(完整word版)网络协议抓包分析

合集下载

使用网络协议分析器捕捉和分析协议数据包

一、实验目的(1)熟悉ethereal的使用(2)验证各种协议数据包格式(3)学会捕捉并分析各种数据包。

二、使用仪器、器材WinXP、Ethereal软件三、实验内容及原理（1）安装ethereal软件（2）捕捉数据包，验证数据帧、IP数据报、TCP数据段的报文格式。

（3）捕捉并分析ARP报文。

（4）捕捉ping过程中的ICMP报文，分析结果各参数的意义。

（5）捕捉tracert过程中的ICMP报文，分析跟踪的路由器IP是哪个接口的。

（6）捕捉并分析TCP三次握手建立连接的过程。

（7）捕捉整个FTP工作工程的协议包对协议包进行分析说明，依据不同阶段的协议分析，画出FTP工作过程的示意图a.. 地址解析ARP协议执行过程b. FTP控制连接建立过程c . FTP 用户登录身份验证过程d. FTP 数据连接建立过程e. FTP数据传输过程f. FTP连接释放过程（包括数据连接和控制连接）（8）捕捉及研究WWW应用的协议报文，回答以下问题：a. .当访问某个主页时，从应用层到网络层，用到了哪些协议？b. 对于用户请求的百度主页（），客户端将接收到几个应答报文？具体是哪几个？假设从本地主机到该页面的往返时间是RTT，那么从请求该主页开始到浏览器上出现完整页面，一共经过多长时间？c. 两个存放在同一个服务器中的截然不同的Web页（例如，/index.jsp，和/cn/research/index.jsp可以在同一个持久的连接上发送吗？d. 假定一个超链接从一个万维网文档链接到另一个万维网文档，由于万维网文档上出现了差错而使超链接指向一个无效的计算机名，这时浏览器将向用户报告什么？e. 当点击一个万维网文档时，若该文档除了有文本外，还有一个本地.gif图像和两个远地.gif图像，那么需要建立几次TCP连接和有几个UDP过程？（9）捕捉ARP病毒包，分析ARP攻击机制。

（选做）（10）TCP采用了拥塞控制机制，事实上，TCP开始发送数据时，使用了慢启动。

协议数据包的捕捉与分析

协议数据包的捕捉与分析在现代网络通信中，协议数据包的捕捉与分析是一项重要的技术。

通过捕捉和分析数据包，我们可以深入了解网络通信的细节，发现潜在的问题，并进行性能优化。

本文将讨论协议数据包的捕捉与分析的方法和应用。

一、数据包捕捉的方法数据包捕捉是指在网络通信过程中，拦截并记录数据包的内容和相关信息。

常见的数据包捕捉方法有两种：被动捕捉和主动捕捉。

被动捕捉是指通过监听网络接口或交换机端口，将经过的数据包复制并记录下来。

这种方法不会对网络通信产生干扰，适用于对整个网络流量进行全面监控和分析。

被动捕捉可以使用专门的硬件设备，也可以通过软件实现，如Wireshark等。

主动捕捉是指通过发送特定的请求，获取网络中的数据包。

这种方法需要主动参与网络通信，可以有针对性地捕捉特定协议或特定主机的数据包。

主动捕捉常用于网络安全领域的入侵检测和攻击分析。

二、数据包分析的工具数据包捕捉只是第一步，对捕捉到的数据包进行分析才能发现其中的有用信息。

数据包分析的工具有很多，常用的有Wireshark、tcpdump、tshark等。

Wireshark是一款功能强大的开源数据包分析工具，支持多种协议的解析和显示。

它可以将捕捉到的数据包按照协议、源IP地址、目的IP地址等进行过滤和排序，方便用户快速定位感兴趣的数据包。

tcpdump是一款命令行工具，可以实时捕捉和显示网络数据包。

它支持多种过滤条件，可以根据协议、端口、源IP地址等进行过滤。

tcpdump输出的数据包可以导入Wireshark等图形化工具进行进一步分析。

tshark是Wireshark的命令行版本，可以在服务器等无图形界面的环境中使用。

它支持Wireshark的大部分功能，可以通过命令行参数和过滤条件进行数据包的捕捉和分析。

三、数据包分析的应用数据包分析在网络管理和网络安全中有广泛的应用。

以下是一些常见的应用场景：1. 故障排查：当网络出现故障时，通过分析数据包可以确定故障的原因和位置。

TCP-IP协议和抓包分析

TCP-IP协议和抓包分析1．数据包1）OSI 参考模型：起源：没有标准通信协议造成的混乱目标：定义各种网络节点间的通信的框架目的：通信标准，解决异种网络互连时所遇到的兼容性问题优点：各层互不干扰；简化开发；快速定位网路故障各层的功能及相关协议：封装和解封装：封装：将上层交给自己的数据包（泛指各种PDU）放进一个或多个本层能理解的数据包的Data部分，并为这些数据包填充适当的头部字段信息，然后将装配好的数据包交给下一层。

