辽宁工业大学创新实验（论文）题目计算机网络抓包实验分析电子与信息工程学院院（系）啊啊啊专业班学生姓名学号指导教师开题日期：2010年6月10日实验目的通过软件捕获网络流量，分析数据报结构，能够更加清楚地掌握网络分层的思想，从感性认识飞跃到理性认识。再通过捕获各个具体协议的通信数据包一步一步具体分析其实现步骤，更加具体地掌握协议的实现过程。实验内容本次实验包括五项实验内容。分别是捕获报文基本分析实验、捕获并分析地址识变协议(ARP)、捕获并分析因特网控制信息协议、捕获并分析传输控制协议、捕获并分析用户数据报协议。1.任意捕获一个数据包，分析其数据链路层格式、网络层格式和传输层格式，加深对计算机网络分层概念的理解。2.地址识变协议(ARP)是LAN环境中最重要的协议之一。ARP允许你的网络上使用的设备自动将物理(MAC)地址映射为IP地址，因此需要对ARP有很详细的了解，并清楚它是怎样工作的。3.传输控制协议(TCP)是因特网上最常用的第四层协议，TCP可以保证数据传输的可靠性。很多因特网服务，比如、FTP、SMTP和Telnet，都要依靠TCP来传输数据。另外，很多传统的LAN程序，比如文件传输和SQL也都要使用TCP/IP。4.用户数据报协议(UDP)是网络上另外一种很常用的第四层协议。UDP由很多上层协议使用－例如，SNMP、普通文件传输协议(TFTP)和DNS－当DNS请求需要解析时(DNS在进行区域传输时使用TCP)。所以，要很清楚的理解UDP的重要性。实验主要仪器设备和材料每人一台联网计算机、软件。实验方法、步骤及结构测试1启动软件启动桌面软件图标2捕获报文基本分析实验1.打开程序后，选择Capture(捕获)—Start(开始)，或者使用F10键，或者是工具栏上的开始箭头。2.一小段时间过后，再次进入Capture(捕获)菜单，然后选择Stop(停止)或者按下F10键，还可以使用工具栏。3.还可以按F9键来执行“停止并显示”的功能，或者可以进入Capture(捕获)菜单，选择“停止并显示”。4.停止捕获后，在对话框最下角增加了一组窗口卷标，包括高级、解码、矩阵、主机表单、协议分布和统计信息。5.选择解码卷标，可以看到缓冲器中的所有实际“数据”。分析该卷标结构及其内容。图1解码窗口从解码卷标上可以看出解码窗口分为三部分，最上面是捕获的报文，中间是报文的解码，最下面是报文的二进制码，即发送的最原始内容。我们可以看出捕获到的报文有DLC，IP，TCP，等协议，解码表对应每一个层次的协议进行解码分析。从以前的实验，我们已经得知链路层对应的是DLC协议，在DLC协议里面，长度为14字节，我们可以看到发送数据包的目标MAC地址（Destination）和发送数据包的源MAC地址(Source)，并且可以得知此数据包携带的协议类型为IP。打开IP的标签，可以看到有IP协议报头的详细解码，其中IP协议报头长度为20个字节。其中从上图得到的数据分析如下：第一行，Version＝4，表示IP协议的版本号为4，即IPV4,占4位，HeaderLength=20Bytes，表示IP包头的总长度为20个字节，该部分占4个位。所以第一行合起来就是一个字节。第二行，TypeofService=00，表示服务类型为0。用来描述数据报所要求的服务质量。接下来的六行,000前三位不用;0表示最小时延;0表示吞吐量;0表示可靠性;0表示最小代价;0不用。第二到第八行合占1字节。第九行，TotalLength=40Bytes,表示该IP包的总长度为40个字节。该部分占两字节。图2IP协议报头第十行，Identification=34833，表示IP包识别号为34833。该部分占两个字节。第十一行到十三行，Flags，表示片标志，占3个位。各位含义分别为：第一个“0”不用，第二位为不可分片位标志位，此处值为“1”表示该数据表禁制分片。第三位为是否最后一段标志位，此处“0”表示最后一段。第十四行，FragmentOffset＝0，表示片偏移为0个字节。该部分占13位。第十五行，TimetoLive=51Secongs/Hops，表示生存时间TTL值为51，占1字节。第十六行，Proctol＝6（TCP），表示协议类型为TCP，协议代码是6，占1字节。第十七行，HeaderChecksun=88AE(correct)，表示IP包头校验和为88AE，括号内的Correct表示此IP数据包是正确的，没有被非法修改过。该部分占两字节。第十八行，SourceAddress=[59.74.42.45]...