初探数据包分析程序设计

初探数据包分析程序设计

Author ：maigan

From : 第八军团－信息安全小组（https://www.doczj.com/doc/cb9164634.html, https://www.doczj.com/doc/cb9164634.html,)

Mail : maigan@https://www.doczj.com/doc/cb9164634.html,

Warnong: 转载本文请注明作者及出处

整天在网上转，也看到许多不错的文章，但我发现大多文章要么只停留在理论上，要么就

是太高深。对问题详细分析介绍的很少。今天，我就想以数据包分析程序为主题和大家讨论一

下网络编程的的相关问题，我也是新手，有不到之处，还望大家不吝指正。

通过对数据包的分析，我们可以判断通信双方的操作系统、网络信息流量、经过的路由、

数据包的大小，以及数据包的内容等等。对于喜欢网络安全的人来说，掌握这方面的知识是相

当重要的。现在的网络通信中，大部分数据都没有加密，我们可以轻易地从数据包中提取账号

、密码之类我们关心的数据.大家在看本文时如有困难，可先读一读计算机网络及C程序设计还

有协议分析方面的书。下面我将分TCP/IP族协议结构、程序部分函数及数据结构说明、案例程

序剖析三个部分与大家共同学习数据包分析程序的设计方法

一、TCP/IP族协议结构

在说TCP/IP之前，先让我们来认识一下以太网，因为我们现在接触最多的就是以太网，

并且研究数据包又是离不开以太网的帧的。在以太网中，数据是以被称为帧的数据结构本为单

位进行交换的。以太网中常用的协议是CSMA/CD(carrier sense multiple access with collision detection)即载波监听多点接入/碰撞检测，在这里，我们关注的是帧的格式。常

用的以太网帧的格式有两种标准，一种是DIX Ethernet V2标准，另一种是IEEE的802.3标准。

现在最常用的MAC帧是V2格式，这也是我们所要研究的格式，至于802.3帧我们不再讨论。以太

网V2帧的格式如下：

(插入8字节）目的地址（6字节）->源地址(6字节)->类型(2字节)->数据(46-1500)->FCS(4字

节)

以太网的地址由48位的二进制来表示,也就是我们常说的MAC地址及硬件地址。在MAC 帧前还有8

字节的前同步码和帧的开始定界符，之后才是地址等报头信息。接收端和发送端的地址之后是

2字节的类型字段，存放帧中传送数据的上层协议类型，RFC1700号文档规定了这些，如下：ETHER TYPES(十六进制) PROTOCOlS

800 IP

806 ARP

8035 Revese ARP

809B Apple Talk

8137/8138 Novel

814c SNMP

帧的数据部分长度为46－1500字节，当小于46时，会在后面加入一个整数字节的填充字段。

FCS(Frame Check Sequence)在以太网常用循环冗佘校检(CRC:cyclic redandancy check)。

IP协议为网络层协议，网络层的数据结构体被称为IP数据报。IP地址及域名这两个概念

我们就不说了，下面我们来看一看IP数据报的结构：

成员名字节数说明

version 1/2 IP的版本，现在为IPV4

IHL(报送长度) 1/2 最常用为20，取5－15之前的值，最

大60字节

Type Of Service 1 优先和可靠性服务要求的数值

Total Lenth 2 IP数据报的全长

Identification 2 识别IP数据报的编号

Flags 3/8 1位为0表示有碎块，2位为0表示是

最后的碎块，为1表示接收中。

Fragment Offset 13/8 分片在原分组中的位置

TTL 1 数据报寿命，建议值为32秒

Protocol 1 上层协议

Headerchecksum 2 报头检验码

Source Address 4 发送端IP地址

Destination Address 4 接收端IP地址

Options And Padding 4 选项及填充位

其中协议字段的值对我们分析数据包是很重要的，下面列出来给大家看看：

值协议意义

1 ICMP Internet Control Message

Protocol

6 TCP Tranfer Control Protocol

8 EGP Exterior Gateway Protocol

9 IGP Interior Gateway Protocol

17 UDP User Datagram Protocol

下面这些协议的值在后面的程序中我们可以见到，请大家留心记一下。接着我们介绍地址解析

协议(ARP/RARP):

