資源描述:
《抓包分析報(bào)告.doc》由會(huì)員上傳分享��,免費(fèi)在線(xiàn)閱讀��,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)�。
1、計(jì)算機(jī)通信與網(wǎng)絡(luò)實(shí)驗(yàn)報(bào)告實(shí)驗(yàn)題目:抓包并進(jìn)行分析班級(jí):..姓名:..學(xué)號(hào):..9Wireshark抓包分析Wireshark是世界上最流行的網(wǎng)絡(luò)分析工具���。這個(gè)強(qiáng)大的工具可以捕捉網(wǎng)絡(luò)中的數(shù)據(jù)����,并為用戶(hù)提供關(guān)于網(wǎng)絡(luò)和上層協(xié)議的各種信息���,與很多其他網(wǎng)絡(luò)工具一樣�����,Wireshark也使用pcapnetworklibrary來(lái)進(jìn)行封包捕捉�����。??一�、安裝軟件并抓包?1:安裝并運(yùn)行wireshark并打開(kāi)捕獲界面���。2��、捕獲選項(xiàng)圖1捕獲選項(xiàng)的設(shè)置3�����、開(kāi)始抓包點(diǎn)擊上圖中的“Start”開(kāi)始抓包幾分鐘后就捕獲到許多的
2���、數(shù)據(jù)包了���,主界面如圖所示:9圖2主界面顯示如上圖所示,可看到很多捕獲的數(shù)據(jù)����。第一列是捕獲數(shù)據(jù)的編號(hào);第二列是捕獲數(shù)據(jù)的相對(duì)時(shí)間���,從開(kāi)始捕獲算為0.000秒�����;第三列是源地址��,第四列是目的地址����;第五列是數(shù)據(jù)包的信息�����。選中第8個(gè)數(shù)據(jù)幀�,然后從整體上看看Wireshark的窗口,主要被分成三部分�。上面部分是所有數(shù)據(jù)幀的列表;中間部分是數(shù)據(jù)幀的描述信息��;下面部分是幀里面的數(shù)據(jù)�����。9二���、分析UDP���、TCP、ICMP協(xié)議1�����、UDP協(xié)議UDP是UserDatagramProtocol的簡(jiǎn)稱(chēng)����,中文名是用戶(hù)數(shù)據(jù)包協(xié)議��,
3��、是OSI參考模型中一種無(wú)連接的傳輸層協(xié)議����,提供面向事務(wù)的簡(jiǎn)單不可靠信息傳送服務(wù)��。它是IETFRFC768是UDP的正式規(guī)范��。(1)UDP是一個(gè)無(wú)連接協(xié)議�,傳輸數(shù)據(jù)之前源端和終端不建立連接,當(dāng)它想傳送時(shí)就簡(jiǎn)單地去抓取來(lái)自應(yīng)用程序的數(shù)據(jù)�,并盡可能快地把它扔到網(wǎng)絡(luò)上。在發(fā)送端�����,UDP傳送數(shù)據(jù)的速度僅僅是受應(yīng)用程序生成數(shù)據(jù)的速度�、計(jì)算機(jī)的能力和傳輸帶寬的限制;在接收端��,UDP把每個(gè)消息段放在隊(duì)列中����,應(yīng)用程序每次從隊(duì)列中讀一個(gè)消息段�?���! 。?)由于傳輸數(shù)據(jù)不建立連接�,因此也就不需要維護(hù)連接狀態(tài)�����,包括收發(fā)狀態(tài)
4�、等,因此一臺(tái)服務(wù)機(jī)可同時(shí)向多個(gè)客戶(hù)機(jī)傳輸相同的消息���?! ���。?)UDP信息包的標(biāo)題很短����,只有8個(gè)字節(jié)�����,相對(duì)于TCP的20個(gè)字節(jié)信息包的額外開(kāi)銷(xiāo)很小?����! ���。?)吞吐量不受擁擠控制算法的調(diào)節(jié)�,只受應(yīng)用軟件生成數(shù)據(jù)的速率���、傳輸帶寬�����、源端和終端主機(jī)性能的限制�?��! ���。?)UDP使用盡最大努力交付,即不保證可靠交付��,因此主機(jī)不需要維持復(fù)雜的鏈接狀態(tài)表(這里面有許多參數(shù))。(6)UDP是面向報(bào)文的���。發(fā)送方的UDP對(duì)應(yīng)用程序交下來(lái)的報(bào)文�����,在添加首部后就向下交付給IP層�����。既不拆分�,也不合并����,而是保留這些報(bào)文的邊界����,因
