网络协议抓包分析
SMB协议原理抓包分析
SMB协议原理抓包分析一、引言近年来,随着信息技术的飞速发展,SMB (Server Message Block) 协议作为一种用于文件和打印机共享的网络通信协议,逐渐成为企业网络中的重要组成部分。
了解和分析SMB协议的原理对于网络管理员和安全专业人员来说,至关重要。
本文将介绍SMB协议的基本原理,并通过抓包分析探讨SMB协议的实际应用。
二、SMB协议概述SMB协议是由IBM和微软共同开发的一种通信协议,用于在计算机之间共享文件、打印机和其他资源。
它基于客户端-服务器模型,通过网络传输文件和消息。
SMB协议运行在TCP/IP协议栈上,使用TCP 端口445进行通信。
三、SMB协议的工作原理1. 客户端与服务器建立连接SMB的工作方式类似于典型的客户端-服务器通信模型。
客户端首先与服务器建立连接,建立连接之前,客户端发送一个“Negotiate Protocol Request”消息给服务器。
服务器将选择与客户端的通信协议版本,并回复一个“Negotiate Protocol Response”消息。
2. 会话和身份验证一旦建立了连接,客户端将请求进行身份验证。
客户端发送“Session Setup Request”消息,并提供用户名和密码。
服务器验证用户信息后,回复一个“Session Setup Response”消息,确认身份验证通过。
3. 访问和共享文件在身份验证成功后,客户端可以访问和共享文件。
客户端发送“Tree Connect Request”消息,并指定要访问的共享资源的路径和名称。
服务器使用“Tree Connect Response”消息回复,提供对文件和目录的访问权限。
4. 文件传输和操作一旦访问了共享资源,客户端可以通过SMB协议进行文件传输和操作。
客户端可以发送“Create Request”消息来创建文件,发送“Read Request”消息来读取文件内容,发送“Write Request”消息来写入文件内容,还可以发送“Delete Request”消息来删除文件。
如何进行网络数据包分析和抓包
如何进行网络数据包分析和抓包网络数据包分析和抓包是网络安全和网络调试中非常重要的技能。
通过对网络数据包的深入分析和抓取,我们可以了解网络通信的细节,识别出潜在的安全威胁,解决网络故障,提高网络性能。
本文将介绍如何进行网络数据包分析和抓包的基本知识、常用工具和实际操作过程。
一、网络数据包分析的基本知识1. 什么是网络数据包网络数据包是在计算机网络中传输的基本单位。
它包含了源地址、目标地址、协议类型、数据内容等信息。
通过分析数据包的头部和负载部分,我们可以了解网络通信的详细过程。
2. 数据包分析的目的数据包分析的目的是为了了解网络通信中存在的问题,如安全漏洞、传输错误、性能瓶颈等。
通过分析数据包,我们可以检测恶意攻击、监测网络流量、优化网络性能,并提供证据用于网络调查等。
二、常用的网络数据包分析工具1. WiresharkWireshark是一款功能强大的开源网络分析工具,支持多种操作系统平台。
它可以捕获和分析网络数据包,并提供详细的统计信息、过滤器和可视化功能,帮助我们深入了解数据包的结构和内容。
2. tcpdumptcpdump是一款命令行网络抓包工具,适用于Unix/Linux操作系统。
它可以捕获网络接口上的数据包,并以文本形式输出。
tcpdump可以通过设置过滤规则过滤数据包,提供更灵活的抓包方式。
三、进行网络数据包分析和抓包的步骤以下是进行网络数据包分析和抓包的一般步骤,具体操作可根据实际情况调整。
1. 准备必要的工具和环境首先,确保已安装合适的网络数据包分析工具,如Wireshark或tcpdump。
同时,保证工作环境的网络连接正常,并具备足够的权限进行抓包和分析操作。
2. 选择抓包的目标根据需要,确定抓包的目标。
可以是整个网络流量,也可以是特定的IP地址、端口或协议。
这有助于提高分析效果,节约存储空间。
