师穆帅设计时间2015年11月目录第一章绪论 (3)1.1 课题研究背景 (3)1.2 课题研究的意义 (3)第二章课程设计的目的与要求 (3)2.1 课程设计的目的 (3)2.2 课程设计的要求 (4)第三章课程设计的内容 (4)3.1 课程设计的内容 (5)3.2 内容的要求 (5)第四章程序设计与分析 (5)4.1 IP数据包 (5)4.1.1 数据包的格式说明 (5)4.1.2 头部数据结构的定义 (7)4.2 部分程序实现 (7)4.2.1 套接字的使用 (7)4.2.2 数据库的使用 (8)4.2.3 各部分详细实现 (9)4.4 程序流程图 (12)4.4.1 主程序流程图 (12)4.4.2 捕获并分析数据包头部模块流程图 (13)4.4.3 头部信息存数据库模块 (13)第五章实验结果 (14)5.1 程序截图 (14)第六章总结 (16)6.1 实验心得 (16)第七章附录 (17)参考文献 (17)第一章绪论1.1 课题研究背景随着计算机技术的发展，网络的应用迅速普及，网络已日益成为生活中不可或缺的工具。

同时，网络的安全性与可靠性日益受到人们的重视，安全性指的是网络上的信息不被泄露、更改和破坏，可靠性指的是网络系统能够连续、可靠地运行，网络服务不被中断。

网络数据包捕获、监听与分析技术是网络安全维护的一个基础技术同时也是网络入侵的核心手段。

所以研究有关数据包捕获和分析技术对保证网络的健康、安全运行是很有意义的。

1.2课题研究的意义计算机之间进行通信时，交互的所有信息都封装在数据包中。

因此，通过采集网络数据并对其进行相应的分析，可以清楚地了解到进行通信的计算机的通信目的。

通过分析采集到的数据包可以确定网络是否受到入侵；其次也可以通过采集到的数据包来分析应用程序可能出现的问题及原因；此外，通过网络数据的采集和统计可以清楚地了解整个网络在各个时段内的网络负载情况，从而判断网络使用得是否合理。

实验二：IP和TCP数据分组的捕获和解析1.实验类别协议分析型2.实验内容和实验目的本次实验内容：1）捕获在连接Internet过程中产生的网络层分组：DHCP分组，ARP分组，IP数据分组，ICMP分组。

2）分析各种分组的格式，说明各种分组在建立网络连接过程中的作用。

3）分析IP数据分组分片的结构。

通过本次实验了解计算机上网的工作过程，学习各种网络层分组的格式及其作用，理解长度大于1500字节IP数据组分片传输的结构。

4）分析TCP建立连接，拆除连接和数据通信的流程。

3.实验学时4学时。

4.实验分组单独完成。

5.实验设备环境1台装有Windows XP 操作系统的pc机，要求能够连接到Internet，并安装WireShark软件。

6.实验步骤6.1准备工作启动计算机，连接网络确保能够上网，安装WireShark软件。

6.2 捕获DHCP报文并分析DHCP报文格式先介绍一下DHCP的报文格式，如图1OP(1)Htype Hlen Hops((1)(1)1)Transaction ID(4)Seconds(2)Flags(2)Ciaddr（4）Yiaddr（4）Siaddr（4）Giaddr（4）Chaddr（16）Sname（64）File（128）Options（variable）（图1 DHCP报文格式）OP：若是client送给server的封包，设为1，反向为2；Htype：硬件类别，ethernet为1；Hlen：硬件长度，ethernet为6；Hops：若数据包需经过router传送，每站加1，若在同一网内，为0；Transaction ID：事务ID，是个随机数，用于客户和服务器之间匹配请求和相应消息；Seconds：由用户指定的时间，指开始地址获取和更新进行后的时间；Flags：从0-15bits，最左一bit为1时表示server将以广播方式传送封包给client，其余尚未使用；Ciaddr：用户IP地址；Yiaddr：客户IP地址；Siaddr：用于bootstrap过程中的IP地址；Giaddr：转发代理（网关）IP地址；Chaddr：client的硬件地址；Sname：可选server的名称，以0x00结尾；File：启动文件名；Options：，厂商标识，可选的参数字段如下图所示，在DOS窗口执行命令ipconfig/release后，已经申请的IP地址被释放。

arp,ip,icmp协议数据包捕获分析实验报告数据篇一：网络协议分析实验报告实验报告课程名称计算机网络实验名称网络协议分析系别专业班级指导教师学号姓名实验成绩一、实验目的掌握常用的抓包软件，了解ARP、ICMP、IP、TCP、UDP 协议的结构。

