计算机网络抓包实验报告

实验报告二

一：实验目的

利用Wireshark进行抓包分析，对以前学习过的内容进行进一步的理解和掌握

二：实验内容：

1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。或单击“ Capture”配置

“ opti on” 选项。

3、设置完成后，点击“start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构，并对其进行分析

三.实验步骤

1. TCP

TCP : Transmission Control Protocol 传输控制协议TCP是一种面向连接 (连接导向) 的、可靠的、基于字节流的运输层( Tran sport layer )通信协议，由IETF的RFC 793 说明(specified )。在简化的计算机网络OSI模型中，它完成第四层传输层所指定的功

在因特网协议族(In ternet protocol suite )中，TCP层是位于IP层之上，应用层之下的中间层。不同主机的应用层之间经常需要可靠的、像管道一样的连接，但是IP层不

提供这样的流机制，而是提供不可靠的包交换。

应用层向TCP层发送用于网间传输的、用8位字节表示的数据流，然后TCP把数

据流分割成适当长度的报文段(通常受该计算机连接的网络的数据链路层的最大传送单元(MTU)的限制)。之后TCP把结果包传给IP层，由它来通过网络将包传送给接收端实体的TCP层。TCP为了保证不发生丢包，就给每个字节一个序号，同时序号也保证了传

送到接收端实体的包的按序接收。然后接收端实体对已成功收到的字节发回一个相应的确认(ACK)；如果发送端实体在合理的往返时延(RTT)内未收到确认，那么对应的数据

(假设丢失了)将会被重传。TCP用一个校验和函数来检验数据是否有错误；在发送和

接收时都要计算校验和。

首先，TCP建立连接之后，通信双方都同时可以进行数据的传输，其次，他是全双工的；在保证可靠性上，采用超时重传和捎带确认机制。

在流量控制上，采用滑动窗口协议，协议中规定，对于窗口内未经确认的分组需要重传。

在拥塞控制上，采用慢启动算法。

对于上面的抓包，选取其中的一个TCP进行分析

Source:119.147.91.131

Desti natio n:180.118.215.175

Len gth:56

Info:http>500001[FIN,ACK] Seq=41,Ack=2877,win=66528 Len=0

CAprure L^iiqTh!

[Pf€rt ：a￡cHs i n T r am* ： ethi-lptr tp s-vssMHi'i'Eorlfiia] [color 1 ngi qu1 e wane : HTTTS J [c&iarlnifl Rul# str iric* 11 ccp. — SO]

ET he^rter 11 . sre : nuiwelTe_c

LJ Bestl HJt 1 ort; lntel€cr_9<. rcJi :

Address t THTfilcor.flc icd 违2 : a9 rB? ： a c4

?■ ■? ? ?O-??,?■???-w ■???...=IL 旺 bit: Gloisai ly Linique adklr es s

? A i {占?"i.?* a .?h d ?a b i ■.命-IG UH : e S5. Cun1c

H sckjrce : nuf Te^cd : ?c : 48 {OS: 19! ^a6: cd> ec 98) ALddress ; m?weiTe_￡d : ec; 93 ^06:19: B & ;匸Q: ec : 98J

LG Mti

ver s 1 on ：日

n 1 eriQt h ; M byt ■ s 怎 pl rr*r enr 11 ar ed ?irv1 ces Fl*ld: 0*00 (WCP GG : per ECN ; O X QC: NOT -ECT {IWOC ECN-c^pabl ? i Total Lengths 40 Itl?rtt1-T1CM l Olft ： 0KS114 (20? 5?>

1.1抓到的数据链路层中的帧

Frame 211:56bytes 即所抓到的帧的序号为 211，大小是56字节 1.2 IP 层中的IP 数据报

Header Length:20bytes 即首部长度为 20个字节； Differe ntiated Services Field:OOxO 即区分服务； Total length:40指首部长度和数据之和的长度为 40字节；

Ide ntificatio n:0x8a6e(35438)标识； Flag:0x02 标识此处 MF=O , DF=0 ；

Fragment offset:。指片偏移为0;表示本片是原分组中的第一片。 Time to live :57说明这个数据报还可以在路由器之间转发 57次

Protocal:TCP 指协议类型为TCP ； Source :源地址:119.147.91.131 Destination:目的地址 180.118.215.175 1.3运输层中的TCP

Source port:http(80)即源端口号为 80

Dest in ation port:50001(50001) 即目的端口为 50001 Sequenee number:411 序号为 411

Acknowledgent number:2877 确认号为 2877

de 11-BI

pr cvi CKJS di 3-p 1 a.y?-d

0tl OOOl98OOO ?eco

>1 nee r^HFe^^nce o*- f 1 r>t fr^Mn?- 5 J fl. stcuxxjls ]

KLi?bef-1 221 2J ?I AB.wxaamoaa 11* i4.?ai.ui iHa.na.J!ji^.i?5 TC .FM http sectsi LMN . ACISI ； S ?I -JII Ack^2a?r^iin=.&osza ._l^ J 4~'

[T-i rrtc

[Tl rn?