成员名字节数说明

Hardware address 2 硬件类型，以太网为1

Protocol address 2 上层协议类型，IP为800

Byte length of each hardware 1 查询物理地址的字节长度，

以太网为6

Byte length of each protocol address 1 查询上层协议的字节长度，

IPv4时为4

Opcode 2 1为ARP请求，2为响应；3为

RARP请求，4为响应

Hardware address of sender of this packet 6 发送端硬件地址

protocol address of sender of this packet 4 发送端IP地址

Hardware address of target of this packet 6 查询对象硬件地址

Protocol address of target of this packet 4 查询对象IP地址

ARP/RARP协议用来查询IP对应的硬件地址或反过来查询IP地址，这在我们分析数据包时也会见

到。下面介绍ICMP协议。我们常用的PING命令就是用的这个协议，这个协议比较简单，由类型

(1字节)、代码(1字节)、检验和(2字节)、还有四个字节的与类型相关的可变部分及数据构成

。

数据包在运输层还有两个重要的协议，即TCP/UDP，TCP/UDP中使用端口的概念，以区别

计算机上不同的程序。下面我们先来看看TCP数据报的首部构成：

成员名字节数说明

Source Port 2 发送端端口号

Destination Port 2 接收端端口号

Sequence NO 4 本报文段所发送的

第一个字节的序号

ACk Number 4 期望收到的下一个

报文段的序号

DAta Offset 1/2 首部的长度

Reserved 3/4 保留今后用

Contol Bits 3/4 控制位

Window 2 滑动窗口的大小

Checksum 2 检验和

Urgent Pointer 2 紧急指针

Options And Padding 4 可选，真充项

Tcp被使用在跨越路由器进行网络服务的网络应用程序中，如WWW、电子邮件、新闻、FTP 等。

UDP则是在IP的基础上加入了端口的概念，其结构很简单，只有八个字节首部如下：

源端口(2字节)->目的端口(2字节)->长度(2字节)->检验和(2字节)

二、程序部分函数及数据结构说明

在此部分我们将介绍后面程序中用到的部分函数及数据结构。在程序中我们使用了PCAP

程序库，大家可以从

ftp://https://www.doczj.com/doc/cb9164634.html,/libpcap.tar.z下载。?..颐侵饕 赗edhat Linux下测试程序，这里简单

介绍一下程序库的安装方法，其它环境请大家自行解决。我的目的是给大家编写数据包分析程

序提供思路，至于实用程序的实现这里不做介绍，第三部分给出的程序也不具实用性，为了演

示，程序中实现的功能较多而有些地方又不够详细，编写实用程序时请适当取舍并加入你所需

要的功能实现部分。PCAP程序库的安装方法如下：

1、解压文件

2、进入文件目录执行./configure 及make

3、使用Make命令，设定手册和Include文件(要有Root权限)，执行以下命令：

make install -man

make install -incl

4、如出现不存在Include及Include/net目录，则建立此目录并重新执行make

install -incl

5、检查/usr/include/netinet/目录是否存在Protocols.h文件，不存在则拷贝过去。

至此程序库安装完毕。

下面介绍程序中出现的部分函数及数据结构：

1、PCAP_t *pd;

此型数据结构称为数据包捕捉描述符。

2、Pcap_Open_Live(argv[1],DEFAUT_SNALEN,1,1000,ebuf)

此函数对Pcap程序库进行初始化并返回指向Pcap_t型数据的指针，其参数列表如下

：

char * 指定网络接口

int 取得数据的最大字节数

int 指定网络接口卡，一般用1

int 读出暂停时间

char * 错误消息用缓冲区

3、Pcap_loop(pd,-1,packet_proce,NUll)

此函数程序的核心，反复执行，利用Pcap取得数据包，返回的是读入数据包的个数

，错误时返回－1，其参数列表如下：

Pcap_t * 指定取得数据包的数据包捕捉描述符

int 取得数据包的个数，－1为无限

返回指向函数的指针指定数据包处理的函数

U_char * 指向赋给数据包处理函数字符串的指针

4、struct ether_header * eth

此结构体存储以太网报头信息，其成员如下：

ether_dhost[6] 接收端的MAC地址

ether_shost[6] 发送端的MAC地址

ether_type 上层协议的种类

5、fflush(stdout)

此函数完成的是强制输出，参数Stdout，强制进行标准输出。

6、noths(((struct ether_header *P)->ether_type))

