计算机网络抓包实验报告
实验报告二
一:实验目的
利用Wireshark进行抓包分析,对以前学习过的内容进行进一步的理解和掌握
二:实验内容:
1、安装Wireshark,简单描述安装步骤。
2、打开wireshark,选择接口选项列表。或单击“ Capture”配置
“ opti on” 选项。
3、设置完成后,点击“start”开始抓包,显示结果。
4、选择某一行抓包结果,双击查看此数据包具体结构,并对其进行分析
三.实验步骤
1. TCP
TCP : Transmission Control Protocol 传输控制协议TCP是一种面向连接 (连接导向) 的、可靠的、基于字节流的运输层( Tran sport layer )通信协议,由IETF的RFC 793 说明(specified )。在简化的计算机网络OSI模型中,它完成第四层传输层所指定的功
在因特网协议族(In ternet protocol suite )中,TCP层是位于IP层之上,应用层之下的中间层。不同主机的应用层之间经常需要可靠的、像管道一样的连接,但是IP层不
提供这样的流机制,而是提供不可靠的包交换。
应用层向TCP层发送用于网间传输的、用8位字节表示的数据流,然后TCP把数
据流分割成适当长度的报文段(通常受该计算机连接的网络的数据链路层的最大传送单元(MTU)的限制)。之后TCP把结果包传给IP层,由它来通过网络将包传送给接收端实体的TCP层。TCP为了保证不发生丢包,就给每个字节一个序号,同时序号也保证了传
送到接收端实体的包的按序接收。然后接收端实体对已成功收到的字节发回一个相应的确认(ACK);如果发送端实体在合理的往返时延(RTT)内未收到确认,那么对应的数据
(假设丢失了)将会被重传。TCP用一个校验和函数来检验数据是否有错误;在发送和
接收时都要计算校验和。
首先,TCP建立连接之后,通信双方都同时可以进行数据的传输,其次,他是全双工的;在保证可靠性上,采用超时重传和捎带确认机制。
在流量控制上,采用滑动窗口协议,协议中规定,对于窗口内未经确认的分组需要重传。
在拥塞控制上,采用慢启动算法。
对于上面的抓包,选取其中的一个TCP进行分析
Source:119.147.91.131
Desti natio n:180.118.215.175
Len gth:56
Info:http>500001[FIN,ACK] Seq=41,Ack=2877,win=66528 Len=0
CAprure L^iiqTh! [Pf€rt :a£cHs i n T r am* : ethi-lptr tp s-vssMHi'i'Eorlfiia] [color 1 ngi qu1 e wane : HTTTS J [c&iarlnifl Rul# str iric* 11 ccp. — SO] ET he^rter 11 . sre : nuiwelTe_c LJ Bestl HJt 1 ort; lntel€cr_9<. rcJi : Address t THTfilcor.flc icd 违2 : a9 rB? : a c4 ?■ ■? ? ?O-??,?■???-w ■???...=IL 旺 bit: Gloisai ly Linique adklr es s ? A i {占?"i.?* a .?h d ?a b i ■.命-IG UH : e S5. Cun1c H sckjrce : nuf Te^cd : ?c : 48 {OS: 19! ^a6: cd> ec 98) ALddress ; m?weiTe_£d : ec; 93 ^06:19: B & ;匸Q: ec : 98J LG Mti ver s 1 on :日 n 1 eriQt h ; M byt ■ s 怎 pl rr*r enr 11 ar ed ?irv1 ces Fl*ld: 0*00 (WCP GG : per ECN ; O X QC: NOT -ECT {IWOC ECN-c^pabl ? i Total Lengths 40 Itl?rtt1-T1CM l Olft : 0KS114 (20? 5?> 1.1抓到的数据链路层中的帧 Frame 211:56bytes 即所抓到的帧的序号为 211,大小是56字节 1.2 IP 层中的IP 数据报 Header Length:20bytes 即首部长度为 20个字节; Differe ntiated Services Field:OOxO 即区分服务; Total length:40指首部长度和数据之和的长度为 40字节; Ide ntificatio n:0x8a6e(35438)标识; Flag:0x02 标识此处 MF=O , DF=0 ; Fragment offset:。指片偏移为0;表示本片是原分组中的第一片。 Time to live :57说明这个数据报还可以在路由器之间转发 57次 Protocal:TCP 指协议类型为TCP ; Source :源地址:119.147.91.131 Destination:目的地址 180.118.215.175 1.3运输层中的TCP Source port:http(80)即源端口号为 80 Dest in ation port:50001(50001) 即目的端口为 50001 Sequenee number:411 序号为 411 Acknowledgent number:2877 确认号为 2877 de 11-BI pr cvi CKJS di 3-p 1 a.y?