3. 开始抓包使用选择的工具开始抓包。
可以设置过滤器,只抓取感兴趣的数据包。
抓包期间,可以进行其他相关操作,如执行特定应用程序、浏览网页等,以增加抓取的数据多样性。
抓包的分析报告
抓包的分析报告1. 引言本文旨在通过对抓包数据的分析,对网络通信进行深入研究,从而揭示网络传输过程中的细节以及可能存在的安全隐患。
通过抓包分析,我们可以获取传输的原始数据,进而发现网络问题并进行相关的优化工作。
2. 抓包工具介绍抓包是一种网络分析的方法,通过获取网络中的数据包来进行深入分析。
常用的抓包工具包括 Wireshark、Tcpdump 等。
在本文中,我们使用 Wireshark 这一流行的抓包工具进行数据包分析。
Wireshark 是一款开源的网络协议分析软件,支持多种操作系统,用户可以通过 Wireshark 捕获和分析网络数据包,以便于查找和解决网络问题。
3. 抓包分析步骤3.1 抓包设置在开始抓包前,需要正确设置抓包工具。
我们需要指定要抓取的接口,以及过滤器来选择我们感兴趣的数据包。
为了保证抓包的有效性,可以在抓包前关闭一些不必要的网络应用,以减少干扰。
3.2 开始抓包设置完毕后,点击“开始”按钮开始进行抓包。
此时,Wireshark 将开始捕获网络数据包。
3.3 数据包过滤捕获到的数据包可能非常庞大,我们需要进行过滤以便于查找特定的数据包。
Wireshark 提供了强大的过滤功能,可以根据协议、源/目标 IP 地址、端口号等条件进行筛选。
3.4 数据包分析捕获到感兴趣的数据包后,我们可以对数据包进行深入分析。
Wireshark 提供了丰富的功能,可以查看每个数据包的详细信息,包括源/目标地址、端口号、协议类型、数据内容等。
4. 抓包分析实例为了更好地理解抓包过程和分析方法,我们将给出一个具体的抓包分析实例。
4.1 实验目标分析某网站的登录过程,并观察登录过程中的数据传输。
4.2 实验步骤•打开 Wireshark 并设置抓包过滤器为 HTTP。
•在浏览器中访问目标网站并进行登录。
•通过 Wireshark 捕获登录过程中的数据包。
•分析捕获到的数据包,观察登录过程中的数据传输情况。
TCP-IP协议抓包分析实验报告
TCP协议分析实验____院系:专业:一.实验目的学会使用Sniffer抓取ftp的数据报,截获ftp账号与密码,并分析TCP 头的结构、分析TCP的三次"握手"和四次"挥手"的过程,熟悉TCP协议工作方式.二.实验〔软硬件以与网络〕环境利用VMware虚拟机建立网络环境,并用Serv-U FTP Server在计算机上建立FTP服务器,用虚拟机进行登录.三.实验工具sniffer嗅探器,VMware虚拟机,Serv-U FTP Server.四.实验基本配置Micrsoft Windows XP操作系统五.实验步骤1.建立网络环境.用Serv-U FTP Server在计算机上建立一台FTP服务器,设置IP地址为:192.168.0.10,并在其上安装sniffer嗅探器.再并将虚拟机作为一台FTP客户端,设置IP地址为:192.168.0.12.设置完成后使用ping命令看是否连通.2.登录FTP运行sniffer嗅探器,并在虚拟机的"运行"中输入,点确定后出现如下图的登录窗口:在登录窗口中输入:用户名〔hello〕,密码〔123456〕[在Serv-U FTPServer中已设定],就登录FTP服务器了.再输入"bye"退出FTP3.使用sniffer嗅探器抓包再sniffer软件界面点击"stop and display" ,选择"Decode"选项,完成FTP命令操作过程数据包的捕获.六.实验结果与分析1.在sniffer嗅探器软件上点击Objects可看到下图:再点击"DECODE<反解码>"按钮进行数据包再分析,我们一个一个的分析数据包,会得到登录用户名〔hello〕和密码〔123456〕.如下图:2. TCP协议分析三次握手:发报文头——接受报文头回复——再发报文〔握手〕开始正式通信.