实验一：网络数据包分析实验班级：班学号：姓名:一、实验目的通过对实际的网络数据包进行捕捉，分析数据包的结构，加深对网络协议分层概念的理解，并实际的了解数据链路层，网络层，传输层以及应用层的相关协议和服务。

、实验内容1. IGMP包解析1.1数据链路层El代XEL洱丁；亡日：亡5 MB)」osr: IP- 4m<as z_<i J;QJ L15 (21 -E-D.5eJO.E-D■>4 t-is ：hi-At I _n * tP f Ld L^iJ 1 Sei 00:00:1^^saur-ctt El1imro_&ai«SiUType；IP CgMOsw)源数据：数据链路层头部：01 00 5e 00 00 16 00 21 97 0a e5 16 08 00 数据链路层尾部：00 00 00 00 00 00分析如下：数据头部的前6个字节是接收者的mac地址：01 00 5e 00 00 16 数据头部的中间6个字节是发送者的mac地址：00 21 97 0a e5 16 数据头部的最后2个字节代表网络协议，即：08 00协议类型。

1.2网络层Header* 1 cngth: 24 byresn axed services "乜Id：0x00 (.DSCP 0X00: D&fau11: 0x003Tqtil rength:斗DTdsrrtificar I cn： QklclJ 也^7460)H Flmqs： Q>00Fra^Tienr offset;：QTime VQ live; 1Fr DTCCDl : IGMP go?)¥ HPAder fhecksijn：CxJ85c [correct]5DU RUM;172,10.103.?0 <L72<10.163・2O)Castinari ant 224.0.0.22 (224.3.0.22^±j opt 1 oris: (4 Lyn源数据：46 00 00 28 1d 38 00 00 01 02 d8 5c ac 10 a3 14 e0 00 00 16 94 04 00 00数据分析：第一个字节（46）的前4位表示的是IP协议的版本，即IPv4;它的后4位表示首部长度为6,最大十进制数值时为15第二个字节（00）是区分服务，一直缺省，所以为0第三、四字节（00 28）是指首部和数据之和的长度40个字节第五、六字节（1d 38）是一个数据报被分片后的标识，便于正确地重装原来的数据报第七、八字节（00 00）分前3位为标志位和后13位为片偏移，其中标识位只有两位有意义，表明这已经是若干用户数据报片最后一个（MF=0，并且DF=0）不需要再分片了。

偏移为0第九个字节（01）表示的是数据报在网络中的寿命为128第十个字节（02）指出这个数据报携带的数据时使用的IGMP协议第^一、十二字节（d8 5c）表示首部检验和，大小为55388字节，对数据报的保留与丢弃进行判别第十三个字节加上后面的3个字节（ac 10 a3 14）是发送者的IP源地址（172.16.163.20）第十七个字节及后面的三个字节（e0 00 00 16）是接收者的IP地址（224.00.00.22最后四个字节（94 04 00 00是任意的-interred Group flanagement Pratocalver s1on: 3]Type: Nan tiers hip Report （0x22）Haicer checksum i Oxf2Sd [correct]Nun Group Racards:丄-Group Record : 224-2. 7.141 change To E KC I uds ModeRecord rype： change ro txcluda i*ode 〔4]ALD£ Dart a Lent 0ijuri src; 0Mulficast AdrirESS： 224,^.7.141 （224.3.7,1411源数据：22 00 f2 6d 00 00 00 01 04 00 00 00 e0 03 07 8d数据分析：第一个字节（22）代表的这个为多播地址路由器第三、四个字节（f2 6d）是一个检验和第七、八个字节（00 01）是组播的第一个分组第九个字节（04）是记录类型最后4个字节（e0 03 07 8d是个组播地址2. ICMP包解析r■■ TFbL^t •:EtTJl **T?Siqe *rrr KiJ）2. 1数据链路层日ExharnAc ii, src± 匚sd:csx DET: cU<a_ed：4C：aB <aD±oc：86：adMO：C0）-np^r-inTicr ：Ci?rn_**rt'4O:OQ （00:0c: Fift'flri：da：Ofi）Address: cisco sd：4□:c? £QQ；QV;&P：亡理；斗。