-d 0tl OOOl98OOO ?eco >1 nee r^HFe^^nce o*- f 1 r>t fr^Mn?- 5 J fl. stcuxxjls ] KLi?bef-1 221 2J ?I AB.wxaamoaa 11* i4.?ai.ui iHa.na.J!ji^.i?5 TC .FM http sectsi LMN . ACISI ; S ?I -JII Ack^2a?r^iin=.&osza ._l^ J 4~' [T-i rrtc [Tl rn? FT ■BEC F ramie L e ng th 1 5S bytes typ*: i*? (0x0*003 inc^F P! QIOCQ1 w*r . arc td.7^1 . m ? DST : https://www.360docs.net/doc/c518306336.html,fi 215a 175 CifiO. Hi oaoc Ml? OO2C BQ 厘孚-B2 9C 匸4 S.Z OB 19 OS >? si 14 40 DO 34 06 d? aT 00 50 <3 51 cr bfl 20 7c 1H 注 QU UO W 00 aC cd ec SS D-B CM? 4 5 aQ 01 7f r? 41 MJ tM 7G ed Od ^4 cT ItM- SO 11 ■. di * p. Header length:20bytes首部长度为20个字节 Flags:0x011除了确认ACK为1,别的都为0 Checksum:0x18c5 检验和为0x18c5 2. UDP UDP,是一种无连接的协议。在OSI模型中,在第四层一一传输层,处于IP协议 的上一层。UDP有不提供数据包分组、组装和不能对数据包进行排序的缺点,也就是说,当报文发送之后,是无法得知其是否安全完整到达的。UDP用来支持那些需要在计算机 之间传输数据的网络应用。包括网络视频会议系统在内的众多的客户/服务器模式的网络 应用都需要使用UDP协议。UDP协议从问世至今已经被使用了很多年,虽然其最初的光 彩已经被一些类似协议所掩盖,但是即使是在今天UDP仍然不失为一项非常实用和可行 的网络传输层协议。 与所熟知的TCP (传输控制协议)协议一样,UDP协议直接位于IP (网际协议)协议的 顶层。根据OSI (开放系统互连)参考模型,UDP和TCP都属于传输层协议。 UDP协议的主要作用是将网络数据流量压缩成数据包的形式。一个典型的数据包就是一个二进制数据的传输单位。每一个数据包的前8个字节用来包含报头信息,剩余字节则 用来包含具体的传输数据。 对于上面的抓包,选取一个UDP进行分析 Source:121.232.137.43 Desti natio n:255.255.255.255 Protocal:UDP Len gth:354 In fo:Source port:egs Dest in ati on port:corel-v ncadm in Frame 253:354bytes即所抓到的帧的序号为253,大小是354字节 22对抓到的IP层中的IP数据报进行分析 Version:4即版本号为4 Header Length:20bytes 即首部长度为20个字节; Differe ntiated Services Field:00x0 即区分服务; Total length:340 指首部长度和数据之和的长度为340字节; Ide ntificatio n:0x67b2(26546) 标识; Flag:0x00 标识此处MF=Q DF=0; Fragment offset:。指片偏移为0; Time to live :64 生存时间为64; Protocal:UDP (17)指协议类型为UDR Header checksum:0x58aa 头部检验和,此处检验正确 Source :源地址:121.232.137.43 Destination:目的地址255.255.255.255 2.3运输层中的UDP Source port : egs(1926);源端口为1926 Destination port:corel-vncadmin(2654); 目的端口2654 Length:320;UDP用户数据报的长度为320 Checksum:0xa18f 检验和(此处禁止检测) 3.ICMP ICMP协议是一种面向连接的协议,用于传输出错报告控制信息。它是一个非常重要的协议,它对于网络安全具有极其重要的意义。[1] 它是TCP/IP协议族的一个子协议,属于网络层协议,主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。当遇到IP数据无法访问目标、IP 路由器无法按当前的传输速率转发数据包等情况时,会自动发送ICMP消息。 ICMP提供一致易懂的出错报告信息。发送的出错报文返回到发送原数据的设备,因为只有发送设备才是出错报文的逻辑接受者。发送设备随后可根据ICMP报文确定发生错误 的类型,并确定如何才能更好地重发失败的数据包。但是ICMP唯一的功能是报告问题而 不是纠正错误,纠正错误的任务由发送方完成。