实验1：网络数据包的捕获与协议分析

计算机网络原理(双语)-网络协议数据捕获及分析一、实验内容（1）掌握基本的数据包捕获方法；（2）能够针对捕获的协议数据包进行有效的分析和验证；（3）使用具体的抓包分析工具（建议：wireshark）对某应用层的网络通信协议进行抓包分析（建议HTTP）；（4）出具具体的实验过程，并形成相应的实验报告。

二、工具简介经老师推荐及搜索引擎查询了解到，Wireshark是一款最流行和强大的开源数据包抓包与分析工具，没有之一。

曾一度超越Metasploit、Nessus、Aircrack-ng等强悍工具。

该软件在网络安全与取证分析中起到了很大作用，作为一款网络数据嗅探与协议分析器，已经成为网络运行管理、网络故障诊断、网络应用开发与调试的必用工具。

可以截取各种网络封包，显示网络封包的详细信息。

可以截取各种网络分组，显示网络封包的详细信息。

另外对于获取到的包，Wireshark只能查看封包、而不能修改和转发封包，并且wireshark是开源软件，可以放心使用，是数据包分析的一大利器。

三、实验过程1、TCP通讯的捕捉与分析：（1）编写，调试TCP服务器与客户端作为实验环境。

（2）运行RawCap.exe进入RawCap.exe 的文件夹，在目录框输入cmd ，点击回车，进入命令窗口输入命令RawCap.exe 192.168.81.1 TCPdump.pcap ，点击回车后开始抓取数据包。

（3）运行程序，记录运行结果。

要先运行服务器程序在运行客户端程序。

(4)结束程序并且ctrl+c停止 RawCap.exe，查看抓取结果。

（此时RawCap.exe的同级目录下多出TCPdump.pcap文件）（5）使用wireshark打开文件TCPdump.pcap，分析RawCap.exe扑捉到client-server的全部通讯数据。

1）查看Tcp流中的应用层数据在Wireshark的的“分析”->“追踪流”->“UDP流”，就会出现下面的窗口，窗口显示的就是客户机与服务器通讯的内容，内容出现的顺序同他们在网络中出现的顺序一致。

一、实验目的(1)熟悉ethereal的使用(2)验证各种协议数据包格式(3)学会捕捉并分析各种数据包。

二、使用仪器、器材WinXP、Ethereal软件三、实验内容及原理（1）安装ethereal软件（2）捕捉数据包，验证数据帧、IP数据报、TCP数据段的报文格式。

（3）捕捉并分析ARP报文。

（4）捕捉ping过程中的ICMP报文，分析结果各参数的意义。

（5）捕捉tracert过程中的ICMP报文，分析跟踪的路由器IP是哪个接口的。

（6）捕捉并分析TCP三次握手建立连接的过程。

（7）捕捉整个FTP工作工程的协议包对协议包进行分析说明，依据不同阶段的协议分析，画出FTP工作过程的示意图a.. 地址解析ARP协议执行过程b. FTP控制连接建立过程c . FTP 用户登录身份验证过程d. FTP 数据连接建立过程e. FTP数据传输过程f. FTP连接释放过程（包括数据连接和控制连接）（8）捕捉及研究WWW应用的协议报文，回答以下问题：a. .当访问某个主页时，从应用层到网络层，用到了哪些协议？b. 对于用户请求的百度主页（），客户端将接收到几个应答报文？具体是哪几个？假设从本地主机到该页面的往返时间是RTT，那么从请求该主页开始到浏览器上出现完整页面，一共经过多长时间？c. 两个存放在同一个服务器中的截然不同的Web页（例如，/index.jsp，和/cn/research/index.jsp可以在同一个持久的连接上发送吗？d. 假定一个超链接从一个万维网文档链接到另一个万维网文档，由于万维网文档上出现了差错而使超链接指向一个无效的计算机名，这时浏览器将向用户报告什么？e. 当点击一个万维网文档时，若该文档除了有文本外，还有一个本地.gif图像和两个远地.gif图像，那么需要建立几次TCP连接和有几个UDP过程？（9）捕捉ARP病毒包，分析ARP攻击机制。