解封装：从下层接过本层能理解的数据包，然后去掉本层的数据包头部字段，将Data 部分传给上一层。

2）DOD 模型（TCP/IP 协议族）：3）对应关系4）数据包：a. TCP 头部：b. UDP 头部：c. IP 头部：5）TCP 协议三次握手过程的描述：过程简述：1）服务器应用启动，建立相应的TCB,进入LISTEN状态；2）客户端向服务器端发送一个TCP段，该段设置SYN标识，请求跟服务器端应用同步，之后进入SYN-SENT状态，等待服务器端的响应；3）服务器端应用收到客户端的SYN段之后，发送一个TCP段响应客户端，该段设置SYN和ACK标识，告知客户端自己接受它的同步请求，同时请求跟客户端同步。

之后进入SYN-RECEIVED状态；4）客户端收到服务器端的SYN+ACK段之后，发送一个TCP段，该段设置ACK标识，告知服务器端自己接受它的同步请求。

之后，进入ESTABLISHED状态；5）服务器端应用收到客户端的ACK段之后，进入ESTABLISHED状态。

到此，客户端跟服务器端的TCP连接就建立起来了。

6）TCP/UDP 协议之比较：7) TCP 状态机：解释：TCP 连接建立的两种方式：A）常规的三次握手方式：见5）TCP 协议三次握手过程的描述B）同步开放方式：1) 服务器应用启动，建立相应的TCB,进入LISTEN状态；2）客户端向服务器端发送一个TCP段，该段设置SYN标识，请求跟服务器端应用同步，之后进入SYN-SENT状态，等待服务器端的响应；3）服务器端应用收到客户端的SYN段之后，发送一个TCP段响应客户端，该段设置SYN，告知客户端自己请求跟它同步。