FT ■BEC

F ramie L e ng th 1 5S bytes

typ*: i*? (0x0*003

inc^F P! QIOCQ1 w*r . arc td.7^1 . m ? DST : https://www.360docs.net/doc/c518306336.html,fi 215a 175 CifiO. Hi

oaoc Ml? OO2C

BQ 厘孚-B2 9C 匸4 S.Z OB 19

OS >? si 14 40 DO

34 06 d? aT 00 50 <3 51 cr bfl 20 7c 1H 注 QU

UO

W 00

aC cd ec SS D-B CM? 4 5 aQ

01 7f r? 41 MJ tM 7G

ed Od ^4 cT ItM- SO 11

■. di * p.

Header length:20bytes首部长度为20个字节

Flags:0x011除了确认ACK为1,别的都为0

Checksum:0x18c5 检验和为0x18c5

2. UDP

UDP，是一种无连接的协议。在OSI模型中，在第四层一一传输层，处于IP协议

的上一层。UDP有不提供数据包分组、组装和不能对数据包进行排序的缺点，也就是说，当报文发送之后，是无法得知其是否安全完整到达的。UDP用来支持那些需要在计算机

之间传输数据的网络应用。包括网络视频会议系统在内的众多的客户/服务器模式的网络

应用都需要使用UDP协议。UDP协议从问世至今已经被使用了很多年，虽然其最初的光

彩已经被一些类似协议所掩盖，但是即使是在今天UDP仍然不失为一项非常实用和可行

的网络传输层协议。

与所熟知的TCP （传输控制协议）协议一样，UDP协议直接位于IP （网际协议）协议的

顶层。根据OSI （开放系统互连）参考模型，UDP和TCP都属于传输层协议。

UDP协议的主要作用是将网络数据流量压缩成数据包的形式。一个典型的数据包就是一个二进制数据的传输单位。每一个数据包的前8个字节用来包含报头信息，剩余字节则

用来包含具体的传输数据。

对于上面的抓包，选取一个UDP进行分析

Source:121.232.137.43

Desti natio n:255.255.255.255

Protocal:UDP

Len gth:354

In fo:Source port:egs Dest in ati on port:corel-v ncadm in

Frame 253:354bytes即所抓到的帧的序号为253，大小是354字节

22对抓到的IP层中的IP数据报进行分析

Version:4即版本号为4

Header Length:20bytes 即首部长度为20个字节；

Differe ntiated Services Field:00x0 即区分服务；

Total length:340 指首部长度和数据之和的长度为340字节;

Ide ntificatio n:0x67b2(26546) 标识；

Flag:0x00 标识此处MF=Q DF=0;

Fragment offset:。指片偏移为0;

Time to live :64 生存时间为64；

Protocal:UDP (17)指协议类型为UDR

Header checksum:0x58aa 头部检验和，此处检验正确

Source :源地址：121.232.137.43

Destination:目的地址255.255.255.255

2.3运输层中的UDP

Source port : egs(1926);源端口为1926

Destination port:corel-vncadmin(2654); 目的端口2654

Length:320;UDP用户数据报的长度为320

Checksum:0xa18f 检验和(此处禁止检测)

3.ICMP

ICMP协议是一种面向连接的协议，用于传输出错报告控制信息。它是一个非常重要的协议，它对于网络安全具有极其重要的意义。[1]

它是TCP/IP协议族的一个子协议，属于网络层协议，主要用于在主机与路由器之间传递控制信息，包括报告错误、交换受限控制和状态信息等。当遇到IP数据无法访问目标、IP 路由器无法按当前的传输速率转发数据包等情况时，会自动发送ICMP消息。

ICMP提供一致易懂的出错报告信息。发送的出错报文返回到发送原数据的设备，因为只有发送设备才是出错报文的逻辑接受者。发送设备随后可根据ICMP报文确定发生错误

的类型，并确定如何才能更好地重发失败的数据包。但是ICMP唯一的功能是报告问题而

不是纠正错误，纠正错误的任务由发送方完成。