Wireshark 分析 TCPIP协议

TCP/IP网络协议分析实验一、实验目的1. 通过实验，学习和掌握TCP/IP协议分析的方法及其相关工具的使用；2. 熟练掌握 TCP/IP体系结构；3. 学会使用网络分析工具；4. 网络层、传输层和应用层有关协议分析。

二、实验类型分析类实验三、实验课时2学时四、准备知识1.Windows 2003 server 操作系统2.TCP/IP 协议3.Sniffer工具软件五、实验步骤1.要求掌握网络抓包软件Wireshark。

内容包括：●捕获网络流量进行详细分析●利用专家分析系统诊断问题●实时监控网络活动●收集网络利用率和错误等2.协议分析（一）：IP协议，内容包括：●IP头的结构●IP数据报的数据结构分析3.协议分析（二）：TCP/UDP协议，内容包括：●TCP协议的工作原理●TCP/UDP数据结构分析六、实验结果1.IP协议分析：（1）工作原理：IP协议数据报有首部和数据两部分组成，首部的前一部分是固定长度，共20字节，是IP数据报必须具有的。

首部分为，版本、首部长度、服务类型、总长度、标识、标志、片偏移、生存时间、协议、首部检验和、源地址、目的地址、可选字段和数据部分（2）IPV4数据结构分析：2.TCP协议分析：（1）工作原理：TCP连接是通过三次握手的三条报文来建立的。

第一条报文是没有数据的TCP报文段，并将首部SYN位设置为1。

因此，第一条报文常被称为SYN分组，这个报文段里的序号可以设置成任何值，表示后续报文设定的起始编号。

连接时不能自动从1开始计数，选择一个随机数开始计数可避免将以前连接的分组错误地解释为当前连接的分组。

（2）TCP数据结构分析第一次握手：第二次握手：第三次握手：3.UDP协议分析：（1）工作原理：与我们所熟悉的TCP一样，UDP协议直接位于IP的顶层。

根据OSI(开放系统互联)参考模型，UDP和TCP都属于传输层协议。

UDP的主要作用是将网络数据流量压缩成数据报的形式。

实验五使用Wireshark分析TCP协议一、实验目的分析TCP协议二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、实验步骤1、TCP介绍（1）连接建立：TCP连接通过称为三次握手的三条报文来建立的。

在Wireshark中选择open->file,选择文件tcp_pcattcp_n1.cap，其中分组3到5显示的就是三次握手。

第一条报文没有数据的TCP报文段，并将首部SYN位设置为1。

因此，第一条报文常被称为SYN分组。

这个报文段里的序号可以设置成任何值，表示后续报文设定的起始编号。

连接不能自动从1开始计数，选择一个随机数开始计数可避免将以前连接的分组错误地解释为当前连接的分组。

观察分组3，Wireshark显示的序号是0。

选择分组首部的序号字段，原始框中显示“94 f2 2e be”。

Wireshark显示的是逻辑序号，真正的初始序号不是0。

如图1所示：图１：逻辑序号与实际初始序号SYN分组通常是从客户端发送到服务器。

这个报文段请求建立连接。

一旦成功建立了连接，服务器进程必须已经在监听SYN分组所指示的IP地址和端口号。

如果没有建立连接，SYN分组将不会应答。

如果第一个分组丢失，客户端通常会发送若干SYN分组，否则客户端将会停止并报告一个错误给应用程序。

如果服务器进程正在监听并接收到来的连接请求，它将以一个报文段进行相应，这个报文段的SYN位和ACK位都置为1。

通常称这个报文段为SYNACK分组。

SYNACK 分组在确认收到SYN分组的同时发出一个初始的数据流序号给客户端。

分组4的确认号字段在Wireshark的协议框中显示1，并且在原始框中的值是“94 f2 2e bf”（比“94 f2 2e be”多1）。

这解释了TCP的确认模式。

TCP接收端确认第X个字节已经收到，并通过设置确认号为X+1来表明期望收到下一个字节号。

分组4的序号字段在Wireshark的协议显示为0，但在原始框中的实际值却是“84 ca be b3”。

一、目的及要求：
1.了解wireshark软件的使用和过滤方法
2. 通过wireshark软件分析TCP协议的特点
二、实验步骤
1.下载wireshark软件并在Windows环境下安装
2. 掌握数据包的分析、过滤器的配置及过滤语法
3. 分析TCP协议
4. 通过Ping命令，使用wireshark分析ICMP数据包
三、实验内容：
1、选择物理网卡
Capture -> interface list -> start
2、启动新捕获
1) capture —> start
2) restart the running live capture
3、分析包列表、包详情、包字节中的内容
1) capture -> Options
2) 填写Capture Filter创建过滤器
Or
3) 单击Capture Filter按钮创建捕捉过滤器
1、主界面Fliter框内输入过滤器语法
2、单击主界面上的“Expression…”按钮，按提示逐步填写
6、分析TCP协议（三次握手）
1、甲方建立到乙方的连接
2、乙方确认甲方连接、同时建立到甲方连接
3、甲方确认乙方连接、同时开始传数据(从选定行开始依次为三次握手)
7、分析ping命令时的ICMP网络数据包
1) Echo ping request
2) Echo ping reply
3) Destination unreachable
4) who has ***?
…。