网络协议分析与抓包技术

网络协议分析与抓包技术随着互联网的快速发展，网络通信已成为当今社会日常生活和工作中不可或缺的一部分。

网络协议是保障网络通信正常运行的基础，而抓包技术则是分析网络流量、调试网络问题的重要方法。

本文将对网络协议分析与抓包技术进行详细介绍。

一、网络协议分析网络协议是指计算机网络中通信实体之间为了实现特定功能而进行的规则和约定。

在进行网络协议分析时，我们需要了解常见的网络协议，如TCP/IP协议栈、HTTP协议、FTP协议等。

1. TCP/IP协议栈TCP/IP协议栈是互联网通信的核心协议，它由四层构成：网络接口层、网络层、传输层和应用层。

网络接口层负责网卡的数据传输，网络层负责数据包的路由和寻址，传输层负责数据的分段和重组，应用层则负责具体应用程序的数据交互。

2. HTTP协议HTTP（Hypertext Transfer Protocol）是一种用于传输超文本的应用层协议。

通过HTTP协议，可以在Web浏览器和Web服务器之间传输HTML页面、图片、视频等数据。

在进行网络协议分析时，我们可以通过抓包工具来查看HTTP请求和响应的数据内容，以便调试和优化Web应用程序。

3. FTP协议FTP（File Transfer Protocol）是一种用于在计算机之间传输文件的协议。

FTP客户端可以通过FTP协议连接到FTP服务器，并进行文件的上传、下载、删除等操作。

在进行网络协议分析时，我们可以通过抓包来查看FTP协议的命令和响应，以便排查文件传输的问题。

二、抓包技术抓包技术是指通过网络抓包工具截取网络数据包，并对其进行分析和解析的过程。

通过抓包技术，可以获取到网络通信中的详细信息，包括源IP地址、目标IP地址、端口号、数据内容等。

常见的抓包工具有Wireshark、tcpdump等。

抓包技术对于网络故障的定位和网络性能的优化非常重要。

通过抓包工具，我们可以查看网络通信中的数据包传输情况，寻找是否存在丢包、延迟、重传等问题。

网络协议分析与抓包工具

网络协议分析与抓包工具在当今数字化时代，网络已经成为人们生活和工作中必不可少的一部分。

而网络协议作为网络通信的基础，对于保障网络的稳定和安全至关重要。

为了更好地了解网络协议的工作原理以及网络传输过程中的数据包信息，人们研发了各种抓包工具。

本篇文章将对网络协议的基本概念进行分析，并介绍几种常用的抓包工具。

一、网络协议的基本概念1.网络协议的定义网络协议是指在计算机网络中，为了使网络中的不同设备能够相互通信而共同遵循的一系列规则和规范。

它定义了数据的格式、传输速率、传输步骤等相关要素，实现了网络中各个设备之间的可靠通信。

2.网络协议的分类网络协议可以根据其功能和层次进行分类。

根据功能可分为通信协议、路由协议、安全协议等；根据层次可分为物理层协议、数据链路层协议、网络层协议、传输层协议和应用层协议等。

3.网络协议的工作原理网络协议的工作原理是通过发送和接收数据包来实现。

数据包是网络中传输的基本单位，其中包含了源地址、目标地址、数据信息等。

发送端通过网络协议对数据包进行封装和编码，然后发送给接收端。

接收端通过解码和解封装过程获取数据包中的信息。

二、常用的抓包工具1. WiresharkWireshark是一个开源的网络协议分析工具，它能够在网络上捕获数据包信息，并对其进行详细分析。

Wireshark支持多种协议的解析，并提供了强大的过滤和显示功能，方便用户进行网络故障排查和性能优化。

2. tcpdumptcpdump是一个命令行下的抓包工具，它可以抓取网络数据包并将其保存为文件或直接打印出来。

tcpdump支持各种协议的抓包，用户可以根据自己的需求进行过滤和捕获特定数据包的操作。

tcpdump在网络调试和安全漏洞检测等方面具有广泛的应用。

3. TsharkTshark是Wireshark的命令行版本，它可以用于自动化捕获和分析网络数据包。

通过使用Tshark，用户可以脱离图形界面，实现对网络流量的实时分析和监控。

数据包抓包分析范文

数据包抓包分析范文一、数据包抓包的基本流程1. 安装Wireshark并启动。

2.选择所需的网络接口进行抓包。

3.设置相关过滤器，以过滤出需要的数据包。

4.开始抓包并观察捕获到的数据包。

5.对数据包进行分析，包括查看协议信息、源IP、目标IP等处理。

二、数据包分析的基本操作1. 过滤器的使用：在Wireshark的过滤器栏中输入相关的过滤规则，可以过滤出特定的数据包。

例如，可以使用过滤器"ip.addr==192.168.1.1"只显示源或目的IP地址为192.168.1.1的数据包。

2. 如何分析数据包的协议：Wireshark针对每个数据包提供了协议栈的信息，在Packet Details窗格中可以查看到每层协议的详细信息。

可以通过查看各层协议的信息，了解协议的使用情况，诊断网络问题。

3. 统计功能的使用：Wireshark提供了一些统计功能，如统计一些协议的使用情况、统计各个IP地址之间的通信量等。

这些统计信息可以帮助我们了解网络的负载情况，发现潜在的问题。

4.寻找网络延迟问题：通过查看数据包的时间戳和响应时间，可以找到网络延迟的问题。

例如，如果响应时间过长，可能是由于网络拥塞或服务器性能问题引起。

5. 分析TCP连接问题：Wireshark提供了TCP分析功能，可以分析TCP连接的建立、维护和中断过程。

通过查看TCP协议头部的相关信息，可以判断网络连接的状态、是否有丢包或重传等问题。

6.安全问题的分析：通过抓包分析，可以检测到一些安全问题，如密码明文传输、未加密的通信等。

通过查看数据包的内容，可以发现潜在的安全隐患，并及时采取措施进行修复。

三、数据包分析的实际案例1.分析HTTP请求：通过抓包分析HTTP请求，可以了解请求的具体内容和响应的状态码。

可以查看HTTP头部的信息，识别用户的操作行为，检查请求是否正常。

