WireShark抓包网络报文分析试验报告

1、洛阳理工学院实验报告系别I计算机系I班级I I学号II姓名课程名称计算机网络实验日期实验名称网络报文分析I成绩一实验目的：1 .学会简单使用网络分析工具（如 WireShark（Ethereal Sniffer、科来等）抓取网络报 文。2 .对抓取的网络报文进行分析，加深对网络数据分层封装理论的理解。 实验内容：利用任意一款网络分析工具抓取网络数据（推荐WireShark）,开启抓包功能，进行网络信息浏览等简单的网络使用。分析抓到的数据包，能够辨别传输层三次握手的 过程，能够辨别分析网络各层添加的头部与数据部分的组成。实验步骤：1 .选择一个网络分析工具，学会简单使用，本实验使用WireSha

2、rk来抓取网络报文。WireShark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你 需要选择一个网卡。点击Caputre->Interfaces,选择正确的网卡。然后点击"Start"按钮，开 始抓包。2 .抓取若干数据包，对照理论所学数据包，辨别、分析数据包结构。TCP分析：一个TCP报文段分为首部和数据两部分。TCP报文段首部的前二十个字节是固定的，后面有 4N个字节是根据需要而增加的选项。因此 TCP的最小长度是 20个字节。源端口和目的端口字段：各占两个字节，分别写入源端口号和目的端口号。在抓取的数据报中，源端口号和目的端口号的值分别是：

3、80和5677。序号字段：占4个字节。序号范围是0到232-1 ,共232个序号stream i ndex: 0sequence number: 1461(relative sequence number)wexr sequence number: 2921 (relarive sequence number5AL-nirwijl Ctrl n omcanT niiimha r 1f r qT ziT t a /o ark nc imhor 10030 20 14 5f 00 00 34 25 3b 58 e6 f6 9b 03 25 cf -一一4% ；X, 确认号字段：在四个字节，是期望收

4、到对方下一个报文段的第一个字节的序 号。LNext sequence number: 2921 relative sequence number)JAcknowledgement number: 1 rcldtlvE ack number)Header length: 20 bytes+i Flag5 ： 0x010 (ACK)-rrFof 7 1 c fi o 5d5 2 7d s d 55 bf2 3 1S. P, ,4% ; JC %.口 I * tr0020If240050162d03a900302014ea5f00003425nrvinrarnhe白*c7rHd数据偏移字段：占 4位

5、，它指出TCP报文段的数据起始处距离 TCP报文段的 起始处有多远。这个字段实际上是指出TCP报文段的首部长度。由于首部中还有长度不确定的选项字段。因此数据偏移字段是必要的。现在本字段的值是20,说明首部不包含选项字段。Acknowledgement number: 1 (relative ack number)Header length: 20 bytesF Flags： 0x01Q (ACK)in0020 If 24 00 50 2d 010030 20 14 ea 5f 00 00 弘 255 3 d o 7 b 它9 9 6 cf 5 6 a e d 8 d 55 b 2 3/%. I

6、 X.说 4 - - F- 1 一保留字段：占6位，保留为今后使用；窗口字段：占两个字节。窗口值是0到216-1之间的整数。窗口指的是发送本报文段的一方的接收窗口，而不是自己的发送窗口。本数据包中窗口字段的 值是8212。window size value: 8212d 匚i11 五pH wi nd门七 5/i tp i R21 71ri1分。00300040 cc r cea5f be aT00 00 34 25 3b 55 eC Sb 03 25 cf93 52 7c dd If wa 加 25cr n n dC4 . l tf cc -v r ,IL4：y i .R I校验和字段：占个字

7、节。校验和字段检验的范围包括首部和数据这两部s c hecks ijmrQxeayftyaTidaXToridi&abTecl Good checksum: FaHseBad Checksum; False ± seq;ack analysis0030004020 14ea 5100 CO 34 2579 ce CO be 93 52 7C dd3b 58 e6 f6 9b 03 25 cfif aa de 25 85 e7 7d 67V. . .Rl.紧急指针字段：占两个字节。紧急指针仅仅在URG=1时才有意义，它指出选项字段：长度可变最长可达40个字节，当没有使用选项时，

8、TCP的首部长度是20个字节。本数据包中没有选项字段TCP的三次握手过程，如下图所示：Mo，, Time为空Destnstcr Pnctcccl Length I而5S 20.601510061,155,169.UTCPbGfoliacorp > httpSYhlfeq=D in=8V59 20.6197360 61.1,169.116192.168.1. BTCP66 http > faHocorpSYN,MK Seq-0 A；60 20.ftl992C0KL.155.1&9.11fiTCP54 foliocorp > 怔

