实验七-用协议分析工具EtherPeek捕获TCP、UDP数据包并分析

Python网络安全协议分析教程Wireshark与Tcpdump在网络安全领域中，Wireshark和Tcpdump是两个常用的工具，用于进行网络数据包捕获和分析。

本教程将重点介绍如何使用Python编写脚本来分析和解析各种网络安全协议，以及如何与Wireshark和Tcpdump进行集成。

一、Wireshark简介及安装Wireshark是一个开源的网络协议分析软件，可以用于实时捕获和分析网络数据包。

它支持各种协议，如TCP、UDP、HTTP、FTP等，并提供了强大的过滤和显示功能。

为了使用Wireshark进行网络安全协议分析，首先需要在官方网站下载并安装Wireshark。

二、Tcpdump简介及安装Tcpdump是一个命令行工具，用于捕获和分析网络数据包。

它可以在Linux和其他Unix系统上运行，并提供了各种过滤和显示选项。

与Wireshark相比，Tcpdump更适合在服务器环境下使用。

为了使用Tcpdump进行网络安全协议分析，需要在终端中使用适当的命令安装Tcpdump。

三、Python网络安全协议分析基础知识1. 安装必要的Python库在使用Python进行网络安全协议分析之前，需要安装一些必要的Python库，如Scapy、dpkt等。

这些库提供了各种功能，如网络数据包解析、构建、发送等。

可以使用pip命令来安装这些库。

2. 构建和发送网络数据包使用Python编写脚本可以方便地构建和发送网络数据包。

通过构建自定义的数据包，可以模拟各种网络攻击和渗透测试。

使用Scapy库可以轻松地构建和发送各种协议的数据包。

3. 解析和分析网络数据包Python提供了各种库和模块来解析和分析网络数据包。

通过对数据包进行解析，可以提取出其中的信息，如源IP地址、目标IP地址、协议类型等。

使用dpkt库可以方便地解析和操作各种网络协议。

四、使用Python与Wireshark和Tcpdump集成1. 通过Python调用Wireshark可以使用Python与Wireshark进行集成，通过调用Wireshark提供的命令行接口实现网络数据包的捕获和分析。

计算机网络使用网络协议分析器捕捉和分析协议数据包样本计算机网络使用网络协议分析器捕捉和分析协议数据包广州大学学生实验报告开课学院及实验室:计算机科学与工程实验室11月月28日学院计算机科学与教育软件学院年级//专业//班姓名学号实验课程名称计算机网络实验成绩实验项目名称使用网络协议分析器捕捉和分析协议数据包指导老师熊伟一、实验目的(1)熟悉ethereal的使用(2)验证各种协议数据包格式(3)学会捕捉并分析各种数据包。

本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。

文档如有不当之处，请联系本人或网站删除。

二、实验环境1．MacBook Pro2．Mac OS3..Wireshark三、实验内容，验证数据帧、IP数据报、TCP数据段的报文格式。

，，分析结果各参数的意义。

器，分析跟踪的路由器IP是哪个接口的。

对协议包进行分析说明，依据不同阶段的协议出分析，画出FTP 工作过程的示意图a..地址解析ARP协议执行过程b.FTP控制连接建立过程c.FTP用户登录身份验证过程本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。

文档如有不当之处，请联系本人或网站删除。

d.FTP数据连接建立过程e.FTP数据传输过程f.FTP连接释放过程（包括数据连接和控制连接），回答以下问题:a..当访问某个主页时，从应用层到网络层，用到了哪些协议?b.对于用户请求的百度主页（），客户端将接收到几个应答报文??具体是哪几个??假设从是本地主机到该页面的往返时间是RTT，那么从请求该主页开始到浏览器上出现完整页面，一共经过多长时间??c.两个存放在同一个服务器中的截然不同的b Web页（例如，，和d.假定一个超链接从一个万维网文档链接到另一个万维网文档，由于万维网文档上出现了差错而使超链接指向一个无效的计算机名，这时浏览器将向用户报告什么?e.当点击一个万维网文档时，若该文档除了次有文本外，，那么需要建立几次TCP连接和个有几个UDP过程?本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。