5、此����,應(yīng)用程序需要選擇合適的報(bào)文大小。原始框顯示了分組中包含的數(shù)據(jù)的每個(gè)字節(jié).從中可以觀察最原始的傳輸數(shù)據(jù).方框左邊是十六進(jìn)制的數(shù)據(jù),右邊是ASCII碼�����。報(bào)文的二進(jìn)制碼,即發(fā)送的最原始內(nèi)容?���,F(xiàn)在選擇其中第8個(gè)包進(jìn)行分析。9圖3第8個(gè)Frame第1行�����,現(xiàn)在此貞基本信息���。名稱(chēng)�����,354字節(jié)�。第2行�,顯示到達(dá)時(shí)間2012.06.06。第4-6行����,幀距離前一個(gè)幀的捕獲時(shí)間差:0.131275000,幀距離第一個(gè)幀的捕獲時(shí)間差:0.201217000第8��、9行,現(xiàn)在貞長(zhǎng)度和捕獲長(zhǎng)度�,分別為354字節(jié)和60字節(jié)。
6���、第12���、13、14行�����,現(xiàn)在此貞類(lèi)型�����,為UDP類(lèi)型��。圖4以太網(wǎng)圖5顯示了此貞的源地址為(70:5a:b6:64:ab:bb).目的地址(ff:ff:ff:ff:ff:ff)圖5Internet協(xié)議第1行�����,給出了源地址和目的地址�����,分別為10.5.67.152��;255.255.255.255���。第2行���,Version=4,表示IP協(xié)議的版本號(hào)為4����,即IPV4,占4位,HeaderLength=20Bytes�����,表示IP包頭的總長(zhǎng)度為20個(gè)字節(jié)��,該部分占4個(gè)位���。所以第一行合起來(lái)就是一個(gè)字節(jié)�����。第3行�����,給出頭長(zhǎng)度
7�����、���,20字節(jié)�����。第6行�����,Identification=4732����,表示IP包識(shí)別號(hào)為4732����。該部分占兩個(gè)字節(jié)��。第7行,F(xiàn)lags����,表示片標(biāo)志,占3個(gè)位���。各位含義分別為:第一個(gè)“0”不用���,第二位為不可分片位標(biāo)志位,此處值為“1”表示該數(shù)據(jù)表禁制分片��。第三位為是否最后一段標(biāo)志位����,此處“0”表示最后一段。第10行�,給出貞類(lèi)型,為UDP����。第11行,HeaderChecksun=0x1981(correct)�����,表示IP包頭校驗(yàn)和為0x19819,括號(hào)內(nèi)的Correct表示此IP數(shù)據(jù)包是正確的��,沒(méi)有被非法修改過(guò)��。
8���、該部分占兩字節(jié)�����。圖6用戶(hù)數(shù)據(jù)報(bào)協(xié)議第2行����,源端口:1538����。2字節(jié),源端口號(hào)�����,即發(fā)送這個(gè)TCP包的計(jì)算機(jī)所使用的端口號(hào)���。第3行��,目的端口:2654�。2字節(jié)��,目標(biāo)端口號(hào)�����,即接受這個(gè)TCP包計(jì)算機(jī)所使用的端口號(hào)�。第4行,長(zhǎng)度320字節(jié)���。第5行�,Checksum-檢驗(yàn)和��,校驗(yàn)和�。在數(shù)據(jù)處理和數(shù)據(jù)通信領(lǐng)域中,用于校驗(yàn)?zāi)康牡囊唤M數(shù)據(jù)項(xiàng)的和�。這些數(shù)據(jù)項(xiàng)可以是數(shù)字或在計(jì)算檢驗(yàn)和過(guò)程中看作數(shù)字的其它字符串。2�、TCP協(xié)議在因特網(wǎng)協(xié)議族(Internetprotocolsuite)中,TCP層是位于
