網(wǎng)絡(luò)數(shù)據(jù)包分析實(shí)驗(yàn)

1、實(shí)驗(yàn)一：網(wǎng)絡(luò)數(shù)據(jù)包分析實(shí)驗(yàn)班級(jí)：班學(xué)號(hào)：姓名:一、實(shí)驗(yàn)?zāi)康耐ㄟ^對(duì)實(shí)際的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行捕捉，分析數(shù)據(jù)包的結(jié)構(gòu)，加深對(duì)網(wǎng)絡(luò)協(xié) 議分層概念的理解，并實(shí)際的了解數(shù)據(jù)鏈路層，網(wǎng)絡(luò)層，傳輸層以及應(yīng)用層 的相關(guān)協(xié)議和服務(wù)。、實(shí)驗(yàn)內(nèi)容1. IGMP包解析1.3 IGMP協(xié)議層1.1數(shù)據(jù)鏈路層El代XEL洱??；亡日：亡5 MB)osr: ip- 4m<asz_<iJ;QJl15 (21 -E-D.5eJO.E-d>4 t-is ： hi-At I _n * tPf Ld LiJ 1 Sei 00:00:1saur-ctt El1imro_&ai«SiUType； ip CgM

2、Osw)源數(shù)據(jù)：數(shù)據(jù)鏈路層頭部：01 00 5e 00 00 16 00 21 97 0a e5 16 08 00 數(shù)據(jù)鏈路層尾部：00 00 00 00 00 00分析如下：數(shù)據(jù)頭部的前6個(gè)字節(jié)是接收者的mac地址：01 00 5e 00 00 16 數(shù)據(jù)頭部的中間6個(gè)字節(jié)是發(fā)送者的mac地址：00 21 97 0a e5 16 數(shù)據(jù)頭部的最后2個(gè)字節(jié)代表網(wǎng)絡(luò)協(xié)議，即：08 00協(xié)議類型。1.2網(wǎng)絡(luò)層rrrtbnct 葉 mzxc/l, src: 172.16.163. 20二".二克.丄閃 ”7心，D?t: 2：. D.O.2? 0 汀.0.0.22)var s1 on: 4He

3、ader* 1 cngth: 24 byresnaxed services "乜Id： 0x00 (.dscp 0x00: D&fau11: 0x003Tqtil rength:斗DTdsrrtificar I cn： QklclJ 也 7460)h Flmqs： Q>00FraTienr offset;： QTime vq live; 1Fr DTCCDl : IGMP go?)¥ HPAder fhecksijn： CxJ85c correct5durum; 172,10.103.?0 <L72<10.1632O)Castinariant 22

4、4.0.0.22 (224.3.0.22±j opt 1 oris: (4 Lyn源數(shù)據(jù)：46 00 00 28 1d 38 00 00 01 02 d8 5c ac 10 a3 14 e0 00 00 16 94 04 00 00數(shù)據(jù)分析：第一個(gè)字節(jié)（46）的前4位表示的是IP協(xié)議的版本，即IPv4;它的后4位 表示首部長度為6,最大十進(jìn)制數(shù)值時(shí)為15第二個(gè)字節(jié)（00）是區(qū)分服務(wù)，一直缺省，所以為 0第三、四字節(jié)（00 28）是指首部和數(shù)據(jù)之和的長度 40個(gè)字節(jié)第五、六字節(jié)（1d 38）是一個(gè)數(shù)據(jù)報(bào)被分片后的標(biāo)識(shí)，便于正確地重裝原 來的數(shù)據(jù)報(bào)第七、八字節(jié)（00 00）分前3位為標(biāo)志

5、位和后13位為片偏移，其中標(biāo)識(shí)位 只有兩位有意義，表明這已經(jīng)是若干用戶數(shù)據(jù)報(bào)片最后一個(gè) （MF=0，并且DF=0） 不需要再分片了。偏移為0第九個(gè)字節(jié)（01）表示的是數(shù)據(jù)報(bào)在網(wǎng)絡(luò)中的壽命為128第十個(gè)字節(jié)（02）指出這個(gè)數(shù)據(jù)報(bào)攜帶的數(shù)據(jù)時(shí)使用的IGMP協(xié)議第一、十二字節(jié)（d8 5c）表示首部檢驗(yàn)和，大小為 55388字節(jié)，對(duì)數(shù)據(jù) 報(bào)的保留與丟棄進(jìn)行判別第十三個(gè)字節(jié)加上后面的 3個(gè)字節(jié)（ac 10 a3 14）是發(fā)送者的IP源地址（172.16.163.20）第十七個(gè)字節(jié)及后面的三個(gè)字節(jié)（e0 00 00 16）是接收者的IP地址（224.00.00.22最后四個(gè)字節(jié)（94 04 00 00是任

