1、实验一:网络数据包分析实验班级: 班 学号: 姓名: 一、实验目的通过对实际的网络数据包进行捕捉,分析数据包的结构,加深对网络协议分层概念的理解,并实际的了解数据链路层,网络层,传输层以及应用层的相关协议和服务。二、实验内容1 IGMP包解析1.1数据链路层源数据:数据链路层头部:01 00 5e 00 00 16 00 21 97 0a e5 16 08 00数据链路层尾部:00 00 00 00 00 00分析如下:数据头部的前6个字节是接收者的mac地址:01 00 5e 00 00 16;数据头部的中间6个字节是发送者的mac地址:00 21 97 0a e5 16;数据头部的最后2个
2、字节代表网络协议,即:08 00协议类型。1.2 网络层源数据:46 00 00 28 1d 38 00 00 01 02 d8 5c ac 10 a3 14 e0 00 00 16 94 04 00 00数据分析:第一个字节(46)的前4位表示的是IP协议的版本,即IPv4;它的后4位表示首部长度为6,最大十进制数值时为15第二个字节(00)是区分服务,一直缺省,所以为0第三、四字节(00 28)是指首部和数据之和的长度40个字节第五、六字节(1d 38)是一个数据报被分片后的标识,便于正确地重装原来的数据报第七、八字节(00 00)分前3位为标志位和后13位为片偏移,其中标识位只有两位有意
3、义,表明这已经是若干用户数据报片最后一个(MF=0,并且DF=0)不需要再分片了。偏移为0第九个字节(01)表示的是数据报在网络中的寿命为128第十个字节(02)指出这个数据报携带的数据时使用的IGMP协议第十一、十二字节(d8 5c)表示首部检验和,大小为55388字节,对数据报的保留与丢弃进行判别第十三个字节加上后面的3个字节(ac 10 a3 14)是发送者的IP源地址(172.16.163.20)第十七个字节及后面的三个字节(e0 00 00 16)是接收者的IP地址(224.00.00.22)最后四个字节(94 04 00 00)是任意的1.3 IGMP协议层源数据:22 00 f2
4、 6d 00 00 00 01 04 00 00 00 e0 03 07 8d数据分析:第一个字节(22)代表的这个为多播地址路由器第三、四个字节(f2 6d)是一个检验和第七、八个字节(00 01)是组播的第一个分组第九个字节(04)是记录类型最后4个字节(e0 03 07 8d)是个组播地址2ICMP包解析21数据链路层源始数据:00 0c 86 ed 40 09 70 5a b6 61 8d c8 08 00数据分析:前6个字节(00 0c 86 ed 40 09)表示的是接收者MAC地址接下来的6个字节(70 5a b6 61 8d c8)表示是发送者的MAC地址最后连个字节(08 0
5、0)是类型字段,0x0800表示上一层使用的是IP数据包22 网络层源始数据:45 00 00 3c d6 c3 00 00 80 01 91 26 ac 10 d7 9a ac 10 a3 1b数据分析:第一个字节(45)的前4位表示的是IP协议的版本,即IPv4;它的后4位表示首部长度为5,最大十进制数值时15第二个字节(00)是区分服务,一直缺省,所以为0第三、四字节(00 3c)是指首部和数据之和的长度60个字节第五、六字节(d6 c3)是一个数据报被分片后的标识,便于正确地重装原来的数据报第七、八字节(00 00)分前3位为标志位和后13位为片偏移,其中标识位只有两位有意义,表明这已
6、经是若干用户数据报片最后一个(MF=0,并且DF=0)不需要再分片了。偏移为0第九个字节(80)表示的是数据报在网络中的寿命为128第十个字节(01)指出这个数据报携带的数据时使用的ICMP协议第十一、十二字节(91 26)表示首部检验和,大小为401字节,对数据报的保留与丢弃进行判别第十二个字节后的四位(ac 10 d7 9a)表示源地址(172.16.215.154)最后四个字节(ac 10 a3 1b)表示目的地址(172.16.163.27)23 ICMP协议层源始数据:08 00 d8 5b 02 00 73 00 61 62 63 64 65 66 67 68 69 6a 6b 6
7、c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69数据分析:第一个字节(08)是说明ICMP报文为询问报文,送回(Echo)请求或回答第二个字节(00)指的是代码为0第四、五个字节(d8 5b)是检验和第六、七个字节(02 00)是标识符第八、九个字节(73 00)是这个报文的序列号位29440第九个字节以后的字节(61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69)是这个报文所带的数
8、据3ARP包解析31 数据链路层源始数据:数据的头部:ff ff ff ff ff ff 70 5a b6 61 8d c8 08 06数据的尾部:11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11数据分析:头部的前6个字节(ff ff ff ff ff ff)是表示广播地址,告诉所有这个电脑所在的本网络的电脑第七个字节到第十二个字节(70 5a b6 61 8d c8)表示的是发这个广播的以太网地址第十三、十四字节(08 06)表示ARP协议的类型32 网络层源始数据:00 01 08 00 06 04 00 01 70 5a b6 6
9、1 8d c8 ac 10 d7 9a 00 00 00 00 00 00 ac 10 d7 01数据分析:开头的两个字节(00 01)是硬件接口类型,即对于以太网第三、四个字节(08 00)是高层协议类型,即十六进制第五个字节(06)是硬件地址长度第六个字节(04)是表示协议地址长度第七、八个字节(00 01)是表示操作码,请求第一个主机第九个字节和其后面的五个字节(70 5a b6 61 8d c8)是发出广播人的MAC地址第十五个字节和其后面的三个字节(ac 10 d7 9a)是发出广播人的IP地址第二十个字节和其后面的五个字节(00 00 00 00 00 00)是接收端MAC地址,由
10、于是在广播寻找,所以都为0最后四个字节(ac 10 d7 01)是接受端的IP地址三、实验结论在抓的包中可以看到双方的MAC地址和IP地址。并且可以了解到本协议的一些内部具体的组成,但是数据包不可体现出实质传的数据内容。都以封装的形式出现在传输的帧中。IGMP代表的是网组管理协议。它提供一种动态参与和离开多点传送组的方法让一个物理网络上的所有系统自导主机当前所在的多播组,多播路由器需要这些信息以便指导多播数据应该向那些接口转发 。ICMP代表的是Internet控制报文协议。它是网际协议(IP)的一部分,但ICMP是通过IP来发送的。ICMP在网络层中与IP一起使用的协议,它通常由某种监测到IP分组中错误的站点产生。它是一种差错报告机制,这种机制为网关或目标主机提供了一种方法,使他们在遇到差错时能把差错报告给原始报源。ARP代表的是地址解析协议。ARP用来将IP地址转换成物理网络地址,能够解决如以太网这样具有广播能力物理网络的地址转换问题。