Wireshark抓包分析CONTENTS5 TCP协议抓包分析5.1 TCP协议格式及特点5.2实例分析6 UDP协议的抓包分析6.1 UDP报文格式及特点6.2流媒体播放时传输层报文分析Word资料5 TCP 协议抓包分析5.1 TCP 协议的格式及特点2 .......... . ...... . 序列号，吕卯 .............. ......... .......…确认号 .&ck_非q・，・》*>■*・L A P R S F >■*・*・ I ■ »*>■*・*・ I ■ b * H * I- -fa ■■ I I- k- k- 4- I- -fa4 首部长度|.保留(6). . |R|C|S|S|¥|1| .......... window|..doff., > |. . ■ . *. . G K H T \ X . ........ ......... .... .............. ....5 ................. 校验和.ch«ck^ ...... .......................................... 紧急指针.|I .......... 迭项 ........................... 填充字节一.|图1 TCP 协议报头格式源端口：数据发起者的端口号； 目的端口：数据接收方的端口号；32bit 序 列号，标识当前数据段的唯一性；32bit 的确认号，接收数据方返回给发送方的 通知；TCP 头部长度为20字节，若TCP 头部的Options 选项启用，则会增加首 部长度，因此TCP 是首部变长的传输层协议；Reserved 、Reserved 、Nonce 、CWR 、 ECN-Echo ：共6bit,保留待用。

URG: 1bit 紧急指针位，取值1代表这个数据是紧急数据需加速传递，取值 0代 表这是普通数据；ACK: 1bit 确认位，取值1代表这是一个确认的TCP 包，取值0则不是确认包；行 D ...... 4 ...... S.. 1D (16)1 I ... 源端口 « STC -pO27t目的端口. dst-poit.....PSH: 1bit紧急位，取值1代表要求发送方马上发送该分段，而接收方尽快的将报文交给应用层，不做队列处理。

计算机网络实验（实习）报告
Ⅰ. 实验（实习）名称：数据包捕获与协议分析
实验（实习）日期 2012年11月26日
专业通信工程10级01班姓名：学号： 2
（或使用青岛农业大学实验报告纸）
1、实验目的
（1）掌握网络协议分析工具Ethereal的使用方法；
（2）截获数据包并对它们观察和分析，了解协议的运行机制；
2、实验内容:
（1）设计一个捕获HTTP实现的完整过程，并对捕获的结果进行分析和统计。

要求：
（2）设计一个捕获TCP实现的完整过程，并对捕获的结果进行分析和统计。

要求：给出捕获某一数据包后的屏幕截图。

以16进制形式显示其包的内容，并分析
TCP报文（源端口、目的端口、序号、确认号，ACK、SYN、窗口等）。

（3） 设计一个捕获ICMP 实现的完整过程，并对捕获的结果进行分析和统计
要求：给出捕获某一数据包后的屏幕截图。

以16进制形式显示其包的内容，并分析
该ICMP 报文。

（4） 设计一个捕获IP 数据包的过程，并对捕获的结果进行分析和统计
要求：
并分析
3. 实验总结(掌握了哪些内容？遇到了什么问题？如何解决的？你的体会或
收获如何？)
学会使用Wireshark 软件进行抓包，并且用过滤器实现有目的获取数据包，并对数据包中的各层协议进行分析。

源地址，目的地址
服务类型，总长度。

云南大学软件学院实验报告实验七、UDP 协议分析实验报告1．实验目的：分析UDP协议报文格式.2．实验环境：局域网环境，或者是联网的单机。

3．实验步骤：（1）启动ethereal软件，开始报文捕获。

（2）捕获UDP的数据包（3）停止捕获报文。

4．实验分析，回答下列问题（1）请说明你是如何获得UDP的捕获文件，并附上捕获的截图。

答：开启聊天工具，然后开启捕获，与好友进行对话，再打开一些网站，停止捕获，就得到了UDP捕获文件（2）通过捕获的数据包分析UDP的报文结构，将UDP协议树中各名字字段，字段长度，（3）通过和实验六的结果比较，UDP报文和TCP报文结构有何区别？答：UDP报文由4个字段和数据构成，而TCP报文由10个字段和数据构成。

UDP属于无连接的，不可靠的数据传输，而TCP属于面向连接的，可靠的数据传输。

因此，TCP比UDP报文多了一些字段。

譬如顺序号，确认号等。

（4）通过实验六和实验七，分析TCP协议和UDP协议的不同之处。

答：1. 首先直观的可以看到他们两个的报文结构有明显的差别，UDP较简单，而TCP较复杂，这也就是现在人们更愿意用UDP协议的原因之一。

2.TCP的链接和拆除要经过七步并且数据的传输速度很慢，而UDP无视握手流程，直接强行灌入数据，但是数据的丢失率很大。

3.UDP协议是无面向连接的、不可靠的、无序的、无流量控制的传输层协议，UDP发送的每个数据报是记录型的数据报，所谓的记录型数据报就是接收进程可以识别接收到的数据报的记录边界。

