wireshark数据包分析实验报告

西安郭雷孥院计算机网络技术及应用实验

报告书系部名称：学生姓名:专业名称:班级:学号:系部名称：学生姓名:专业名称:班级:学号:时间:管理工程学院***"""""个个个个个****个个个个个个个个2012年04月01日实验题目Wireshark抓包分析实验。实验目的了解并会初步使用Wireshark，能在所用电脑上进行抓包了解IP数据包格式，能应用该软件分析数据包格式查看一个抓到的包的内容，并分析对应的IP数据包格式二.实验内容1.安装Wireshark，简单描述安装步骤。点击next后按如下步骤:在“LicenseAgreement”窗口下点击‘IAgree’，弹出“ChooseComponents”窗口，点‘next弹出“ChooseInstallLocation”窗口后再点'next’，弹出“InstallWinpcap”窗口，点击'Install’在弹出的窗口中点击‘Finsh'并选择'RunWireshork1.6.3(32bit)'。2.打开wireshark，选择接口选项列表。或单击“Capture",配置"option"选项。3.设置完成后，点击“start”开始抓包.显示结果:4.选择某一行抓包结果，双击查看此数据包具体结构如下:A244423.84-261；23.1&&.U6j202.117.141.U沪91Sourceport140S&fetinatiorport:9144Frame2444:91bytescmwire(728bits)s91bytescaptur&d(72Bbits)EthernetII,5rc:NartelNei_af:4a:0b(0D:09:97:af:+a:0bJ,Dst:Wi5tronl_a8:d0:3dCfO:de:f：internetProtccalversian4,sre:Q(223.166.IS.60),Dst:202.11^.141.8BQ。；三userDatagramProtocol,srePort:140S6(14os5^,D5izPart:9144〔9144)Ofc7Od&2000000100D20003000出Ci0D40E匚r(IQ9199f

o131d

0oof4

o7odl曳

doBBd

3&b72

oo397J

roo2d1af4aOb0800dedfa6123c£3a43e8644M7953Od7cWb96605bd三.捕捉IP数据包。14^7561092亿1UE8‘：窟心68.2血谶数据包信息：Ho.PineSffurceI的tinHi皿iLULnll."iXLU.'JFrotocoLILFLaL[tbInfo"uul^LLIIDL/IILip[J1IMJnlll-yjJJJLCIl-v143.756169202.117.12G.81TCP66hrttp>tscchat[SYN,AEKJ灭q瑚Ack=lm=：二iEFrame14:66byte^on^re(528bits),66byte^;captured(528bits)+Ethernat1如建；Hangzhou_ai：d5;72(OO;0f：E2;ac:d5:72)lDst:Dellj0;50:05(00:18:Sb:90:50;65)Einternpt即归茁Vernon4f5rc<ZD2.117.1Z8.8〔皿.10/.町DSt：192.168,2,51(192.168.2,51)"version:4i-edoerkngth:20航取aDiffprentjatedServices;Fi?~J:MD(DSCP0x00:DEfdult;EChl:OvDO:Met-ECT(NotECN-CapabieTransport]]TotalLength;'''^鼠相.尬扫仙；斓曲h伽1伉)aFpi:mF码眼氧offset:Gtimetolive:126Protocol:TCP(6)Jbeaderthecksini;OxeOaf\orrect]Source117,1ZB.8(Z02.117.1ZB.8),花化iriATi圳：1性(192.1很】.51)ETransmissioncontrolpfckocdLsreport:hetp(80),dstport:bcchat〔曷0〕，seq:0,A〔k:1,Len:0Sourceport:.http(B0.)Destinationport;tsccha:Q招0)[st「戋ni油x:4]sequencenuniber:G(relst^e浩u如①加油)Ackno^adgEMnu也r;ifrelat\ea北哪臃「)beadernen]th:jP/bytes；御融:醺(观ACK)wir：j>sizev/ue:1飙[calcuhTt；/nd^'憾1诡]?checkin:峨拖[vfJda:icndJsit;ed]击如：i叩5；心byres)i[SEQ/AfK那日ly^t]000003183c000003183c9050:500Of001000345500盼?e佰0020M33GO5009la515c00304000村030C0002041、写出IP数据包的格式。e2acd572OB004:0D

