搜档网
当前位置:搜档网 › 网络报文的捕获及格式分析

网络报文的捕获及格式分析

网络报文的捕获及格式分析
网络报文的捕获及格式分析

实验一网络报文的捕获及格式分析

一、实验目的:

1、学习wirshark的使用方法,掌握如何分析特定类型的报文格式。

2、熟悉各种网络报文格式的组成和结构。

3、熟悉各种协议的通信交互过程。

二、实验属性:

验证性

三、实验仪器设备及器材

仅需计算机

四、实验要求

实验前认真预习TCP/IP协议内容,尤其应认真理解TCP、IP 协议报文格式;在进行实验时,应注意爱护机器,按照试验指导书的要求的内容和步骤完成实验,尤其应注意认真观察试验结果,做好记录;实验完成后应认真撰写实验报告。

五、实验原理

六、试验步骤

Ip数据包格式分析:

版本:V ersion 4

首部长度:20 bytes

服务类型:0x00 总长度:48 标识、标志、片偏移

协议:TCP(6)

源地址:192.168.1.115

目的地址:61.142.208.201

传输控制协议报文段格式分析:

源端口:58198

目的端口:8018

序号:1

确认号:1

相应位置的标志位:

以下讨论如何抓包

以捕获ICMP包为例:

Ping 一个网络主机地址的同时开始抓包

设置过滤器,只显示ping 包

捕获ARP 包:

同上,首先ping 一个主机地址,然后开始捕获、过滤:

可见,其协议字段为arp

七、心得体会:

本次实验,我学会了如何利用ping命令来捕获ICMP 和ARP 包,并且学会了分析两种不同协议的报文格式。将学到的理论知识和实际捕获的包很好的结合了起来,对IP 数据包和TCP报文段有了更深刻的理解。

103报文详细解析

103规约转出软件实验报告(改进版) 1、初始化 ●主站发: 10 40 04 44 16 目的:给地址为04的装置发复位通信单元命令。 10 //固定帧长起始字符 04 // 44 16 子站回答:10 20 04 24 16 目的: ACD位置1,表明子站向主站请求1级数据上送。 ●主站发: 10 7a 04 7e 16 目的:向地址为04的装置发请求1级数据命令。 子站回答:68 15 15 68 28 04 05 81 04 04 b2 03 03 c4 cf c8 f0 bc cc b1 a3 01 00 01 00 9b 16 (ASDU5,CON=28,COT=4) 68 //启动字符 15 //报文长度 15 //报文长度 68 //启动字符 //控制域, 地址域, 类型标识, 可变结构限定词, 传送原因, 公共地址 28 04 05 81 04 04 //功能类型,信息序号, 兼容级别,8个ASCII b2 03 03 c4 cf c8 f0 bc cc b1 a3 //4个自由赋值 01 00 01 00 /////////////////////////////////////////////////// //连路用户数据 9b //校验和 16 //结束字符 (ASDU5,CON=28,COT=4) 80 00 目的:子站以ASDU5(复位通信单元)响应主站的召唤。并ACD位置1,表明子站继续向主站请求1级数据上送。 ●主站发:10 5a 04 5e 16 目的:向地址为04的装置发请求1级数据命令。 子站回答:68 15 15 68 08 04 05 81 05 04 b2 04 03 c4 cf c8 f0 bc cc b1 a3 01 00 01 00 7d 16 (ASDU5,CON = 08,COT=5) 目的:子站以ASDU5(启动/重新启动)响应主站的召唤。ACD 位置回0。 后面跟随时间同步和总查询。 结果分析:程序的行为完全正确。 2、对时 时间同步过程分两种情况: 1)ASDU6 可以发送无回答方式,其地址为255。

5. Wireshark捕获并分析ARP报文

实验四Wireshark捕获ARP报文 一、捕获报文 启动Wireshark,清空ARP缓存,然后ping网关。 二、分析ARP协议 1.ARP请求报文和响应报文是封装在IP报文中还是封装在MAC 帧中发送? 2.ARP请求报文中目的MAC地址是什么? 3.对于ARP协议,其在MAC帧中的协议字段的值是多少? 4.封装ARP请求报文和响应报文的MAC帧,其目的地址分别 是什么?这说明ARP请求报文和响应报文分别是广播还是单 播发送? 5.根据捕获到的报文,分析ARP报文的格式,说明报文各字段 的作用? 6.如果要模拟某种ARP欺骗攻击,例如物理机欺骗虚拟机,说 自己是网关。该如何构造ARP响应报文?写出该ARP响应报 文的十六进制代码。 硬件类型:要转换成的地址类型,2字节。以太网为0001 协议类型:被转换高层协议类型,2字节。IP协议为0800 硬件地址长度:1字节。以太网为6字节48位,即06 协议长度:1字节。Ip地址为4字节32位,即04 操作类型:2字节。请求为0001,响应为0002,RARP为0003 发送方硬件地址:源主机MAC地址

发送发协议地址:源主机IP地址 目标硬件地址:目标主机MAC地址(请求包中为00-00-00-00-00-00) 目标协议地址: 物理机欺骗虚拟机时,发送ARP响应报文,单播。源主机本应为网关,但物理机欺骗虚拟机,即源主机IP地址填网关IP,硬件地址填物理机的硬件地址。目标主机为虚拟机。 0001 0800 06 04 0002 物理机硬件地址(欺骗用)10.1.65.254(网关IP) 虚拟机硬件地址虚拟机IP地址