二、实验环境1．虚拟机（VMWare或Microsoft Virtual PC）、Windows XX Server。

客户机A客户机B2．实验室局域网，WindowsXP三、实验学时2学时，必做实验。

四、实验内容注意：若是实验环境1，则配置客户机A的IP地址:/24,X为学生座号；另一台客户机B的IP地址:（X+100）。

在客户机A上安装EtherPeek（或者sniffer pro）协议分析软件。

若是实验环境2则根据当前主机A的地址，找一台当前在线主机B完成。

1、从客户机A ping客户机B ，利用EtherPeek（或者sniffer pro）协议分析软件抓包，分析ARP 协议；2、从客户机A ping客户机B，利用EtherPeek（或者sniffer pro）协议分析软件抓包，分析icmp协议和ip协议；3、客户机A上访问，利用E(转载于: 小龙文档网:arp,ip,icmp协议数据包捕获分析实验报告数据)therPeek（或者sniffer pro）协议分析软件抓包，分析TCP和UDP 协议；五、实验步骤和截图（并填表）1、分析arp协议，填写下表12、分析icmp协议和ip协议，分别填写下表表一：ICMP报文分析233、分析TCP和UDP 协议，分别填写下表4表二： UDP 协议 5篇二：网络层协议数据的捕获实验报告篇三：实验报告4-网络层协议数据的捕获实验报告。

实验⼆IP报⽂的捕获与分析实验⼆ IP报⽂的捕获与分析——实验报告⼀、实验⽬的（1）掌握IP协议报⽂格式。

（2）对捕捉到的包进⾏IP分析。

⼆、实验内容⽤Wireshark过滤出IP数据包，查看并分析具体的IP包的内容。

三、实验原理1、wireshark简介Wireshark（前称Ethereal）是⼀个⽹络封包分析软件。

⽹络封包分析软件的功能是撷取⽹络封包，并尽可能显⽰出最为详细的⽹络封包资料。

在GNUGPL通⽤许可证的保障范围底下，使⽤者可以以免费的代价取得软件与其程式码，并拥有针对其源代码修改及客制化的权利。

Ethereal是⽬前全世界最⼴泛的⽹络封包分析软件之⼀。

Wireshark可以帮助⽹络管理员检测⽹络问题，帮助⽹络安全⼯程师检查资讯安全相关问题，开发者使⽤Wireshark来为新的通讯协议除错，普通使⽤者使⽤Wireshark来学习⽹络协定的相关知识当然，有的⼈⽤它来寻找⼀些敏感信息Wireshark不是⼊侵侦测软件（Intrusion DetectionSoftware,IDS）。

对于⽹络上的异常流量⾏为，Wireshark不会产⽣警⽰或是任何提⽰。

然⽽，仔细分析Wireshark撷取的封包能够帮助使⽤者对于⽹络⾏为有更清楚的了解。

Wireshark不会对⽹络封包产⽣内容的修改，它只会反映出⽬前流通的封包信息，它也不会送出封包⾄⽹络上2、IP数据报格式IP数据报TCP/IP协议定义了⼀个在因特⽹上传输的包，称为IP数据报(IP Datagram)。

这是⼀个与硬件⽆关的虚拟包，由⾸部和数据两部分组成。

⾸部的前⼀部分是固定长度，共20字节，是所有IP数据报必须具有的。

在⾸部的固定部分的后⾯是⼀些可选字段，其长度是可变的。

⾸部中的源地址和⽬的地址都是IP协议地址。

IP数据包格式如图1所⽰。

图1 IP报⽂格式上⽹查找资料，整理如下更详细更易懂的IP报⽂格式与字段含义：IP协议偏移量0~34~78~1516~1819~31偏移量0~34~78~1516~1819~31 0版本⾸部长度服务类型总长度32标识符标识分段偏移64存活时间协议⾸部校验和96源IP地址128⽬的IP地址160选项160或192+数据IP报⽂字段含义版本指 IP 协议所使⽤的版本。