eOaf<a75bD08cOa8

e7fd址'59占洗8012

05b4010303000101,「・」£!■■“・・r・.匚14~Ici11ui■■«$.niIP数据报格式‘:比福。123451DTRC未用质4Qfe192431?圳苜2金标谖标志生存酎1司协U瞟地址目朝姑址町娈畛；可遂宇is或摩可斐，«充敬据职分首都薮搪剖分.I叮遍报2、捕捉IP数据包的格式图例。OmIWSybytes*10x4ebb（20155）F126WTCPC6）『OweOaf[corrett]+1192.16&.2.5盘202.11712S.8p选项E填充『数据F3、针对每一个域所代表的含义进行解释。IP数据报首部的固定部分中的各字段含义如下:（1）版本占4位，指IP协议的版本。通信双方使用的IP协议版本必须一致。目前广泛使用的IP协议版本号为4（即IPv4）。（2）首部长度占4位，可表示的最大十进制数值是15。请注意，这个字段所表示数的单位是32位字长（1个32位字长是4字节），因此，当IP的首部长度为1111时（即十进制的15），首部长度就达到60字节。当IP分组的首部长度不是4字节的整数倍时，必须利用最后的填充字段加以填充。因此数据部分永远在4字节的整数倍开始，这样在实现IP协议时较为方便。首部长度限制为60字节的缺点是有时可能不够用。但这样做是希望用户尽量减少开销。最常用的首部3）区分服务占8位，用来获得更好的服务。这个字段在旧标准中叫做服务类型，但实际上一直没有被使用过。1998年IETF把这个字段改名为区分服务DS（DifferentiatedServices）o只有在使用区分服务时，这个字段才起作用。总长度总长度指首部和数据之和的长度，单位为字节。总长度字段为16位，因此数据报的最大长度为216-1=65535字节。长度就是20字节(即首部长度为0101)，这时不使用任何选项。标识(identification)占16位°IP软件在存储器中维持一个计数器，每产生一个数据报，计数器就加1，并将此值赋给标识字段。但这个“标识”并不是序号，因为IP是无连接服务，数据报不存在按序接收的问题。当数据报由于长度超过网络的MTU而必须分片时，这个标识字段的值就被复制到所有的数据报的标识字段中。相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。标志(flag)占3位，但目前只有2位有意义。标志字段中的最低位记为MF(MoreFragment)oMF=1即表示后面"还有分片”的数据报°MF=0表示这已是若干数据报片中的最后一个。标志字段中间的一位记为DF(Don’tFragment)，意思是“不能分片”。只有当DF=0时才允许分片。7)片偏移占13位。片偏移指出：较长的分组在分片后，某片在原分组中的相对位置。也就是说，相对用户数据字段的起点，该片从何处开始。片偏移以8个字节为偏移单位。这就是说，每个分片的长度一定是8字节(64位)的整数倍。生存时间占8位，生存时间字段常用的的英文缩写是TTL(TimeToLive)，表明是数据报在网络中的寿命。由发出数据报的源点设置这个字段。其目的是防止无法交付的数据报无限制地在因特网中兜圈子，因而白白消耗网络资源。最初的设计是以秒作为TTL的单位。每经过一个路由器时，就把TTL减去数据报在路由器消耗掉的一段时间。若数据报在路由器消耗的时间小于1秒，就把TTL值减1。当TTL值为0时，就丢弃这个数据报。#TTL通常是32或者64，scapy中默认是64协议占8位，协议字段指出此数据报携带的数据是使用何种协议，以便使目的主机的IP层知道应将数据部分上交给哪个处理过程。(在scapy中，下层的这个protocol一般可以从上曾继承而来，自动填充，我们一般可以省略不填此项)首部检验和占16位。这个字段只检验数据报的首部，但不包括数据部分。这是因为数据报每经过一个路由器，路由器都要重新计算一下首部检验和(一些字段，如生存时间、标志、片偏移等都可能发生变化)。不检验数据部分可减少计算的工作量。源地址占32位。目的地址占32位。IP数据报首部的可变部分IP首部的可变部分就是一个可选字段。选项字段用来支持排错、测量以及安全等措施，内容很丰富。此字段的长度可变，从1个字节到40个字节不等，取决于所选择的项目。某些选项项目只需要1个字节，它只包括1个字节的选项代码。但还有些选项需要多个字节，这些选项一个个拼接起来，中间不需要有分隔符，最后用全0的填充字段补齐成为4字节的整数倍。增加首部的可变部分是为了增加IP数据报的功能，但这同时也使得IP数据报的首部长度成为可变的。这就增加了每一个路由器处理数据报的开销。实际上这些选项很少被使用。新的IP版本IPv6就将IP数据报的首部长度做成固定的。捕捉IP数据报的格式图例。实验内容(续，可选)1、捕捉特定内容捕捉内容：http步骤：①在wireshark软件上点开始捕捉。网由PTlt*Fs*CoriTd^[WkaclufkRw3DCC3FromiVuik-l!||◎四RkEdtUewGoC^ituiE爽tsgTabfihai^TmIe典cm击He^i弟州』3sx女拳中船矿少1国画既a匹日郦区I里器I君片住RTE"FP^On,>CleBT牛内②上网浏览网页。②上网浏览网页。hkxTimeOKljnaban印血cdLetglhI血ahim诚顺202.117.141.££3TCP科荷1aIL,；口[ACKjSfr>l31J52A£k-L4LCiUlnRlfitflZL-ETi-ltlt~1431340.25KL77£4-57.fi-€T7202.117.Ul_EELCPQ5-Souredport:12725DfliTimtnnnpan:01444J]2iO.26?25L112-2i9.£2.JJ202.11?.Ul-8aTCP的11579*5J]tl[KK]S&3-14L0A£k-4.2L454Win-655215LEHU液SRE-+265244!554D.2GU24112.Z4Q.U.HZQ2.117.U1.SSTCP11011573>53-341pSH,¥<]AEk-4214^+Lan-^C41N102702612ft?.117.U188TCP€011579»5JJ61[X町iCkJ.2t5.24w1iu6553SLSC421：4D.ZT80MHZ-Zig.52.223W.117.1^1.33TCPMs[TIPtupMk4!3G51'1L3W>*3(51「He]5flq-l^G&牌k-1；町弭<in-fi53-3^LnrMJSlC-4.29933型Ji]J1037H47皿117Ldl.SS112.244.1233ECPId相5J361>ILT9|>那]41M4O.ZB4*&32aZ_117.L41.«.113.14O.Jn.4-1CHPF4Echo(ping)requescicfcmOMl,seq--11^44.C1B9,nzl*J]JO10265151113HOM.J202.117.111661CHP7AEthfl(pins)reply4M1MU驻M222-24-53.1442u*50LCP125-SxircEport::20110nEJtimtinnport:JCillI]4J42+O.3O2W2^S2^.255.255.250S50P416MJTinr0MWPA.lTCPRtcPCupACK42Jlf5]141^35465J[ACK]^eq-1242:Azk-]12616din-2tiLen-05LE-Mi52U5FE-JS2?IO4MJ-4鼠琅242,117,Hl.«1/5-,165,30-161TCPIKffi5*53>141W〔HK]5^--m3i5Ack-15「・1艮15■i互5iO.aSbSU厂5_1&土绍,MlliL-^>5t65J[ack]3卜1H2:liri-JtjLer-d2LE-J45520sfe-154232gw物抚相V516fl状U熨2ft2.117.Uln8SKP部14190»5HSJLxk]564-1242占MTU姒«1n-26i：iLftM)-5LE-3M.5WOSRE-35123?kFra»e2444：91kyt®m^re(HSbits),91byttscapizurwi(HiMrs)Etherrtfiizi,src:wrTfilHe.af：4a.:0b}|ch”w1scrani_4S：^:3d{fO：d£!：fL!aB!iji]：]d)-IntsrrwtPracocal七官壬布。€,£.-€：IB.«0(2Z3_lfifi.14.eO),Dst：2O2.11T-141_^(J04.)£user-pracwoLsrcp(x*t-14网6(limj,recporci机eQDacaC49byras)