第一次握手:建立连接时,客户端发送syn包<syn=j>到服务器,并进入SYN_SEND 状态,等待服务器确认;第二次握手:服务器收到syn包,必须确认客户的SYN〔ack=j+1〕,同时自己也发送一个SYN包〔syn=k〕,即SYN+ACK包,此时服务器进入SYN_RECV状态;第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK<ack=k+1>,此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手.完成三次握手,客户端与服务器开始传送数据.四次挥手:由于TCP连接是全双工的,因此每个方向都必须单独进行关闭.这个原则是当一方完成它的数据发送任务后就能发送一个FIN来终止这个方向的连接.收到一个 FIN只意味着这一方向上没有数据流动,一个TCP连接在收到一个FIN后仍能发送数据.首先进行关闭的一方将执行主动关闭,而另一方执行被动关闭.〔1〕虚拟机发送一个FIN,用来关闭用户到服务器的数据传送.〔2〕服务器收到这个FIN,它发回一个ACK,确认序号为收到的序号加1.和SYN 一样,一个FIN将占用一个序号.〔3〕服务器关闭与虚拟机的连接,发送一个FIN给虚拟机.〔4〕虚拟机发回ACK报文确认,并将确认序号设置为收到序号加1.。
网络层数据包抓包分析
网络层数据包抓包分析一.实验内容(1)使用Wireshark软件抓取指定IP包。
(2)对抓取的数据包按协议格式进行各字段含义的分析。
二.实验步骤(1)打开Wireshark软件,关闭已有的联网程序(防止抓取过多的包),开始抓包;(2)打开浏览器,输入/网页打开后停止抓包。
(3)如果抓到的数据包还是比较多,可以在Wireshark的过滤器(filter)中输入http,按“Apply”进行过滤。
过滤的结果就是和刚才打开的网页相关的数据包。
(4)在过滤的结果中选择第一个包括http get请求的帧,该帧用于向/网站服务器发出http get请求(5)选中该帧后,点开该帧首部封装明细区中Internet Protocol 前的”+”号,显示该帧所在的IP包的头部信息和数据区:(6)数据区目前以16进制表示,可以在数据区右键菜单中选择“Bits View”以2进制表示:(注意:数据区蓝色选中的数据是IP包的数据,其余数据是封装该IP包的其他层的数据)回答以下问题:1、该IP包的“版本”字段值为_0100_(2进制表示),该值代表该IP包的协议版本为:√IPv4□IPv62、该IP包的“报头长度”字段值为__01000101__(2进制表示),该值代表该IP包的报头长度为__20bytes__字节。
3、该IP包的“总长度”字段值为___00000000 11101110___ (2进制表示),该值代表该IP包的总长度为__238__字节,可以推断出该IP包的数据区长度为__218__字节。
4、该IP包的“生存周期”字段值为__01000000__ (2进制表示),该值代表该IP包最多还可以经过___64__个路由器5、该IP包的“协议”字段值为__00000110__ (2进制表示) ,该值代表该IP包的上层封装协议为__TCP__。
6、该IP包的“源IP地址”字段值为__11000000 1010100000101000 00110011__ (2进制表示) ,该值代表该IP包的源IP地址为_192_._168_._40_._51_。
网络层数据包抓包分析
网络层数据包抓包分析引言:在计算机网络中,网络层是由网络协议和路由器实现的一种协议层,用于在不同的网络之间进行数据传输。
网络层数据包抓包分析是一种技术,通过捕获网络流量来分析和诊断网络通信问题。
本文将介绍网络层数据包抓包分析的背景、工具和实际应用,帮助读者理解并运用该技术。
一、背景在计算机网络中,网络层是实现数据传输的核心部分。
网络层负责将传输层的数据分组打包成数据包,并根据网络地址将它们发送到目标主机或网络。
