网络数据包分析试验

1、实验一：网络数据包分析实验班级：班学号：姓名:一、实验目的通过对实际的网络数据包进行捕捉，分析数据包的结构，加深对网络协 议分层概念的理解，并实际的了解数据链路层，网络层，传输层以及应用层 的相关协议和服务。、实验内容1. IGMP包解析1.3 IGMP协议层1.1数据链路层El代XEL洱丁；亡日：亡5 MB)osr: ip- 4m<asz_<iJ;QJl15 (21 -E-D.5eJO.E-d>4 t-is ： hi-At I _n * tPf Ld LiJ 1 Sei 00:00:1saur-ctt El1imro_&ai«SiUType； ip CgM

2、Osw)源数据：数据链路层头部：01 00 5e 00 00 16 00 21 97 0a e5 16 08 00 数据链路层尾部：00 00 00 00 00 00分析如下：数据头部的前6个字节是接收者的mac地址：01 00 5e 00 00 16 数据头部的中间6个字节是发送者的mac地址：00 21 97 0a e5 16 数据头部的最后2个字节代表网络协议，即：08 00协议类型。1.2网络层rrrtbnct 叶 mzxc/l, src: 172.16.163. 20二".二克.丄閃 ”7心，D?t: 2：. D.O.2? 0 汀.0.0.22)var s1 on: 4He

3、ader* 1 cngth: 24 byresnaxed services "乜Id： 0x00 (.dscp 0x00: D&fau11: 0x003Tqtil rength:斗DTdsrrtificar I cn： QklclJ 也 7460)h Flmqs： Q>00FraTienr offset;： QTime vq live; 1Fr DTCCDl : IGMP go?)¥ HPAder fhecksijn： CxJ85c correct5durum; 172,10.103.?0 <L72<10.1632O)Castinariant 22

4、4.0.0.22 (224.3.0.22±j opt 1 oris: (4 Lyn源数据：46 00 00 28 1d 38 00 00 01 02 d8 5c ac 10 a3 14 e0 00 00 16 94 04 00 00数据分析：第一个字节（46）的前4位表示的是IP协议的版本，即IPv4;它的后4位 表示首部长度为6,最大十进制数值时为15第二个字节（00）是区分服务，一直缺省，所以为 0第三、四字节（00 28）是指首部和数据之和的长度 40个字节第五、六字节（1d 38）是一个数据报被分片后的标识，便于正确地重装原 来的数据报第七、八字节（00 00）分前3位为标志

5、位和后13位为片偏移，其中标识位 只有两位有意义，表明这已经是若干用户数据报片最后一个 （MF=0，并且DF=0） 不需要再分片了。偏移为0第九个字节（01）表示的是数据报在网络中的寿命为128第十个字节（02）指出这个数据报携带的数据时使用的IGMP协议第一、十二字节（d8 5c）表示首部检验和，大小为 55388字节，对数据 报的保留与丢弃进行判别第十三个字节加上后面的 3个字节（ac 10 a3 14）是发送者的IP源地址（172.16.163.20）第十七个字节及后面的三个字节（e0 00 00 16）是接收者的IP地址（224.00.00.22最后四个字节（94 04 00 00是任

6、意的-interred Group flanagement Pratocalver s1on: 3Type: Nan tiers hip Report （0x22）Haicer checksumi Oxf2Sd correctNun Group Racards:丄-Group Record : 224-2. 7.141 change To EkcIuds ModeRecord rype： change ro txcluda i*ode 4ald£ Dart a Lent 0ijuri src; 0Mulficast AdrirESS： 224,.7.141 （224.3.7,1411

7、源数据：22 00 f2 6d 00 00 00 01 04 00 00 00 e0 03 07 8d数据分析：第一个字节（22）代表的这个为多播地址路由器第三、四个字节（f2 6d）是一个检验和第七、八个字节（00 01）是组播的第一个分组第九个字节（04）是记录类型最后4个字节（e0 03 07 8d是个组播地址2. ICMP包解析J+4k. JMdH 齐儿 1 血/巧-44 im 14. I«3.rr m Ediv ill Ml -屮il斗J ； f 尸*;1n F -S»- 1 M yEwh u Al h.W|CijKufWlQ11丄LB,11 1 rr<:

8、c>3irnilE_4i.：<1 H fJEi. $1 !>"附:5-±.-6>. 1>5TL Cl ：.£| .f ：V . X !>*1 !* JI Jj工阿啊 fT?«KpTr M書：和HlUVP1E IT? IfrJO 17 （1科乳豹乳2门 TFbLt :EtTJl *T?Siqe *rrr KiJ）1Ir*«An* ILhliratkb Ib 0 Mm fl 绑訓耳 |T $ fl JH AE 总 auii rilx*匕勺耆 r 二In , »+ «2. 1数据链路层日 Exh

9、arnAc ii, src± 匚sd:csx det: cU<a_ed：4C：aB <aD±oc：86：adMO：C0）-npr-inTicr ： Ci?rn_*rt'4O:OQ （00:0c: Fift'flri：da：Ofi）Address: cisco sd：4:c? £qq；qv;&p：亡理；斗。；。日1.+ 一 .*o 一.* + 一 一 * = it faR： mdljlcftjil adcfres弓 tun1ca5t> _ -0- -_. = LC bit: u 1 ch 1 ly u fi1 que adc

10、k'es s factory1 deault-SQiirce： cem|Mnn_tiL：yd:cy（.苗：曲：庶：龜：二乩汕）AddJ t-iS : uumudllr_61:3d: .3 （70:1j.:b6： tl: Sd :c_3"心-tg hdr: Tndldual iddrMi （unlc&st）.*, 八 *.-* - LG bit: Glcbilly unique address Cractoy default）Type: ip （oxoaia）源始数据：00 0c 86 ed 40 09 70 5a b6 61 8d c8 08 00数据分析：前6个字节