竭诚为您提供优质文档/双击可除wireshark怎么看tcp报文中ip首部中"协议"字段的取值篇一：wireshark捕获分组深入理解tcpip协之ip协议wireshark捕获分组深入理解tcp/ip协议之ip协议摘要：本文简单介绍了网络层理论知识，详细讲解了ip数据报各个字段，并从wireshark俘获分组中选取ip数据报进行分析，也阐述了分组和分片的区别。

一、ipv4数据报网络层是处理端到端数据传输的最低层。

网络层关注如何将分组从源端沿着网络路径送达目的端，期间可能需要经过许多跳中间路由器。

即提供转发(数据从路由器那个接口出去)、选路(发送方与接收方间的路径)、网络建立(如atm、帧中继)。

这里以ipv4为例，关于ipv6报文格式详见博文《ipv4与ipv6数据报格式详解》。

图1ipv4数据报格式版本号(version)不同的ip协议版本使用不同的数据报格式。

首部长度(hl,internetheadlength)确定ip数据报中数据部分实际从哪里开始，包含可变数量的选项。

若ip数据报没有包含选项，则ip数据报首部长度为20字节。

服务类型(tos,typeofservice)更好地服务不同类型ip数据报(如实时数据报ip电话应用、非实时通信流Ftp)，cisco将tos前3位标识不同服务等级，即优先级。

数据报长度(tl,totallength)ip数据报长度，即首部+数据。

分片：标识(identification)、标志(flags)、段位移(Fragmentoffset)这3个字段跟ip分片有关，当目的主机从同一个源收到一批数据报时，需要确定这些数据报是完整数据报还是分片后的数据报，数据报首部标识字段解决这个问题，检查数据报的标识号确定哪些数据报真正是同一个较大数据报的片；如何判断最后一个分片已收到，数据报首部标志字段解决这个问题，将最后一片的标志为0，其他标记为1；如何顺序重组这些片，这就需要记录每个片的在数据报有效净荷的偏移量，这也确定了片是否丢失。

wireshark协议树解析步骤Wireshark是一款功能强大的网络分析工具，可以用于捕获、分析和解码网络数据包。

它可以解析多种网络协议，并以可视化的方式呈现协议树的结构。

以下是解析Wireshark协议树的一般步骤：2. 启动Wireshark：安装完成后，启动Wireshark应用程序。

主界面显示了可用的网络接口。

3. 选择捕获接口：Wireshark支持同时捕获多个网络接口的数据包。

选择一个接口来捕获所有传入和传出的数据包。

单击所需的接口即可开始捕获。

4. 开始数据包捕获：在单击接口后，Wireshark开始捕获数据包。

捕获进程将始终处于活动状态，直到您停止捕获。

5. 分析捕获的数据包：一旦停止捕获，Wireshark将显示捕获的数据包列表。

每个数据包都会显示源、目标IP地址、协议类型、长度和时间戳等信息。

6.选择要分析的数据包：从列表中选择您要分析的数据包。

您可以单击其中一个数据包以查看详细信息。

7. 查看协议树：选中一个数据包后，Wireshark将在下半部分显示包含协议树的详细信息。

协议树以树状结构显示，从最底层的数据链路层开始，逐级向上解析各个网络层，直到应用层。

8.展开协议树：在协议树中，您可以展开不同的协议层级以查看更详细的信息。

单击“+”或双击具有“+”符号的协议名称，以展开该层级。

9.查看协议详细信息：展开每个协议层级后，您可以查看该协议的详细信息。

例如，如果展开了“传输层”协议，您将看到TCP或UDP的详细信息。

10. 分析协议字段：在协议的详细信息中，您可以查看不同的字段和值。

Wireshark在对每个字段进行解码时会提供解析结果，如源端口、目标端口、标志位等。

11. 过滤数据包：如果您只想查看特定类型的数据包，可以使用Wireshark的过滤功能。

通过在过滤框中输入过滤条件，可以只显示符合该条件的数据包。

12.导出协议树：如果您想保存协议树，可以将其导出为纯文本或HTML格式。

WireShark——IP协议包分析（Ping分析IP协议包）互联⽹协议 IP 是 Internet Protocol 的缩写，中⽂缩写为“⽹协”。

IP 协议是位于 OSI 模型中第三层的协议，其主要⽬的就是使得⽹络间能够互联通信。

前⾯介绍了 ARP 协议，该协议⽤在第⼆层处理单⼀⽹络中的通信。

与其类似，第三层则负责跨⽹络通信的地址。

在这层上⼯作的不⽌⼀个协议，但是最普遍的就是互联⽹协议（IP）1. IP协议介绍互联⽹协议地址（Internet Protocol Address，⼜译为⽹际协议地址），缩写为 IP 地址（IP Address）。

