實驗報告二課程計算機(jī)網(wǎng)絡(luò)開課實驗室日期２02３年4月學(xué)號實驗項目名稱運(yùn)用Wiｒeshaｒk進(jìn)行抓包分析學(xué)院經(jīng)濟(jì)管理學(xué)院指導(dǎo)教師王斌成績教師評語教師署名:年月日一：實驗?zāi)康倪\(yùn)用Wireshark進(jìn)行抓包分析,對以前學(xué)習(xí)過的內(nèi)容進(jìn)行進(jìn)一步的理解和掌握二:實驗內(nèi)容:安裝Ｗｉｒesｈarｋ,簡樸描述安裝環(huán)節(jié)。打開wiresｈａrk，選擇接口選項列表。或單擊“Ｃaptuｒe”,配置“optioｎ”選項。設(shè)立完畢后，點擊“starｔ”開始抓包，顯示結(jié)果。選擇某一行抓包結(jié)果,雙擊查看此數(shù)據(jù)包具體結(jié)構(gòu)，并對其進(jìn)行分析三．實驗環(huán)節(jié)上面的截圖是抓取到的包,下面分別針對其中的一個ＴＣP,ＵＤP和ＩCMＰ進(jìn)行分析ＴCPＴCP:Trａnsmｉsｓiｏn

Ｃｏntroｌ

Ｐroｔoｃol傳輸控制協(xié)議TCP是一種面向連接(連接導(dǎo)向)的、可靠的、基于字節(jié)流的HＹＰEＲLINK"ｈttp:／／baike.sosｏ.cｏｍ／v172３６.ｈtm?ｃh=cｈ.bk.inｎeｒｌｉnk"\t"＿blank＂運(yùn)送層（Tranｓpoｒtlａｙｅr）HYＰERLINK"hｔtp：／/bａｉke.soso.coｍ/ｖ24858０.htｍ?ｃｈ=ch.bk.innerlink"\ｔ"_blank"通信協(xié)議,由ＩETF的HYＰERLＩNＫ"hｔtｐ:／／bａike．soso.coｍ／ｖ２6０07．ｈtm？ｃh=cｈ.bk.ｉｎnerlinｋ"\t"_bｌａnk＂RFC

７9３說明（ｓｐecifieｄ)。在簡化的計算機(jī)網(wǎng)絡(luò)HYPERＬINK＂httｐ://baｉke．soso.ｃom／ｖ７13２２.hｔm?ch=ｃh.ｂk.ｉnneｒlｉnk＂＼t＂_ｂｌank"OSI模型中，它完畢第四層傳輸層所指定的功能。

在因特網(wǎng)協(xié)議族(Internetpｒｏｔocolsｕite）中，HYＰERLＩNK＂http://ｂaｉke.sｏso.coｍ/v76593２．htｍ?ch＝ch.bk.iｎnerliｎk＂\t"_ｂlaｎk"TＣP層是位于ＩP層之上，應(yīng)用層之下的HYPERＬIＮK"http：/／baiｋe.ｓosｏ.com/v340３85.hｔm?ch=cｈ.ｂk.innerｌｉnk"＼t＂＿blank＂中間層。不同主機(jī)的應(yīng)用層之間經(jīng)常需要可靠的、像管道同樣的連接，但是IP層不提供這樣的流機(jī)制，而是提供不可靠的包互換。應(yīng)用層向TCP層發(fā)送用于網(wǎng)間傳輸?shù)?、?位字節(jié)表達(dá)的數(shù)據(jù)流,然后TＣP把數(shù)據(jù)流分割成適當(dāng)長度的報文段（通常受該計算機(jī)連接的網(wǎng)絡(luò)的HYPEＲLINK"hｔtp://baike.soso.ｃoｍ/v16９7０.htｍ?ｃh=ch.bｋ．inｎerlink"＼ｔ"_blanｋ"數(shù)據(jù)鏈路層的最大傳送單元(HYPEＲＬＩNK"hｔtｐ:/／bａｉke.ｓｏso.coｍ/v582０88.htm？ch=ch.ｂk.ｉnnerliｎｋ"\ｔ"_blank"MＴＵ)的限制）。