实验二 网络报文捕获与网络协议分析

实验二网络报文捕获与网络协议分析 实验原理: 网络报文捕获与协议分析广泛地应用于分布式实时控制系统、网络故障分析、入侵检测系统、网络监控系统等领域中,可以用来解决网络故障问题,检测安全隐患,测试协议执行情况。这里我们使用Wireshark来捕获网络报文,学习网络协议。 实验内容: 分析面向连接的TCP协议三次握手建立连接和4次握手释放连接的过程;利用Wireshark捕获一次网页打开的过程,通过观察整个网页获得全过程,加强对HTTP协议的理解,通过观察捕获分组分析和理解HTTP协议细节和格式。 2.1网络报文捕获 实验设备:PC机1台(操作系统为XP),连接Internet 实验组网图:无 实验步骤: 1. 启动Wireshark,对Capture Options各个选项设置。 2.点击Start按钮开始捕获分组 3.点击Capture from…对话框中Stop按钮结束捕获 4.得到捕获记录,观察跟踪记录

1 2 3 从IP: 58.198.165.100到https://www.sodocs.net/doc/518492422.html,(58.198.165.79)的捕获。1区为捕获记录的列表框。2区为协议层框(协议框),显示所选分组的各层协议细节:物理层帧,以太网帧及其首部,IP协议数据报及其首部,UDP数据报及其首部,HTTP等协议细节。3区为原始框,显示了分组中包含的数据的每个字节.从中可以观察最原始的传输数据.方框左边是十六进制的数据,右边是ASCII码。 2.2 TCP协议分析 实验设备:PC机1台(操作系统为XP),虚拟机pc1、pc2 实验组网图:无 实验步骤: 1、.启动虚拟机pc1、pc2,将虚拟机pc1和pc2的网卡类型都设为“Host-only”,在实验一的基础上开展实验(配置好IP,使之连通) 2、将server.exe和client.exe程序分别复制到pc1和pc2上;将wireshark安装程序复制到pc2上; 3、安装wireshark,并启动捕获; 运行服务器程序:server 端口号; 运行客户端程序:client 服务器IP 服务器端口; 4、分析捕获的数据,列出此次简单的面向连接tcp数据传送过程,以及tcp控制字段变化情况。

IP及IPSEC协议数据包的捕获与分析

IP及IPSEC协议数据包的捕获与分析

IP及IPSEC协议数据包的捕获与分析 为了掌握掌握IP和IPSEC协议的工作原理及数据传输格式,熟悉网络层的协议。我进行了以下实验:首先用两台PC互ping并查看其IP报文,之后在两台PC上设置IPSEC互ping并查看其报文。最终分析两者的报文了解协议及工作原理。 一、用两台PC组建对等网: 将PC1与PC2连接并分别配置10.176.5.119和10.176.5.120的地址。如图1-1所示。 图1-1 二、两PC互ping: IP数据报结构如图1-2所示。 图1-2 我所抓获的报文如图1-3,图1-4所示:

图1-3 请求包 图1-4 回应包 分析抓获的IP报文: (1)版本:IPV4 (2)首部长度:20字节 (3)服务:当前无不同服务代码,传输忽略CE位,当前网络不拥塞

(4)报文总长度:60字节 (5)标识该字段标记当前分片为第1367分片 (6)三段标志分别指明该报文无保留、可以分段,当前报文为最后一段 (7)片偏移:指当前分片在原数据报(分片前的数据报)中相对于用户数据字段 的偏移量,即在原数据报中的相对位置。 (8)生存时间:表明当前报文还能生存64 (9)上层协议:1代表ICMP (10)首部校验和:用于检验IP报文头部在传播的过程中是否出错 (11)报文发送方IP:10.176.5.120 (12)报文接收方IP:10.176.5.119 (13)之后为所携带的ICMP协议的信息:类型0指本报文为回复应答,数据部分 则指出该报文携带了32字节的数据信息,通过抓获可看到内容为:abcdefghijklmnopqrstuvwabcdefghi 三、IPSec协议配置: 1、新建一个本地安全策略。如图1-5。 图1-5 2、添加IP安全规则。如图1-6.

分析TCP及UDP报文格式

计算机网络原理实验报告 实验名称实验七分析TCP及UDP报文格式 队别姓名学号实验日期 2012.11.8 实验报告要求: 1.实验目的 2.实验要求 3.实验环境 4.实验作业 5.问题及解决 6.思考问题 7.实验体会 【实验目的】 一、掌握TCP协议的作用和格式; 分析数据报各字段的含义及作用; 理解三次握手的过程; 学会计算TCP校验和的方法; 了解TCP的标志字段的作用。 二、观察UDP报文 观察DNS,QQ应用时UDP的格式 【实验要求】 在进行实验的主机上运行Win7操作系统,并将它接入到校园网。 按要求用Wireshark进行以太网数据包的截获,并分析其帧格式。 【实验环境】 在装有Win7的笔记本,接入校园网,使用WireShark 1.8.2版本进行抓包。 【实验作业】 一、练习一分析TCP报文 1.打开“命令提示符”窗口,输入:netstat –n 回车。 2.观察TCP状态,记录Local Address 、Foreign Address 和State。 可以通过上图观察到,现在的TCP状态为空。 3.在浏览器输入:https://www.sodocs.net/doc/518492422.html,,在“命令提示符”窗口输入:netstat –n 回车。

