实验一数据报文分析
物联10 查天翼41050051
一、实验目的
1.掌握网络分析原理
2.学习Wireshark协议分析软件的使用
3.加深对基本协议的理解
二、实验环境
机器代号：K053
IP地址：222.28.78.53
MAC地址：00-88-98-80-95-C2
三、实验结果
数据链路层（以太网）数据帧分析
3c e5 a6 b3 af c1 00 88 98 80 95 c2 08 00
3c e5 a6 b3 af c1：表示目的MAC(Hangzhou_b3:af:c1)地址
00 88 98 80 95 c2：表示本机MAC地址
08 00：表示数据类型，里面封装的是IP数据包
IP数据包分析
45 00 00 28 63 cd 40 00 80 06 19 1f de 1c 4e 35 77 4b da 46
45：高四位是4，表示此数据报是IPv4版本；低四位是5，表示首部长度，由于首部长度以4字节为单位，所以IP数据包的首部长度为20字节。

00：表示服务类型
00 28：表示数据包的总长度是40
63 cd：表示表示字段0x63cd(25549)
40 00：“40”高4位表示标志字段，低4位和第8个字节“00”组成片偏移字段。

80：表示生存时间
06：表示数据包的数据部分属于哪个协议，此值代表的协议是TCP协议。

19 1f：表示首部校验和
de 1c 4e 35：表示源IP地址222.28.78.53
77 4b da 46：表示目的IP地址119.75.218.70
07 a1 00 50 d7 c3 fb a4 5d 84 9a 2e 50 10 ff ff 5e e4 00 00
07 a1：表示源端口号1953
00 50：表示目的端口号80
d7 c3 fb a4：表示序号字段值430
5d 84 9a 2e：表示确认序号值3196
50：“50”的高4为位表示数据偏移字段值，该TCP报文数据偏移字段值是5，该字段表示报文首部的长度，以4字节为单位，所以该TCP报文的首部长度是20字节。

10：表示ACK=1，SYN=0
ff ff：表示窗口字段值是65535，即告诉发送端在没有收到确认之前所能发送最多的报文段的个数。

5e e4：表示校验和字段0x5ee4
00 00：表示紧急指针字段值
04 49：表示源端口是1097
1e 7b：表示目的端口是7803
00 18：表示报文长度是24
a2 2e：表示校验和字段0xa22e
思考题：
1.TCP的顺序号和确认号有什么规律？
TCP的序列号加上数据大小也就是下一个数据包中服务器发送给客户端的数据包中的确认号。

2.TCP数据中为什么没有总长度？
因为TCP数据中有一个标明是否是结尾报文的标志位，只有最后的那个报文会置为0。

所以可以通过收到的报文推算出TCP数据的总长度。

3.UDP校验和根据什么计算？
在发送数据时进行计算：首先把IP数据包的校验和字段置为0，然后把首部看成以16
位为单位的数字组成，依次进行二进制反码求和。

最后把得到的结果存入校验和字段中。

在接收数据时进行计算：先把首部看成以16位为单位的数字组成，依次进行二进制反码求和，包括校验和字段。

再检查计算出的校验和的结果是否等于零（反码应为16个1）。

如果等于零，说明被整除，校验是和正确。

否则，校验和就是错误的，协议栈要抛弃这个数据包。