此函数将短整型网络字节顺序转换成主机字节顺序。此类函数还有：

ntohl 长整型功能同上

htons 短整型将主机字节顺序转换成网络字节顺序

htons 长整型同上

7、struct IP *iph

ip型结构体在IPh文件中定义，其成员和第一部分讲到的IP数据报结构对应，如下

：

成员名类型说明

ip_hl 4位无符号整数报头长度

ip_v 同上版本，现为4

ip_tos 8位无符号整数Type of service

ip_len 16位无符号整数数据报长度

ip_id 同上标识

ip_off 同上数据块偏移和标志

ip_ttl 8位无符号整数TTL值

ip_p 同上上层协议

ip_sum 16位无符号整数检验和

ip_src in_addr结构体发送端IP

ip_dst 同上接收端IP

8、struct ether_arp *arph

ether_arp型结构体成员如下：

成员名类型说明

ea_hdr arphdr型结构体报头中地址以外的部分

arp_sha 8位无符号整数数组发送端MAC地址

arp_spa 同上发送端IP地址

arp_tha 同上目标MAC地址

arp_tpa 同上目标IP地址

9、struct icmphdr * icmp

icmphdr型结构体中包含共用体根据数据报类型的不同而表现不同性质，这里不再列

出，只列能通用的三个成员

成员名说明

type 类型字段

code 代码

checksum 检验和

三、案例程序剖析

QUOTE

//example.c

//使用方法：example〈网络接口名〉> 〈输出文件名〉

//例如：example etho > temp.txe

//结束方法：ctrl+c

//程序开始，读入头文件

#include

#include

#include

#include

#include

#include

#include

#include //pcap程序库

#include //DNS检索使用

#define MAXSTRINGSIZE 256 //字符串长度

#define MAXSIZE 1024 //主机高速缓存中的最大记录条数

#fefine DEFAULT_SNAPLEN 68 /数据包数据的长度

typedef struct

{

unsigned long int ipaddr; //IP地址

char hostname[MAXSTRINGSIZE]; //主机名

}dnstable; //高速缓存数据结构

typedef struct

{

dnstable table[MAXSIZE];

int front;

int rear;

}sequeue;

sequeue *sq; //定义缓存队列

sq->rear=sq->front=0; //初始化队列

//输出MAC地址函数

void print_hwadd(u_char * hwadd)

{

for(int i=0,i<5;++i)

printf("%2x:",hwadd[i]);

printf("%2x",hwadd[i]);

}

//输出IP地址的函数

void print_ipadd(u_char *ipadd)

{

for(int i=0;i<3;++i)

printf("%d.",ipadd[i]);

printf("%d",ipadd[i]);

}

//查询端口函数

void getportname(int portno,char portna[],char* proto) {

if(getservbyport(htons(portno),proto)!=NULL)

{

strcpy(portna,getservbyport(htons(portno),proto)->s_name); }

else

sprintf(portna,"%d",portno);

}

//将IP转化为DNS名

void iptohost(unsigned long int ipad,char* hostn)

{

struct hostent * shostname;

int m,n,i;

m=sq->rear;

n=sq->front;

for(i=n%MAXSIZE;i=m%MAXSIZE;i=(++n)%MAXSIZE)

{

//检查IP是否第一次出现

if(sq->table[i].ipaddr==ipad)

{

strcpy(hostn,sq->table[i].hostname);

break;

}

}

if(i=m%MAXSIZE)

{//不存在则从域名服务器查询并把结果放入高速缓存

if((sq->rear+1)%MAXSIZE=sq->front) //判队满

sq->front=(sq->front+1)%MAXSIZE; //出队列

sq->table[i].ipaddr=ipad;

shostname=gethostbyaddr((char*)&ipad,sizeof(ipad),AF_INET);

if(shostname!=NULL)

strcpy(sq->table[i].hostname,shostname->h_name);

else

strcpy(sq->table[i].hostname,"");

sq->rear=(sq->rear+1)%MAXSIZE;

}

}

void print_hostname(u_char* ipadd)

{

unsigned long int ipad;

char hostn[MAXSTRINTSIZE];

ipad=*((unsigned long int *)ipadd);

iptohost(ipad,hostn)

if(strlen(hostn)>0)

printf("%s",hostn);

else

print_ipadd(ipadd);

}

//处理数据包的函数

void packet_proce(u_char* packets,const struct pcap_pkthdr * header,const u_char

*pp)

