基于Wireshark的网络数据包内容解析摘要本课程设计是利用抓包软件Wireshark，对网络服务器与客户端进行网络数据收发过程中产生的包进行抓取，然后对所抓取的包进行分析，并结合的协议进行分析，达到了解各种数据包结构的目的。

设计过程中对各种包进行抓取分析，各种包之间比较，了解每种包的传输过程与结构，通过本次课程设计，能很好的运用Wireshark对数据包分析和Wireshark各种运用，达到课程设计的目的。

关键词IP协议；TCP协议；UDP协议；ARP协议；Wireshark；计算机网络；1 引言本课程设计主要是设计一个基于Wireshark的网络数据包内容解析，抓取数据包，然后对所抓取的包进行分析，并结合的协议进行分析，达到了解各种数据包结构的目的1.1 课程设计目的Wireshark是一个网络封包分析软件。

可以对网络中各种网络数据包进行抓取，并尽可能显示出最为详细的网络封包资料，计算机网络课程设计是在学习了计算机网络相关理论后，进行综合训练课程，其目的是：1.了解并会初步使用Wireshark，能在所用电脑上进行抓包；2.了解IP数据包格式，能应用该软件分析数据包格式。

1.2 课程设计要求（1）按要求编写课程设计报告书，能正确阐述设计结果。

（2）通过课程设计培养学生严谨的科学态度，认真的工作作风和团队协作精神。

（3）学会文献检索的基本方法和综合运用文献的能力。

（4）在老师的指导下，要求每个学生独立完成课程设计的全部内容。

1.3 课程设计背景一、Wireshark（前称Ethereal）是一个网络封包分析软件。

网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。

网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。

在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。

Wireshark的出现改变了这一切。

在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。

Wireshark是目前全世界最广泛的网络封包分析软件之一。

二、网络嗅探需要用到网络嗅探器，其最早是为网络管理人员配备的工具，有了嗅探器网络管理员可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器分析网络流量，找出网络阻塞的来源。

网络嗅探是网络监控系统的实现基础。

网络嗅探需要用到网络嗅探器，其最早是为网络管理人员配备的工具，有了嗅探器网络管理员可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器分析网络流量，找出网络阻塞的来源。

嗅探器也是很多程序人员在编写网络程序时抓包测试的工具，因为我们知道网络程序都是以数据包的形式在网络中进行传输的，因此难免有协议头定义不对的。

网络嗅探的基础是数据捕获，网络嗅探系统是并接在网络中来实现对于数据的捕获的，这种方式和入侵检测系统相同，因此被称为网络嗅探。

网络嗅探是网络监控系统的实现基础，首先就来详细地介绍一下网络嗅探技术，接下来就其在网络监控系统的运用进行阐述。

2 网络协议基础知识2.1 IP协议（1） IP协议介绍IP是英文Internet Protocol（网络互连的协议）的缩写，中文简称为“网协”，也就是为计算机网络相互连接进行通信而设计的协议。

在因特网中，它是能使连接到网上的所有计算机网络实现相互通信的一套规则，规定了计算机在因特网上进行通信时应当遵守的规则。

任何厂家生产的计算机系统，只要遵守 IP协议就可以与因特网互连互通。

（2）IP协议的网络互连实现各个厂家生产的网络系统和设备，如以太网、分组交换网等，它们相互之间不能互通，不能互通的主要原因是因为它们所传送数据的基本单元（技术上称之为“帧”）的格式不同。

IP协议实际上是一套由软件程序组成的协议软件，它把各种不同“帧”统一转换成“IP数据包”格式，这种转换是因特网的一个最重要的特点，使所有各种计算机都能在因特网上实现互通，即具有“开放性”的特点。

（3）IP数据报TCP/IP协议定义了一个在因特网上传输的包，称为IP数据报(IP Datagram)。

这是一个与硬件无关的虚拟包, 由首部和数据两部分组成，其格式如图2.1所示:图2-1 IP数据报一般格式IP数据报的详细格式如图2.2所示：图2-2 IP数据报的详细格式IP数据报固定部分各字段含义：(1)版本占4位，指IP协议的版本。

