蔡少云利用WireShark观察TCP及UDP包

1、计算机网络实验实验报告 学 院 管理学院 专 业 电子商务 年级班别 2013级1班 学 号 321300- 学生姓名 蔡少云 指导教师 黄益民 成 绩_广东工业大学管理 学院 电子商务 专业 1 班学号 姓名 蔡少云 教师评定_实验题目 实验八 利用wireshark观察tcp及udp包 一、 实验目的1学习如何利用协议分析工具对网络数据包进行分析。了解网络数据包的组成，直观感受协议分层及各层协议数据单元的格式及相应关系。2学会利用wireshark抓包，并对抓取到的包进行分析。重点观察tcp与udp报文首部结构，理解首部中的序号、确认号等字段是tcp可靠连接的基础。观察tcp连接的三次握手

2、建立和释放过程，理解tcp连接建立和释放机制。3. 了解不同应用程序采用的运输层协议并分析原因。二、 实验内容和要求学习协议分析工具wireshark的基本使用方法；利用wireshark进行icmp包的抓取；对抓取到的包进行分析，进一步了解ip包与mac帧的关系。三、 实验结果1 捕获tcp和udp数据包1）首先运行wireshark，在菜单capture 下点击interfaces，选取要抓包的网卡，然后按“start”按钮。2）打开浏览器，打开某网站，如“”3）关闭浏览器4）按“stop”按钮停止此次抓包。2. 分析tcp数据段首部图 1 tcp报文段格式源端口和目的端口：各占2个字节，

3、是运输层与应用层的服务接口。 序号：占4个字节。tcp连接传送的数据流中的每一个字节都被编上一个序号。首部中序号字段的值指的是本报文段所发送的数据的第一个字节的序号。 确认号：占4个字节，是期望收到对方下一个报文段的数据的第一个字节的序号。 数据偏移：占4 bit，它指出报文段的数据起始处距离tcp报文段的起始处有多远。实际上就是tcp报文段首部的长度。 保留：占6 bit，保留为今后使用。 紧急比特urg：当urg=1时，表明紧急指针有效。它告诉系统报文段中有紧急数据，应尽快传送。窗口：占2个字节，用来控制对方发送的数据量，单位是字节，指明对方发送窗口的上限。 校验和：占2个字节，校验的范围

4、包括首部和数据两个部分，计算校验和时需要在报文段前加上12字节的伪首部。 紧急指针：占2个字节，指出本报文段中紧急数据最后一个字节的序号。只有当紧急比特urg=1时才有效。【tcp报文段】tcp报文段首部中的数据偏移和窗口分别是指什么？单位是什么？根据抓到的报文进行分析。3 分析udp报文首部格式图 2 udp数据报格式【udp数据报】udp数据报首部中的长度是指什么？根据抓到的报文进行分析。长度：udp报头和udp数据的长度。4. tcp连接的三次握手分析 找出一个tcp连接建立的三次握手数据包，分析其连接建立的过程。并填下表：表 1 tcp连接建立包字段名称报文段1（第一次握手）报文段2（

5、第二次握手）报文段3（第三次握手）源端口vpad(1516)http(80)vpad(1516)目的端口http(80)vpad(1516)http(80)序号001确认号11syn11not setacknot set11【tcp的连接建立】tcp数据段与ip包的关系是怎样的？5. tcp连接释放的四次握手分析 找出一个tcp连接释放的四次握手数据包，分析其连接建立的过程。并填下表：表 2 tcp连接的释放字段名称报文段1（第一次握手）报文段2（第二次握手）报文段3（第三次握手）报文段3（第四次握手）源端口http(80)intellistor-lm(1539)intellistor-lm(

6、1539)http(80)目的端口intellistor-lm(1539)http(80)http(80)intellistor-lm(1539)序号13015675672264确认号56722642264568fin1not set1not setack1111【tcp的连接释放】分析tcp连接释放的四次握手的意义。数据传输结束后，通信的双方都可释放连接。客户应用进程先向其tcp发出连接释放报文段，并停止再发送数据，主动关闭tcp连接。客户把连接释放报文段首部的 fin = 1，其序号seq = u，等待服务器的确认。服务器发出确认，确认号ack = u +1，而这个报文段自己的序号seq = v。tcp 服务器进程通知高层应用进程。从客户到服务器这个方向的连接就释放了，tcp 连接处于半关闭状态。服务器若发送数据，客户仍要接收。若服务器已经没有要向客户发送的数据，其应用进程就通知 tcp 释放连接。