网络层数据包抓包分析可以帮助我们深入了解网络中的数据传输过程,以及定位和解决网络通信故障。
二、工具1. WiresharkWireshark是一款开源的网络协议分析工具,可以捕获和解析网络数据包。
它支持多种协议,包括Ethernet、IP、TCP和UDP等。
Wireshark可以在各种操作系统上运行,并且提供了丰富的过滤和统计功能,便于对网络流量进行分析和排查问题。
2. tcpdumptcpdump是一个命令行工具,用来捕获和分析网络数据包。
它可以在多种操作系统上使用,并且支持各种网络协议。
tcpdump可以通过命令行参数进行不同层次、不同协议的过滤,并将捕获的数据包保存到文件中,方便后续分析。
3. WinPcapWinPcap是一个Windows平台上的网络抓包库,它提供了一个对网络数据包进行捕获和处理的接口。
许多网络抓包工具都基于WinPcap开发,包括Wireshark和tcpdump等。
通过使用WinPcap,可以在Windows系统上进行网络数据包的抓包分析工作。
三、实际应用1. 诊断网络问题网络层数据包抓包分析可以帮助诊断网络通信问题,如网络延迟、丢包、带宽不足等。
通过捕获网络数据包,我们可以分析数据包的发送和接收时间、路径以及传输速率等信息,从而确定问题的原因,并采取相应的措施进行修复。
2. 监控网络流量网络层数据包抓包分析还可以用于监控网络流量,了解网络中不同主机之间的通信情况。
arp,ip,icmp协议数据包捕获分析实验报告数据
arp,ip,icmp协议数据包捕获分析实验报告数据篇一:网络协议分析实验报告实验报告课程名称计算机网络实验名称网络协议分析系别专业班级指导教师学号姓名实验成绩一、实验目的掌握常用的抓包软件,了解ARP、ICMP、IP、TCP、UDP 协议的结构。
二、实验环境1.虚拟机(VMWare或Microsoft Virtual PC)、Windows XX Server。
客户机A客户机B2.实验室局域网,WindowsXP三、实验学时2学时,必做实验。
四、实验内容注意:若是实验环境1,则配置客户机A的IP地址:/24,X为学生座号;另一台客户机B的IP地址:(X+100)。
在客户机A上安装EtherPeek(或者sniffer pro)协议分析软件。
若是实验环境2则根据当前主机A的地址,找一台当前在线主机B完成。
1、从客户机A ping客户机B ,利用EtherPeek(或者sniffer pro)协议分析软件抓包,分析ARP 协议;2、从客户机A ping客户机B,利用EtherPeek(或者sniffer pro)协议分析软件抓包,分析icmp协议和ip协议;3、客户机A上访问,利用E(转载于: 小龙文档网:arp,ip,icmp协议数据包捕获分析实验报告数据)therPeek(或者sniffer pro)协议分析软件抓包,分析TCP和UDP 协议;五、实验步骤和截图(并填表)1、分析arp协议,填写下表12、分析icmp协议和ip协议,分别填写下表表一:ICMP报文分析233、分析TCP和UDP 协议,分别填写下表4表二: UDP 协议 5篇二:网络层协议数据的捕获实验报告篇三:实验报告4-网络层协议数据的捕获实验报告。
(完整word版)网络协议抓包分析
中国矿业大学《网络协议》姓名:李程班级:网络工程2009-2学号:08093672实验一:抓数据链路层的帧一、实验目的分析MAC层帧结构二、准备工作本实验需要2组试验主机,在第一组上安装锐捷协议分析教学系统,使用其中的协议数据发生器对数据帧进行编辑发送,在第二组上安装锐捷协议分析教学系统,使用其中的网络协议分析仪对数据帧进行捕获分析。
三、实验内容及步骤步骤一:运行ipconfig命令步骤二:编辑LLC信息帧并发送步骤三:编辑LLC监控帧和无编号帧,并发送和捕获:步骤四:保存捕获的数据帧步骤五:捕获数据帧并分析使用iptool进行数据报的捕获:报文如下图:根据所抓的数据帧进行分析:(1)MAC header目的物理地址:00:D0:F8:BC:E7:06源物理地址:00:16:EC:B2:BC:68Type是0x800:意思是封装了ip数据报(2)ip数据报由以上信息可以得出:①版本:占4位,所以此ip是ipv4②首部长度:占4 位,可表示的最大十进制数值是15。