6、意的-interred Group flanagement Pratocalver s1on: 3Type: Nan tiers hip Report （0x22）Haicer checksumi Oxf2Sd correctNun Group Racards:丄-Group Record : 224-2. 7.141 change To EkcIuds ModeRecord rype： change ro txcluda i*ode 4ald£ Dart a Lent 0ijuri src; 0Mulficast AdrirESS： 224,.7.141 （224.3.7,1411

7、源數(shù)據(jù)：22 00 f2 6d 00 00 00 01 04 00 00 00 e0 03 07 8d數(shù)據(jù)分析：第一個(gè)字節(jié)（22）代表的這個(gè)為多播地址路由器第三、四個(gè)字節(jié)（f2 6d）是一個(gè)檢驗(yàn)和第七、八個(gè)字節(jié)（00 01）是組播的第一個(gè)分組第九個(gè)字節(jié)（04）是記錄類型最后4個(gè)字節(jié)（e0 03 07 8d是個(gè)組播地址2. ICMP包解析J+4k. JMdH 齊兒 1 血/巧-44 im 14. I«3.rr m Ediv ill Ml -屮il斗J ； f 尸*;1n F -S»- 1 M yEwh u Al h.W|CijKufWlQ11丄LB,11 1 rr<:

8、c>3irnilE_4i.：<1 H fJEi. $1 !>"附:5-±.-6>. 1>5TL Cl ：.£| .f ：V . X !>*1 !* JI Jj工阿啊 fT?«KpTr M書：和HlUVP1E IT? IfrJO 17 （1科乳豹乳2門 TFbLt :EtTJl *T?Siqe *rrr KiJ）1Ir*«An* ILhliratkb Ib 0 Mm fl 綁訓(xùn)耳 |T $ fl JH AE 總 auii rilx*匕勺耆 r 二In , »+ «2. 1數(shù)據(jù)鏈路層日 Exh

9、arnAc ii, src± 匚sd:csx det: cU<a_ed：4C：aB <aD±oc：86：adMO：C0）-npr-inTicr ： Ci?rn_*rt'4O:OQ （00:0c: Fift'flri：da：Ofi）Address: cisco sd：4:c? £qq；qv;&p：亡理；斗。；。日1.+ 一 .*o 一.* + 一 一 * = it faR： mdljlcftjil adcfres弓 tun1ca5t> _ -0- -_. = LC bit: u 1 ch 1 ly u fi1 que adc

10、k'es s factory1 deault-SQiirce： cem|Mnn_tiL：yd:cy（.苗：曲：庶：龜：二乩汕）AddJ t-iS : uumudllr_61:3d: .3 （70:1j.:b6： tl: Sd :c_3"心-tg hdr: Tndldual iddrMi （unlc&st）.*, 八 *.-* - LG bit: Glcbilly unique address Cractoy default）Type: ip （oxoaia）源始數(shù)據(jù)：00 0c 86 ed 40 09 70 5a b6 61 8d c8 08 00數(shù)據(jù)分析：前6個(gè)字節(jié)

11、（00 0c 86 ed 40 09表示的是接收者 MAC地址接下來的6個(gè)字節(jié)（70 5a b6 61 8d c8表示是發(fā)送者的 MAC地址最后連個(gè)字節(jié)（08 00）是類型字段，0x0800表示上一層使用的是IP數(shù)據(jù)包2. 2網(wǎng)絡(luò)層3 rmnPiiet 刊 I ociil, , : 177.16.?lr.1 U (177.10.21巧 I :16?.27)vprslan: 4Hfiiddr Iftngch: 20 bytfia-dffarantlii：a arvl:-1 sU: qkcq (oscp q>qo： Default; ten： Qxc口)9000 00-Differ: nt1

12、 at Ed scrvi ces cadcpo1 nt: ocfaulx cdxdo.0. - GCW-C-i;able Traricport CCT): D 0 - E6VE： aFertal LEHt: <0Idenfification; 0«d欽3 154979'E Flags: 0x000. . = Res er vied bit: Not 5et.fl .= Dji i ' I frj ijnen l : tv 口匸 Set.O = Mr e fr agttb&niE； noe strFr agirienc _f f s er : 01ri c

13、o 11ve：丄ZEprotocol ： ICMP CUKULS)-He Ad er checks jti:t 亡r rcctGood: TrueLead : -alseSource; 172.1G. ZL5.L54 (172*LG< 215,154 jDestination: 17?.L6£172.16163.27)源始數(shù)據(jù)：45 00 00 3c d6 c3 00 00 80 01 91 26 ac 10 d7 9a ac 10 a3 1b數(shù)據(jù)分析：第一個(gè)字節(jié)（45）的前4位表示的是IP協(xié)議的版本，即IPv4;它的后4位 表示首部長度為5,最大十進(jìn)制數(shù)值時(shí)15第二個(gè)字節(jié)（0

