wireshark數(shù)據(jù)包分析實(shí)驗(yàn)報(bào)告

西安郭雷孥院計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用實(shí)驗(yàn)

報(bào)告書系部名稱：學(xué)生姓名:專業(yè)名稱:班級(jí):學(xué)號(hào):系部名稱：學(xué)生姓名:專業(yè)名稱:班級(jí):學(xué)號(hào):時(shí)間:管理工程學(xué)院***"""""個(gè)個(gè)個(gè)個(gè)個(gè)****個(gè)個(gè)個(gè)個(gè)個(gè)個(gè)個(gè)個(gè)2012年04月01日實(shí)驗(yàn)題目Wireshark抓包分析實(shí)驗(yàn)。實(shí)驗(yàn)?zāi)康牧私獠?huì)初步使用Wireshark，能在所用電腦上進(jìn)行抓包了解IP數(shù)據(jù)包格式，能應(yīng)用該軟件分析數(shù)據(jù)包格式查看一個(gè)抓到的包的內(nèi)容，并分析對(duì)應(yīng)的IP數(shù)據(jù)包格式二.實(shí)驗(yàn)內(nèi)容1.安裝Wireshark，簡(jiǎn)單描述安裝步驟。點(diǎn)擊next后按如下步驟:在“LicenseAgreement”窗口下點(diǎn)擊‘IAgree’，彈出“ChooseComponents”窗口，點(diǎn)‘next彈出“ChooseInstallLocation”窗口后再點(diǎn)'next’，彈出“InstallWinpcap”窗口，點(diǎn)擊'Install’在彈出的窗口中點(diǎn)擊‘Finsh'并選擇'RunWireshork1.6.3(32bit)'。2.打開wireshark，選擇接口選項(xiàng)列表?；騿螕簟癈apture",配置"option"選項(xiàng)。3.設(shè)置完成后，點(diǎn)擊“start”開始抓包.顯示結(jié)果:4.選擇某一行抓包結(jié)果，雙擊查看此數(shù)據(jù)包具體結(jié)構(gòu)如下:A244423.84-261；23.1&&.U6j202.117.141.U滬91Sourceport140S&fetinatiorport:9144Frame2444:91bytescmwire(728bits)s91bytescaptur&d(72Bbits)EthernetII,5rc:NartelNei_af:4a:0b(0D:09:97:af:+a:0bJ,Dst:Wi5tronl_a8:d0:3dCfO:de:f：internetProtccalversian4,sre:Q(223.166.IS.60),Dst:202.11^.141.8BQ。；三userDatagramProtocol,srePort:140S6(14os5^,D5izPart:9144〔9144)Ofc7Od&2000000100D20003000出Ci0D40E匚r(IQ9199f

