内容发布更新时间 : 2024/5/19 13:57:03星期一 下面是文章的全部内容请认真阅读。

2015 年4 月 10日 实验项目：实验四 SnifferPro数据包捕获与协议分析 实验目的： 1.了解Sniffer的工作原理。 2.掌握SnifferPro工具软件的基本使用方法。 3.掌握在交换以太网环境下侦测、记录、分析数据包的方法。 实验仪器：电脑一台(CPU：Intel?Core(TM)i5-3230M 2.60GHz 内存：4.00GB 操作系统：win8.1 使用软件：VWare 10、 Windows server2003) 实验步骤及内容： 一、规划IP地址，使得虚拟机与主机通信（自定义模式）主机使用虚拟网卡1，主机IP 为 192.168.1.100子网掩码255.255.255.0 ，共享的VMNET1 虚拟机IP 为192.168.1.4子网掩码255.255.255.0 默认网关为192.168.1.4，首选DNS为114.114.114.114。 二、抓取以下协议的数据包，并加以分析。 （1）抓取IP数据包，分析IP数据包的头部信息。 附注 附注（续） 可参照下图依次分析：

附注（续） 由上抓包信息可知：IP包头占有20个字节，即： 45 00 00 3C 01 28 00 00 20 01 00 00 C0 A8 01 04 C0 A8 01 64 1）可知，“45”，其中“4”是IP协议的版本（Version），说明是IP4。“5”是IHL位，表示IP头部的 长度，是一个4bit字段，最大就是1111了，值为15（表示有15行，一行有32bit），IP头部的最大 长度就是60字节。而这里为“5”，说明是20字节，这是标准的IP头部长度，头部报文中没有发送可 选部分数据。 2）“00”，为服务类型（Type of Service）。这个8bit字段由3bit的优先权子字段（现在已经被忽略）， 4 bit的TOS子字段以及1 bit的未用字段（现在为0）构成。4 bit的TOS子字段包含：最小延时、 最大吞吐量、最高可靠性以及最小费用构成，这四个1bit位最多只能有一个为1，本例中都为0，表示 是一般服务。 3）“00 3C”，为IP数据报文总长，包含头部以及数据，这里表示60字节。这60字节由20字节的IP 头部以及40字节的TCP头构成（最后的一个字节为数据）。因此目前最大的IP数据包长度是65535 字节。

4）“01 28” 两个字节为数据包封装标识信息，与后面的偏移量一起用，这个是让目的主机来判断新来的分段属于哪个分组。 5）“00 00”其中前三位表示标志位，后面13位表示片段偏移地址。其中第一位是IP协议目前没有用上的，为0。接着的是两个标志DF和MF。DF为1表示不要分段，MF为1表示还有进一步的分段（本例为0）。然后的“0 0000”是分段便移（Fragment Offset）。 6）“20” 这个字节就是TTL（Time To Live）了，表示一个IP数据流的生命周期，用Ping显示的结果，能得到TTL的值48（将十六进制的20转化为十进制得48）。 注：一般主机都有默认的TTL值，不同系统的默认值不一样。比如WINDOWS为128。不过，一般Ping得到的都不是默认值，这是因为每次IP数据包经过一个路由器的时候TTL就减一，当减到0时，这个数据包就消亡了。这也时Tracert的原理。 7）“01” 这个字节表示传输层的协议类型（Protocol）。在RFC790中有定义，1表示传输层是ICMP协议（课本P31）。 8)“00 00” 这个16bit是头校验和（Header Checksum）。 9)“C0 A8 01 04”表示源地址，也就是PC的IP地址，转换为十进制的IP地址就是：192.168.1.4。 10）“C0 A8 01 64”表示目标IP地址，转换为十进制的IP地址就是：192.168.1.100。 以下截取的是TP头部的部分对应的详细信息。