2024年wireshark数据包分析实验报告.docVIP

西安郵電學院

计算机网络技术及应用试验

报告書

系部名称

：

管理工程學院

學生姓名

：

***

专业名称

：

*****

班级

：

****

學号

：

********

時间

：

04月01曰

试验題目Wireshark抓包分析试验

试验目的

1.理解并會初步使用Wireshark，能在所用電脑上進行抓包

2.理解IP数据包格式，能应用该软件分析数据包格式

3.查看壹种抓到的包的内容，并分析對应的IP数据包格式

二．试验内容

1.安装Wireshark，简朴描述安装环节。

安装過程：點击安装图標

接著出現如图所示：

點击next後按如下环节：

在“LicenseAgreement”窗口下點击‘IAgree’，弹出“ChooseComponents”窗口，點‘next’

弹出“ChooseInstallLocation”窗口後再點‘next’，弹出“InstallWinpcap”窗口，點击‘Install’

在弹出的窗口中點击‘Finsh’并选择‘RunWireshork1.6.3(32bit)’。

2.打開wireshark，选择接口选项列表。或單击“Capture”，配置“option”选项。

3.设置完毕後，點击“start”開始抓包.

显示成果：

4.选择某壹行抓包成果，双击查看此数据包详细构造如下：

三．捕捉IP数据包。

数据包信息：

写出IP数据包的格式。

捕捉IP数据包的格式图例。

针對每壹种域所代表的含义進行解释。

IP数据报首部的固定部分中的各字段含义如下：

(1)版本占4位，指IP协议的版本。通信双方使用的IP协议版本必须壹致。目前广泛使用的IP协议版本号為4（即IPv4）。

(2)首部長度占4位，可表达的最大拾進制数值是15。請注意，這個字段所示数的單位是32位字長（1個32位字長是4字节），因此，當IP的首部長度為1111時（即拾進制的15），首部長度就到达60字节。當IP分组的首部長度不是4字节的整数倍時，必须运用最终的填充字段加以填充。因此数据部分永遠在4字节的整数倍開始，這样在实現IP协议時较為以便。首部長度限制為60字节的缺陷是有時也許不够用。但這样做是但愿顾客尽量減少開销。最常用的首部

3)辨别服务占8位，用来获得更好的服务。這個字段在旧原则中叫做服务类型，但实际上壹直没有被使用過。1998年IETF把這個字段更名為辨别服务DS(DifferentiatedServices)。只有在使用辨别服务時，這個字段才起作用。

(4)總長度總長度指首部和数据之和的長度，單位為字节。總長度字段為16位，因此数据报的最大長度為216-1=65535字节。長度就是20字节（即首部長度為0101），這時不使用任何选项。

(5)標识(identification)占16位。IP软件在存储器中维持壹种计数器，每产生壹种数据报，计数器就加1，并将此值赋給標识字段。但這個“標识”并不是序号，由于IP是無连接服务，数据报不存在按序接受的問題。當数据报由于長度超過网络的MTU而必须分片時，這個標识字段的值就被复制到所有的数据报的標识字段中。相似的標识字段的值使分片後的各数据报片最终能對的地重装成為本来的数据报。

(6)標志(flag)占3位，但目前只有2位故意义。

標志字段中的最低位记為MF(MoreFragment)。MF=1即表达背面“尚有分片”的数据报。MF=0表达這已是若干数据报片中的最终壹种。

標志字段中间的壹位记為DF(Don’tFragment)，意思是“不能分片”。只有當DF=0時才容許分片。

7)片偏移占13位。片偏移指出：较長的分组在分片後，某片在原分组中的相對位置。也就是說，相對顾客数据字段的起點，该片從何处開始。片偏移以8個字节為偏移單位。這就是說，每個分片的長度壹定是8字节（64位）的整数倍。

(8)生存時间占8位，生存時间字段常用的的英文缩写是TTL(TimeToLive)，表明是数据报在网络中的寿命。由发出数据报的源點设置這個字段。其目的是防止無法交付的数据报無限制地在因特网中兜圈子，因而白白消耗网络资源。最初的设计是以秒作為TTL的單位。每通過壹种路由器時，就把TTL減去数据报在路由器消耗掉的壹段時间。若数据报在路由器消耗的時间不不小于1秒，就把TTL值減1。當TTL值為0時，就丢弃這個数据报。

＃TTL壹般是32或者64，scapy中默认是64

(9)协议占8位，协议字段指出此数据报携带的数据是使用何种协议，以便使目的主机的IP层懂得应将数据部分上交給哪個处理過程。（在scapy中，下层的這個protocol壹般可以從上曾继承而来，自動填充，我們壹般可以省略不填此项）

(1