（计算机网络）用Wireshark捕获并分析数据包

一、 实验目的：
掌握Wireshark的基本使用方法，并用其抓取并分析数据包
二、 实验内容
使用Wireshark抓住数据包，并分析运输层、网络层、数据链路层所用的协议字段语法和语义。

三、 实验分析
a.传输控制协议TCP分析





图1.TCP数据包
如图1所示，包号是4；当前包到达时间距离第一个包到达的时间是0.06374600秒；包的源IP地址是192.168.0.103；包的目的IP地址是61.135.186.152，由于是TCP协议，所以一个地址应该是本地计算机地址（本人计算机的IP地址是192.168.0.103），该源IP地址就是本地机器地址；协议类型TCP。
b.十六进制数据包窗口



图2.十六进制数据包窗口
如图2所示，十六进制数据包窗口将数据包的所有内容以十六进制的形式显示出来，该窗口包括3部分，分别是：最左边部分，16进制的序号，单位为字节；中间部分，16进制的数据内容：16个字节一行；最右边部分，ASCII码数据内容。下面分析各字段的含义。

c.MAC帧
前14个字节属于以太网V2的MAC帧格式，其中“c8 3a 35 42 08 d0 ”属于目的地址，“8c 89 a5 e724 b1”属于源地址。通过cmd窗口查找可知，“8c 89 a5 e724 b1”属于本机的MAC地址。“0800”属于类型字段，参考资料可知该类型属于IP数据报，下面去分析IP数据报。
d.IP数据报
IP数据报固定部分占20个字节，现在注意分析。“45”表示2个字段，其中，4表示版本号，即IP协议版本号为IPv4（最新消息：微软公司宣布已彻底用完美国市场的IPv4地址资源），5表示首部长度，表示首部长度为20字节（由于首部长度等于固定部分长度加上可变部分长度，即表示该数据报不存在可变部分）。“00”表示区分服务，在一般情况的情况下不使用这个字段。“00 28”属于总长度，即总长度为40字节（由于总长度指首部和数据之和的长度，可得出数据的长度为20字节）。“0b 24”属于标识（由于IP软件在存储器中维持一个计数器，每产生一个数据报，计数器就加1，并赋值给标识字段）。“40
00”中的4属于标志字段（标志字段占3位）和片偏移字段（13位），十六进制的4用二进制表示为0100，可得010属于标志字段，其中DF位为1，MF为为0，表示不能分片，因此片偏移字段当然是0。接着的“40”属于生存时间，“06”属于协议字段，指出此数据报携带的数据是属于TCP协议的，会在下一段解析TCP字段的内容。“00 00”属于首部检验和，因为结果为0，所以这个数据报有效，保留该数据报。“c8 a8 00 67”属于源地址，“3d 87 ba 98”属于目的地址，通过查找可知本机的IP地址为192.168.0.103，明显与源地址对应。
e.传输控制协议TCP
从IP数据报中分析出此数据报来自TCP，下面分析TCP的首部格式。“18 bd”属于源端口，查找可知该端口号属于登记端口号，这类端口号是为没有熟知端口号的应用程序使用的。“00 50”属于目的端口号，十进制表示为80，它是我们熟知的http端口号。“d6 41 d8 d2”属于序号，查看Wireshark软件可得本报名段所发送的数据的第一个字节的序号为921（怎么来的就不清楚了）。“cd dc 7e 3b”属于确认号，查看Wireshark可得期望收到对方下一个报名段的第一个数据字节的序号为314（不要问怎么求出来，同样是软件翻译出来的）。“50
10”分别属于不同的字段，包括数据偏移（4位）、保留位（3位）、Non（1位）、CwR（1位）、ECN（1位）、URG（1位）、ACK（1位）、PSH（1位）、RST（1位）、SYN（1位）、FIN（1位）。（与课本存在出入，课本的保留位有6位的）。首部偏移为5，实际上指出TCP报文段的首部长度为20字节（可知该TCP也不存在可变部分）。ACK为1，表示确认号字段有效。“40 13”表示窗口，窗口值告诉对方，从本报文段首部中的确认号算起，接收对方目前允许对方发送的数据量为16403（窗口值是动态变化的）。“b9
49”为检验和，“00 00”属于紧急指针。

参考文献：谢希仁.《计算机网络》（第5版）[M].电子工业出版社.2012年.89页、122页、125页、184页、194页。