4.观察TCP状态,记录Local Address 、Foreign Address 和State。 通过上图可以观察到,在TCP协议下,本地地址套接字、外部地址套接字、状态,依次列于图中。 5.比较两次记录的不同之处。 第一次由于未建立任何连接,因此没有任何TCP信息,而第二次则成功建立了TCP连接,因此有相应的TCP连接信息得到。 6.打开Wireshark,选择菜单命令“Capture” “Interfaces…”子菜单项。弹出“Wireshark: Capture Interfaces” 对话框。单击“Options”按钮,弹出“Wireshark: Capture Options”对话框。单击“Start”按钮开始网络数据包捕获。

E5071C网络分析仪测试方法

"E5071C网络分析仪测试方法 一.面板上常使用按键功能大概介绍如下: Meas 打开后显示有:S11 S21 S12 S22 (S11 S22为反射,S21 S12 为传输)注意:驻波比和回波损耗在反射功能测试,也就是说在S11或者S22里面测试。 Format 打开后显示有:Log Mag———SWR———-里面有很多测试功能,如上这两种是我们常用到的,Log Mag为回波损耗测试,SWR 为驻波比测试。Display打开后显示有:Num of Traces (此功能可以打开多条测试线进行同时测试多项指标,每一条测试线可以跟据自己的需求选择相对应的指标,也就是说一个产品我们可以同时测试驻波比和插入损耗或者更多的指标) Allocate Traces (打开此功能里面有窗口显示选择,我们可以跟据自己的需求选择两个窗口以上的显示方式) Cal 此功能为仪器校准功能:我们常用到的是打开后在显示选择:Calibrate(校准端口选择,我们可以选择单端口校准,也可以选择双端口校准) Trace Prev 此功能为测试线的更换设置 Scale 此功能为测试放大的功能,打开后常用到的有:Scale/Div 10DB/Div 为每格测试10DB,我们可以跟据自己的产品更改每格测量的大小,方便我们看测试结果 Reference Value 这项功能可以改变测试线的高低,也是方便我们测试时能清楚的看到产品测试出来的波型。 Save/Recall 此功能为保存功能,我们可以把产品设置好的测试结果保存在这个里面进去以后按下此菜单Save State 我们可以保存到自己想保存的地方,如:保存在仪器里面请按Recall State 里面会有相对应的01到08,我们也可以按

IP及IPSEC协议数据包的捕获与分析分析

IP及IPSEC协议数据包的捕获与分析 为了掌握掌握IP和IPSEC协议的工作原理及数据传输格式,熟悉网络层的协议。我进行了以下实验:首先用两台PC互ping并查看其IP报文,之后在两台PC上设置IPSEC互ping并查看其报文。最终分析两者的报文了解协议及工作原理。 一、用两台PC组建对等网: 将PC1与PC2连接并分别配置10.176.5.119和10.176.5.120的地址。如图1-1所示。 图1-1 二、两PC互ping: IP数据报结构如图1-2所示。 图1-2 我所抓获的报文如图1-3,图1-4所示:

图1-3 请求包 图1-4 回应包 分析抓获的IP报文: (1)版本:IPV4 (2)首部长度:20字节 (3)服务:当前无不同服务代码,传输忽略CE位,当前网络不拥塞

(4)报文总长度:60字节 (5)标识该字段标记当前分片为第1367分片 (6)三段标志分别指明该报文无保留、可以分段,当前报文为最后一段 (7)片偏移:指当前分片在原数据报(分片前的数据报)中相对于用户数据字段 的偏移量,即在原数据报中的相对位置。 (8)生存时间:表明当前报文还能生存64 (9)上层协议:1代表ICMP (10)首部校验和:用于检验IP报文头部在传播的过程中是否出错 (11)报文发送方IP:10.176.5.120 (12)报文接收方IP:10.176.5.119 (13)之后为所携带的ICMP协议的信息:类型0指本报文为回复应答,数据部分 则指出该报文携带了32字节的数据信息,通过抓获可看到内容为:abcdefghijklmnopqrstuvwabcdefghi 三、IPSec协议配置: 1、新建一个本地安全策略。如图1-5。 图1-5 2、添加IP安全规则。如图1-6.

网络协议分析最终版

中南林业科技大学 实验报告 课程名称:网络协议与分析 姓名:项学静学号:20104422 专业班级:2010级计算机科学与技术 系(院):计算机与信息工程学院 实验时间:2013年下学期 实验地点:电子信息楼602机房

实验一点到点协议PPP 一、实验目的 1.理解PPP协议的工作原理及作用。 2.练习PPP,CHAP的配置。 3.验证PPP,CHAP的工作原理。 二、实验环境 1.安装windows操作系统的PC计算机。 2.Boson NetSim模拟仿真软件。 三、实验步骤 1、绘制实验拓扑图 利用Boson Network Designer绘制实验网络拓扑图如图1-1。 本实验选择两台4500型号的路由器。同时,采用Serial串行方式连接两台路由器,并选择点到点类型。其中DCE端可以任意选择,对于DCE端路由器的接口(Serial 0/0)需要配置时钟信号(这里用R1的Serial 0/0作为DCE端)。 2、配置路由器基本参数