（选做）（10）TCP采用了拥塞控制机制，事实上，TCP开始发送数据时，使用了慢启动。

协议数据包的捕捉与分析在现代网络通信中，协议数据包的捕捉与分析是一项重要的技术。

通过捕捉和分析数据包，我们可以深入了解网络通信的细节，发现潜在的问题，并进行性能优化。

本文将讨论协议数据包的捕捉与分析的方法和应用。

一、数据包捕捉的方法数据包捕捉是指在网络通信过程中，拦截并记录数据包的内容和相关信息。

常见的数据包捕捉方法有两种：被动捕捉和主动捕捉。

被动捕捉是指通过监听网络接口或交换机端口，将经过的数据包复制并记录下来。

这种方法不会对网络通信产生干扰，适用于对整个网络流量进行全面监控和分析。

被动捕捉可以使用专门的硬件设备，也可以通过软件实现，如Wireshark等。

主动捕捉是指通过发送特定的请求，获取网络中的数据包。

这种方法需要主动参与网络通信，可以有针对性地捕捉特定协议或特定主机的数据包。

主动捕捉常用于网络安全领域的入侵检测和攻击分析。

二、数据包分析的工具数据包捕捉只是第一步，对捕捉到的数据包进行分析才能发现其中的有用信息。

数据包分析的工具有很多，常用的有Wireshark、tcpdump、tshark等。

Wireshark是一款功能强大的开源数据包分析工具，支持多种协议的解析和显示。

它可以将捕捉到的数据包按照协议、源IP地址、目的IP地址等进行过滤和排序，方便用户快速定位感兴趣的数据包。

tcpdump是一款命令行工具，可以实时捕捉和显示网络数据包。

它支持多种过滤条件，可以根据协议、端口、源IP地址等进行过滤。

tcpdump输出的数据包可以导入Wireshark等图形化工具进行进一步分析。

tshark是Wireshark的命令行版本，可以在服务器等无图形界面的环境中使用。

它支持Wireshark的大部分功能，可以通过命令行参数和过滤条件进行数据包的捕捉和分析。

三、数据包分析的应用数据包分析在网络管理和网络安全中有广泛的应用。

以下是一些常见的应用场景：1. 故障排查：当网络出现故障时，通过分析数据包可以确定故障的原因和位置。

一、实验目的1. 理解捕获法的基本原理及其在通信过程中的应用。

2. 掌握使用Wireshark等工具进行数据包捕获的方法。

3. 学习分析捕获到的数据包，了解网络协议的工作机制。

4. 培养实际操作能力和问题解决能力。

二、实验环境1. 实验设备：电脑一台、网络连接线一根。

2. 实验软件：Wireshark网络分析工具。

3. 实验网络：以太网。

三、实验内容1. 实验一：捕获并分析HTTP数据包（1）启动Wireshark，选择合适的网络接口进行数据包捕获。

（2）在过滤栏中输入“http”，只捕获HTTP协议的数据包。

（3）观察并分析捕获到的HTTP数据包，包括请求和响应内容、请求方法、URL、状态码等信息。

（4）分析实验过程中可能遇到的问题，如数据包捕获失败、数据包内容不完整等，并提出解决方案。

2. 实验二：捕获并分析DNS数据包（1）启动Wireshark，选择合适的网络接口进行数据包捕获。

（2）在过滤栏中输入“dns”，只捕获DNS协议的数据包。

（3）观察并分析捕获到的DNS数据包，包括查询类型、域名、响应代码等信息。

（4）分析实验过程中可能遇到的问题，如DNS解析失败、DNS数据包丢失等，并提出解决方案。

3. 实验三：捕获并分析TCP数据包（1）启动Wireshark，选择合适的网络接口进行数据包捕获。

（2）在过滤栏中输入“tcp”，只捕获TCP协议的数据包。

（3）观察并分析捕获到的TCP数据包，包括源端口、目的端口、序列号、确认号、窗口大小、标志位等信息。

（4）分析实验过程中可能遇到的问题，如TCP连接失败、数据包丢失等，并提出解决方案。

4. 实验四：捕获并分析ICMP数据包（1）启动Wireshark，选择合适的网络接口进行数据包捕获。

（2）在过滤栏中输入“icmp”，只捕获ICMP协议的数据包。

（3）观察并分析捕获到的ICMP数据包，包括类型、代码、校验和等信息。