通信双方使用的IP协议版本必须一致。

目前广泛使用的IP协议版本号为4（即IPv4）。

关于IPv6，目前还处于草案阶段。

(2)首部长度占4位，可表示的最大十进制数值是15。

请注意，这个字段所表示数的单位是32位字长（1个32位字长是4字节），因此，当IP的首部长度为1111时（即十进制的15），首部长度就达到60字节。

当IP分组的首部长度不是4字节的整数倍时，必须利用最后的填充字段加以填充。

因此数据部分永远在4字节的整数倍开始，这样在实现IP协议时较为方便。

首部长度限制为60字节的缺点是有时可能不够用。

但这样做是希望用户尽量减少开销。

最常用的首部长度就是20字节（即首部长度为0101），这时不使用任何选项。

(3)区分服务占8位，用来获得更好的服务。

这个字段在旧标准中叫做服务类型，但实际上一直没有被使用过。

1998年IETF把这个字段改名为区分服务DS(Differentiated Services)。

只有在使用区分服务时，这个字段才起作用。

(4)总长度总长度指首部和数据之和的长度，单位为字节。

总长度字段为16位，因此数据报的最大长度为216-1=65535字节。

在IP层下面的每一种数据链路层都有自己的帧格式，其中包括帧格式中的数据字段的最大长度，这称为最大传送单元MTU(Maximum Transfer Unit)。

当一个数据报封装成链路层的帧时，此数据报的总长度（即首部加上数据部分）一定不能超过下面的数据链路层的MTU值。

(5)标识(identification) 占16位。

IP软件在存储器中维持一个计数器，每产生一个数据报，计数器就加1，并将此值赋给标识字段。

但这个“标识”并不是序号，因为IP是无连接服务，数据报不存在按序接收的问题。

当数据报由于长度超过网络的MTU而必须分片时，这个标识字段的值就被复制到所有的数据报的标识字段中。

相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。

(6)标志(flag) 占3位，但目前只有2位有意义。

标志字段中的最低位记为MF(More Fragment)。

MF=1即表示后面“还有分片”的数据报。

MF=0表示这已是若干数据报片中的最后一个。

标志字段中间的一位记为DF(Don’t Fragment)，意思是“不能分片”。

只有当DF=0时才允许分片。

(7)片偏移占13位。

片偏移指出：较长的分组在分片后，某片在原分组中的相对位置。

也就是说，相对用户数据字段的起点，该片从何处开始。

片偏移以8个字节为偏移单位。

这就是说，每个分片的长度一定是8字节（64位）的整数倍。

(8)生存时间占8位，生存时间字段常用的的英文缩写是TTL(Time To Live)，表明是数据报在网络中的寿命。

由发出数据报的源点设置这个字段。

其目的是防止无法交付的数据报无限制地在因特网中兜圈子，因而白白消耗网络资源。

最初的设计是以秒作为TTL的单位。

每经过一个路由器时，就把TTL减去数据报在路由器消耗掉的一段时间。

若数据报在路由器消耗的时间小于1秒，就把TTL值减1。

当TTL值为0时，就丢弃这个数据报。

(9)协议占8位，协议字段指出此数据报携带的数据是使用何种协议，以便使目的主机的IP层知道应将数据部分上交给哪个处理过程。

(10)首部检验和占16位。

这个字段只检验数据报的首部，但不包括数据部分。

这是因为数据报每经过一个路由器，路由器都要重新计算一下首部检验和（一些字段，如生存时间、标志、片偏移等都可能发生变化）。

不检验数据部分可减少计算的工作量。

(11)源地址占32位。

(12)目的地址占32位。

IP数据报可选部分字段含义：IP首部的可变部分就是一个可选字段。

选项字段用来支持排错、测量以及安全等措施，内容很丰富。

此字段的长度可变，从1个字节到40个字节不等，取决于所选择的项目。

某些选项项目只需要1个字节，它只包括1个字节的选项代码。

但还有些选项需要多个字节，这些选项一个个拼接起来，中间不需要有分隔符，最后用全0的填充字段补齐成为4字节的整数倍。

2.2 ARP协议（一）ARP协议简介：ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。

在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。

在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。

ARP是通过地址解析协议获得的。

所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC 地址，以保证通信的顺利进行。

ar_hrd(ARPHRD_ETHER)ar_pro(ETHERTYPE_IP)ar_hln(6)协议地址长度，ar_pln(4)6 bytes 6 2 2 2 1 1 2 6 4 6 4图2-3 ARP请求回答格式（二）ARP协议的利用和相关原理介绍：一、交换网络的嗅探ARP协议并不只在发送了ARP请求才接收ARP应答。

当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。

因此，在上面的假设网络中，B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。

当A接收到B伪造的ARP应答，就会更新本地的ARP缓存，将本地的IP-MAC对应表更换为接收到的数据格式，由于这一切都是A的系统内核自动完成的，A可不知道被伪造了。

ARP欺骗的主要用途就是进行在交换网络中的嗅探。

有关交换网络的嗅探不是本文的讨论内容。

二、IP地址冲突在网络连接的时候，如果网络中存在相同IP地址的主机的时候，就会报告出IP地址冲突的警告。

假设某主机B规定IP地址为192.168.0.1，如果它处于开机状态，那么其他机器A 更改IP地址为192.168.0.1就会造成IP地址冲突。

其原理就是：主机A在连接网络（或更改IP地址）的时候就会向网络发送ARP包广播自己的IP地址，也就是freearp。