TCP协议是面向连接的、可靠的、有序的、拥有流量控制的传输层协议，它是字节流的协议，无记录边界。

4.UDP协议：没有流量控制机制，如果发送进程发送数据报塞满了接收进程的接收缓冲区，就会丢弃数据报。

出现这种情况，UDP协议不会通知发送进程减缓数据的发送速率。

TCP协议：拥有流量控制。

辽宁工业大学创新实验（论文）题目ethereal抓包分析电子与信息工程学院院（系）通信工程专业072 班学生姓名谭超学号070305034指导教师李宁开题日期：2010年 6 月 10 日实验目的：本实验使用开源网络协议分析器Ethereal，从网络中抓包，并选择几种协议进行分析。

一、安装Ethereal、用Capture Options(捕获选项)对话框来指定跟踪记录的各个方面、开始抓包。

1、安装Ethereal从网络下载得到该软件，并进行安装。

过程略。

2、捕获选项图1捕获选项的设置3、开始抓包点击上图中的“Start”开始抓包图2 开始抓包二、分析UDP、TCP、ICMP协议1、UDP协议UDP 是User Datagram Protocol的简称，中文名是用户数据包协议，是 OSI 参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。

它是IETF RFC 768是UDP的正式规范。

（1） UDP是一个无连接协议，传输数据之前源端和终端不建立连接，当它想传送时就简单地去抓取来自应用程序的数据，并尽可能快地把它扔到网络上。

在发送端，UDP传送数据的速度仅仅是受应用程序生成数据的速度、计算机的能力和传输带宽的限制；在接收端，UDP把每个消息段放在队列中，应用程序每次从队列中读一个消息段。

（2）由于传输数据不建立连接，因此也就不需要维护连接状态，包括收发状态等，因此一台服务机可同时向多个客户机传输相同的消息。

（3） UDP信息包的标题很短，只有8个字节，相对于TCP的20个字节信息包的额外开销很小。

（4）吞吐量不受拥挤控制算法的调节，只受应用软件生成数据的速率、传输带宽、源端和终端主机性能的限制。

（5）UDP使用尽最大努力交付，即不保证可靠交付，因此主机不需要维持复杂的链接状态表（这里面有许多参数）。

（6）UDP是面向报文的。

发送方的UDP对应用程序交下来的报文，在添加首部后就向下交付给IP层。

网络数据包协议分析实验一、实验内容掌握Ethereal的基本使用方法，利用Ethereal捕获ICMP，TCP协议数据包，并对其进行分析。

掌握ICMP，TCP协议数据包头部各个数据位的意义。

加深对ICMP，TCP 协议原理的理解。

二、实验步骤1Ethereal的使用安装好Ethereal，然后开始捕获数据包。

选择菜单上的Capture->Interfaces，如图选择好网卡点击Capture，如图正在抓包点击Stop然后主界面得到抓包情况如图：随便选取一个包进行分析即可。

2ICMP协议进入dos界面使用Ping命令，过程中会有ICMP包传输，这时打开Ethereal的抓包工具进行抓包即可。

如图：Ethereal抓到的包如图分析：随便选择一个数据包，然后中间的窗口如图显示分成四层，物理层，MAC层，网络层，ICMP协议。

下面逐步分解：如下图为物理层：显示包的大小为74字节，捕获74字节，包括到达时间，包序号，整个包包含的协议层为eth,ip,icmp，还有数据。

如下图为MAC层：主要信息有MAC层的MAC源地址，目的地址，可以看出地址为6字节48位，还说明了上层协议。

如下图为网络层：分析可知，网络层IP协议层包括版本号（IPV4），首部长度，服务类型，数据长度，标识，标志，寿命，还有上层协议为ICMP。

如下图为ICMP协议：首先是服务类型（请求包），代码号，检验和（正确），标识，序列号，数据。

问题回答：1 What is the IP address of your host? What is the IP address of the destinationhost?答：由网络层分析可知本机IP为1222074915，目的主机IP为1222074913 如图2 Why is it that an ICMP packet does not have source and destination portnumbers?答：它是一种差错和控制报文协议，不仅用于传输差错报文，还传输控制报文。

利用Wireshark抓包分析TCP和UDP报文一、实验目的1、通过利用Wireshark抓包分析TCP和UDP报文，理解TCP和UDP报文的封装格式.2、理解TCP和UDP的区别。