{

struct ether_header * eth; //以太网帧报头指针

struct ether_arp * arth; //ARP报头

struct ip * iph; //IP报头

struct tcphdr * tcph;

struct udphdr * udph;

u_short srcport,dstport; //端口号

char protocol[MAXSTRINGSIZE]; //协议类型名

char srcp[MAXSTRINGSIZE],dstp[MAXSTRINGSIZE]; //端口名unsigned int ptype; //协议类型变量

u_char * data; //数据包数据指针

u_char tcpudpdata[MAXSTRINGSIZE]; //数据包数据

int i;

eth=(struct ether_header *)pp;

ptype=ntohs(((struct ether_header *)pp)->ether_type);

if((ptype==ETHERTYPE_ARP)||(ptype==ETHERTYPE_RARP)) {

arph=(struct ether_arp *)(pp+sizeof(struct ether_header));

if(ptype==ETHERTYPE_ARP)

printf("arp ");

else

printf("rarp "); //输出协议类型

print_hwadd((u_char *)&(arph->arp_sha));

printf("(");

print_hostname((u_char *)&(arph->arp_spa));

printf(")->");

print_hwadd((u_char *)&(arph->arp_tha));

printf("(");

print_hostname((u_char *)&(arph->arp_tpa));

printf(")tpacketlen:%d",header->len);

}

else if(ptype==ETHERTYPE_IP) //IP数据报

{

iph=(struct ip *)(pp+sizeof(struct ether_header));

if(iph->ip_p==1) //ICMP报文

{

strcpy(protocol,"icmp");

srcport=dstport=0;

}

else if(iph->ip_p==6) //TCP报文

{

strcpy(protocol,"tcp");

tcph=(struct tcphdr *)(pp+sizeof(struct ether_header)

+4*iph->ip_hl);

srcport=ntohs(tcph->source);

dstport=ntohs(tcph->dest);

data=(u_char *)(pp+sizeof(struct ether_header)+4*iph-

>ip_hl+4*tcph->doff);

for(i=0;i

{

if(i>=header->len-sizeof(struct ether_header)-

4*iph->ip_hl-4*tcph->doff);

break;

else

tcpudpdata[i]=data[i];

}

} //TCP数据处理完毕

else if(iph->ip_p=17) //UDP报文

{

strcpy(protocol,"udp");

udph=(struct udphdr *)(pp+sizeof(struct ether_header)

+4*iph->ip_hl);

srcport=ntohs(udph->source);

dstport=ntohs(udph->dest);

data=(u_char *)(pp+sizeof(struct ether_header)+4*iph-

>ip_hl+8);

for(i=0;i

{

if(i>=header->len-sizeof(struct ether_header)-

4*iph->ip_hl-8);

break;

else

tcpudpdata[i]=data[i];

}

}

tcpudpdata[i]='\0';

getportname(srcport,srcp,protocol);

getportname(dstport,dstp,protocol);

printf("ip ");

print_hwadd(eth->ether_shost);

printf("(");

print_hostname((u_char *)&(iph->ip_src));

printf(")[%s:%s]->",protocol,srcp);

print_hwadd(eth->ether_dhost);

printf("(");

print_hostname((u_char *)&(iph->ip_dst));

printf(")[%s:%s]",protocol,dstp);

printf("tttl:%d packetlen:%d,iph->ttl,header->len); printf("n");

printf("%s",tcpudpdata);

printf("==endpacket==");

}

printf("n");

}

//Main函数取数据包并初始化程序环境

int main(int argc,char ** argv)

{

char ebuf[pcap_ERRBUF_SIZE];

pcap * pd;

if(argc<=1) //参数检查

{

printf("usage:%sn",argv[0]);

exit(0);

}

//设置PCAP程序库

if((pd=pcap_open_live(argv[1],DEFAULT_SNAPLEN,1,1000,ebuf))=NULL) {

(void)fprintf(stderr,"%s",ebuf);

exit(1);

}

//循环取数据包

//改变参数－1为其它值，可确定取数据包的个数，这里为无限个

if(pcap_loop(pd,-1,packet_proce,NULL)<0)

{

(void)fprintf(stderr,"pcap_loop:%sn",pcap_geterr(pd));

exit(1);

}

pcap_colse(pd);

exit(0);

}

//程序结束

Trackback: https://www.doczj.com/doc/cb9164634.html,/TrackBack.aspx?PostId=354089