（4）分析实验过程中可能遇到的问题，如ICMP请求未响应、数据包丢失等，并提出解决方案。

数据包的捕获与分析随着数字化时代的到来，数据成为了生活中不可或缺的一部分。

无论是在个人生活还是商业领域，数据都扮演着重要的角色。

数据包的捕获与分析是一项关键的技术，它可以帮助我们更好地理解和利用数据。

一、数据包的捕获数据包是网络通信过程中的基本单位，它包含了传输的内容，比如电子邮件、网页浏览记录、聊天消息等。

数据包的捕获是指通过网络嗅探或使用专门的工具，将数据包拦截下来并保存下来以便后续的分析。

1.1 网络嗅探网络嗅探是一种通过截取网络上的数据包进行分析的技术。

嗅探器可以通过网络接口获取网络数据包，并将其保存到本地磁盘上。

这种方法可以帮助我们获取网络上的实时数据，并进行进一步的分析和处理。

1.2 抓包工具除了网络嗅探外，还有一些专门的抓包工具可以用来捕获数据包。

这些工具提供了更多的功能和选项，可以帮助用户更方便地进行数据包的捕获和分析。

常见的抓包工具有Wireshark、tcpdump等。

二、数据包的分析数据包的分析是指对捕获到的数据包进行解析和研究，从中获取有用的信息和洞察。

数据包分析可以帮助我们了解网络通信的细节，发现网络中的问题，或者进行网络安全分析。

2.1 解析协议数据包中包含了丰富的信息，例如源IP地址、目标IP地址、端口号、协议类型等。

通过对这些信息的解析，我们可以了解两台主机之间的通信流程和协议类型。

比如，通过分析数据包的源IP地址和目标IP地址，我们可以确定两台主机之间的通信关系。

2.2 分析应用层协议应用层协议是数据包中最高层的协议，它决定了数据包中的内容和格式。

通过分析应用层协议，我们可以了解具体的通信内容。

比如，通过分析HTTP协议，我们可以获取到网页浏览记录、网页标题、请求和响应的头部信息等。

2.3 发现网络问题数据包的分析也可以帮助我们发现网络中的问题。

通过分析网络通信流量和数据包的延迟、丢包情况，我们可以确定网络是否存在瓶颈或故障。

这对于网络管理员来说是非常重要的，可以帮助他们快速定位和解决网络问题。

网络数据包协议分析实验一、实验内容掌握Ethereal的基本使用方法，利用Ethereal捕获ICMP，TCP协议数据包，并对其进行分析。

掌握ICMP，TCP协议数据包头部各个数据位的意义。

加深对ICMP，TCP 协议原理的理解。

二、实验步骤1Ethereal的使用安装好Ethereal，然后开始捕获数据包。

选择菜单上的Capture->Interfaces，如图选择好网卡点击Capture，如图正在抓包点击Stop然后主界面得到抓包情况如图：随便选取一个包进行分析即可。

2ICMP协议进入dos界面使用Ping命令，过程中会有ICMP包传输，这时打开Ethereal的抓包工具进行抓包即可。

如图：Ethereal抓到的包如图分析：随便选择一个数据包，然后中间的窗口如图显示分成四层，物理层，MAC层，网络层，ICMP协议。

下面逐步分解：如下图为物理层：显示包的大小为74字节，捕获74字节，包括到达时间，包序号，整个包包含的协议层为eth,ip,icmp，还有数据。

如下图为MAC层：主要信息有MAC层的MAC源地址，目的地址，可以看出地址为6字节48位，还说明了上层协议。

如下图为网络层：分析可知，网络层IP协议层包括版本号（IPV4），首部长度，服务类型，数据长度，标识，标志，寿命，还有上层协议为ICMP。

如下图为ICMP协议：首先是服务类型（请求包），代码号，检验和（正确），标识，序列号，数据。

问题回答：1 What is the IP address of your host? What is the IP address of the destinationhost?答：由网络层分析可知本机IP为1222074915，目的主机IP为1222074913 如图2 Why is it that an ICMP packet does not have source and destination portnumbers?答：它是一种差错和控制报文协议，不仅用于传输差错报文，还传输控制报文。