此ip数据报没有选项,故它的最大十进制为5。
③服务:占8 位,用来获得更好的服务。
这里是0x00④总长度:总长度指首都及数据之和的长度,单位为字节。
因为总长度字段为16位,所以数据报的最大长度为216-1=65 535字节。
此数据报的总长度为40字节,数据上表示为0x0028。
⑤标识(Identification):占16位。
IP软件在存储器中维持一个计数器,每产生一个数据报,计数器就加1,并将此值赋给标识字段。
但这个“标识”并不是序号,因为IP是无连接的服务,数据报不存在按序接收的问题。
当数据报由于长度超过网络的MTU 而必须分片时,这个标识字段的值就被复制到所有的数据报的标识字段中。
相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。
在这个数据报中标识为18358,对应报文16位为47b6⑥标志(Flag):占3 位,但目前只有2位有意义。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国矿业大学《网络协议》姓名:李程班级:网络工程2009-2学号:08093672实验一:抓数据链路层的帧一、实验目的分析MAC层帧结构二、准备工作本实验需要2组试验主机,在第一组上安装锐捷协议分析教学系统,使用其中的协议数据发生器对数据帧进行编辑发送,在第二组上安装锐捷协议分析教学系统,使用其中的网络协议分析仪对数据帧进行捕获分析。
三、实验内容及步骤步骤一:运行ipconfig命令步骤二:编辑LLC信息帧并发送步骤三:编辑LLC监控帧和无编号帧,并发送和捕获:步骤四:保存捕获的数据帧步骤五:捕获数据帧并分析使用iptool进行数据报的捕获:报文如下图:根据所抓的数据帧进行分析:(1)MAC header目的物理地址:00:D0:F8:BC:E7:06源物理地址:00:16:EC:B2:BC:68Type是0x800:意思是封装了ip数据报(2)ip数据报由以上信息可以得出:①版本:占4位,所以此ip是ipv4②首部长度:占4 位,可表示的最大十进制数值是15。
此ip数据报没有选项,故它的最大十进制为5。
③服务:占8 位,用来获得更好的服务。
这里是0x00④总长度:总长度指首都及数据之和的长度,单位为字节。
因为总长度字段为16位,所以数据报的最大长度为216-1=65 535字节。
此数据报的总长度为40字节,数据上表示为0x0028。
⑤标识(Identification):占16位。
IP软件在存储器中维持一个计数器,每产生一个数据报,计数器就加1,并将此值赋给标识字段。
但这个“标识”并不是序号,因为IP是无连接的服务,数据报不存在按序接收的问题。
当数据报由于长度超过网络的MTU 而必须分片时,这个标识字段的值就被复制到所有的数据报的标识字段中。
相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。
在这个数据报中标识为18358,对应报文16位为47b6⑥标志(Flag):占 3 位,但目前只有2位有意义。
标志字段中的最低位记为MF (More Fragment)。
MF=1即表示后面“还有分片”的数据报。
MF=0表示这已是若干数据报片中的最后一个。
标志字段中间的一位记为DF(Don't Fragment),意思是“不能分片”。
只有当DF=0时才允许分片。
这个报文的标志是010,故表示为不分片!对应报文16位为0x40。
⑦片偏移:因为不分片,故此数据报为0。
对应报文16位为0x00。
⑧生存时间:占8位,生存时间字段常用的英文缩写是TTL (Time To Live),其表明数据报在网络中的寿命。
每经过一个路由器时,就把TTL减去数据报在路由器消耗掉的一段时间。