计算机网络课程设计---基于Wireshark的网络数据包内容解析

基于Wireshark的网络数据包内容解析 摘要本课程设计是利用抓包软件Wireshark，对网络服务器与客户端进行网络数据收发过程中产生的包进行抓取，然后对所抓取的包进行分析，并结合的协议进行分析，达到了解各种数据包结构的目的。设计过程中对各种包进行抓取分析，各种包之间比较，了解每种包的传输过程与结构，通过本次课程设计，能很好的运用Wireshark对数据包分析和Wireshark各种运用，达到课程设计的目的。 关键词IP协议；TCP协议；UDP协议；ARP协议；Wireshark；计算机网络； 1 引言 本课程设计主要是设计一个基于Wireshark的网络数据包内容解析，抓取数据包，然后对所抓取的包进行分析，并结合的协议进行分析，达到了解各种数据包结构的目的 1.1 课程设计目的 Wireshark是一个网络封包分析软件。可以对网络中各种网络数据包进行抓取，并尽可能显示出最为详细的网络封包资料，计算机网络课程设计是在学习了计算机网络相关理论后，进行综合训练课程，其目的是： 1.了解并会初步使用Wireshark，能在所用电脑上进行抓包； 2.了解IP数据包格式，能应用该软件分析数据包格式。 1.2 课程设计要求 （1）按要求编写课程设计报告书，能正确阐述设计结果。 （2）通过课程设计培养学生严谨的科学态度，认真的工作作风和团队协作精神。 （3）学会文献检索的基本方法和综合运用文献的能力。

（4）在老师的指导下，要求每个学生独立完成课程设计的全部内容。 1.3 课程设计背景 一、Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。 网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。Wireshark的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Wireshark是目前全世界最广泛的网络封包分析软件之一。 二、网络嗅探需要用到网络嗅探器，其最早是为网络管理人员配备的工具，有了嗅探器网络管理员可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器分析网络流量，找出网络阻塞的来源。网络嗅探是网络监控系统的实现基础。 网络嗅探需要用到网络嗅探器，其最早是为网络管理人员配备的工具，有了嗅探器网络管理员可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器分析网络流量，找出网络阻塞的来源。嗅探器也是很多程序人员在编写网络程序时抓包测试的工具，因为我们知道网络程序都是以数据包的形式在网络中进行传输的，因此难免有协议头定义不对的。 网络嗅探的基础是数据捕获，网络嗅探系统是并接在网络中来实现对于数据的捕获的，这种方式和入侵检测系统相同，因此被称为网络嗅探。网络嗅探是网络监控系统的实现基础，首先就来详细地介绍一下网络嗅探技术，接下来就其在网络监控系统的运用进行阐述。 2 网络协议基础知识 2.1 IP协议 （1） IP协议介绍

SNIFFER网络数据包分析

SNIFFER网络数据包分析 实验班级： 学号： 姓名： 指导教师： 日期：

使用SNIFFER工具进行网络数据包分析一、实验目的 通过使用Sniffer Pro软件捕获网络流量，分析数据报结构，来验证我们在计算机网络基础课堂中所学习的知识，使学生能够更加清楚地掌握网络分层的思想，从感性认识飞跃到理性认识。再通过捕获各个具体协议的通信数据包，一步一步具体分析其实现步骤，更加具体地掌握协议的实现过程。 二、实验主要仪器设备和材料 一台联网计算机和Sniffer Pro v4.7.530软件。 三、实验内容和要求 本次实验包括三项实验内容，分别是捕获报文基本分析实验、捕获并分析用户数据报协议（UDP）、捕获并分析传输控制协议（TCP）。 a)任意捕获一个数据包，分析其数据链路层格式、网络层格式和传输层格 式，加深学生对计算机网络分层概念的理解。 b)用户数据报协议(UDP)是网络上另外一种很常用的第四层协议。用户数 据报协议是OSI 参考模型中一种无连接的传输层协议，提供面向事务 的简单不可靠信息传送服务。UDP 协议基本上是IP 协议与上层协议 的接口。UDP 协议适用端口分别运行在同一台设备上的多个应用程序。 c)传输控制协议(TCP)一种面向连接（连接导向）的、可靠的、基于字节流 的运输层（Transport layer）通信协议，由IETF的RFC 793说明（specified）。 在简化的计算机网络OSI模型中，它完成第四层传输层所指定的功能， UDP是同一层内另一个重要的传输协议。 四、实验原理 1、UDP协议 UDP协议使用端口号为不同的应用保留其各自的数据传输通道。UDP正是采用这一机制实现对同一时刻内多项应用同时发送和接收数据的支持。数据发送一方（可以是客户端或服务器端）将UDP数据报通过源端口发送出去，而数据接收一方则通过目标端口接收数据。有的网络应用只能使用预先为其预留或注册的静态端口；而另外一些网络应用则可以使用未被注册的动态端口。

