西安郵電學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用實(shí)驗(yàn)報(bào)告書系部名稱：管理工程學(xué)院學(xué)生姓名：***專業(yè)名稱：*********班級(jí)：****學(xué)號(hào)：********時(shí)間：2012年04月01日

實(shí)驗(yàn)題目Wireshark抓包分析實(shí)驗(yàn)實(shí)驗(yàn)?zāi)康牧私獠?huì)初步使用Wireshark，能在所用電腦上進(jìn)行抓包了解IP數(shù)據(jù)包格式，能應(yīng)用該軟件分析數(shù)據(jù)包格式查看一個(gè)抓到的包的內(nèi)容，并分析對(duì)應(yīng)的IP數(shù)據(jù)包格式實(shí)驗(yàn)內(nèi)容Wireshark是網(wǎng)絡(luò)包分析工具。網(wǎng)絡(luò)包分析工具的主要作用是嘗試捕獲網(wǎng)絡(luò)包，并嘗試顯示包的盡可能詳細(xì)的情況。你可以把網(wǎng)絡(luò)包分析工具當(dāng)成是一種用來(lái)測(cè)量有什么東西從網(wǎng)線上進(jìn)出的測(cè)量工具，就好像使電工用來(lái)測(cè)量進(jìn)入電信的電量的電度表一樣。（當(dāng)然比那個(gè)更高級(jí)）過去的此類工具要么是過于昂貴，要么是屬于某人私有，或者是二者兼顧。Wireshark出現(xiàn)以后，這種現(xiàn)狀得以改變。Wireshark可能算得上是今天能使用的最好的開元網(wǎng)絡(luò)分析軟件。安裝Wireshark，簡(jiǎn)單描述安裝步驟。點(diǎn)擊安裝圖標(biāo)并進(jìn)行如下步驟：打開wireshark，選擇接口選項(xiàng)列表。或單擊“Capture”，配置“option”選項(xiàng)。設(shè)置完成后，點(diǎn)擊“start”開始抓包：顯示結(jié)果：選擇某一行抓包結(jié)果，雙擊查看此數(shù)據(jù)包具體結(jié)構(gòu)。捕捉IP數(shù)據(jù)報(bào)。寫出IP數(shù)據(jù)報(bào)的格式。IP數(shù)據(jù)報(bào)首部的固定部分中的各字段含義如下：(1)版本占4位，指IP協(xié)議的版本。通信雙方使用的IP協(xié)議版本必須一致。目前廣泛使用的IP協(xié)議版本號(hào)為4（即IPv4）。(2)首部長(zhǎng)度占4位，可表示的最大十進(jìn)制數(shù)值是15。請(qǐng)注意，這個(gè)字段所表示數(shù)的單位是32位字長(zhǎng)（1個(gè)32位字長(zhǎng)是4字節(jié)），因此，當(dāng)IP的首部長(zhǎng)度為1111時(shí)（即十進(jìn)制的15），首部長(zhǎng)度就達(dá)到60字節(jié)。當(dāng)IP分組的首部長(zhǎng)度不是4字節(jié)的整數(shù)倍時(shí)，必須利用最后的填充字段加以填充。因此數(shù)據(jù)部分永遠(yuǎn)在4字節(jié)的整數(shù)倍開始，這樣在實(shí)現(xiàn)IP協(xié)議時(shí)較為方便。首部長(zhǎng)度限制為60字節(jié)的缺點(diǎn)是有時(shí)可能不夠用。但這樣做是希望用戶盡量減少開銷。最常用的首部3)區(qū)分服務(wù)占8位，用來(lái)獲得更好的服務(wù)。這個(gè)字段在舊標(biāo)準(zhǔn)中叫做服務(wù)類型，但實(shí)際上一直沒有被使用過。1998年IETF把這個(gè)字段改名為區(qū)分服務(wù)DS(DifferentiatedServices)。只有在使用區(qū)分服務(wù)時(shí)，這個(gè)字段才起作用。(4)總長(zhǎng)度總長(zhǎng)度指首部和數(shù)據(jù)之和的長(zhǎng)度，單位為字節(jié)。總長(zhǎng)度字段為16位，因此數(shù)據(jù)報(bào)的最大長(zhǎng)度為216-1=65535字節(jié)。長(zhǎng)度就是20字節(jié)（即首部長(zhǎng)度為0101），這時(shí)不使用任何選項(xiàng)。(5)標(biāo)識(shí)(identification)占16位。IP軟件在存儲(chǔ)器中維持一個(gè)計(jì)數(shù)器，每產(chǎn)生一個(gè)數(shù)據(jù)報(bào)，計(jì)數(shù)器就加1，并將此值賦給標(biāo)識(shí)字段。但這個(gè)“標(biāo)識(shí)”并不是序號(hào)，因?yàn)镮P是無(wú)連接服務(wù)，數(shù)據(jù)報(bào)不存在按序接收的問題。當(dāng)數(shù)據(jù)報(bào)由于長(zhǎng)度超過網(wǎng)絡(luò)的MTU而必須分片時(shí)，這個(gè)標(biāo)識(shí)字段的值就被復(fù)制到所有的數(shù)據(jù)報(bào)的標(biāo)識(shí)字段中。