9、tpACK完q力配E l61 2(1.6244730152.168,1,061,155.16.11( HTTP 43 GET /tankxi如 HTTP/1.1第一行为物理层的数据帧概况，第二行为数据链路层以太网帧头部信息，下面为目的端口和源端口号。HTTP分析：从下图可以看出，进行了访问邮箱操作。1689 32.058100( 192.16BJ2.il?m.w. 1.36TTP519 GET刃曲物1山口312v./n_?用心D咽亚第般创打9乙1注丑,对9211. W, 194.89HTTP517 GET 的annelU旭5613/126ttm_®pl21fl5)(,g1786京口流

10、瞅milLULl如图192.15832139HTTP1286 httpA-1 2D0 ok (jpeg jfif Image)1-空.后7具3引耨邓1必1的4TTP1l45 get向方反刊，贷已叩；gsra叩他打52哽肖的 32.O75QLm%d6BJ2.13422D.iaL.12,2G6TIF11召 GfT ,-t co n/stiT. gi fpi d=lfl N 5idor ai r ri 2 om 32.11006400( 220.18L.12.2N152.16832 A3 9HTTP103 仃P/Ll 2D0 OK F89a)m 口119诩吨19?6格乙1科123.125,50.97

11、HTTPQ PC5T加tri 1打小如门Mpr阻上 thW6丸曲刚（1鸵，映必” g220,181,15.1494TTP11号PDfT室55与祝片甘加卬CUl（通皿 32.174183(0(7192,16332.139HTTP570 HTTPA.l 200 OK (tM/htlVW3达成俎瞰羊.125.50。1,16832,139HTTP352 HTTP/L.l 200 Ok (teiT/pliln)M27喇掰MUHEMJjgHTTP硼 G£T /md 1Tsi 13 pi -215 (-1 r + i 5 nnp/1W8党.乃73Mm 1羽郁.犯I的21,1

12、42.194.60-FTPF97 GET ；3：品堂口 1 UE/j£thtfflOLTr/，、1M3次.21现加4211.121也图1,168,32,139HTTPISM continuation or pf-htp traffic Frame d；工、工4 Dyteson wire(id£DltSj，iin Dyres caprured <iznz oArrival Time: May 28, 2012 15:45:07. 516816000 HIFTTH17101171Eppch Time: 13381S1107.S18160QO 才e匚。nd与Tlme del

13、ta from previous captured frame: 0,000121000 secondsTime delta from previous displayed frame: 0,000121000 secondsTime si nee reference or first frame: 0.000121000 seconds Fr ame Number: 2Frame Length: 1514 bytes (12112 bir&)Capture Length; 1514 bytes (12112 bits)Frame is marked: FalseFrame is ig

14、nored: Falserprotocols in frame; erh:ip;tcp :http;datacolorlng Rule Name: httpcolorina Rule Etrinq: http | tcp.part = 801由图中可以看出，HTTP是靠TCP建立连接的。第一次握手过程：客户端发送一个 TCP标志位为SYN序列号为0,代表客户端请 求建立连接。第二次握手过程：服务器发回确认包，标志位为SYN ACK.将确认序号设置为客户的 I S N加 1,即 0+1=1。第三次握手过程：客户端再次发送确认包(ACK) , SYN标志位为0, ACK标志位为1。并且把服务器发来

15、ACK的序号字段+1,放在确定字段中发送给对方。并且在数据段设置ISN的+1。就这样通过了 TCP三次握手，建立了连接。网络分层结构分析： Frame 1317: afl bytes Aire (.4SO fairs60 bytes caprured (J8C titsj on WErtacE。 Ethernet II, sre: 00:Cf：E2:3d:f4:d? C(X):Of:e2:3d:f4:d7, Dst: ff:ff:ff:ff:1 Destination: ff：ff：ff：ff(ff;ff：ff;ff;ff：ff)Address: ff;ff:ff：fffPff;ff;ff;f手斤甘1 = LG Mt: LDcaVIy administered iedrass (This * *s not t.,1=IG bit: Group address (multicasl/broadcast) Source: OD:Of:e2:3d:f4:d? (OD:Of:e2:3d:f4:d7)Address: 0Q: 1 :e2:犯：f4：c7 (OD:Of:e2:31:f4:d7).hQ=LG bit： Globally unique add