网络协议抓包分析.docx

1、网络协议抓包分析计算机网络技术及应用实验报告开课实验室：南徐学院网络实验室学院南徐学院班级0942803129姓名朱云祥成绩课程名称计算机网络技术及应用实验项目名 称网络协议分析指导教师尹隽 一 实验目的 实验要求抓取网络上的ARP、TCP、UDP、IP、ICMP、DNS等协议的数据包认真分析TCP、UDP、IP协议数据包，写出TCP、UDP、IP协议数据包的首部各个字段内容。二、 实验环境Win7系统，装有Ethereal三、 实验内容IP如图阴影部分为ip包包头，分析如下：（1）“45”，其中“4”是IP协议的版本（Version），说明是IP4 “5”指本IP包的首部长度为 5X4 =

2、20 字节 （2） “00”服务类型（Type of Service） （3） “00 5c”是IP数据报文总长，包含头部以及数据，这里表示5*16+12 = 92字节. （4） 0d 16 、 00 00 表示 标识、标志、片偏移：主要用于数据报的分段 （5） 40 表示一个IP数据流的生命周期4*16=64（6） 11 表示 传输层的协议类型（Protocol），11表示udp协议 （7）87 19 为首部检验和：1000011100011001 正确 （8）70 53 0c 59 源地址的IP ： 即 112.83.12.89 （9）7b 8a ee 2b目的地址的IP： 即 123.1

3、38.238.43 后面接着的是IP的数据内容.TCP如图阴影部分为TCP固定首部，分析如下：（1）“c4 a1”为源端口:50337,“00 50”为目的端口：80（2）“d1 62 1e cd”为序号（3）“fd 16 34 75”为确认号（4）“50 11”表示：数据偏移、保留、URG、ACK、PSH、RST、SYN、FIN（5）“fd 88”表示窗口：64392（6）“62 7e”为检验和，“00 00”为紧急指针UDP如图阴影部分为UDP首部，分析如下：（1）“0f a0”表示源端口：4000（2）“1f 40”表示目的端口：8000（3）“00 37”UDP用户数据报的长度:55（

4、4）“76 8f”表示检验和：0111011010001111 错误DNS如图阴影部分即为DNS协议，分析如下：“a2 3a“为标识字段：45520“01 00”为标志字段，该字段设置了TC表示该报文是可截断的“00 01”表示查询报文数量为1“00 00“表示资源记录数为0“00 00“表示授权资源记录数为0“00 00“表示额外资源记录数为0ARP这六个字节表示以太网目的地址以上6个字节是以太网源地址就是发送者的mac地址“08 06“arp类型，表示下面的数据属于ARP包以下为arp包的分析：头两个字节是硬件类型： 00 01 ；接着两个字节是协议类型arp使用的是ip协议，代号08 0

5、0；“06 04”分别表示硬件地址长度协议地址长度分别是6和4；后面的2个字节opcode指的是这是一个请求包还是应答包，分别对应的值是00 02 所以这是一个应答包；然后后面的6个字节又是发送者mac地址“00 1b 77 c1 d6 93” ，后面4个字节是发送者ip地址“b4 76 d4 74”（180.118.212.116）；后面的6个字节为目标mac地址“08 19 a6 cd ec 98”，最后4个字节为目标ip地址“b4 76 d7 fe”（180.118.215.254）。ICMP如图阴影部分即为截获的ICMP数据报，分析如下：第一个字节“00”类型为0表示ICMP回显应答报文；第二个字节“00”表示代码为0，网络不可达；后面的两个字节“55 5a”010*检验和正确；接下来的两个字节“00 01”为标识；后面的两个字节“00 01”为序列号；后面的所有字节表示一个32字节的数据。