之后ＴCP把結(jié)果包傳給ＩP層,由它來通過網(wǎng)絡(luò)將包傳送給接受端實體的TＣP層。TCP為了保證不發(fā)生丟包，就給每個字節(jié)一個序號,同時序號也保證了傳送到接受端實體的包的按序接受。然后接受端實體對已成功收到的字節(jié)發(fā)回一個相應(yīng)的確認(rèn)(ACＫ）；假如發(fā)送端實體在合理的往返時延(HYＰERＬIＮK"ｈtｔｐ://ｂaike.ｓoｓo．cｏｍ/v6457９６9．ｈtm?ch＝ｃh.bk.iｎnｅrlinｋ"\ｔ"_blanｋ＂RTＴ)內(nèi)未收到確認(rèn),那么相應(yīng)的數(shù)據(jù)（假設(shè)丟失了)將會被重傳。TCP用一個校驗和函數(shù)來檢查數(shù)據(jù)是否有錯誤;在發(fā)送和接受時都要計算校驗和。一方面,TCP建立連接之后,通信雙方都同時可以進(jìn)行數(shù)據(jù)的傳輸，另一方面,他是全雙工的；在保證可靠性上,采用超時重傳和捎帶確認(rèn)機(jī)制。在流量控制上,采用滑動窗口協(xié)議,協(xié)議中規(guī)定,對于窗口內(nèi)未經(jīng)確認(rèn)的分組需要重傳。在擁塞控制上,采用慢啟動算法。對于上面的抓包,選取其中的一個TCP進(jìn)行分析Souｒce:１１9.1４7.91.1３1Destination:180.118.21５.1７５Ｌengｔｈ:56Info：http>５0００0１[FIN，ＡCK］Seq＝４1,Ack=28７7,wiｎ=665２8Len=01.1抓到的數(shù)據(jù)鏈路層中的幀Ｆrame２１1:5６ｂytes即所抓到的幀的序號為2１1，大小是５6字節(jié)1.2IP層中的IP數(shù)據(jù)報ＨeadeｒLenｇth:20bytes即首部長度為2０個字節(jié)；ＤiｆferｅnｔiatedServｉceｓＦield:０0x0即區(qū)分服務(wù)；Ｔotａｌlengｔh:４0指首部長度和數(shù)據(jù)之和的長度為40字節(jié);Ideｎtifｉcａt(yī)ｉon：０x８a6ｅ(３５４３8）標(biāo)記；Ｆlag:0x02標(biāo)記此處MＦ=０，DF=0;Fragmenｔoffset:0指片偏移為0;表達(dá)本片是原分組中的第一片。Timｅtｏｌive:５7說明這個數(shù)據(jù)報還可以在路由器之間轉(zhuǎn)發(fā)57次Protocal:TCP指協(xié)議類型為ＴCP;Ｓource:源地址:1１9.147.91．131Destinaｔiｏｎ：目的地址1８0．１18.215.175１．３運(yùn)送層中的TCＰＳoｕｒceport:hｔtp(8０)即源端標(biāo)語為８0Ｄｅstiｎationport:5０001（50０01)即目的端口為5０00１Seqｕenｃｅnumbｅr：4１１序號為411Ackｎowleｄｇentｎumｂeｒ:28７７確認(rèn)號為２８７７Hｅadeｒlｅｎgth:20bytes首部長度為20個字節(jié)Flaｇｓ：０ｘ011除了確認(rèn)ACK為１,別的都為0Ｗiｎdowsizevａlue:８316窗口值為8３１6Checkｓum:0x18ｃ５檢查和為0ｘ１８c52.UDPＵDP,是一種無連接的協(xié)議。在HYPERＬINＫ＂http:／／baike.ｂａidu.ｃom/vｉeｗ/1１3948．htm＂＼ｔ"_blanｋ"ＯSI模型中,在第四層——HＹPＥRLIＮK＂httｐ://ｂaｉ/view/23９６０5.hｔm"傳輸層，處在IＰ協(xié)議的上一層。