绘制完实验拓扑图后,可将其保存并装入Boson NetSim中开始试验配置。配置时点击Boson NetSim程序工具栏按钮eRouters,选择R1 并按下面的过程进行路由器1的基本参数配置: Router>enable Router#conf t Router(config)#host R1 R1(config)#enable secret c1 R1(config)#line vty 0 4 R1(config-line)#password c2 R1(config-line)#interface serial 0/0 R1(config-if)#ip address 192.168.0.1 255.255.255.0 R1(config-if)#clock rate 64000 R1(config-if)#no shutdown R1(config-if)#end R1#copy running-config startup-config 点击工具栏按钮eRouters,选择R2并按下面过程进行路由器的基本参数配置:Router>enable Router#conf t Router(config)#host R2

南瑞继保工程手册-103规约精要

一、DL/T667-1999(IEC60870-5-103) 通信规约基本要点 1. 通信接口 1.1 接口标准:RS232、RS485、光纤。 1.2 通信格式:异步,1位起始位,8位数据位,1位偶校验位,1位停止位。字符和字节传输由低至高。线路 空闲状态为1,字符间无需线路空闲间隔,两桢之间线路空闲间隔至少33位(3个字节) 1.3 通信速率:可变。 1.4 通信方式:主从一对多,Polling方式。 2. 报文格式 870-5-103通信规约有固定帧长报文和可变帧长报文两种报文格式,前者主要用于传送“召唤、命令、确认、应答”等信息,后者主要用于传送“命令”和“数据”等信息。 2.1 固定帧长报文 启动字符 控制域 地址域 代码和 结束字符 注:代码和=控制域+地址域(不考虑溢出位,即256模和) 2.2 ————启动字符1(1byte) ————长度(1byte) ————长度(重复)(1byte) ————启动字符2(重复)(1byte) ————控制域(1byte) ————地址域(1byte) ————链路用户数据[(length-2)byte] ————代码和(1byte) ————结束字符(1byte) 注:(1)代码和=控制域+地址域+ ASDU代码和(不考虑溢出位,即256模和) (2)ASDU为“链路用户数据”包,具体格式将在下文介绍 (3)Length=ASDU字节数+2 2.3 控制域 控制域分“主 从”和“从 主”两种情况。 (1)“主 从”报文的控制域 D7 D6 D5 D4 D3 D2 D1 D0 备用PRM FCB FCV 功能码 0 1 1 (A)PRM(启动报文位)表明信息传输方向,PRM=1由主站至子站;PRM=0由子站至主站。 (B)FCB(桢记数位)。FCB = 0 / 1——主站每向从站发送新一轮的“发送/确认”或“请求/响应”传输服务时,将FCB取反。主站为每个从站保存一个FCB的拷贝,若超时未收到应答,则主站重发,重发报文的FCB 保持不变,重发次数最多不超过3次。若重发3次后仍未收到预期应答,则结束本轮传输服务。 (C)FCV (桢记数有效位),FCV= 0表明FCB的变化无效,FCV=1表明FCB的变化有效。发送/无回答服务、广播报文不考虑报文丢失和重复传输,无需改变FCB状态,这些桢FCV常为0

矢量网络分析仪的使用——实验报告

矢量网络分析仪实验报告 一、实验容 单端口:测量Open,Short,Load校准件的三组参数,分别进行单端口的校准。 a.设置测量参数 1)预设:preset OK 2)选择测试参数S11:Meas->S11; 3)设置数据显示格式为对数幅度格式:Format->LogMag; 4)设置频率围:Start->1.5GHz,Stop->2.5GHz(面板键盘上“G”代表 GHz,“M”代表MHz,“k”代表kHz; 5)设置扫描点数:Sweep Setup->Points->101->x1(或”Enter”键或按 下大按钮); 6)设置信号源扫描功率:Sweep Setup->Power->Foc->-10->x1->Entry Off (隐藏设置窗)。 b.单端口校准与测量 1)设置校准件型号:Cal->Cal Kit->85032F(或自定义/user)(F指femal 母头校准件,M指male公头校准件); 2)Modify Cal Kit->Specify CLSs->Open->Set All->Open(m/f),返回到 Specify CLSs->Short->Set ALL->Short(m/f); 3)选择单端口校准并选择校准端口:Cal-Calibrate->1-Port Cal->Select Port->1(端口1 的校准,端口2也可如此操作); 4)把Open校准件连接到端口(或与校准端口相连的同轴电缆另一连 接端),点击Open,校准提示(嘀的响声)后完成Open校准件的 测量;得到的结果如Fig 1:单口Open校准件测量 5)把Short校准件连接到端口(或与校准端口相连的同轴电缆另一连 接端),点击Short,校准提示(嘀的响声)后完成Short校准件的 测量;得到的结果如Fig 2:单口Short校准件测量 6)把Load校准件连接到端口(或与校准端口相连的同轴电缆另一连