o131d

0oof4

o7odl曳

doBBd

3&b72

oo397J

roo2d1af4aOb0800dedfa6123c￡3a43e8644M7953Od7cWb96605bd三.捕捉IP數(shù)據(jù)包。14^7561092億1UE8‘：窟心68.2血讖數(shù)據(jù)包信息：Ho.PineSffurceI的tinHi皿iLULnll."iXLU.'JFrotocoLILFLaL[tbInfo"uul^LLIIDL/IILip[J1IMJnlll-yjJJJLCIl-v143.756169202.117.12G.81TCP66hrttp>tscchat[SYN,AEKJ滅q瑚Ack=lm=：二iEFrame14:66byte^on^re(528bits),66byte^;captured(528bits)+Ethernat1如建；Hangzhou_ai：d5;72(OO;0f：E2;ac:d5:72)lDst:Dellj0;50:05(00:18:Sb:90:50;65)Einternpt即歸茁Vernon4f5rc<ZD2.117.1Z8.8〔皿.10/.町DSt：192.168,2,51(192.168.2,51)"version:4i-edoerkngth:20航取aDiffprentjatedServices;Fi?~J:MD(DSCP0x00:DEfdult;EChl:OvDO:Met-ECT(NotECN-CapabieTransport]]TotalLength;'''^鼠相.尬掃仙；斕曲h伽1伉)aFpi:mF碼眼氧offset:Gtimetolive:126Protocol:TCP(6)Jbeaderthecksini;OxeOaf\orrect]Source117,1ZB.8(Z02.117.1ZB.8),花化iriATi圳：1性(192.1很】.51)ETransmissioncontrolpfckocdLsreport:hetp(80),dstport:bcchat〔曷0〕，seq:0,A〔k:1,Len:0Sourceport:.http(B0.)Destinationport;tsccha:Q招0)[st「戔ni油x:4]sequencenuniber:G(relst^e浩u如①加油)Ackno^adgEMnu也r;ifrelat\ea北哪臃「)beadernen]th:jP/bytes；御融:醺(觀ACK)wir：j>sizev/ue:1飆[calcuhTt；/nd^'憾1詭]?checkin:峨拖[vfJda:icndJsit;ed]擊如：i叩5；心byres)i[SEQ/AfK那日l(shuí)y^t]000003183c000003183c9050:500Of001000345500盼?e佰0020M33GO5009la515c00304000村030C0002041、寫出IP數(shù)據(jù)包的格式。e2acd572OB004:0D