相同的標(biāo)識(shí)字段的值使分片后的各數(shù)據(jù)報(bào)片最后能正確地重裝成為原來(lái)的數(shù)據(jù)報(bào)。(6)標(biāo)志(flag)占3位，但目前只有2位有意義。標(biāo)志字段中的最低位記為MF(MoreFragment)。MF=1即表示后面“還有分片”的數(shù)據(jù)報(bào)。MF=0表示這已是若干數(shù)據(jù)報(bào)片中的最后一個(gè)。標(biāo)志字段中間的一位記為DF(Don’tFragment)，意思是“不能分片”。只有當(dāng)DF=0時(shí)才允許分片。7)片偏移占13位。片偏移指出：較長(zhǎng)的分組在分片后，某片在原分組中的相對(duì)位置。也就是說，相對(duì)用戶數(shù)據(jù)字段的起點(diǎn)，該片從何處開始。片偏移以8個(gè)字節(jié)為偏移單位。這就是說，每個(gè)分片的長(zhǎng)度一定是8字節(jié)（64位）的整數(shù)倍。(8)生存時(shí)間占8位，生存時(shí)間字段常用的的英文縮寫是TTL(TimeToLive)，表明是數(shù)據(jù)報(bào)在網(wǎng)絡(luò)中的壽命。由發(fā)出數(shù)據(jù)報(bào)的源點(diǎn)設(shè)置這個(gè)字段。其目的是防止無(wú)法交付的數(shù)據(jù)報(bào)無(wú)限制地在因特網(wǎng)中兜圈子，因而白白消耗網(wǎng)絡(luò)資源。最初的設(shè)計(jì)是以秒作為TTL的單位。每經(jīng)過一個(gè)路由器時(shí)，就把TTL減去數(shù)據(jù)報(bào)在路由器消耗掉的一段時(shí)間。若數(shù)據(jù)報(bào)在路由器消耗的時(shí)間小于1秒，就把TTL值減1。當(dāng)TTL值為0時(shí)，就丟棄這個(gè)數(shù)據(jù)報(bào)。＃TTL通常是32或者64，scapy中默認(rèn)是64(9)協(xié)議占8位，協(xié)議字段指出此數(shù)據(jù)報(bào)攜帶的數(shù)據(jù)是使用何種協(xié)議，以便使目的主機(jī)的IP層知道應(yīng)將數(shù)據(jù)部分上交給哪個(gè)處理過程。（在scapy中，下層的這個(gè)protocol一般可以從上曾繼承而來(lái)，自動(dòng)填充，我們一般可以省略不填此項(xiàng)）(10)首部檢驗(yàn)和占16位。這個(gè)字段只檢驗(yàn)數(shù)據(jù)報(bào)的首部，但不包括數(shù)據(jù)部分。這是因?yàn)閿?shù)據(jù)報(bào)每經(jīng)過一個(gè)路由器，路由器都要重新計(jì)算一下首部檢驗(yàn)和（一些字段，如生存時(shí)間、標(biāo)志、片偏移等都可能發(fā)生變化）。不檢驗(yàn)數(shù)據(jù)部分可減少計(jì)算的工作量。(11)源地址占32位。(12)目的地址占32位。IP數(shù)據(jù)報(bào)首部的可變部分IP首部的可變部分就是一個(gè)可選字段。選項(xiàng)字段用來(lái)支持排錯(cuò)、測(cè)量以及安全等措施，內(nèi)容很豐富。此字段的長(zhǎng)度可變，從1個(gè)字節(jié)到40個(gè)字節(jié)不等，取決于所選擇的項(xiàng)目。某些選項(xiàng)項(xiàng)目只需要1個(gè)字節(jié)，它只包括1個(gè)字節(jié)的選項(xiàng)代碼。但還有些選項(xiàng)需要多個(gè)字節(jié)，這些選項(xiàng)一個(gè)個(gè)拼接起來(lái)，中間不需要有分隔符，最后用全0的填充字段補(bǔ)齊成為4字節(jié)的整數(shù)倍。增加首部的可變部分是為了增加IP數(shù)據(jù)報(bào)的功能，但這同時(shí)也使得IP數(shù)據(jù)報(bào)的首部長(zhǎng)度成為可變的。這就增加了每一個(gè)路由器處理數(shù)據(jù)報(bào)的開銷。實(shí)際上這些選項(xiàng)很少被使用。新的IP版本IPv6就將IP數(shù)據(jù)報(bào)的首部長(zhǎng)度做成固定的。②捕捉IP數(shù)據(jù)報(bào)的格式圖例。③針對(duì)每一個(gè)域所代表的含義進(jìn)行解釋。版本首部長(zhǎng)度服務(wù)類型總長(zhǎng)度IPV420bytes0x0078bytes標(biāo)識(shí)標(biāo)志片偏移0xa890(43152)0x000生存時(shí)間協(xié)議首部檢驗(yàn)和64UDP(17)0x4bof[correct]源地址76目的地址55可選字段填充 數(shù)據(jù)部分實(shí)驗(yàn)內(nèi)容（續(xù)，可選）捕捉特定內(nèi)容捕捉內(nèi)容：http步驟：①在wireshark軟件上點(diǎn)開始捕捉。②上網(wǎng)瀏覽網(wǎng)頁(yè)。③找到包含http格式的數(shù)據(jù)包，可用Filter進(jìn)行設(shè)置，點(diǎn)擊中的下拉式按鈕，選擇http。④在該數(shù)據(jù)幀中找到Get的