网络技术实验指导1-报文捕获

实验一、Windows网络测试报文分析 一、实验目的 1、通过使用Windows操作系统内置的TCP/IP网络测试命令,了解各命令的常用功能,掌握其用法 和测试技巧。 2、掌握IP数据报、ICMP报文、ARP分组以及以太网帧的封装格式。 3、理解ICMP、ARP协议的工作原理。 二、实验设备 1、硬件条件:以太网环境,每人一台个人的计算机 2、软件条件:Windows操作系统、TCP/IP协议、Wireshark软件 三、实验内容 1、学习使用Windowns操作系统内置的下列TCP/IP网络测试命令,弄清各命令的功能。 2、学习使用Wireshark软件捕获报文 3、分析arp、ping和tracert产生的报文流 四、命令参考 以下命令应在Windown操作系统的命令行窗口使用。在命令后用参数“/?”可以获得帮助信息。 1.arp 功能:显示并修改IP地址到以太网的地址转换表,该表由ARP协议维护。 格式: arp -s inet_addr eth_addr [if_addr] arp -d inet_addr [if_addr] arp -a [inet_addr] [-N if_addr] 参数说明:inet_addr是IP地址,eth_addr 为以太网网卡地址; -a 显示当前ARP地址转换表中的条目,当指定一个IP地址作为参数时,arp显示相应该地址所指主机的ARP条目。若有多个网络接口使用ARP协议,则显示每一个ARP地址转换表。 -d 删除IP地址对应的主机的ARP条目,可使用“*”匹配所有主机。 -s使用以太网地址在ARP表中为指定的主机创建一个永久性的条目。 -g 与参数-a一样,显示ARP表中的所有条目。 2.ipconfig 功能:查看本机的TCP/IP配置信息 格式: ipconfig [/all][/batch file][/renew all][/release all][/renew n][/release n] 参数说明: /all 显示与TCP/IP协议相关的所有细节信息,其中包括测试的主机名、IP地址、子网掩码、节点类型、是否启用IP路由、网卡的物理地址、默认网关等。 /batch file 将测试的结果存入指定的文本文件“file”中,以便于逐项查看,如果省略file文件名,则系统会把这测试的结果保存在系统的“winipcfg.out”文件中。 3.ping 功能:查看TCP/IP网络中主机的通信情况。 格式: ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS] [-r count] [-s count] [[-j host-list] | [-k host-list]]

IEC103规约报文格式

IEC103规约报文格式

IEC103规约格式 1.基本报文格式 1.1固定帧长报文 启动字符 控制域 地址域 代码和 结束字符 注:代码和=控制域+地址域(不考虑溢出位,即256模和) 1.2可变帧长报文 注:(1)代码和=控制域+地址域+ ASDU 代码和(不考虑溢出位,即256模和) (2)ASDU 为“链路用户数据”包,具体格式将在下文介绍 (3)Length=ASDU 字节数+2 1.3控制域定义 控制域分“主∧ 从”和“从∧ 主”两种情况。 (1) “主∧ 从”报文的控制域 D7 D6 D5 D4 D3 D2 D1 D0 备用 PRM FCB FCV 功能码 1 每位的具体定义请参考详细103规约。 (2) “从∧ 主”报文的控制域 D7 D6 D5 D4 D3 D2 D1 D0 备用 PRM ACD DFC 功能码 0 0 每位的具体定义请参考详细103规约。 ———— 启动字符1(1byte ) ———— 长度(1byte ) ———— 长度(重复)(1byte ) ———— 启动字符2(重复)(1byte ) ———— 控制域(1byte ) ———— 地址域(1byte ) ———— 链路用户数据[(length-2)byte] ———— 代码和(1byte ) ———— 结束字符(1byte )

1.4地址域 地址域为主站与之通信的从站地址,0-254:设备地址,255:广播地址。 2.链路规约数据单元(LDPU) 控制方向:从控制系统到继电保护设备(或间隔单元)的传输方向。 监视方向:从继电保护设备(或间隔单元)到控制系统的传输方向。 2.1控制方向 ●复位帧计数位 ●复位通信单元 ●召唤1级数据 ●召唤2级用户数据 ●请求链路状态 2.2监视方向 ●确认帧:

实验1使用网络协议分析仪wireshark

实验项目列表

实验报告正文: 一、实验名称使用网络协议分析仪 二、实验目的: 1. 掌握安装和配置网络协议分析仪Wireshark的方法; 2. 熟悉使用Wireshark工具分析网络协议的基本方法,加深对协议格式、协议层次和协议交互过程 的理解。 三、实验内容和要求 1. 安装和配置网络协议分析仪Wireshark(); 2. 使用并熟悉Wireshark分析协议的部分功能。 四、实验环境 1)运行Windows 8.1 操作系统的PC 一台。 2)每台PC 具有以太网卡一块,通过双绞线与局域网相连。 3)Wireshark 程序(可以从下载)和WinPcap 程序(可以从 下载。如果Wireshark 版本为 1.2.10 或更高,则已包含了WinPcap 版 本 4.1.3) 五、操作方法与实验步骤 1) 安装网络协议分析仪 安装Wireshark Version 2.2.6 (v2.2.6-0-g32dac6a)。双击Wireshark 安装程序图标,进入安装过程。根据提示进行选择确认,可以顺利安装系统。当提示“Install WinPcap 4.1.3”时,选择安装;此后进入安装WinPcap 版本4.1.3,并选择让WinPcap 在系统启动时运行。此后,Wireshark 将能安装好并运行 2) 使用Wireshark 分析协议 (1) 启动系统。点击“Wireshark”图标,将会出现下图1所示的系统界面。

图1 Wireshark系统界面 其中“俘获(Capture)”和“分析(Analyze)”是Wireshark 中最重要的功能。 (2) 分组俘获。点击“Capture/Interface”菜单,出现下图所示界面。 图2 俘获/接口界面