eOaf<a75bD08cOa8

e7fd址'59占洗8012

05b4010303000101,「?」￡!■■“??r?.匚14~Ici11ui■■?$.niIP數(shù)據(jù)報(bào)格式‘:比福。123451DTRC未用質(zhì)4Qfe192431?圳苜2金標(biāo)諼標(biāo)志生存酎1司協(xié)U瞟地址目朝姑址町孌畛；可遂宇is或摩可斐，?充敬據(jù)職分首都藪搪剖分.I叮遍報(bào)2、捕捉IP數(shù)據(jù)包的格式圖例。OmIWSybytes*10x4ebb（20155）F126WTCPC6）『OweOaf[corrett]+1192.16&.2.5盤202.11712S.8p選項(xiàng)E填充『數(shù)據(jù)F3、針對(duì)每一個(gè)域所代表的含義進(jìn)行解釋。IP數(shù)據(jù)報(bào)首部的固定部分中的各字段含義如下:（1）版本占4位，指IP協(xié)議的版本。通信雙方使用的IP協(xié)議版本必須一致。目前廣泛使用的IP協(xié)議版本號(hào)為4（即IPv4）。（2）首部長(zhǎng)度占4位，可表示的最大十進(jìn)制數(shù)值是15。請(qǐng)注意，這個(gè)字段所表示數(shù)的單位是32位字長(zhǎng)（1個(gè)32位字長(zhǎng)是4字節(jié)），因此，當(dāng)IP的首部長(zhǎng)度為1111時(shí)（即十進(jìn)制的15），首部長(zhǎng)度就達(dá)到60字節(jié)。當(dāng)IP分組的首部長(zhǎng)度不是4字節(jié)的整數(shù)倍時(shí)，必須利用最后的填充字段加以填充。因此數(shù)據(jù)部分永遠(yuǎn)在4字節(jié)的整數(shù)倍開始，這樣在實(shí)現(xiàn)IP協(xié)議時(shí)較為方便。首部長(zhǎng)度限制為60字節(jié)的缺點(diǎn)是有時(shí)可能不夠用。但這樣做是希望用戶盡量減少開銷。最常用的首部3）區(qū)分服務(wù)占8位，用來獲得更好的服務(wù)。這個(gè)字段在舊標(biāo)準(zhǔn)中叫做服務(wù)類型，但實(shí)際上一直沒有被使用過。1998年IETF把這個(gè)字段改名為區(qū)分服務(wù)DS（DifferentiatedServices）o只有在使用區(qū)分服務(wù)時(shí)，這個(gè)字段才起作用。總長(zhǎng)度總長(zhǎng)度指首部和數(shù)據(jù)之和的長(zhǎng)度，單位為字節(jié)?？傞L(zhǎng)度字段為16位，因此數(shù)據(jù)報(bào)的最大長(zhǎng)度為216-1=65535字節(jié)。長(zhǎng)度就是20字節(jié)(即首部長(zhǎng)度為0101)，這時(shí)不使用任何選項(xiàng)。標(biāo)識(shí)(identification)占16位°IP軟件在存儲(chǔ)器中維持一個(gè)計(jì)數(shù)器，每產(chǎn)生一個(gè)數(shù)據(jù)報(bào)，計(jì)數(shù)器就加1，并將此值賦給標(biāo)識(shí)字段。但這個(gè)“標(biāo)識(shí)”并不是序號(hào)，因?yàn)镮P是無連接服務(wù)，數(shù)據(jù)報(bào)不存在按序接收的問題。當(dāng)數(shù)據(jù)報(bào)由于長(zhǎng)度超過網(wǎng)絡(luò)的MTU而必須分片時(shí)，這個(gè)標(biāo)識(shí)字段的值就被復(fù)制到所有的數(shù)據(jù)報(bào)的標(biāo)識(shí)字段中。相同的標(biāo)識(shí)字段的值使分片后的各數(shù)據(jù)報(bào)片最后能正確地重裝成為原來的數(shù)據(jù)報(bào)。標(biāo)志(flag)占3位，但目前只有2位有意義。標(biāo)志字段中的最低位記為MF(MoreFragment)oMF=1即表示后面"還有分片”的數(shù)據(jù)報(bào)°MF=0表示這已是若干數(shù)據(jù)報(bào)片中的最后一個(gè)。標(biāo)志字段中間的一位記為DF(Don’tFragment)，意思是“不能分片”。只有當(dāng)DF=0時(shí)才允許分片。7)片偏移占13位。片偏移指出：較長(zhǎng)的分組在分片后，某片在原分組中的相對(duì)位置。也就是說，相對(duì)用戶數(shù)據(jù)字段的起點(diǎn)，該片從何處開始。片偏移以8個(gè)字節(jié)為偏移單位。這就是說，每個(gè)分片的長(zhǎng)度一定是8字節(jié)(64位)的整數(shù)倍。生存時(shí)間占8位，生存時(shí)間字段常用的的英文縮寫是TTL(TimeToLive)，表明是數(shù)據(jù)報(bào)在網(wǎng)絡(luò)中的壽命。由發(fā)出數(shù)據(jù)報(bào)的源點(diǎn)設(shè)置這個(gè)字段。其目的是防止無法交付的數(shù)據(jù)報(bào)無限制地在因特網(wǎng)中兜圈子，因而白白消耗網(wǎng)絡(luò)資源。最初的設(shè)計(jì)是以秒作為TTL的單位。每經(jīng)過一個(gè)路由器時(shí)，就把TTL減去數(shù)據(jù)報(bào)在路由器消耗掉的一段時(shí)間。若數(shù)據(jù)報(bào)在路由器消耗的時(shí)間小于1秒，就把TTL值減1。當(dāng)TTL值為0時(shí)，就丟棄這個(gè)數(shù)據(jù)報(bào)。#TTL通常是32或者64，scapy中默認(rèn)是64協(xié)議占8位，協(xié)議字段指出此數(shù)據(jù)報(bào)攜帶的數(shù)據(jù)是使用何種協(xié)議，以便使目的主機(jī)的IP層知道應(yīng)將數(shù)據(jù)部分上交給哪個(gè)處理過程。