UDP有不提供數(shù)據(jù)包分組、組裝和不能對數(shù)據(jù)包進(jìn)行排序的缺陷，也就是說,當(dāng)報文發(fā)送之后，是無法得知其是否安全完整到達(dá)的。ＵDP用來支持那些需要在HYPERＬINK"htｔp：//bａike.ｂaiｄ/vｉeｗ/3３１4．htm"\t＂_blank"計算機(jī)之間傳輸數(shù)據(jù)的網(wǎng)絡(luò)應(yīng)用。涉及ＨYPＥRLINK＂ｈttp:/／baｉｋe.baｉｄｕ.coｍ/view/235２783.htm＂\t"_ｂlaｎk"網(wǎng)絡(luò)視頻會議系統(tǒng)在內(nèi)的眾多的客戶/服務(wù)器模式的網(wǎng)絡(luò)應(yīng)用都需要使用UＤP協(xié)議。UDＰ協(xié)議從問世至今已經(jīng)被使用了很數(shù)年，雖然其最初的光彩已經(jīng)被一些類似協(xié)議所掩蓋，但是即使是在今天UＤP仍然不失為一項非常實用和可行的網(wǎng)絡(luò)傳輸層協(xié)議。與所熟知的ＴＣP(HYPERＬINK"http://ｂaｉke.ｂaidｕ．cｏｍ/view/544903.ｈtｍ"\t"_blank＂傳輸控制協(xié)議）協(xié)議同樣，UDP協(xié)議直接位于ＩＰ（網(wǎng)際協(xié)議）協(xié)議的頂層。根據(jù)OＳI（HYPERLＩNK"httｐ：//ｂaiｋe.bａｉdｕ.ｃoｍ/vｉew/１３76６９4.hｔm"開放系統(tǒng)互連）參考模型,ＵDP和TCP都屬于傳輸層協(xié)議。UＤP協(xié)議的重要作用是將HYPERＬINＫ"http：/／baiｋｅ.baiｄu.ｃom／viｅｗ/7２732１.htm＂＼t"_blａnk＂網(wǎng)絡(luò)數(shù)據(jù)流量壓縮成數(shù)據(jù)包的形式。一個典型的數(shù)據(jù)包就是一個二進(jìn)制數(shù)據(jù)的傳輸單位。每一個數(shù)據(jù)包的前８個字節(jié)用來包含報頭信息，剩余字節(jié)則用來包含具體的傳輸數(shù)據(jù)。對于上面的抓包，選取一個ＵＤP進(jìn)行分析Sourｃe:１21.23２.137.４3Ｄｅstinaｔion:25５.25５．２5５.255Protocal:UDPLength:3５4Info：Sourcepｏrｔ:eｇｓDestinatiｏnｐort:cｏrel－vncａｄmiｎ2.１對抓到的數(shù)據(jù)鏈路層中的幀進(jìn)行分析Fｒame２53：354bytes即所抓到的幀的序號為2５3,大小是３5４字節(jié)2.2對抓到的IP層中的IＰ數(shù)據(jù)報進(jìn)行分析Vｅｒsioｎ:4即版本號為４ＨeaｄｅrLenｇth:20ｂｙｔｅs即首部長度為２0個字節(jié);DiｆfｅrentiatedSｅrvｉcesFielｄ:00x0即區(qū)分服務(wù)；Totaｌlength:3４０指首部長度和數(shù)據(jù)之和的長度為34０字節(jié)；Iｄｅｎtificａt(yī)ｉｏｎ:0x６7b2(2654６)標(biāo)記；Flag:0x00標(biāo)記此處MＦ=0,DF=0；Fｒagmｅｎtoffsｅｔ：０指片偏移為0；Ｔimetｏｌive:64生存時間為６4;Prｏtｏcal:UＤP(１７）指協(xié)議類型為UDP;Ｈｅaｄerchecksum:0x5８aa頭部檢查和,此處檢核對的Ｓoｕrcｅ:源地址:１2１.232．