在上⼀章介绍了 ARP 协议，通过分析包可以发现它是依靠 MAC 地址发送数据的。

但是，这样做有⼀个重⼤的缺点。

当 ARP 以⼴播⽅式发送数据包时，需要确保所有设备都要接收到该数据包。

这样，不仅传输效率低，⽽且局限在发送者所在的⼦⽹络。

也就是说，如果两台计算机不在同⼀个⼦⽹络，⼴播是传不过去的。

这种设计是合理的，否则互联⽹上每⼀台计算机都会受到所有包，将会导致⽹络受到危害。

互联⽹是⽆数⼦⽹共同组成的⼀个巨型⽹络。

图中就是⼀个简单的互联⽹环境，这⾥列出了两个⼦⽹络。

如果想要所有电脑都在同⼀个⼦⽹络内，这⼏乎是不可能的。

所以，需要找⼀种⽅法来区分那些 MAC 地址属于同⼀个⼦⽹络，那些不是。

如果是同⼀个⼦⽹络，就采⽤⼴播⽅式发送。

否则就采⽤“路由”发送。

这也是在 OSI 七层模型中“⽹络层”产⽣的原因。

它的作⽤就是引进⼀套新的地址，使得⽤户能够区分不同的计算机是否属于同⼀个⼦⽹络。

这套地址就叫做“⽹络地址”，简称“⽹址”。

但是，⼈们⼀般叫做是 IP 地址。

这样每台计算机就有了两种地址，⼀种是是 MAC 地址，另⼀种是⽹络地址（IP 地址）。

但是，这两种地址之间没有任何联系，MAC 地址是绑定在⽹卡上的，⽹络地址是管理员分配的，它们只是随机组合在⼀起。

2. IP地址IP 地址是 IP 协议提供的⼀种统⼀的地址格式。

实验3 Wireshark抓包分析TCP和UDP协议一、实验目的1、通过利用Wireshark抓包分析TCP和UDP报文,理解TCP和UDP报文的封装格式.2、理解TCP和UDP的区别。

二、实验环境与因特网连接的计算机网络系统；主机操作系统为windows；使用Wireshark、IE等软件。

三、实验原理1、wireshark是非常流行的网络封包分析软件，功能十分强大。

可以截取各种网络封包，显示网络封包的详细信息。

2、TCP则提供面向连接的服务。

在传送数据之前必须先建立连接，数据传送结束后要释放连接。

TCP的首部格式为：3.UDP则提供面向非连接的服务。

UDP的首部格式为：四、实验步骤1．如图所示这是TCP的包，下面蓝色的是TCP中所包含的数据。

由截图可以看出来TCP报文中包含的各个数据，TCP报文段（TCP报文通常称为段或TCP报文段），与UDP数据报一样也是封装在IP中进行传输的，只是IP报文的数据区为TCP报文段。

这是TCP的源端口号目的端口号10106序列号是167确认端口号50547头长度20字节窗口长度64578校验合0x876e五、实验内容1．找出使用TCP和UDP协议的应用。

2．利用wireshark抓获TCP数据包。

3．分析TCP数据包首部各字段的具体内容，画出TCP段结构，填写其中内容。

4．利用wireshark抓获UDP数据包。

5．分析UDP数据包首部各字段的具体内容，画出UDP段结构，填写其中内容。

6．找出TCP建立连接的一组数据包，指出其中的序号和确认号变化。

7．找出TCP关闭连接的一组数据包，指出其中的标志字段数值。

一、实验目的及要求：1、分析IP协议，熟知IP协议数据包各个字段的含义与作用；2、分析IP数据报分片，熟悉IP数据包的传递方式。

二、实验设备：与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE浏览器等软件。

三、实验原理：1、DHCP（动态主机配置协议）报文说明：(1)DHCP-DISCOVER：DHCP客户端广播发送的，用来查找网络中可用的DHCP服务器。

(2)DHCP-OFFER：DHCP服务器用来响应客户端的DHCP-DISCOVER请求，并为客户端指定相应配置参数。

(3)DHCP-REQUEST：DHCP客户端广播发送DHCP服务器，用来请求配置参数或者续借租用。

(4)DHCP-ACK：DHCP服务器通知客户端可以使用分配的IP地址和配置参数。

(5)DHCP-NAK：DHCP服务器通知客户端地址请求不正确或者租期已过期，续租失败。

(6)DHCP-RELEASE：DHCP客户端主动向DHCP服务器发送，告知服务器该客户端不再需要分配的IP地址。

(7)DHCP-DECLINE：DHCP客户端发现地址冲突或者由于其它原因导致地址不能使用，则发送DHCP-DECLINE报文，通知服务器所分配的IP地址不可用。

(8)DHCP-INFORM：DHCP客户端已有IP地址，用它来向服务器请求其它配置参数2、pingPING（Packet Internet Groper），因特网包探索器，用于测试网络连接量的程序。

Ping是工作在TCP/IP网络体系结构中应用层的一个服务命令，主要是向特定的目的主机发送ICMP （Internet Control Message Protocol因特网报文控制协议）Echo请求报文，测试目的站是否可达及了解其有关状态。

四、实验内容和步骤：1、用300字左右，描述你对IP协议的认识；IP协议，即互联网协议（Internet Protocol），是互联网技术的核心组成部分，它定义了数据如何在互联网中传输。