实验三_捕获TCP数据包_杨磊

计算机网络与应用实验 实验三捕获TCP数据包 自94班杨磊 2009011451 实验目的 通过实验熟悉Wireshark抓包软件的使用方法,理解TCP传输过程,以及慢启动、拥塞避免等相关技术。 实验环境 1.操作系统:Windows7 网络环境为紫荆2#527A 2.所用软件:wireshark-win32-1.6.3(最新版) 实验内容 1.在windows环境进行Wireshark抓包。 2.在windows环境Wireshark窗口中查看各种协议下的数据包。 3.在windows环境上传文件到服务器,同时观察TCP传输过程。 实验记录与问题解答 回答以下有关TCP 报文段的问题: 1.你的客户端电脑传送文件到166.111.180.98的IP地址和端口是什么?从166.111.180.98接收文件的IP地址和端口是什么? 答:建立连接的前两条报文如下: 15 1.656371 59.66.135.82 166.111.180.98 TCP 66 aura > http-alt [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=4 SACK_PERM=1 { Transmission Control Protocol, Src Port: aura (2066), Dst Port: http-alt (8080), Seq: 0, Len: 0) } 可见,客户端电脑传送文件到166.111.180.98 的IP 地址是59.66.135.82, 端口是2066,166.111.180.98 接收文件的IP 地址是166.111.180.98,端口是8080。

CYGM-61588便携式网络报文分析仪技术规范书

产品技术规范书 (图片仅供参考) 设备名称:便携式网络报文分析仪型号:CYGM-61588 生产厂家: 产品编码: 品牌:

一、产品简介 CYGM-61588便携式网络报文分析仪是应用于智能变电站或电力科研实验室的便携式网络报文分析仪器,全面支持DL/T 860以及智能变电站相关标准,为智能变电站各类二次设备的试验、调试、检修提供数据参考依据。 CYGM-61588可直接采集智能变电站过程层网络的采样值、GOOSE、MMS和IEC 61588对时报文。可选配暂态录波功能和连续记录功能模块,当选配暂态录波功能后,即可实现电网暂态故障的记录和分析测距功能。 二、技术特点 1. 全面记录SV、GOOSE、MMS、IEC61588等智能变电站所有类型报文 2. 采用高性能实时嵌入式操作系统vxWorks,系统稳定、可靠,实时性好 3. 能变电站过程层和站控层网络异常实时告警 4. 原始报文实时记录分析与暂态故障录波一体化设计 5. 支持100M/1000M/FT3等多种采集接口插件的组合配置,接口种类丰富、数目多 6. 4个1000Mbps上行通信网口 7. 支持光纤IRIG-B和电平IRIG-B对时,精度<300ns 8. 所有采集端口均支持IEC61588时钟同步,精度<300ns 9. 同步后,装置自身时钟守时精度24小时误差≦±100ms 10. 实时数据写盘速度:外圈≧70MB/s,内圈≧30MB/s 11. 实时纳秒级硬件时标,时标分辨率为40ns 三、技术指标 1. 处理器:嵌入式双核处理器,内存2GB 2. 存储空间:2TB 3. 操作系统:军工级嵌入式实时操作系统:vxWorks 6.9 4. 智能数据采集接口 标配1:8~16个100Mbps SFP模块 标配2:8个100Mbps SFP模块+4个1000Mbps SFP模块 标配3:8个FT3(ST)光纤接口+8个100Mbps SFP模块 标配4:8个FT3(ST)光纤接口+4个1000Mbps SFP模块

抓包工具以及报文解析

包工具以及报文解析抓常用的包工具有抓Windows下的mms-etherealWireShark和Solaris下的snoop命令。 mms-ethereal可以自动解释mms报文适合进行应用层报文的分析WireShark是ethereal的替代版本介面更加友好但标准版本中没有对mms报文分析的支持snoop主要是用来包没有图形化的分析介面抓snoop取的档可以用抓WireShark打开辅助分析对於广播和组播报文如装置的UDP心跳报文、GOOSE报文61850-9-2的smv采样报文可以用笔记本连接到交换机上任意埠取。对於后台与装置之间的抓TCP通讯有两种方法。一是直接在后台机上安装软体来包二是利用抓HUB 连接后台与装置将笔记本接到HUB上包。抓注意是HUB不能交换机。调试61850的站最好要家里带上一个HUB库房一般是8口10M的TP-LINK---不是交换机。主要用於资料包便於档问题抓。没有HUB根本没有办法档看远动与装置的mms报文只能取到抓goose资料包。如果现场有管理型交换机也可以通过设置埠镜像功能来监视mms报文。WireShark和mms-ethereal均是图形化的介面使用起来比较简单注意选择正确的网可。卡即snoop的使用方法可以用man snoop取得最基本的命令为snoop -d bge0 -o xx.snoop 下面均以WireShark例为mms-ethereal与之类似。1 设置包过滤条件抓在后台上包时资料量比较大档一大之后解析起来速度慢如果单纯了分析抓很为应用层报文可在包的时候

设置过滤条件。如果了分析网路通断问题一般不设置过抓为滤条件便於全面了解网路状况。包过滤条件在抓 Capture-Options-Capture Filter里设置点Capture Filter会有多现很成的例子下面列几个最常用的。举tcp 只取抓tcp报文udp 只取抓udp报文host 198.120.0.100 只取抓198.120.0.100的报文ether host 00:08:15:00:08:15 只取指定抓MAC地址的报文2 设置显示过滤条件打开一个包档后可以在工具列上的抓filter栏设置显示过滤条件这里的语法与Capture Filter 有点差别例如下。举tcp 只取抓tcp报文udp 只取抓udp报文ip.addr198.120.0.100 只取抓198.120.0.100的报文 eth.addr00:08:15:00:08:15 只取指定抓MAC地址的报文还可以在报文上点击右键选择apply as filter等创建一个过滤条件比较方便。3 判别网路状况输入显示过滤条件 tcp.analysis.flags可以显示失、重发等异常情况相关的丢TCP 报文此类报文的出现频率可以作评网路状况的一个尺规。常见的异常类型有以下几个为估TCP Retransmission由於没有及时收到ACK报文而档生的重传报文TCP Dup ACK xxx 重复的ACK报文TCP Previous segment lost前一帧报文失丢TCP Out-Of-OrderTCP的帧顺序错误偶尔出现属於正常现象完全不出现说明网路状态上佳。监视TCP连接建立与中断输入显示过滤条件tcp.flags.syn1tcp.flags.fin1 tcp.flags.reset1SYN是TCP建立的第一步FIN是TCP连接正