若数据报在路由器消耗的时间小于1 秒,就把TTL值减1。
当TTL值为0时,就丢弃这个数据报。
经分析,这个数据报的的TTL为64跳!对应报文16位为0x40。
⑨协议:占8 位,协议字段指出此数据报携带的数据是使用何种协议,以便使目的主机的IP层知道应将数据部分上交给哪个处理过程。
这个ip数据报显示使用得是TCP协议对应报文16位为0x06。
⑩首部检验和:占16位。
这个字段只检验数据报的首部,但不包括数据部分。
这是因为数据报每经过一个路由器,都要重新计算一下首都检验和(一些字段,如生存时间、标志、片偏移等都可能发生变化)。
不检验数据部分可减少计算的工作量。
对应报文16位为0x8885。
⑾源地址:占32位。
此报文为219.219.61.32 对应数据为DB:DB:3D:20⑿目的地址:占32位。
此报文为199.75.218.77对应数据为77:4B:DA:4D(13)选项:这里是无!(2)TCP 报头TCP报文首部格式●源端口(Source Port):16位的源端口字段包含初始化通信的端口号。
源端口和IP地址的作用是标识报文的返回地址。
这个报文是3204对应的数据报中的16位为0x0c84。
●目的端口(Destination Port):16位的目的端口字段定义传输的目的。
这个端口指明接收方计算机上的应用程序接口。
这个报文的目的端口是80(代表了http协议)对应的数据报中的16位为0x0050●序列号(Sequence Number):该字段用来标识TCP源端设备向目的端设备发送的字节流,它表示在这个报文段中的第几个数据字节。
序列号是一个32位的数。
这个报文的sequence number是2416921514对应的数据报中的16位为0x900f4baa●确认号(Acknowledge Number):TCP使用32位的确认号字段标识期望收到的下一个段的第一个字节,并声明此前的所有数据已经正确无误地收到,因此,确认号应该是上次已成功收到的数据字节序列号加1。
收到确认号的源计算机会知道特定的段已经被收到。
确认号的字段只在ACK标志被设置时才有效。
这个报文的ACK是2803024519对应的数据报中的16位为0xa712c287●首部长度(header length)这里是5 代表了20字节也表示tcp选项是无,对应的数据报中的16位为0x50●控制位(Control Bits):共6位,每一位标志可以打开一个控制功能。
URG(Urgent Pointer Field Significant,紧急指针字段标志):表示TCP包的紧急指针字段有效,用来保证TCP连接不被中断,并且督促中间齐备尽快处理这些数据。
这里URG为0 表示not setACK(Acknowledgement field significant,确认字段标志): 取1时表示应答字段有效,也即TCP应答号将包含在TCP段中,为0则反之。
这里ACK为1 表示是确认帧PSH(Push Function,推功能):这个标志表示Push操作。
所谓Push操作就是指在数据包到达接收端以后,立即送给应用程序,而不是在缓冲区中排队。
这里PSH位置0表示不直接送给应用程序RST(Reset the connection,重置连接):这个标志表示感谢连接复位请求,用来复位那些产生错误的连接,也被用来拒绝错误和非法的数据包。
这里是0 表示不产生重置连接SYN(Synchronize sequence numbers,同步序列号):表示同步序号,用来建立连接。
这里SYN为0,表示没有设置同步FIN(No more data from sender):表示发送端已经发送到数据末尾,数据传送完成,发送FIN标志位的TCP段,连接将被断开。
这里FIN是0,表示没有设置这里对应的数据报中的16位为0x10●窗口(Window):目的主机使用16位的窗口字段告诉源主机它期望每次收到的数据通的字节数。