找到包含http格式的数据包，可用Filter进行设置，点击Filter:http,Expression...Clear中的下拉式按钮，选择http。Filter:httpH2?J.93?]1LDl.154.l-UtHT1P抛HTTP/L.O240OKH2?J.93?]1LDl.154.l-UtHT1P抛HTTP/L.O240OK(JPEGJF2F1险整。U2!y.fljtnjM2.117.1*11.3&L21.14I-1.U4HTTP璀L17.lil.661HK0[UJ安眼IH.bHTTPtfTTP52jGFT/'as-/ilegw..1cnrifisrn_ste_qifHTTP-/].!HJ57・94和31121-19+,L1]2跳mw,网irn?«65HWZL,1300OK(JPEGJFDFIlHflt}HUK9噂斓L21.1S*.1.L]2H2.H7_Ul.iaHTIP42LHTZP/l.I2U0OK(JPEGJFIFiraw：^用日7.咬"32JOJ.117-1+1.9BHTIPL2S4HTTP/L.l2MOK(jp£CSFjf1mg«；>酒？J.9&173E.232.120.16L.702O2.ii7_ui.jaHT1F掰Hnp/L.03WUK{JPEGJF3J=3443r.35M3P2CZ.lZD.lfiL.Tl93HTIPLQZDHTTP/L.DMlOK(JPEG非非iruge)UM•.^W53awU7.iM.og121H11J2rmp4UGE-r/pic，c；,^.,2l'..1f^cPT4^1brf?15cTbk^&c2_MC?W.1XitrrTF/l.LU?1-.95£?91121.1W.1.132HT1F11卯HTTP/L.lHIOK(1FEG3FIFiru^e)HT57,96LJ9&2fl2.120.lgl.7DM-1174+1,^HTIF♦56ME/L,。200OK(jpegjfifInagej心4T.QfiJUt1^MJ.ttTJil.jiflHTTP1311WTwP-'i.rtMillflKElWr；1FTFinjirw^:Fr-irt3-129;5HLb^teianrirt砧bits],521byt曰I：41甜bitj!，Etbfl-rerIL5r<:WistrELiB:必3d(ft：[Je:fl：aS5dD53d],bsi:HTtelNurf:41:0bBlmiertieLptodm