计算机网络抓包实验报告

西安邮电大学计算机网络wireshark 抓包分析实验报告西安邮电大学《计算机网络技术与应用》课内实验报告书院系名称: 管理工程学院实验题目: Wireshark 抓包工具实验报告学生姓名: 易霜霜专业名称: 信息管理与信息系统班级: 信管1101 学号: 02115021 时间: 2013 年06 月26 日实验报告实验名称Wireshark 抓包工具一、实验目的了解Wireshark 的使用方法，利用wireshark 对数据报进行分析。

二、实验内容用wireshark抓包，然后对数据进行分析，抓UDF和FTP的包。

然后对它们进行分析。

三、设计与实现过程(1) 安装wireshark 软件，并熟悉wireshark 软件的使用。

(2) 完成物理机器的操作系统(host os) 与虚拟机中操作系统(guest os) ，在物理机上设置虚拟网卡，设置host os 和guest os 的IP 地址，分别为192.168.228.1 和192.168.228.2.(3) 在guest os 上配置各种网络服务，包括有:Web、Email 、DNS、FTP。

(4)在host os 上启动wireshark 抓包，从host os 访问guest os 上的各种服务，完成抓包实验。

1. UDP 协议分析由于DNS 委托的是UDP 协议提供传输服务，所以我们以 DNS 查询中的UDP 数据 报为例，分析其首部的封装形式^=DvcfaKi. Oer 认i-IKirrj fert ：请㈡.KTiKrTF 呼；叫册冷 戸和 fly&'i iTTpi ifcyt-： plywr 上和翼pr?;诗雷’ MlKFligi purl ；鼻导尸L 曲卑戶PKsvu m ： flyXiHuis O^LiBClB pnz 血fl 鞋 iMau ： M2SJ- LKllrut pirli. s 存占二归:* 空迂屯 m ：辱显*杞摯 Ufflirrdfir sori MyQr:屈LX4 _ MZ14- L~ b "JC ：X " . J < ： A ； . f -Li ■九 _ K Pl"t E ，-..'! - -"LZ □ '"x .1T■*-■»■•■ jrv ■-■ > 1，■厂 jrr . m I ・ * i l« 尸 *■ * ' F IIL IlfCff! LKI f «■■ ■'・ I +4 b L" I" ■・ll* F ・"■:-P - 3User Datagram Procol(用户数据报协议):首部长度20字节；总长度164字节；协议为UDP 协议，协议号为17;首部校验和：0x07b4;源端口号 Source Port no.56254;目标端口号 Destination Port no.plysrv-https(6771);长度:144字节；数据部分:136字节；在计算检验和时，临时把“伪首部”和 UDP 用户数据报连接在一起。

电子商务应用开发技术实验报告实验报告二课程计算机网络开课实验室日期2013 年 4 月 22 日实验项目学号1040407105利用Wireshark进行抓包分析名称学院经济管理学院指导教师王斌成绩教师评语一：实验目的利用 Wireshark 二：实验内容：教师签名：年月日进行抓包分析，对以前学习过的内容进行进一步的理解和掌握1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

3、设置完成后，点击“ start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构，并对其进行分析三．实验步骤实验项目学号1040407105利用Wireshark进行抓包分析名称上面的截图是抓取到的包，下面分别针对其中的一个TCP， UDP和 ICMP进行分析1. TCPTCP ：Transmission Control Protocol 的、可靠的、基于字节流的运输层（传输控制协议TCP 是一种面向连接（连接导向）Transport layer）通信协议，由IETF 的 RFC 793说明（ specified）。

在简化的计算机网络OSI模型中，它完成第四层传输层所指定的功能。

在因特网协议族（Internet protocol suite）中，TCP层是位于IP 层之上，应用层之下的中间层。

不同主机的应用层之间经常需要可靠的、像管道一样的连接，但是IP 层不提供这样的流机制，而是提供不可靠的包交换。

应用层向TCP 层发送用于网间传输的、用8 位字节表示的数据流，然后TCP 把数据流分割成适当长度的报文段（通常受该计算机连接的网络的数据链路层的最大传送单元(MTU) 的限制）。

之后 TCP 把结果包传给 IP 层，由它来通过网络将包传送给接收端实体的TCP 层。

TCP 为了保证不发生丢包，就给每个字节一个序号，同时序号也保证了传送到接收端实体的包的按序接收。

实验报告题目网络抓包及网络命令实验报告学院专业班级学号学生姓名成绩指导教师完成日期网络工具应用实践实验报告1.实验概要通过使用软件Wireshark抓取网络上的数据包，并作相应分析。