常见网络协议报文格式汇总

附件:报文格式 1.1Ethernet数据包格式(RFC894) 1、DstMac的最高字节的最低BIT位如果为1,表明此包是以太网组播/广播包, 送给CPU处理。 2、将DstMac和本端口的MAC进行比较,如果不一致就丢弃。 3、获取以太网类型字段Type/Length。 0x0800→IP 继续进行3层的IP包处理。 0x0806→ARP 送给CPU处理。 0x8035→RARP 送给CPU处理。 0x8863→PPPoE discovery stage 送给CPU处理。 0x8864→PPPoE session stage 继续进行PPP的2层包处理。 0x8100→VLAN 其它值当作未识别包类型而丢弃。 1.2PPP数据包格式 1、获取PPP包类型字段。 0x0021→IP 继续进行3层的IP包处理。 0x8021→IPCP 送给CPU处理。 0xC021→LCP 送给CPU处理。 0xc023→PAP 送给CPU处理。 0xc025→LQR 送给CPU处理。 0xc223→CHAP 送给CPU处理。 0x8023→OSICP 送给CPU处理。 0x0023→OSI 送给CPU处理。 其它值当作未识别包类型而丢弃。

1.3 ARP 报文格式(RFC826) |←----以太网首部---->|←---------28字节ARP 请求/应答 ------ 1.4 IP 报文格式(RFC791)(20bytes) TOS 1.5 PING 报文格式(需IP 封装)(8bytes) 1.6 TCP 报文格式(需IP 封装)(20bytes)

紧急指针有效 ACK 确认序号有效 PSH 接收方应该尽快将这个报文交给应用层 RST 重建连接 SYN 同步序号用来发起一个连接 FIN 发端完成发送认务 1.7 UDP 报文格式(需IP 封装)(8bytes) 1.8 MPLS 报文格式 MPLS 报文类型: 以太网中 0x8847(单播) 0x8848(组播) PPP 类型上 0x8281(MPLSCP)

华南理工大学计算机网络网络报文抓取与分析实验报告

计算机网络 实验指南(计算机类本科生试用) 省计算机网络重点实验室计算机科学与工程学院 华南理工大学 2014年5月

实验二网络报文抓取与分析 1.实验目的 (1)、学习了解网络侦听 (2)、学习抓包工具Wireshark的简单使用 (3)、对所侦听到的信息作初步分析,包括ARP报文,ICMP报文。 (4)、从侦听到的信息中分析TCP的握手过程,进行解释 (5)、分析了解TCP握手失败时的情况 2.实验环境 2.1 Wireshark介绍 Wireshark(前称Ethereal)是一个免费的网络报文分析软件。网络报文分析软件的功能是抓取网络报文,并逐层显示报文中各字段取值。网络报文分析软件有个形象的名字“嗅探工具”,像一只猎狗,忠实地守候在接口旁,抓获进出该进口的报文,分析其中携带的信息,判断是否有异常,是网络故障原因分析的一个有力工具。 网络报文分析软件曾经非常昂贵,Ethereal/wireshark 开源软件的出现改变了这种情况。在GNUGPL通用许可证的保障围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal/wireshark 是目前世界使用最广泛的网络报文分析软件之一。 请需要的同学在教学在线上下载中文操作手册。 2.2 实验要求 软件: Wireshark (目前最新版本1.4.1) 硬件:上网的计算机

3.实验步骤 3.1 wireshark的安装 wireshark的二进制安装包可以在官网https://www.sodocs.net/doc/518492422.html,/download.html#release下载,或者可以在其他下载。 注意:下载后双击执行二进制安装包即可完成wireshark的安装。安装包里包含了WinPcap,并不需要单独安装WinPcap。 3.2 查看本机的网络适配器列表 操作:单击菜单Capture中的Interfaces选项 记录下你看到的信息,并回答问题: (1)、你机器上的网络适配器有几个?4 (2)、它们的编号分别是? VMware Network Adapter VMnet8 实际地址: 00-50-56-C0-00-08 IP 地址: 192.168.241.1 子网掩码: 255.255.255.0 验证网卡 实际地址: 00-1E-30-2D-FF-BA IP 地址: 169.254.2.191 子网掩码: 255.255.0.0 默认网关: DNS 服务器: 222.201.130.30, 222.201.130.33

网络报文格式分析

实验一网络报文格式分析 一、实验目的: 1、学习sniffer程序(IRIS)的使用方法,掌握如何分析特定类型的报文格式。 2、熟悉各种网络报文格式的组成和结构。 3、熟悉各种协议的通信交互过程。 二、实验属性: 验证性 三、实验仪器设备及器材 仅需计算机 四、实验要求 实验前认真预习TCP/IP协议内容,尤其应认真理解TCP、IP协议报文格式;在进行实验时,应注意爱护机器,按照试验指导书的要求的内容和步骤完成实验,尤其应注意认真观察试验结果,做好记录;实验完成后应认真撰写实验报告。五、实验原理