１37．43Destinatｉon:目的地址２55.２５5.2５5.2552.3運(yùn)送層中的UDPSourcｅport：ｅgs(1926)；源端口為１926Ｄeｓｔinａｔiｏnport：corel－vnｃadmin(26５４）;目的端口26５4Ｌengｔh:３20；ＵＤP用戶數(shù)據(jù)報的長度為3２0Checksuｍ:０xa18ｆ檢查和（此處嚴(yán)禁檢測）３.IＣMPIＣMＰ協(xié)議是一種面向連接的協(xié)議，用于傳輸犯錯報告控制信息。它是一個非常重要的協(xié)議，它對于＼t"＿blanｋ"網(wǎng)絡(luò)安全具有極其重要的意義。[１]它是HYPＥRＬINK"ｈttp://baiｋe.ｂａiｄu.coｍ/ｖiew/７6４９.ｈtm"\t"＿blａnk＂ＴCＰ/IP協(xié)議族的一個子協(xié)議,屬于網(wǎng)絡(luò)層協(xié)議,重要用于在主機(jī)與路由器之間傳遞控制信息,涉及報告錯誤、互換受限控制和狀態(tài)信息等。當(dāng)碰到IP數(shù)據(jù)無法訪問目的、IPＨYPERＬINK"ｈttｐ:／/ｂａikｅ.baidu.ｃom/view/１360．hｔｍ＂＼t"＿blanｋ"路由器無法按當(dāng)前的傳輸速率轉(zhuǎn)發(fā)HＹPEＲLINK"http:/／bａｉｋｅ.baiｄｕ．ｃom/vieｗ/25880.htm＂＼t"＿bｌａｎk"數(shù)據(jù)包等情況時,會自動發(fā)送ICＭP消息。ICＭP提供一致易懂的犯錯報告信息。發(fā)送的犯錯HYＰＥRLINK"httｐ:/／baikｅ.／ｖiｅw/17５122.htｍ＂＼t"＿blaｎk"報文返回到發(fā)送原數(shù)據(jù)的設(shè)備,由于只有發(fā)送設(shè)備才是犯錯報文的邏輯接受者。發(fā)送設(shè)備隨后可根據(jù)ICＭP報文擬定發(fā)生錯誤的類型,并擬定如何才干更好地重發(fā)失敗的數(shù)據(jù)包。但是ＩCMP唯一的功能是報告問題而不是糾正錯誤,糾正錯誤的任務(wù)由發(fā)送方完畢。對于上面的抓包，選取一個ＩCMP進(jìn)行分析（此處需要注意的是假如要想抓到ICMP的包，必須用ｐｉng命令)下面我們選取一個抓到的ICMP進(jìn)行分析3．1對抓到的數(shù)據(jù)鏈路層中的幀進(jìn)行分析Fraｍe246:74byｔｅｓ即所抓到的幀的序號為246，大小是74字節(jié)３．2對抓到的IP層中的IP數(shù)據(jù)報進(jìn)行分析Version:4即版本號為４HｅａderLength:20ｂｙtｅs即首部長度為20個字節(jié)；ＤｉfferｅntｉatｅdSｅrｖｉceｓField:0０x０即區(qū)分服務(wù)；Totaｌlｅnｇtｈ:60指首部長度和數(shù)據(jù)之和的長度為60字節(jié);Idｅntificatｉon：０x19ｅ9(6633）標(biāo)記;Ｆlag:０x00標(biāo)記此處MF=０,DF=0；Ｆragmentoffｓｅｔ:０指片偏移為０；Timｅｔｏｌivｅ:64生存時間為６4；Protocal:ICMP(1)指協(xié)議類型為ICMP;Headｅrchｅcksuｍ:0ｘｂｅa２頭部檢查和,此處檢核對的Sｏurｃe：源地址：180.118.215.１75Ｄestination：目的地址２02.102.７5．1693．3網(wǎng)際層中的ICＭＰTyｐe：８