14、0）是區(qū)分服務(wù)，一直缺省，所以為 0第三、四字節(jié)（00 3c）是指首部和數(shù)據(jù)之和的長度 60個(gè)字節(jié)第五、六字節(jié)（d6 c3）是一個(gè)數(shù)據(jù)報(bào)被分片后的標(biāo)識(shí)，便于正確地重裝原 來的數(shù)據(jù)報(bào)第七、八字節(jié)（00 00）分前3位為標(biāo)志位和后13位為片偏移，其中標(biāo)識(shí)位 只有兩位有意義，表明這已經(jīng)是若干用戶數(shù)據(jù)報(bào)片最后一個(gè) （MF=0，并且DF=0） 不需要再分片了。偏移為0第九個(gè)字節(jié)（80）表示的是數(shù)據(jù)報(bào)在網(wǎng)絡(luò)中的壽命為128第十個(gè)字節(jié)（01）指出這個(gè)數(shù)據(jù)報(bào)攜帶的數(shù)據(jù)時(shí)使用的ICMP協(xié)議第一、十二字節(jié)（91 26）表示首部檢驗(yàn)和，大小為401字節(jié)，對(duì)數(shù)據(jù)報(bào) 的保留與丟棄進(jìn)行判別第十二個(gè)字節(jié)后的四位（ac 10

15、 d7 9a表示源地址（172.16.215.154） 最后四個(gè)字節(jié)（ac 10 a3 1b表示目的地址（172.16.163.27）曰 mtenet control Message ProtocolType; 3 fEcho Cping) request)匚ode: 0 ()checksum: 0xd85b carredrdentifi er: 0x02 00Sequence number : 294-40 (g丁200J-Data (32 bytes)Daxa： &162&364 6566&76869&A6B6C6D&£5F70717277

16、475767751.Length: S2源始數(shù)據(jù)：08 00 d8 5b 02 00 73 00 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 7273 74 75 76 77 61 62 63 64 65 66 67 68 69數(shù)據(jù)分析：第一個(gè)字節(jié)（08）是說明ICMP報(bào)文為詢問報(bào)文，送回（Echo）請(qǐng)求或回答 第二個(gè)字節(jié)（00）指的是代碼為0第四、五個(gè)字節(jié)（d8 5b）是檢驗(yàn)和第六、七個(gè)字節(jié)（02 00）是標(biāo)識(shí)符第八、九個(gè)字節(jié)（73 00）是這個(gè)報(bào)文的序列號(hào)位29440第九個(gè)字節(jié)以后的字節(jié)（61 62 63 64 65 66 67 6

17、8 69 6a 6b 6c 6d 6e 6f 70 71 7273 74 75 76 77 61 62 63 64 65 66 67 68 6）是這個(gè)報(bào)文所帶的數(shù)據(jù)3. ARP包解析3. 1數(shù)據(jù)鏈路層-1 Ethe net II± 5r .: Conpdlln_41:Bd:cB (T0:L<:<iL:8 .; B), D3i; BTMdcdst (f F:f:Ff :ff :ff-Lsitination: Broad匚也st Ff:+尸；于尸；幵：ff:干卡)< source: causalln_6L;fid:cS (7D: Sa; a6 ;61:8d:<Sj

18、Ty:a: APP CDX0305Jtti! lar ： m.imi n.i3iinnnn m 11.13mii.ii=. a. _JU 一 >_ c _ 一. J! iu .一 亠 <_ F 一 _ . _ _ <a %源始數(shù)據(jù)：數(shù)據(jù)的頭部：ff ff ff ff ff ff 70 5a b6 61 8d c8 08 06數(shù)據(jù)的尾部：11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11數(shù)據(jù)分析：頭部的前6個(gè)字節(jié)(ff ff ff ff ff ff)是表示廣播地址，告訴所有這個(gè)電腦所在的本網(wǎng)絡(luò)的電腦第七個(gè)字節(jié)到第十二個(gè)字節(jié)

19、(70 5a b6 61 8d c8)表示的是發(fā)這個(gè)廣播的以 太網(wǎng)地址第十三、十四字節(jié)(08 06)表示ARP協(xié)議的類型3. 2網(wǎng)絡(luò)層- Address Resolut 1 n Prcrtcitcn (rHardware Type: Ethernet <0x0001)Protocol type: IP (0x0800)Hardwa亡 size: 6proTocol size; 4opcods: requeT (OxOOOl)is graruiTous: raisesender 訓(xùn)人匚 address:匚ompalin_61:8d:c8 (70:5a:b6:61:8d:c8)Sender IP idefress: 172.16,215.154 (172.16,215.154)7ar get MAC address : 00:00: 00 :(00:00:00:00:00:00)Tirge ip address; 172.16.215<1 (172,16.215.15源始數(shù)據(jù)：00 01 08 00 06 04 00 01 70 5a b6 61 8d c8 ac 10 d7 9a 00 00 00 00 00 00 ac 10 d7 01數(shù)據(jù)分析：開頭的兩個(gè)字節(jié)（00 01）是硬件接口類型，即對(duì)于以太網(wǎng)第三