2.分析DNS查询：通过抓包分析DNS查询，可以了解域名解析过程的性能和可靠性。

网络层数据包抓包分析

网络层数据包抓包分析一.实验内容（1）使用Wireshark软件抓取指定IP包。

（2）对抓取的数据包按协议格式进行各字段含义的分析。

二.实验步骤（1）打开Wireshark软件，关闭已有的联网程序（防止抓取过多的包），开始抓包；（2）打开浏览器，输入/网页打开后停止抓包。

（3）如果抓到的数据包还是比较多，可以在Wireshark的过滤器（filter）中输入http，按“Apply”进行过滤。

过滤的结果就是和刚才打开的网页相关的数据包。

（4）在过滤的结果中选择第一个包括http get请求的帧，该帧用于向/网站服务器发出http get请求（5）选中该帧后，点开该帧首部封装明细区中Internet Protocol 前的”+”号，显示该帧所在的IP包的头部信息和数据区：（6）数据区目前以16进制表示，可以在数据区右键菜单中选择“Bits View”以2进制表示：（注意:数据区蓝色选中的数据是IP包的数据，其余数据是封装该IP包的其他层的数据）回答以下问题：1、该IP包的“版本”字段值为_0100_(2进制表示)，该值代表该IP包的协议版本为：√IPv4□IPv62、该IP包的“报头长度”字段值为__01000101__(2进制表示)，该值代表该IP包的报头长度为__20bytes__字节。

3、该IP包的“总长度”字段值为___00000000 11101110___ (2进制表示)，该值代表该IP包的总长度为__238__字节，可以推断出该IP包的数据区长度为__218__字节。

4、该IP包的“生存周期”字段值为__01000000__ (2进制表示)，该值代表该IP包最多还可以经过___64__个路由器5、该IP包的“协议”字段值为__00000110__ (2进制表示) ，该值代表该IP包的上层封装协议为__TCP__。

6、该IP包的“源IP地址”字段值为__11000000 1010100000101000 00110011__ (2进制表示) ，该值代表该IP包的源IP地址为_192_._168_._40_._51_。

网络协议分析——抓包分析

计算机网络技术及应用实验报告开课实验室：南徐学院网络实验室源端口目的端口序号确认号首部长度窗口大小值总的长度：0028（0000 00000010 10000）识别：81 28（1000 0001 0010 10000）片段抵消：40 00（0100 0000 0000 0000）生存时间：34（0011 0100）69 5b(0110 10010101 1011)首部来源： b4 15 f1(11011101 1011 0100 0001 01011110 0001)目的地：70 04 f8 82（0110 0000 0000 01001111 1000 1000 0010）点对点协议：00 21（0000 0000 00100001）版本类型：11（0001 0001）代码：00（0000 0000）会话：21 a6（0010 0001 1010 0110 ）载荷长度：00 2a（0000 0000 0010 1010）网络协议层首部长度：占4位，45（0100 0101）区分服务：占8位，00（0000 0000）总长度:: 00 9c(0000 0000 1001 1100)标识：占16位，2f 70（0010 1111 0111 0000）片偏移：占13位，00 a0(0000 0000 1010 0000) 生存时间：33（0011 0011）协议：11（0001 0001）报头校验和：75 （0111 0101 1100 1101 ）来源： e1 a8 76（1101 1101 1110 0001 1010 1000 0111 0110）目的地：b7 d3 a3 48（1011 0111 1101 0011 1010 0011 0100 1000）点对点协议：00 21（0000 0000 00100001）分析版本，类型：11（0001 0001）代码：00（0000 0000）会话：20 24（0010 0000 0010 0100）荷载长度：00 9e（0000 0000 1001 1110）目的地：00 1b 38 7e 1d 39（0000 0000 0001 1011 0011 1000 0111 1110 0001 1101 0011 1001）来源：00 30 88 13 d2 （0000 0000 0011 0000 1000 1000 0001 0011 1101 0010数据部分：00 00 00 00 95 85 c0 28 01 00 37 f6 02 13 e5 67 e2 b8 6c（0000 0000 0000 0000 1001 0101 1000 0101 1100 00000010 1000 0000 0001 0000 0000 0011 0111 1111 0110 0000 0010 0001 0011 1110 0101 0110 0111 1110 0010 1011 1000 0110 1100版本，报头长度：45（0100 0101）区分服务：00（0000 0000）总长度：00 43（0000 0000 0100 0011）标识：89 00（1000 1001 0000 0000）片偏移：00 00（0000 0000）生存时间：40（0100 0000）协议：11（0001 0001）报头校验和：32 （0011 0010 1011 1111）、来源：b7 d3 a3 48（1011 0111 1101 0011 1010 0011 0100 1000）目的地：2a e5 38 （0010 1010 1110 0101 0011 1000 1110 1010）点对点协议：00 21（0000 00000010 0001）。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

