实验一：网络数据包分析实验班级： 班 学号： 姓名： 一、实验目的通过对实际的网络数据包进行捕捉，分析数据包的结构，加深对网络协议分层概念的理解，并实际的了解数据链路层，网络层，传输层以及应用层的相关协议和服务。二、实验内容1 IGMP 包解析1.1 数据链路层源数据：数据链路层头部：01 00 5e 00 00 16 00 21 97 0a e5 16 08 00数据链路层尾部：00 00 00 00 00 00分析如下：数据头部的前 6 个字节是接收者的 mac 地址：01 00 5e 00 00 16；数据头部的中间 6 个字节是发送者的 mac 地址：00 21 97 0a e5 16；数据头部的最后 2 个字节代表网络协议，即：08 00 协议类型。1.2 网络层源数据：46 00 00 28 1d 38 00 00 01 02 d8 5c ac 10 a3 14 e0 00 00 16 94 04 00 00数据分析：第一个字节（46）的前 4 位表示的是 IP 协议的版本，即 IPv4；它的后 4 位表示首部长度为 6，最大十进制数值时为 15第二个字节（00）是区分服务，一直缺省，所以为 0第三、四字节（00 28）是指首部和数据之和的长度 40 个字节第五、六字节（1d 38）是一个数据报被分片后的标识，便于正确地重装原来的数据报第七、八字节（00 00）分前 3 位为标志位和后 13 位为片偏移，其中标识位只有两位有意义，表明这已经是若干用户数据报片最后一个（MF=0，并且DF=0）不需要再分片了。偏移为 0第九个字节（01）表示的是数据报在网络中的寿命为 128第十个字节（02）指出这个数据报携带的数据时使用的 IGMP 协议第十一、十二字节（d8 5c）表示首部检验和，大小为 55388 字节，对数据报的保留与丢弃进行判别第十三个字节加上后面的 3 个字节（ac 10 a3 14）是发送者的 IP 源地址（172.16.163.20）第十七个字节及后面的三个字节（e0 00 00 16）是接收者的 IP 地址（224.00.00.22）最后四个字节（94 04 00 00）是任意的1.3 IGMP 协议层源数据：22 00 f2 6d 00 00 00 01 04 00 00 00 e0 03 07 8d数据分析:第一个字节（22）代表的这个为多播地址路由器第三、四个字节（f2 6d）是一个检验和第七、八个字节（00 01）是组播的第一个分组第九个字节（04）是记录类型最后 4 个字节（e0 03 07 8d）是个组播地址2ICMP 包解析21 数据链路层源始数据：00 0c 86 ed 40 09 70 5a b6 61 8d c8 08 00数据分析：前 6 个字节(00 0c 86 ed 40 09)表示的是接收者 MAC 地址接下来的 6 个字节（70 5a b6 61 8d c8 ）表示是发送者的 MAC 地址最后连个字节（08 00）是类型字段，0x0800 表示上一层使用的是 IP 数据包22 网络层源始数据：45 00 00 3c d6 c3 00 00 80 01 91 26 ac 10 d7 9a ac 10 a3 1b数据分析：第一个字节（45）的前 4 位表示的是 IP 协议的版本，即 IPv4；它的后 4 位表示首部长度为 5，最大十进制数值时 15第二个字节（00）是区分服务，一直缺省，所以为 0第三、四字节（00 3c ）是指首部和数据之和的长度 60 个字节第五、六字节（d6 c3）是一个数据报被分片后的标识，便于正确地重装原来的数据报第七、八字节（00 00）分前 3 位为标志位和后 13 位为片偏移，其中标识位只有两位有意义，表明这已经是若干用户数据报片最后一个（MF=0，并且DF=0）不需要再分片了。偏移为 0第九个字节（80）表示的是数据报在网络中的寿命为 128第十个字节（01）指出这个数据报携带的数据时使用的 ICMP 协议第十一、十二字节（91 26）表示首部检验和，大小为 401 字节，对数据报的保留与丢弃进行判别第十二个字节后的四位（ac 10 d7 9a）表示源地址（172.16.215.154）最后四个字节（ac 10 a3 1b）表示目的地址（172.16.163.27）23 ICMP 协议层源始数据：08 00 d8 5b 02 00 73 00 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69数据分析：第一个字节（08）是说明 ICMP 报文为询问报文，送回（Echo）请求或回答第二个字节（00）指的是代码为 0第四、五个字节（d8 5b）是检验和第六、七个字节（02 00）是标识符第八、九个字节（73 00）是这个报文的序列号位 29440第九个字节以后的字节（61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69）是这个报文所带的数据3ARP 包解析31 数据链路层源始数据：数据的头部：ff ff ff ff ff ff 70 5a b6 61 8d c8 08 06数据的尾部：11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11数据分析：头部的前 6 个字节（ff ff ff ff ff ff）是表示广播地址，告诉所有这个电脑所在的本网络的电脑第七个字节到第十二个字节（70 5a b6 61 8d c8）表示的是发这个广播的以太网地址第十三、十四字节（08 06）表示 ARP 协议的类型32 网络层源始数据：00 01 08 00 06 04 00 01 70 5a b6 61 8d c8 ac 10 d7 9a 00 00 00 00 00 00 ac 10 d7 01数据分析：开头的两个字节（00 01）是硬件接口类型，即对于以太网第三、四个字节（08 00）是高层协议类型，即十六进制第五个字节（06）是硬件地址长度第六个字节（04）是表示协议地址长度第七、八个字节（00 01）是表示操作码，请求第一个主机第九个字节和其后面的五个字节（70 5a b6 61 8d c8）是发出广播人的MAC 地址第十五个字节和其后面的三个字节（ac 10 d7 9a）是发出广播人的 IP 地址第二十个字节和其后面的五个字节（00 00 00 00 00 00）是接收端 MAC 地址，由于是在广播寻找，所以都为 0最后四个字节（ac 10 d7 01 ）是接受端的 IP 地址三、实验结论在抓的包中可以看到双方的 MAC 地址和 IP 地址。并且可以了解到本协议的一些内部具体的组成，但是数据包不可体现出实质传的数据内容。都以封装的形式出现在传输的帧中。IGMP 代表的是网组管理协议。它提供一种动态参与和离开多点传送组的方法让一个物理网络上的所有系统自导主机当前所在的多播组，多播路由器需要这些信息以便指导多播数据应该向那些接口转发 。ICMP 代表的是 Internet 控制报文协议。它是网际协议（IP ）的一部分，但ICMP 是通过 IP 来发送的。ICMP 在网络层中与 IP 一起使用的协议，它通常由某种监测到 IP 分组中错误的站点产生。它是一种差错报告机制，这种机制为网关或目标主机提供了一种方法，使他们在遇到差错时能把差错报告给原始报源。ARP 代表的是地址解析协议。ARP 用来将 IP 地址转换成物理网络地址，能够解决如以太网这样具有广播能力物理网络的地址转换问题。