11、（00 0c 86 ed 40 09表示的是接收者 MAC地址接下来的6个字节（70 5a b6 61 8d c8表示是发送者的 MAC地址最后连个字节（08 00）是类型字段，0x0800表示上一层使用的是IP数据包2. 2网络层3 rmnPiiet 刊 I ociil, , : 177.16.?lr.1 U (177.10.21巧 I :16?.27)vprslan: 4Hfiiddr Iftngch: 20 bytfia-dffarantlii：a arvl:-1 sU: qkcq (oscp q>qo： Default; ten： Qxc口)9000 00-Differ: nt1

12、 at Ed scrvi ces cadcpo1 nt: ocfaulx cdxdo.0. - GCW-C-i;able Traricport CCT): D 0 - E6VE： aFertal LEHt: <0Idenfification; 0«d钦3 154979'E Flags: 0x000. . = Res er vied bit: Not 5et.fl .= Dji i ' I frj ijnen l : tv 口匸 Set.O = Mr e fr agttb&niE； noe strFr agirienc _f f s er : 01ri c

13、o 11ve：丄ZEprotocol ： ICMP CUKULS)-He Ad er checks jti:t 亡r rcctGood: TrueLead : -alseSource; 172.1G. ZL5.L54 (172*LG< 215,154 jDestination: 17?.L6£172.16163.27)源始数据：45 00 00 3c d6 c3 00 00 80 01 91 26 ac 10 d7 9a ac 10 a3 1b数据分析：第一个字节（45）的前4位表示的是IP协议的版本，即IPv4;它的后4位 表示首部长度为5,最大十进制数值时15第二个字节（0

14、0）是区分服务，一直缺省，所以为 0第三、四字节（00 3c）是指首部和数据之和的长度 60个字节第五、六字节（d6 c3）是一个数据报被分片后的标识，便于正确地重装原 来的数据报第七、八字节（00 00）分前3位为标志位和后13位为片偏移，其中标识位 只有两位有意义，表明这已经是若干用户数据报片最后一个 （MF=0，并且DF=0） 不需要再分片了。偏移为0第九个字节（80）表示的是数据报在网络中的寿命为128第十个字节（01）指出这个数据报携带的数据时使用的ICMP协议第一、十二字节（91 26）表示首部检验和，大小为401字节，对数据报 的保留与丢弃进行判别第十二个字节后的四位（ac 10

15、 d7 9a表示源地址（172.16.215.154） 最后四个字节（ac 10 a3 1b表示目的地址（172.16.163.27）曰 mtenet control Message ProtocolType; 3 fEcho Cping) request)匚ode: 0 ()checksum: 0xd85b carredrdentifi er: 0x02 00Sequence number : 294-40 (g丁200J-Data (32 bytes)Daxa： &162&364 6566&76869&A6B6C6D&£5F70717277

16、475767751.Length: S2源始数据：08 00 d8 5b 02 00 73 00 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 7273 74 75 76 77 61 62 63 64 65 66 67 68 69数据分析：第一个字节（08）是说明ICMP报文为询问报文，送回（Echo）请求或回答 第二个字节（00）指的是代码为0第四、五个字节（d8 5b）是检验和第六、七个字节（02 00）是标识符第八、九个字节（73 00）是这个报文的序列号位29440第九个字节以后的字节（61 62 63 64 65 66 67 6

17、8 69 6a 6b 6c 6d 6e 6f 70 71 7273 74 75 76 77 61 62 63 64 65 66 67 68 6）是这个报文所带的数据3. ARP包解析3. 1数据链路层-1 Ethe net II± 5r .: Conpdlln_41:Bd:cB (T0:L<:<iL:8 .; B), D3i; BTMdcdst (f F:f:Ff :ff :ff-Lsitination: Broad匚也st Ff:+尸；于尸；幵：ff:干卡)< source: causalln_6L;fid:cS (7D: Sa; a6 ;61:8d:<Sj

18、Ty:a: APP CDX0305Jtti! lar ： m.imi n.i3iinnnn m 11.13mii.ii=. a. _JU 一 >_ c _ 一. J! iu .一 亠 <_ F 一 _ . _ _ <a %源始数据：数据的头部：ff ff ff ff ff ff 70 5a b6 61 8d c8 08 06数据的尾部：11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11数据分析：头部的前6个字节(ff ff ff ff ff ff)是表示广播地址，告诉所有这个电脑所在的本网络的电脑第七个字节到第十二个字节

19、(70 5a b6 61 8d c8)表示的是发这个广播的以 太网地址第十三、十四字节(08 06)表示ARP协议的类型3. 2网络层- Address Resolut 1 n Prcrtcitcn (rHardware Type: Ethernet <0x0001)Protocol type: IP (0x0800)Hardwa亡 size: 6proTocol size; 4opcods: requeT (OxOOOl)is graruiTous: raisesender 训人匚 address:匚ompalin_61:8d:c8 (70:5a:b6:61:8d:c8)Sender IP idefress: 172.16,215.154 (172.16,215.154)7ar get MAC address : 00:00: 00 :(00:00:00:00:00:00)Tirge ip address; 172.16.215<1 (172,16.215.15源始数据：00 01 08 00 06 04 00 01 70 5a b6 61 8d c8 ac 10 d7 9a 00 00 00 00 00 00 ac 10 d7 01数据分析：开头的两个字节（00 01）是硬件接口类型，即对于以太网第三