中国矿业大学《网络协议》姓名：李程班级：网络工程2009-2学号：08093672实验一：抓数据链路层的帧一、实验目的分析MAC层帧结构二、准备工作本实验需要2组试验主机，在第一组上安装锐捷协议分析教学系统，使用其中的协议数据发生器对数据帧进行编辑发送，在第二组上安装锐捷协议分析教学系统，使用其中的网络协议分析仪对数据帧进行捕获分析。

三、实验内容及步骤步骤一：运行ipconfig命令步骤二：编辑LLC信息帧并发送步骤三：编辑LLC监控帧和无编号帧，并发送和捕获：步骤四：保存捕获的数据帧步骤五：捕获数据帧并分析使用iptool进行数据报的捕获：报文如下图：根据所抓的数据帧进行分析：（1）MAC header目的物理地址：00:D0:F8:BC:E7:06源物理地址：00:16:EC:B2:BC:68Type是0x800：意思是封装了ip数据报（2）ip数据报由以上信息可以得出：①版本：占4位，所以此ip是ipv4②首部长度：占4 位，可表示的最大十进制数值是15。

此ip数据报没有选项，故它的最大十进制为5。

③服务：占8 位，用来获得更好的服务。

这里是0x00④总长度：总长度指首都及数据之和的长度，单位为字节。

因为总长度字段为16位，所以数据报的最大长度为216-1=65 535字节。

此数据报的总长度为40字节，数据上表示为0x0028。

⑤标识(Identification)：占16位。

IP软件在存储器中维持一个计数器，每产生一个数据报，计数器就加1，并将此值赋给标识字段。

但这个“标识”并不是序号，因为IP是无连接的服务，数据报不存在按序接收的问题。

当数据报由于长度超过网络的MTU 而必须分片时，这个标识字段的值就被复制到所有的数据报的标识字段中。

相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。

在这个数据报中标识为18358，对应报文16位为47b6⑥标志(Flag)：占3 位，但目前只有2位有意义。

标志字段中的最低位记为MF (More Fragment)。

MF=1即表示后面“还有分片”的数据报。

MF=0表示这已是若干数据报片中的最后一个。

标志字段中间的一位记为DF(Don't Fragment)，意思是“不能分片”。

只有当DF=0时才允许分片。

这个报文的标志是010，故表示为不分片！对应报文16位为0x40。

⑦片偏移：因为不分片，故此数据报为0。

对应报文16位为0x00。

⑧生存时间：占8位，生存时间字段常用的英文缩写是TTL (Time To Live)，其表明数据报在网络中的寿命。

每经过一个路由器时，就把TTL减去数据报在路由器消耗掉的一段时间。

若数据报在路由器消耗的时间小于1 秒，就把TTL值减1。

当TTL值为0时，就丢弃这个数据报。

经分析，这个数据报的的TTL为64跳！对应报文16位为0x40。

⑨协议：占8 位，协议字段指出此数据报携带的数据是使用何种协议，以便使目的主机的IP层知道应将数据部分上交给哪个处理过程。

这个ip数据报显示使用得是TCP协议对应报文16位为0x06。

⑩首部检验和：占16位。

这个字段只检验数据报的首部，但不包括数据部分。

这是因为数据报每经过一个路由器，都要重新计算一下首都检验和(一些字段，如生存时间、标志、片偏移等都可能发生变化)。

不检验数据部分可减少计算的工作量。

对应报文16位为0x8885。

⑾源地址：占32位。

此报文为219.219.61.32 对应数据为DB:DB:3D:20⑿目的地址：占32位。

此报文为199.75.218.77对应数据为77:4B:DA:4D（13）选项：这里是无！（2）TCP 报头TCP报文首部格式●源端口（Source Port）：16位的源端口字段包含初始化通信的端口号。

源端口和IP地址的作用是标识报文的返回地址。

这个报文是3204对应的数据报中的16位为0x0c84。

●目的端口(Destination Port):16位的目的端口字段定义传输的目的。

这个端口指明接收方计算机上的应用程序接口。

这个报文的目的端口是80（代表了http协议）对应的数据报中的16位为0x0050●序列号（Sequence Number）:该字段用来标识TCP源端设备向目的端设备发送的字节流，它表示在这个报文段中的第几个数据字节。

序列号是一个32位的数。

这个报文的sequence number是2416921514对应的数据报中的16位为0x900f4baa●确认号（Acknowledge Number）：TCP使用32位的确认号字段标识期望收到的下一个段的第一个字节，并声明此前的所有数据已经正确无误地收到，因此，确认号应该是上次已成功收到的数据字节序列号加1。