(在scapy中，下層的這個(gè)protocol一般可以從上曾繼承而來，自動(dòng)填充，我們一般可以省略不填此項(xiàng))首部檢驗(yàn)和占16位。這個(gè)字段只檢驗(yàn)數(shù)據(jù)報(bào)的首部，但不包括數(shù)據(jù)部分。這是因?yàn)閿?shù)據(jù)報(bào)每經(jīng)過一個(gè)路由器，路由器都要重新計(jì)算一下首部檢驗(yàn)和(一些字段，如生存時(shí)間、標(biāo)志、片偏移等都可能發(fā)生變化)。不檢驗(yàn)數(shù)據(jù)部分可減少計(jì)算的工作量。源地址占32位。目的地址占32位。IP數(shù)據(jù)報(bào)首部的可變部分IP首部的可變部分就是一個(gè)可選字段。選項(xiàng)字段用來支持排錯(cuò)、測(cè)量以及安全等措施，內(nèi)容很豐富。此字段的長(zhǎng)度可變，從1個(gè)字節(jié)到40個(gè)字節(jié)不等，取決于所選擇的項(xiàng)目。某些選項(xiàng)項(xiàng)目只需要1個(gè)字節(jié)，它只包括1個(gè)字節(jié)的選項(xiàng)代碼。但還有些選項(xiàng)需要多個(gè)字節(jié)，這些選項(xiàng)一個(gè)個(gè)拼接起來，中間不需要有分隔符，最后用全0的填充字段補(bǔ)齊成為4字節(jié)的整數(shù)倍。增加首部的可變部分是為了增加IP數(shù)據(jù)報(bào)的功能，但這同時(shí)也使得IP數(shù)據(jù)報(bào)的首部長(zhǎng)度成為可變的。這就增加了每一個(gè)路由器處理數(shù)據(jù)報(bào)的開銷。實(shí)際上這些選項(xiàng)很少被使用。新的IP版本IPv6就將IP數(shù)據(jù)報(bào)的首部長(zhǎng)度做成固定的。捕捉IP數(shù)據(jù)報(bào)的格式圖例。實(shí)驗(yàn)內(nèi)容(續(xù)，可選)1、捕捉特定內(nèi)容捕捉內(nèi)容：http步驟：①在wireshark軟件上點(diǎn)開始捕捉。網(wǎng)由PTlt*Fs*CoriTd^[WkaclufkRw3DCC3FromiVuik-l!||◎四RkEdtUewGoC^ituiE爽tsgTabfihai^TmIe典cm擊He^i弟州』3sx女拳中船礦少1國(guó)畫既a匹日酈區(qū)I里器I君片住RTE"FP^On,>CleBT牛內(nèi)②上網(wǎng)瀏覽網(wǎng)頁(yè)。②上網(wǎng)瀏覽網(wǎng)頁(yè)。hkxTimeOKljnaban印血cdLetglhI血ahim誠(chéng)順202.117.141.￡￡3TCP科荷1aIL,；口[ACKjSfr>l31J52A￡k-L4LCiUlnRlfitflZL-ETi-ltlt~1431340.25KL77￡4-57.fi-€T7202.117.Ul_EELCPQ5-Souredport:12725DfliTimtnnnpan:01444J]2iO.26?25L112-2i9.￡2.JJ202.11?.Ul-8aTCP的11579*5J]tl[KK]S&3-14L0A￡k-4.2L454Win-655215LEHU液SRE-+265244!554D.2GU24112.Z4Q.U.HZQ2.117.U1.SSTCP11011573>53-341pSH,￥<]AEk-4214^+Lan-^C41N102702612ft?.117.U188TCP€011579?5JJ61[X町iCkJ.2t5.24w1iu6553SLSC421：4D.ZT80MHZ-Zig.52.223W.117.1^1.33TCPMs[TIPtupMk4!3G51'1L3W>*3(51「He]5flq-l^G&牌k-1；町弭<in-fi53-3^LnrMJSlC-4.29933型Ji]J1037H47皿117Ldl.SS112.244.1233ECPId相5J361>ILT9|>那]41M4O.ZB4*&32aZ_117.L41.?.113.14O.Jn.4-1CHPF4Echo(ping)requescicfcmOMl,seq--11^44.C1B9,nzl*J]JO10265151113HOM.J202.117.111661CHP7AEthfl(pins)reply4M1MU駐M222-24-53.1442u*50LCP125-SxircEport::20110nEJtimtinnport:JCillI]4J42+O.3O2W2^S2^.255.255.250S50P416MJTinr0MWPA.lTCPRtcPCupACK42Jlf5]141^35465J[ACK]^eq-1242:Azk-]12616din-2tiLen-05LE-Mi52U5FE-JS2?IO4MJ-4鼠瑯242,117,Hl.?1/5-,165,30-161TCPIKffi5*53>141W〔HK]5^--m3i5Ack-15「?1艮15■i互5iO.aSbSU廠5_1&土紹,MlliL-^>5t65J[ack]3卜1H2:liri-JtjLer-d2LE-J45520sfe-154232gw物撫相V516fl狀U熨2ft2.117.Uln8SKP部14190?5HSJLxk]564-1242占MTU姒?1n-26i：iLftM)-5LE-3M.5WOSRE-35123?kFra?e2444：91kyt?m^re(HSbits),91byttscapizurwi(HiMrs)Etherrtfiizi,src:wrTfilHe.af：4a.:0b}|ch”w1scrani_4S：^:3d{fO：d￡!：fL!aB!iji]：]d)-IntsrrwtPracocal七官壬布。€,￡.-€：IB.?0(2Z3_lfifi.14.eO),Dst：2O2.11T-141_^(J04.)￡user-pracwoLsrcp(x*t-14網(wǎng)6(limj,recporci機(jī)eQDacaC49byras)