2.实验环境硬件：台式笔记本或Pc、网卡、网络环境。

软件：Windows xp sp3及Windows 7、8。

3.实验目的了解网络抓包的意义，学习并了解使用网络抓包Wiresh 。

对互联网进行数据抓包；了解网络抓包的相关协议。

4.实验要求合理地使用电脑进行数据分析，提高自身对网络的安全意识。

5.实验环境搭建安装Wireshark软件，Wireshark的安装非常简单，只需按照步骤即可。

并且要求电脑具有上网的环境。

6.实验内容及步骤（1）安装Wireshark，简单描述安装步骤。

（2）打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

（3）设置完成后，点击“start”开始抓包，显示结果。

（4）选择某一行抓包结果，双击查看此数据包具体结构。

（5）捕捉TCP数据报。

a.写出TCP数据报的格式。

b.捕捉TCP数据报的格式图例。

针对每一个域所代表的含义进行解释。

7.实验过程及结果分析安装Wireshark软件，安装过程如下（如图1-1——1-3）：图1-1图1-2图1-3安装完毕。

打开软件，界面如图1-4：图1-4：打开软解截面图选中Start下的以太网，点击Start就可以捕获以太网上的数据包了。

流量如图1-5：图1-5：流量截图选择某一行抓包结果，双击查看数据属性，如图1-6：图1-6：数据属性截图(4)捕捉到的TCP信息如图1-7：图1-8：TPC信息截图由图可知这个TCP信息如下：Host: 来自Professorlee的新浪博客User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0HTTP/1.1 200 OKServer: nginx/1.2.8Date: Thu, 12 Sep 2013 12:37:01 GMTContent-Type: application/x-javascriptLast-Modified: Thu, 12 Sep 2013 09:51:17 GMTTransfer-Encoding: chunkedConnection: keep-aliveVary: Accept-EncodingExpires: Thu, 12 Sep 2013 12:37:31 GMTCache-Control: max-age=30X-debug: 114.80.223.58Content-Encoding: gzip8.网络抓包相关网络协议TCP/IP协议不是TCP和IP这两个协议的合称，而是指因特网整个TCP/IP协议族。

实验报告二课程计算机网络开课实验室日期2013年4月22日学号1040407105 实验项目名称利用Wireshark 进行抓包分析学院经济管理学院指导教师王斌成绩教师评语教师签名：年月日一：实验目的利用Wireshark进行抓包分析，对以前学习过的内容进行进一步的理解和掌握二：实验内容：1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

3、设置完成后，点击“start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构，并对其进行分析三．实验步骤学号1040407105 实验项目名称利用Wireshark 进行抓包分析1.1抓到的数据链路层中的帧Frame 211:56bytes 即所抓到的帧的序号为211，大小是56字节1.2 IP层中的IP数据报Header Length:20bytes 即首部长度为20个字节；Differentiated Services Field:00x0 即区分服务；Total length:40 指首部长度和数据之和的长度为40字节；Identification:0x8a6e(35438) 标识；Flag:0x02 标识此处MF=0，DF=0；Fragment offset:0 指片偏移为0；表示本片是原分组中的第一片。

Time to live :57说明这个数据报还可以在路由器之间转发57次Protocal:TCP 指协议类型为TCP；Source：源地址：119.147.91.131Destination:目的地址180.118.215.1751.3运输层中的TCPSource port:http(80)即源端口号为80Destination port:50001(50001) 即目的端口为50001Sequence number:411 序号为411Acknowledgent number:2877 确认号为2877Header length:20bytes 首部长度为20个字节Flags:0x011 除了确认ACK为1，别的都为0学号1040407105 实验项目名称利用Wireshark 进行抓包分析Window size value:8316 窗口值为8316Checksum:0x18c5 检验和为0x18c52．UDPUDP，是一种无连接的协议。

Wireshark抓包⼯具计算机⽹络实验实验⼀ Wireshark 使⽤⼀、实验⽬的1、熟悉并掌握Wireshark 的基本使⽤；2、了解⽹络协议实体间进⾏交互以及报⽂交换的情况。

⼆、实验环境与因特⽹连接的计算机，操作系统为Windows ，安装有Wireshark 、IE 等软件。

三、预备知识要深⼊理解⽹络协议，需要观察它们的⼯作过程并使⽤它们，即观察两个协议实体之间交换的报⽂序列，探究协议操作的细节，使协议实体执⾏某些动作，观察这些动作及其影响。

这种观察可以在仿真环境下或在因特⽹这样的真实⽹络环境中完成。

Wireshark 是⼀种可以运⾏在Windows, UNIX, Linux 等操作系统上的分组嗅探器，是⼀个开源免费软件，可以从/doc/d2530113af45b307e871976b.html 下载。

运⾏Wireshark 程序时，其图形⽤户界⾯如图2所⽰。

最初，各窗⼝中并⽆数据显⽰。

Wireshark 的界⾯主要有五个组成部分：图1命令和菜单协议筛选框捕获分组列表选定分组⾸部明细分组内容左：⼗六进制右：ASCII 码●命令菜单（command menus）：命令菜单位于窗⼝的最顶部，是标准的下拉式菜单。

●协议筛选框（display filter specification）：在该处填写某种协议的名称，Wireshark 据此对分组列表窗⼝中的分组进⾏过滤，只显⽰你需要的分组。