二、实验环境与因特网连接的计算机网络系统；主机操作系统为windows；使用WiresharkIE 等软件。

三、实验原理1、wireshark是非常流行的网络封包分析软件，功能十分强大。

可以截取各种网络封包，显示网络封包的详细信息。

2、TCP则提供面向连接的服务。

在传送数据之前必须先建立连接，数据传送结束后要释放连接。

TCP的首部格式为：3. UDP 则提供面向非连接的服务。

UDP 的首部格式为:字节4 411 2源IP 地址 目的IP 地址 0 17 UDP 长度UDP 用户数据报首部数据发送在前TT 首部数妙据IP 数据报・1. 安装 Wireshark 。

2. 利用wireshark 抓获TCP 数据包。

3. 分析TCP 数据包首部各字段的具体内容。

4. 利用wireshark 抓获UDP 数据包。

5. 分析UDP 数据包首部各字段的具体内容。

6. 分析两者的不同。

在实验的基础上，自己完成实验各步骤：1.如图所示这是TCP 的包，下面蓝色的是TCP 中所包含的数据。

t*ia (I.M IG7> ion. ItiK. •. I4K0. BM TC»H 2 > t II11>* [Pa*, ACKJt«ITT ■・■IT匸0 ,• Fsmt Ml. 71 trytei5快Ye (566bto). 71 bytM goxed (5G6 tta)'II. -r. : rv-j.. ..J-. I. - -/I, - d 「■7 :. ■ \»2・166・0」48“92・168。

・148),0»<:如2・168Q ・10&(l»・168・0・W6)H9 Ml 口 兮皿el S 16) 口 &勺* u n • 10105( ees 〉 C5tr^mnc>?x- 4JHLT H ；■: t67 <r«Utr*xi MQjor>o« rvjrvixr)()4*>t seojence rurrtwr: 1^4 (retort sc^jence nimtcr)] 3fxM3im4rH errbY: S0647 gTu 3 r^rrl^r ) Hoadw kr 如.20 byy ■ 5乡 81 乃(P^l. ACK) MTow *JM ： 64578-Ctxckujm: 0^873 [vdKtozn dsetM] w [«Q/ACK jru^/xac] * (17 —g)CCO3 C3 乂& 字节12 2 2 2 2 :伪首祁源端口目的端口长度检验和■ Traromsaon Cornel FroaxoC Src Port: nwei~KX>2 人 DstPoa: 1OWC (10106》，Seq:奶“ 2:3547, Len:门 CO43 7b« » 88 Z7 7t (7 CO CC^ )3決 76 2「2 虫 7b Q 32 2：•YC.. . X. .£.伏衣"58 87 88 巧 8 0010 OO io 4A fig 40 00 80 06 3Qo2g*0O»lc0m 00 B2Ml 6.M1GT3 22.H.0.M8 1!». 168. t. lOfl TCP n<v«n-lw6-2 > IO1M (PSS. ACK) S»q-16T Ack-fiOS47 Vi^-<4STt L.n-U • Fame HL; 71 ty —s s we (553 Uts), 71 c 单rued (563 Uu)•Eilxmec ]!. * 0te«yo_2d 58:37 (S ：9cO &58和)/ M ： Elte$ro_^：59：43 妙仝仪:MS9Z 刃”威mmc Preset 眈 192,Le^O148 (192.163 0.148). Dst ： 192.1 出Q. 18 (192.16601C6) ____________绑口号 nov 凶S>2(2L6) 目的嫦口 101C6(101C6)(Stresm 用曲：4]函wncirrfcw" 167 s^uence nirrt*c)咔玖 环疗炬 rurrber: 134 (r 由 S 它 seo^nce rurrber)] Mn 沁旳ement mrr&「氐却 (r&3tw a ：k njrrber) 曲戈 r ko 力：20 brtes a Rjjs ： 0X 18 (P91. ACK)g ........... =Resaved ：卜敬=ri^re ： Wot set・•• • • • • •• =Ccr>戶ten VW>:fc*v R/seixed (OVR): set...... 0 ...... =KN Bxho: W set ...... D .... =U-^-rt: W set 1= Aclnz^W^rnv;rt: Set ......... 1.. = A_Eh: Setn =R«et: Mot set............. 0 =Syn:忡st set............. X ) =fin: Hot set加如 size: 64578& Checksum: CbSTEe (viidsbxn dsd^ed) [Gxd O-^kojTi: Fifce] [Baj cr»±wtn: Fate] 8 (5EQ/ACK ar^vas] [hlmte of bytes 2九：17]，D 知(17 by®)由截图可以看出來TCP 报文中包含的各个数据，TCP 报文段（TCP 报文通常称为 段或TCP 报文段）,与UDP 数据报一样也是封装在IP 中进行传输的，只是IP 报文的数据区为TCP 报文段。