LAB-1：IEEE802标准和以太网数据链路层协议分析一．实验目的1.掌握以太网的报文格式2.掌握MAC地址、MAC广播地址的作用3.理解数据链路层协议的工作机制，掌握数据链路层帧（Ethernet II）的报文格式4.掌握网络协议编辑器软件（科来数据包生成器）的使用方法5.熟练掌握网络协议分析软件（WIRESHARK）的使用方法二．实验内容与步骤1.捕获真实的MAC帧●主机A、B作为一组，主机B启动协议分析软件，并设置只提取ICMP协议数据包的捕获过滤条件，主机A PING主机B，检查主机B捕获的数据包，并分析记录MAC帧格式●记录实验结果2.理解MAC地址的作用●主机A、B、C、D作为一组，主机A PING 主机C，主机B、D启动协议分析软件，并设置只提取源MAC地址为主机A的数据包捕获过滤条件，检查主机A所发送的ICMP数据帧，并分析该帧的内容。

●记录实验结果3.编辑并发送MAC广播帧●主机A、B、C、D作为一组，主机D启动协议编辑器，并编辑一个MAC帧（目标MAC: FFFFFFFFFFFF，源MAC: 主机D的MAC地址，协议类型或数据长度：大于0X600，数据字段：编辑长度在46-1500字节之间的数据），主机A、B、C启动协议分析软件，并设置只提取源MAC地址为主机D的数据包捕获过滤条件，主机D发送已编辑好的MAC帧，主机A、B、C捕获和检查是否有主机D所发送的MAC数据帧，并分析该帧的内容。

●记录实验结果三．实验结果分析与思考1. 在实验步骤2中，为什么有的主机会收到ICMP数据包而有的主机收不到？2. 在实验步骤3中，简述FFFFFFFFFFFF作为目标MAC地址的作用，主机A、B、C是否均可以收到主机D的广播帧？3. 结合实验结果，说明MAC广播帧的作用范围？四．实验报告1．按上述实验步骤与内容撰写实验报告（抄袭他人实验结果，双方均不计成绩）2．要求说明实验时间、地点及同级成员名单。

网络与信息安全技术实验报告一、实验目的随着信息技术的飞速发展，网络与信息安全问题日益凸显。

本次实验的目的在于深入了解网络与信息安全技术的原理和应用，通过实际操作和实验分析，提高对网络攻击与防御的认识和应对能力，增强信息安全意识，为保障网络环境的安全稳定奠定基础。

二、实验环境本次实验在以下环境中进行：1、操作系统：Windows 10 专业版2、实验软件：Wireshark 网络协议分析工具、Nmap 端口扫描工具、Metasploit 渗透测试框架等三、实验内容与步骤（一）网络数据包捕获与分析1、打开 Wireshark 软件，选择合适的网络接口进行数据包捕获。

2、在捕获过程中，访问了一些常见的网站，如百度、淘宝等，并进行了文件下载操作。

3、停止捕获后，对捕获到的数据包进行分析。

重点关注了 TCP 三次握手、HTTP 请求与响应、DNS 查询等过程。

通过分析 TCP 三次握手，了解了建立连接的过程和相关标志位的变化。

对 HTTP 请求与响应的分析，掌握了网页访问时的数据传输格式和内容。

DNS 查询的分析有助于了解域名解析的过程和机制。

（二）端口扫描与服务探测1、运行 Nmap 工具，对目标主机进行端口扫描。

2、设定了不同的扫描参数，如全端口扫描、特定端口扫描等。

3、对扫描结果进行分析，确定目标主机开放的端口以及可能运行的服务。

发现开放的端口如80（HTTP）、443（HTTPS）、22（SSH）等。

根据端口对应的服务，初步评估目标主机的安全性。

（三）漏洞利用与渗透测试1、利用 Metasploit 框架，选择了一些常见的漏洞模块进行测试。

2、对目标主机进行了漏洞扫描，发现了一些可能存在的安全漏洞。

3、尝试利用漏洞获取系统权限，如通过弱口令漏洞登录系统。

四、实验结果与分析（一）网络数据包捕获与分析结果1、 TCP 三次握手过程正常，标志位的变化符合标准协议。

2、 HTTP 请求与响应中，未发现明显的异常数据传输，但部分网站的响应时间较长，可能与网络拥堵或服务器负载有关。