西安郵電學院計算機網絡技術及應用實驗報告書系部名稱：管理工程學院學生姓名：***專業名稱：*********班級：****學號：********時間：2012年04月01日

實驗題目Wireshark抓包分析實驗實驗目的了解并會初步使用Wireshark，能在所用電腦上進行抓包了解IP數據包格式，能應用該軟件分析數據包格式查看一個抓到的包的內容，并分析對應的IP數據包格式實驗內容Wireshark是網絡包分析工具。網絡包分析工具的主要作用是嘗試捕獲網絡包，并嘗試顯示包的盡可能詳細的情況。你可以把網絡包分析工具當成是一種用來測量有什么東西從網線上進出的測量工具，就好像使電工用來測量進入電信的電量的電度表一樣。（當然比那個更高級）過去的此類工具要么是過于昂貴，要么是屬于某人私有，或者是二者兼顧。Wireshark出現以后，這種現狀得以改變。Wireshark可能算得上是今天能使用的最好的開元網絡分析軟件。安裝Wireshark，簡單描述安裝步驟。點擊安裝圖標并進行如下步驟：打開wireshark，選擇接口選項列表。或單擊“Capture”，配置“option”選項。設置完成后，點擊“start”開始抓包：顯示結果：選擇某一行抓包結果，雙擊查看此數據包具體結構。捕捉IP數據報。寫出IP數據報的格式。IP數據報首部的固定部分中的各字段含義如下：(1)版本占4位，指IP協議的版本。通信雙方使用的IP協議版本必須一致。目前廣泛使用的IP協議版本號為4（即IPv4）。(2)首部長度占4位，可表示的最大十進制數值是15。請注意，這個字段所表示數的單位是32位字長（1個32位字長是4字節），因此，當IP的首部長度為1111時（即十進制的15），首部長度就達到60字節。當IP分組的首部長度不是4字節的整數倍時，必須利用最后的填充字段加以填充。因此數據部分永遠在4字節的整數倍開始，這樣在實現IP協議時較為方便。首部長度限制為60字節的缺點是有時可能不夠用。但這樣做是希望用戶盡量減少開銷。最常用的首部3)區分服務占8位，用來獲得更好的服務。這個字段在舊標準中叫做服務類型，但實際上一直沒有被使用過。1998年IETF把這個字段改名為區分服務DS(DifferentiatedServices)。只有在使用區分服務時，這個字段才起作用。(4)總長度總長度指首部和數據之和的長度，單位為字節。總長度字段為16位，因此數據報的最大長度為216-1=65535字節。長度就是20字節（即首部長度為0101），這時不使用任何選項。(5)標識(identification)占16位。IP軟件在存儲器中維持一個計數器，每產生一個數據報，計數器就加1，并將此值賦給標識字段。但這個“標識”并不是序號，因為IP是無連接服務，數據報不存在按序接收的問題。當數據報由于長度超過網絡的MTU而必須分片時，這個標識字段的值就被復制到所有的數據報的標識字段中。相同的標識字段的值使分片后的各數據報片最后能正確地重裝成為原來的數據報。(6)標志(flag)占3位，但目前只有2位有意義。標志字段中的最低位記為MF(MoreFragment)。MF=1即表示后面“還有分片”的數據報。MF=0表示這已是若干數據報片中的最后一個。標志字段中間的一位記為DF(Don’tFragment)，意思是“不能分片”。只有當DF=0時才允許分片。7)片偏移占13位。片偏移指出：較長的分組在分片后，某片在原分組中的相對位置。也就是說，相對用戶數據字段的起點，該片從何處開始。片偏移以8個字節為偏移單位。這就是說，每個分片的長度一定是8字節（64位）的整數倍。(8)生存時間占8位，生存時間字段常用的的英文縮寫是TTL(TimeToLive)，表明是數據報在網絡中的壽命。由發出數據報的源點設置這個字段。其目的是防止無法交付的數據報無限制地在因特網中兜圈子，因而白白消耗網絡資源。最初的設計是以秒作為TTL的單位。每經過一個路由器時，就把TTL減去數據報在路由器消耗掉的一段時間。若數據報在路由器消耗的時間小于1秒，就把TTL值減1。當TTL值為0時，就丟棄這個數據報。＃TTL通常是32或者64，scapy中默認是64(9)協議占8位，協議字段指出此數據報攜帶的數據是使用何種協議，以便使目的主機的IP層知道應將數據部分上交給哪個處理過程。（在scapy中，下層的這個protocol一般可以從上曾繼承而來，自動填充，我們一般可以省略不填此項）(10)首部檢驗和占16位。這個字段只檢驗數據報的首部，但不包括數據部分。這是因為數據報每經過一個路由器，路由器都要重新計算一下首部檢驗和（一些字段，如生存時間、標志、片偏移等都可能發生變化）。不檢驗數據部分可減少計算的工作量。(11)源地址占32位。(12)目的地址占32位。IP數據報首部的可變部分IP首部的可變部分就是一個可選字段。選項字段用來支持排錯、測量以及安全等措施，內容很豐富。此字段的長度可變，從1個字節到40個字節不等，取決于所選擇的項目。某些選項項目只需要1個字節，它只包括1個字節的選項代碼。但還有些選項需要多個字節，這些選項一個個拼接起來，中間不需要有分隔符，最后用全0的填充字段補齊成為4字節的整數倍。增加首部的可變部分是為了增加IP數據報的功能，但這同時也使得IP數據報的首部長度成為可變的。這就增加了每一個路由器處理數據報的開銷。實際上這些選項很少被使用。新的IP版本IPv6就將IP數據報的首部長度做成固定的。②捕捉IP數據報的格式圖例。③針對每一個域所代表的含義進行解釋。版本首部長度服務類型總長度IPV420bytes0x0078bytes標識標志片偏移0xa890(43152)0x000生存時間協議首部檢驗和64UDP(17)0x4bof[correct]源地址76目的地址55可選字段填充 數據部分實驗內容（續，可選）捕捉特定內容捕捉內容：http步驟：①在wireshark軟件上點開始捕捉。②上網瀏覽網頁。③找到包含http格式的數據包，可用Filter進行設置，點擊中的下拉式按鈕，選擇http。④在該數據幀中找到Get的