收到确认号的源计算机会知道特定的段已经被收到。

确认号的字段只在ACK标志被设置时才有效。

这个报文的ACK是2803024519对应的数据报中的16位为0xa712c287●首部长度（header length）这里是5 代表了20字节也表示tcp选项是无，对应的数据报中的16位为0x50●控制位(Control Bits):共6位，每一位标志可以打开一个控制功能。

URG(Urgent Pointer Field Significant,紧急指针字段标志):表示TCP包的紧急指针字段有效，用来保证TCP连接不被中断，并且督促中间齐备尽快处理这些数据。

这里URG为0 表示not setACK（Acknowledgement field significant,确认字段标志）: 取1时表示应答字段有效，也即TCP应答号将包含在TCP段中，为0则反之。

这里ACK为1 表示是确认帧PSH(Push Function,推功能)：这个标志表示Push操作。

所谓Push操作就是指在数据包到达接收端以后，立即送给应用程序，而不是在缓冲区中排队。

这里PSH位置0表示不直接送给应用程序RST（Reset the connection,重置连接）：这个标志表示感谢连接复位请求，用来复位那些产生错误的连接，也被用来拒绝错误和非法的数据包。

这里是0 表示不产生重置连接SYN（Synchronize sequence numbers,同步序列号）:表示同步序号，用来建立连接。

这里SYN为0，表示没有设置同步FIN（No more data from sender）:表示发送端已经发送到数据末尾，数据传送完成，发送FIN标志位的TCP段，连接将被断开。

这里FIN是0，表示没有设置这里对应的数据报中的16位为0x10●窗口（Window）:目的主机使用16位的窗口字段告诉源主机它期望每次收到的数据通的字节数。

此报文窗口大小为65535对应的数据报中的16位为0xffff●校验和（Checksum）:TCP头包括16位的校验和字段用于错误检查。

源主机基于部分IP头信息，TCP头和数据内容计算一个校验和，目的主机也要进行相同的计算，如果收到的内容没有错误过，两个计算应该完全一样，从而证明数据的有效性。

这里检验和为：0xf317●紧急指针（Urgent Pointer）:紧急指针字段是一个可选的16位指针，指向段内的最后一个字节位置，这个字段只在URG标志被设置时才有效。

这里Urgent Pointer为零，表示没有使用紧急指针选项（Option）:至少1字节的可变长字段，标识哪个选项（如果有的话）有效。

如果没有选项，这个字节等于0,说明选项的结束。

这个字节等于1表示无需再有操作；等于2表示下四个字节包括源机器的最大长度（Maximum Segment Size,MSS）.这里选项没有设置●填充（Padding）:这个字段中加入额外的零，以保证TCP头是32的整数倍。

实验二 IP报文分析一、实验目的掌握IP数据包的组成和网络层的基本功能；二、准备工作本实验需要2组试验主机，在第一组上安装锐捷协议分析教学系统，使用其中的协议数据发生器对数据帧进行编辑发送，在第二组上安装锐捷协议分析教学系统，使用其中的网络协议分析仪对数据帧进行捕获分析。

三、实验内容及步骤步骤一：设定实验环境步骤二：利用网络协议分析软件捕获并分析IP数据包1、在某台主机中打开网络协议分析软件，在工具栏中点击“开始”，待一段时间后，点击“结束”，2、在捕获到数据包中，选择IP数据包进行分析分析捕获到的IP数据包，因此在本实验中，只分析数据的的IP 包头部分。

步骤三：利用网络协议编辑软件编辑并发送IP数据包1、在主机PC1打开网络协议编辑软件，在工具栏选择“添加”，建立一个IP数据包。

2、填写“源物理地址”：可以在地址本中找到本机的MAC地址，然后左键选择，点击“确定”加入地址。

3、填写“目的物理地址”：可以在地址本中选择PC2的MAC地址，然后左键选择并单击“确定”加入地址。

4、填写“类型或长度”：该字段值为0800。

点击工具栏或菜单栏中的“发送”，在弹出的对话框中配置发送次数，然后选择“开始”按钮，发送帧序列在PC2中用协议分析器截获数据包并分析。

步骤四：运行ipconfig命令步骤五：运行ping命令IP数据报分析由以上信息可以得出：①版本：占4位，所以此ip是ipv4②首部长度：占4 位，可表示的最大十进制数值是15。