；。

日1.+ ・一..*o …一.* + 一一…* = it faR：mdljlcftjil adcfres弓tun1ca5t>__ _ -0- --_. ......... . . = LC bit: u 1 ch^ 1 ly u fi1 que adck'es s 〔factory1 de^ault^ -SQiirce： cem|Mnn_tiL：yd:cy（.苗：曲：庶：龜：二乩汕）Add J t-iS : uumudl lr_61:3d: .3 （70:1j.:b6：tl: Sd :c_3^—……"心 .................... . .. -TG hdr: Tnd^ldual iddrMi （unlc&st）...・*・□**・*, …八・ **..-・* - LG bit: Glcbilly unique address Cracto^y default）Type: IP（oxoaia）源始数据：00 0c 86 ed 40 09 70 5a b6 61 8d c8 08 00数据分析：前6个字节（00 0c 86 ed 40 09表示的是接收者MAC地址接下来的6个字节（70 5a b6 61 8d c8表示是发送者的MAC地址最后连个字节（08 00）是类型字段，0x0800表示上一层使用的是IP数据包2. 2网络层3 rmnP^iiet 刊I ociil, , : 177.16.?l r.1 U (177.10.21 『巧I : 16?.27)vprslan: 4Hfiid dr Iftngch: 20 bytfia-dff arantlii：a^ ^arvl:-1 sU: QKCQ (OSCP Q>QO：Default; ten：Qxc口)9000 00…-Differ: nt1 at Ed scrvi ces cadcpo^1nt: ocfaulx CDXDO^......0. - GCW-C-i;able Traricport [CCT): D 0 - E6VE：aFertal LEH^t: <0Idenfification; 0«d钦3 154979'E Flags: 0x000. . = Res er vied bit: Not 5et.FL . =D JI i ' I frj ijnen l : tv 口匸Set..O = M^r e fr agttb&niE；NOE strFr agirienc _f f s er : 01ri@ co 11ve：丄ZEprotocol ： ICMP CUKULS)-He Ad er checks JTI: [t 亡r rcct][Good: True]Lead : -alse]Source; 172.1G. ZL5.L54 (172*LG< 215,154 jDestination: 17?.L6 £172.16^163.27)源始数据：45 00 00 3c d6 c3 00 00 80 01 91 26 ac 10 d7 9a ac 10 a3 1b数据分析：第一个字节（45）的前4位表示的是IP协议的版本，即IPv4;它的后4位表示首部长度为5,最大十进制数值时15第二个字节（00）是区分服务，一直缺省，所以为0第三、四字节（00 3c）是指首部和数据之和的长度60个字节第五、六字节（d6 c3）是一个数据报被分片后的标识，便于正确地重装原来的数据报第七、八字节（00 00）分前3位为标志位和后13位为片偏移，其中标识位只有两位有意义，表明这已经是若干用户数据报片最后一个（MF=0，并且DF=0）不需要再分片了。

偏移为0第九个字节（80）表示的是数据报在网络中的寿命为128第十个字节（01）指出这个数据报携带的数据时使用的ICMP协议第^一、十二字节（91 26）表示首部检验和，大小为401字节，对数据报的保留与丢弃进行判别第十二个字节后的四位（ac 10 d7 9a表示源地址（172.16.215.154）最后四个字节（ac 10 a3 1b表示目的地址（172.16.163.27）曰mte「net control Message ProtocolType; 3 fEcho Cping) request)匚ode: 0 ()checksum: 0xd85b [car red]rdentifi er: 0x02 00Sequence number : 294-40 (g丁200J-Data (32 bytes)Daxa：&162&364 6566&76869&A6B6C6D&£5F7071727^7475767751...[Length: S2]源始数据：08 00 d8 5b 02 00 73 00 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 7273 74 75 76 77 61 62 63 64 65 66 67 68 69数据分析：第一个字节（08）是说明ICMP报文为询问报文，送回（Echo）请求或回答第二个字节（00）指的是代码为0第四、五个字节（d8 5b）是检验和第六、七个字节（02 00）是标识符第八、九个字节（73 00）是这个报文的序列号位29440第九个字节以后的字节（61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 7273 74 75 76 77 61 62 63 64 65 66 67 68 6）是这个报文所带的数据3. ARP包解析3. 1数据链路层-1 Ethe net II±5r ■.: Conpdlln_41:Bd:cB (T0: :L<:<iL:8 .; B), D3i; BTMdcdst (f F:f^:Ff :ff :ff -Lsitination: Broad匚也st 〔Ff:+尸；于尸；幵：ff:干卡)<■ source: causalln_6L;fid:cS (7D: Sa; a6 ;61:8d:<SjTy:a: APP CDX0305JTT i!lar ： m.imi n.i3iinnnn m 11.13mii.ii=—. a. _JU 一 >_ —— c _ 一. ■ J! —^― i—u .一—亠—<_ —F 一— _ .. _ __ —<a— %源始数据：数据的头部：ff ff ff ff ff ff 70 5a b6 61 8d c8 08 06数据的尾部：11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 数据分析：头部的前6个字节(ff ff ff ff ff ff )是表示广播地址，告诉所有这个电脑所在的本网络的电脑第七个字节到第十二个字节(70 5a b6 61 8d c8)表示的是发这个广播的以太网地址第十三、十四字节(08 06)表示ARP协议的类型3. 2网络层- Address Resolut 1 □ n Prcrtcitcn (rHardware Type: Ethernet <0x0001)Protocol type: IP (0x0800)Har dwa『亡size: 6proTocol si ze; 4op cods: reque^T (OxOOOl)[is graruiTous: raise]sender 训人匚address:匚ompalin_61:8d:c8 (70:5a:b6:61:8d:c8)Sender IP idefress: 172.16,215.154 (172.16,215.154)7a r g et MAC address : 00:00: : 00 : (00:00:00:00:00:00)Tirge^ IP address; 172.16.215<1 (172,16.215.15源始数据：00 01 08 00 06 04 00 01 70 5a b6 61 8d c8 ac 10 d7 9a 00 00 00 00 00 00 ac 10 d7 01数据分析：开头的两个字节（00 01）是硬件接口类型，即对于以太网第三、四个字节（08 00）是高层协议类型，即十六进制第五个字节（06）是硬件地址长度第六个字节（04）是表示协议地址长度第七、八个字节（00 01）是表示操作码，请求第一个主机第九个字节和其后面的五个字节（70 5a b6 61 8d c8是发出广播人的MAC 地址第十五个字节和其后面的三个字节（ac 10 d7 9a是发出广播人的IP地址第二十个字节和其后面的五个字节（00 00 00 00 00 00是接收端MAC地址，由于是在广播寻找，所以都为0最后四个字节（ac 10 d7 01）是接受端的IP地址三、实验结论在抓的包中可以看到双方的MAC 地址和IP 地址。