六、实验步骤 1、利用IRIS打开附录文件htm1.cap和htm2.cap,利用Capture分析各种网络报文(MAC、IPv4、TCP)的首部格式和上下报文之间的关系。 (1)分析MAC帧的首部格式,注意上下报文之间MAC地址字段的变化。 (2)分析IP数据报首部格式,注意上下报文之间IP地址字段和标识字段的变化。 (3)分析TCP报文段的首部格式(图1),注意上下报文之间端口字段、序号字段、 确认号字段和窗口字段的变化;

通过TCP首部中的控制比特,了解相应比特的应用环境,分析TCP连接的建立(图2),释放和拒绝过程。

2、利用IRIS打开附录文件htm3.cap,利用Decode分析报文的明文内容。

实验二网络报文捕获 一、实验目的: 1.学习sniffer程序(IRIS)的使用方法,掌握如何从正在运行的网络中捕获特定类型的所需报文。 2.熟悉各种网络报文格式的组成和结构。 3.熟悉各种协议的通信交互过程。 二、实验属性: 设计性 三、实验仪器设备及器材 仅需计算机 四、实验要求 实验前认真预习TCP/IP协议内容,尤其应认真理解TCP、IP协议报文格式;在进行实验时,应注意爱护机器,按照试验指导书的要求的内容和步骤完成实验,尤其应注意认真观察试验结果,做好记录;实验完成后应认真撰写实验报告。五、实验原理

103报文详细解析

103规约转出软件实验报告(改进版) 1、初始化 主站发: 10 40 04 44 16 目的:给地址为04的装置发复位通信单元命令。 10 1999年11月8日1999年11月8日结果分析:程序行为正确。 主站发连续发送报文:68 0f 0f 68 44 ff 06 81 08 ff ff 00 d4 26 0f 09 28 0b 63 78 16目的:测试程序连续运行时的行为。 测试时间:一天 结果分析:连续运行结果正确。 主站发连续发送报文:68 0f 0f 68 44 ff 06 81 08 ff ff 00 d4 26 0f ff 28 0b 63 78 16目的:测试程序连续运行时的行为。 测试时间:一天。 结果分析:连续运行结果正确。 主站发:68 0f 0f 68 44 01 06 81 08 01 ff 00 d4 26 0f 09 28 0b 63 7c 16 68 0f 0f 68 44 01 06 81 08 01 ff 00 d4 26 0f 09 28 0b 63 7c 16 目的:给地址为01的装置发对时命令。 对时时间为:1999年11月8日9时15分秒 装置受(第一次):00 1f 00 09 ff 03 3d 09 0f 09 08 0b 63 对时令:对时时间:1999年11月8日9时15分9秒 装置受(第二次):00 1f 00 03 ff 03 3e 时钟同步令 子站回答:10 20 01 21 16 目的:ACD位置1,子站向主站请求上送1级数据。 主站发:10 7a 01 7b 16 目的:主站发向子站请求1级数据命令。 子站回答:68 0f 0f 68 08 01 06 81 08 01 ff 00 d4 26 0f 09 28 0b 63 40 16 目的:子站以ASDU6响应主站的召唤1级数据命令。

ppp数据包格式分析

PPP数据包格式分析 PPP简介 点对点协议(PPP)为在点对点连接上传输多协议数据包提供了一个标准方法。PPP 最初设计是为两个对等节点之间的IP 流量传输提供一种封装协议。在TCP-IP 协议集中它是一种用来同步调制连接的数据链路层协议(OSI 模式中的第二层),替代了原来非标准的第二层协议,即SLIP。除了IP 以外PPP 还可以携带其它协议,包括DECnet 和Novell 的Internet 网包交换(IPX)。 PPP是一种数据链路层协议,遵循HDLC(高级数据链路控制协议)族的一般报文格式。PPP是为了在点对点物理链路(例如RS232串口链路、电话ISDN线路等)上传输OSI模型中的网络层报文而设计的,它改进了之前的一个点对点协议–SLIP协议–只能同时运行一个网络协议、无容错控制、无授权等许多缺陷,PPP是现在最流行的点对点链路控制协议。 PPP的帧格式 图1 PPP的帧格式解释 FCS:帧校验 标志flag:字段恒为0×7f 地址(adress):字段恒为0xff 控制(control)字段恒为0×03 协议(protocol):字段表示PPP报文中封装的payload(data字段)的类型,如果为0×0021,则表示PPP封装的IP报文,0×002B表示IPX报文,0×0029表示AppleTalk报文,这几种都属于PPP的数据报文;如果为0×8021则表示PPP的LCP报文(用来协商连接),如果为0xC021则属于PPP的NCP报文(用来协商封装的三层协议),这些属于PPP的控制报文。 LCP 链路控制协议(LCP) LCP 建立点对点链路,是PPP 中实际工作的部分。LCP 位于物理层的上方,负责建立、配置和测试数据链路连接。LCP 还负责协商和设置WAN 数据链路上的控制选项,这些选项由NCP 处理。 NCP PPP允许多个网络协议共用一个链路,网络控制协议(NCP) 负责连接PPP(第二层)和网络协议(第三层)。对于所使用的每个网络层协议,PPP 都分别使用独立的NCP来连接。例如,IP 使用IP 控制协议(IPCP),IPX 使用Novell IPX 控制协议(IPXCP)。

相关主题