找到包含http格式的數(shù)據(jù)包，可用Filter進(jìn)行設(shè)置，點(diǎn)擊Filter:http,Expression...Clear中的下拉式按鈕，選擇http。Filter:httpH2?J.93?]1LDl.154.l-UtHT1P拋HTTP/L.O240OKH2?J.93?]1LDl.154.l-UtHT1P拋HTTP/L.O240OK(JPEGJF2F1險(xiǎn)整。U2!y.fljtnjM2.117.1*11.3&L21.14I-1.U4HTTP璀L17.lil.661HK0[UJ安眼IH.bHTTPtfTTP52jGFT/'as-/ilegw..1cnrifisrn_ste_qifHTTP-/].!HJ57?94和31121-19+,L1]2跳mw,網(wǎng)irn??65HWZL,1300OK(JPEGJFDFIlHflt}HUK9噂斕L21.1S*.1.L]2H2.H7_Ul.iaHTIP42LHTZP/l.I2U0OK(JPEGJFIFiraw：^用日7.咬"32JOJ.117-1+1.9BHTIPL2S4HTTP/L.l2MOK(jp￡CSFjf1mg?；>酒？J.9&173E.232.120.16L.702O2.ii7_ui.jaHT1F掰Hnp/L.03WUK{JPEGJF3J=3443r.35M3P2CZ.lZD.lfiL.Tl93HTIPLQZDHTTP/L.DMlOK(JPEG非非iruge)UM?.^W53awU7.iM.og121H11J2rmp4UGE-r/pic，c；,^.,2l'..1f^cPT4^1brf?15cTbk^&c2_MC?W.1XitrrTF/l.LU?1-.95￡?91121.1W.1.132HT1F11卯HTTP/L.lHIOK(1FEG3FIFiru^e)HT57,96LJ9&2fl2.120.lgl.7DM-1174+1,^HTIF?56ME/L,。200OK(jpegjfifInagej心4T.QfiJUt1^MJ.ttTJil.jiflHTTP1311WTwP-'i.rtMillflKElWr；1FTFinjirw^:Fr-irt3-129;5HLb^teianrirt砧bits],521byt曰I：41甜bitj!，Etbfl-rerIL5r<:WistrELiB:必3d(ft：[Je:fl：aS5dD53d],bsi:HTtelNurf:41:0bBlmiertieLptodm