●捕获分组列表（listing of captured packets）：按⾏显⽰已被捕获的分组内容，其中包括：分组序号、捕获时间、源地址和⽬的地址、协议类型、协议信息说明。

单击某⼀列的列名，可以使分组列表按指定列排序。

其中，协议类型是发送或接收分组的最⾼层协议的类型。

●分组⾸部明细（details of selected packet header）：显⽰捕获分组列表窗⼝中被选中分组的⾸部详细信息。

包括该分组的各个层次的⾸部信息，需要查看哪层信息，双击对应层次或单击该层最前⾯的“＋”即可。

第一次实验：利用Wireshark软件进行数据包抓取1.3.2 抓取一次完整的网络通信过程的数据包实验一，实验目的：通过本次实验，学生能掌握使用Wireshark抓取ping命令的完整通信过程的数据包的技能，熟悉Wireshark软件的包过滤设置和数据显示功能的使用。

二，实验环境：操作系统为Windows 7,抓包工具为Wireshark.三，实验原理：ping是用来测试网络连通性的命令，一旦发出ping命令，主机会发出连续的测试数据包到网络中，在通常的情况下，主机会收到回应数据包，ping采用的是ICMP协议。

四，验步骤：1.确定目标地址：选择作为目标地址。

2.配置过滤器：针对协议进行过滤设置，ping使用的是ICMP协议，抓包前使用捕捉过滤器，过滤设置为icmp,如图 1- 1图 1-13.启动抓包：点击【start】开始抓包，在命令提示符下键入ping , 如图 1-2图 1-2停止抓包后，截取的数据如图 1-3图 1-34，分析数据包：选取一个数据包进行分析，如图1- 4图1-4每一个包都是通过数据链路层DLC协议，IP协议和ICMP协议共三层协议的封装。

DLC协议的目的和源地址是MAC地址，IP协议的目的和源地址是IP地址，这层主要负责将上层收到的信息发送出去，而ICMP协议主要是Type和Code来识别，“Type:8,Code：0”表示报文类型为诊断报文的请求测试包，“Type:0,Code:0”表示报文类型为诊断报文类型请正常的包。

ICMP提供多种类型的消息为源端节点提供网络额故障信息反馈，报文类型可归纳如下：（1）诊断报文（类型：8，代码0；类型：0代码：0）；(2）目的不可达报文（类型：3，代码0-15）；（3）重定向报文（类型：5，代码：0--4）；（4）超时报文（类型：11，代码：0--1）；（5）信息报文（类型：12--18）。

1.4.1，TCP协议的分析实验一，实验目的：通过本次实验，掌握使用Wireshark抓取TCP协议的数据包的技能，能够在深入分析“TCP的三次握手”，TCP的四次挥手协议在网络数据流的基础上，进一步提高理论联系实践的能力。

洛阳理工学院实验报告计算机网络实验目的： 1•学会简单使用网络分析工具（如 WireShark （Ethereal ） Sniffer 、科来等）抓取网络报 文。

2.对抓取的网络报文进行分析，加深对网络数据分层封装理论的理解。

实验内容：利用任意一款网络分析工具抓取网络数据（推荐 WireShark ）,开启抓包功能，进 行网络信息浏览等简单的网络使用。

分析抓到的数据包，能够辨别传输层三次握手的 过程，能够辨别分析网络各层添加的头部与数据部分的组成。

实验步骤：1•选择一个网络分析工具，学会简单使用，本实验使用 WireShark 来抓取网络报文。

WireShark 是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你 需要选择一个网卡。

点击Caputre->lnterfaces 选择正确的网卡。

然后点击"Start"按钮，开 始抓包。

2 •抓取若干数据包，对照理论所学数据包，辨别、分析数据包结构。

TCP 分析：一个TCP 报文段分为首部和数据两部分。

TCP 报文段首部的前二十个字节是固定的，后面有 4N 个字节是根据需要而增加的选项。

因此TCP 的最小长度是 20个字节。

源端口和目的端口字段：各占两个字节，分别写入源端口号和目的端口号。

在抓取的数据报中，源端口号和目的端口号的值分别是： 80和5677。

系别计算机系 班级 学号 姓名 课程名称实验名称实验日期 网络报文分析 成绩序号字段：占4个字节。

序号范围是 0到232-1，共232个序号 [stream i ndex: 0]确认号字段：在四个字节，是期望收到对方下一个报文段的第一个字节的序 号。

LNext sequence number : 2921 trelatlve sequence number^」Acknowledgement number: 1已 ack number)Header length: 20 bytes+i Flag5: 0x010 (ACK ) -rrF0020 If 24 00 50 16 2d 03 a9 0030 20 14 ea 5f 00 00 34 25 nrvin 7C1 广a 广A he 7r Hd数据偏移字段：占 4位，它指出TCP 报文段的数据起始处距离TCP 报文段的 起始处有多远。