网络协议抓包分析.docx
《网络协议抓包分析.docx》由会员分享,可在线阅读,更多相关《网络协议抓包分析.docx(12页珍藏版)》请在冰豆网上搜索。
网络协议抓包分析
计算机网络技术及应用实验报告
开课实验室:
南徐学院网络实验室
学院
南徐学院
班级
0942803129
姓名
朱云祥
成绩
课程
名称
计算机网络技术及应用
实验项目
名称
网络协议分析
指导教师
尹隽
一.实验目的
实验要求抓取网络上的ARP、TCP、UDP、IP、ICMP、DNS等协议的数据包
认真分析TCP、UDP、IP协议数据包,写出TCP、UDP、IP协议数据包的首部各个字段内容。
二、实验环境
Win7系统,装有Ethereal
三、实验内容
IP
如图阴影部分为ip包包头,分析如下:
(1)“45”,其中“4”是IP协议的版本(Version),说明是IP4
“5”指本IP包的首部长度为5X4=20字节
(2)“00”服务类型(TypeofService)
(3)“005c”是IP数据报文总长,包含头部以及数据,这里表示5*16+12=92字节.
(4) "0d16"、"0000"表示标识、标志、片偏移:
主要用于数据报的分段
(5) "40"表示一个IP数据流的生命周期4*16=64
(6)"11"表示传输层的协议类型(Protocol),11表示udp协议
(7)"8719"为首部检验和:
1000011100011001正确
(8)"70530c59"源地址的IP :
即112.83.12.89
(9)"7b8aee2b"目的地址的IP:
即123.138.238.43
后面接着的是IP的数据内容.
TCP
如图阴影部分为TCP固定首部,分析如下:
(1)“c4a1”为源端口:
50337,“0050”为目的端口:
80
(2)“d1621ecd”为序号
(3)“fd163475”为确认号
(4)“5011”表示:
数据偏移、保留、URG、ACK、PSH、RST、SYN、FIN
(5)“fd88”表示窗口:
64392
(6)“627e”为检验和,“0000”为紧急指针
UDP
如图阴影部分为UDP首部,分析如下:
(1)“0fa0”表示源端口:
4000
(2)“1f40”表示目的端口:
8000
(3)“0037”UDP用户数据报的长度:
55
(4)“768f”表示检验和:
0111011010001111错误
DNS
如图阴影部分即为DNS协议,分析如下:
“a23a“为标识字段:
45520
“0100”为标志字段,该字段设置了TC表示该报文是可截断的
“0001”表示查询报文数量为1
“0000“表示资源记录数为0
“0000“表示授权资源记录数为0
“0000“表示额外资源记录数为0
ARP
这六个字节表示以太网目的地址
以上6个字节是以太网源地址就是发送者的mac地址
“0806“arp类型,表示下面的数据属于ARP包
以下为arp包的分析:
头两个字节是硬件类型:
0001;接着两个字节是协议类型arp使用的是ip协议,代号0800;“0604”分别表示硬件地址长度协议地址长度分别是6和4;后面的2个字节opcode指的是这是一个请求包还是应答包,分别对应的值是0002所以这是一个应答包;然后后面的6个字节又是发送者mac地址“001b77c1d693”,后面4个字节是发送者ip地址“b476d474”(180.118.212.116);后面的6个字节为目标mac地址“0819a6cdec98”,最后4个字节为目标ip地址“b476d7fe”(180.118.215.254)。
ICMP
如图阴影部分即为截获的ICMP数据报,分析如下:
第一个字节“00”类型为0表示ICMP回显应答报文;第二个字节“00”表示代码为0,网络不可达;后面的两个字节“555a”010*********检验和正确;
接下来的两个字节“0001”为标识;后面的两个字节“0001”为序列号;后面的所有字节表示一个32字节的数据。