此报文窗口大小为65535对应的数据报中的16位为0xffff●校验和(Checksum):TCP头包括16位的校验和字段用于错误检查。
源主机基于部分IP头信息,TCP头和数据内容计算一个校验和,目的主机也要进行相同的计算,如果收到的内容没有错误过,两个计算应该完全一样,从而证明数据的有效性。
这里检验和为:0xf317●紧急指针(Urgent Pointer):紧急指针字段是一个可选的16位指针,指向段内的最后一个字节位置,这个字段只在URG标志被设置时才有效。
这里Urgent Pointer为零,表示没有使用紧急指针选项(Option):至少1字节的可变长字段,标识哪个选项(如果有的话)有效。
如果没有选项,这个字节等于0,说明选项的结束。
这个字节等于1表示无需再有操作;等于2表示下四个字节包括源机器的最大长度(Maximum Segment Size,MSS).这里选项没有设置●填充(Padding):这个字段中加入额外的零,以保证TCP头是32的整数倍。
实验二 IP报文分析一、实验目的掌握IP数据包的组成和网络层的基本功能;二、准备工作本实验需要2组试验主机,在第一组上安装锐捷协议分析教学系统,使用其中的协议数据发生器对数据帧进行编辑发送,在第二组上安装锐捷协议分析教学系统,使用其中的网络协议分析仪对数据帧进行捕获分析。
三、实验内容及步骤步骤一:设定实验环境步骤二:利用网络协议分析软件捕获并分析IP数据包1、在某台主机中打开网络协议分析软件,在工具栏中点击“开始”,待一段时间后,点击“结束”,2、在捕获到数据包中,选择IP数据包进行分析分析捕获到的IP数据包,因此在本实验中,只分析数据的的IP 包头部分。
步骤三:利用网络协议编辑软件编辑并发送IP数据包1、在主机PC1打开网络协议编辑软件,在工具栏选择“添加”,建立一个IP数据包。
2、填写“源物理地址”:可以在地址本中找到本机的MAC地址,然后左键选择,点击“确定”加入地址。
3、填写“目的物理地址”:可以在地址本中选择PC2的MAC地址,然后左键选择并单击“确定”加入地址。
4、填写“类型或长度”:该字段值为0800。
点击工具栏或菜单栏中的“发送”,在弹出的对话框中配置发送次数,然后选择“开始”按钮,发送帧序列在PC2中用协议分析器截获数据包并分析。
步骤四:运行ipconfig命令步骤五:运行ping命令IP数据报分析由以上信息可以得出:①版本:占4位,所以此ip是ipv4②首部长度:占4 位,可表示的最大十进制数值是15。
此ip数据报没有选项,故它的最大十进制为5。
③服务:占8 位,用来获得更好的服务。
这里是0x00④总长度:总长度指首都及数据之和的长度,单位为字节。
因为总长度字段为16位,所以数据报的最大长度为216-1=65 535字节。
此数据报的总长度为40字节,数据上表示为0x0028。
⑤标识(Identification):占16位。
IP软件在存储器中维持一个计数器,每产生一个数据报,计数器就加1,并将此值赋给标识字段。
但这个“标识”并不是序号,因为IP是无连接的服务,数据报不存在按序接收的问题。
当数据报由于长度超过网络的MTU 而必须分片时,这个标识字段的值就被复制到所有的数据报的标识字段中。
相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。
在这个数据报中标识为18358,对应报文16位为47b6⑥标志(Flag):占 3 位,但目前只有2位有意义。
标志字段中的最低位记为MF (More Fragment)。
MF=1即表示后面“还有分片”的数据报。
MF=0表示这已是若干数据报片中的最后一个。
标志字段中间的一位记为DF(Don't Fragment),意思是“不能分片”。
只有当DF=0时才允许分片。
这个报文的标志是010,故表示为不分片!对应报文16位为0x40。
⑦片偏移:因为不分片,故此数据报为0。
对应报文16位为0x00。
⑧生存时间:占8位,生存时间字段常用的英文缩写是TTL (Time To Live),其表明数据报在网络中的寿命。