西安郵電學院计算机网络技术及应用试验报告书系部名称:管理工程学院学生姓名:***专业名称:*****班级:****学号:********时间:04月01日试验题目Wireshark抓包分析试验一.试验目的1.理解并会初步使用Wireshark,能在所用电脑上进行抓包2.理解IP数据包格式,能应用该软件分析数据包格式3.查看一种抓到的包的内容,并分析对应的IP数据包格式二.试验内容1.安装Wireshark,简朴描述安装环节。安装过程:点击安装图标接着出现如图所示:点击next后按如下环节:在“LicenseAgreement”窗口下点击‘IAgree’,弹出“ChooseComponents”窗口,点‘next’弹出“ChooseInstallLocation”窗口后再点‘next’,弹出“InstallWinpcap”窗口,点击‘Install’在弹出的窗口中点击‘Finsh’并选择‘RunWireshork1.6.3(32bit)’。2.打开wireshark,选择接口选项列表。或单击“Capture”,配置“option”选项。3.设置完毕后,点击“start”开始抓包.显示成果:4.选择某一行抓包成果,双击查看此数据包详细构造如下:三.捕捉IP数据包。数据包信息:1、写出IP数据包的格式。2、捕捉IP数据包的格式图例。3、针对每一种域所代表的含义进行解释。IP数据报首部的固定部分中的各字段含义如下:(1)版本占4位,指IP协议的版本。通信双方使用的IP协议版本必须一致。目前广泛使用的IP协议版本号为4(即IPv4)。(2)首部长度占4位,可表达的最大十进制数值是15。请注意,这个字段所示数的单位是32位字长(1个32位字长是4字节),因此,当IP的首部长度为1111时(即十进制的15),首部长度就到达60字节。当IP分组的首部长度不是4字节的整数倍时,必须运用最终的填充字段加以填充。因此数据部分永远在4字节的整数倍开始,这样在实现IP协议时较为以便。首部长度限制为60字节的缺陷是有时也许不够用。但这样做是但愿顾客尽量减少开销。最常用的首部3)辨别服务占8位,用来获得更好的服务。这个字段在旧原则中叫做服务类型,但实际上一直没有被使用过。1998年IETF把这个字段更名为辨别服务DS(DifferentiatedServices)。只有在使用辨别服务时,这个字段才起作用。(4)总长度总长度指首部和数据之和的长度,单位为字节。总长度字段为16位,因此数据报的最大长度为216-1=65535字节。长度就是20字节(即首部长度为0101),这时不使用任何选项。(5)标识(identification)占16位。IP软件在存储器中维持一种计数器,每产生一种数据报,计数器就加1,并将此值赋给标识字段。但这个“标识”并不是序号,由于IP是无连接服务,数据报不存在按序接受的问题。当数据报由于长度超过网络的MTU而必须分片时,这个标识字段的值就被复制到所有的数据报的标识字段中。相似的标识字段的值使分片后的各数据报片最终能对的地重装成为本来的数据报。(6)标志(flag)占3位,但目前只有2位故意义。标志字段中的最低位记为MF(MoreFragment)。MF=1即表达背面“尚有分片”的数据报。MF=0表达这已是若干数据报片中的最终一种。标志字段中间的一位记为DF(Don’tFragment),意思是“不能分片”。只有当DF=0时才容许分片。7)片偏移占13位。片偏移指出:较长的分组在分片后,某片在原分组中的相对位置。也就是说,相对顾客数据字段的起点,该片从何处开始。片偏移以8个字节为偏移单位。这就是说,每个分片的长度一定是8字节(64位)的整数倍。(8)生存时间占8位,生存时间字段常用的的英文缩写是TTL(TimeToLive),表明是数据报在网络中的寿命。由发出数据报的源点设置这个字段。其目的是防止无法交付的数据报无限制地在因特网中兜圈子,因而白白消耗网络资源。最初的设计是以秒作为TTL的单位。每通过一种路由器时,就把TTL减去数据报在路由器消耗掉的一段时间。若数据报在路由器消耗的时间不不小于1秒,就把TTL值减1。当TTL值为0时,就丢弃这个数据报。#TTL一般是32或者64,scapy中默认是64(9)协议占8位,协议字段指出此数据报携带的数据是使用何种协议,以便使目的主机的IP层懂得应将数据部分上交给哪个处理过程。(在scapy中,下层的这个protocol一般可以从上曾继承而来,自动填充,我们一般可以省略不填此项)(10)首部检查和占16位。这个字段只检查数据...