大数据包络分析报告(DEA)方法

二、 数据包络分析(DEA)方法 数据包络分析(data envelopment analysis, DEA)是由著名运筹学家Charnes, Cooper 和Rhodes 于1978年提出的，它以相对效率概念为基础，以凸分析和线性规划为工具，计算比较具有相同类型的决策单元(Decision making unit ，DMU)之间的相对效率，依此对评价对象做出评价[1]。DEA 方法一出现，就以其独特的优势而受到众多学者的青睐，现已被应用于各个领域的绩效评价中[2],[3]。在介绍DEA 方法的原理之前，先介绍几个基本概念: 1. 决策单元 一个经济系统或一个生产过程都可以看成是一个单位(或一个部门)在一定可能围，通过投入一定数量的生产要素并产出一定数量的“产品”的活动。虽然这种活动的具体容各不相同，但其目的都是尽可能地使这一活动取得最大的“效益”。由于从“投入”到“产出”需要经过一系列决策才能实现，或者说，由于“产出”是决策的结果，所以这样的单位(或部门)被称为决策单元(DMU)。因此，可以认为，每个DMU(第i 个DMU 常记作DMU i )都表现出一定的经济意义，它的基本特点是具有一定的投入和产出，并且将投入转化成产出的过程中，努力实现自身的决策目标。 在许多情况下，我们对多个同类型的DMU 更感兴趣。所谓同类型的DMU ，是指具有以下三个特征的DMU 集合：具有相同的目标和任务；具有相同的外部环境；具有相同的投入和产出指标。 2. 生产可能集 设某个DMU 在一项经济(生产)活动中有m 项投入，写成向量形式为1(,,)T m x x x =L ；产出有s 项，写成向量形式为1(,,)T s y y y =L 。于是我们可以用(,)x y 来表示这个DMU 的整个生产活动。 定义1. 称集合{(,)|T x y y x =产出能用投入生产出来}为所有可能的生产活动构成的生产可能集。 在使用DEA 方法时，一般假设生产可能集T 满足下面四条公理: 公理1(平凡公理): (,),1,2,,j j x y T j n ∈=L 。 公理2(凸性公理): 集合T 为凸集。 如果 (,),1,2,,j j x y T j n ∈=L , 且存在 0j λ≥ 满足 1 1n j j λ==∑ 则 11(,)n n j j j j j j x y T λλ==∈∑∑。 公理3(无效性公理)：若()??,,,x y T x x y y ∈≥≤,则??(,)x y T ∈。 ， 公理4 (锥性公理): 集合T 为锥。如果(),x y T ∈那么 (,)kx ky T ∈对任意的0k >。 若生产可能集Ｔ是所有满足公理1 , 2 , 3和4的最小者，则T 有如下的唯一表示形式 ()11 ,|, ,0,1,2,,n n j j j j j j j T x y x x y y j n λλ λ==? ? =≤≥≥=??? ? ∑∑L 。 3. 技术有效与规模收益

数据包络分析

数据包络分析方法介绍和应用综述 【摘要】数据包络分析(Data Envelopment Analysis,DEA)是一种基于线性规划理论的模型,它将多输入指标和多输出指标综合成为单个评价指标，是运筹学、管理科学和数理经济学交叉研究的一个新的领域。数据包络分析使用数学规划评价具有多个输入与输出的决策单元(简记为DMU)间的相对有效性(DEA 有效), 使用DEA对DMU进行效率评价时, 可以得到很多在经济学中具有深刻经济含义和背景的管理信息。本综述的目的是介绍DEA研究的历史、现状, 特别是它的发展过程及某些新的模型扩展，同时综合阐述了DEA在生产、管理、商务中的广泛应用和它的发展趋势。 关键词：数据包络分析模型结构决策单元发展以及应用趋势 一、数据包络分析（DEA）概念及模型简介 1、概念 数据包络分析(Data Envelopment Analysis,DEA)是运筹学、管理科学和数理经济学交叉研究的一个新的领域。1978年由著名的运筹学家A.Charnes,W.W.Cooper和E.Rhodes首先提出了一个被称为数据包络分析（Data Envelopment Analysis，简称DEA）的方法，主要用来评价生产中各个部门间的相对有效性（因此被称为DEA有效）。我国自1988 年由魏权龄①系统地介绍DEA 方法之后, 先后也有不少关于DEA 方法理论研究及应用推广的论文问世。 其中，比较全面的一篇论文是《系统工程理论和方法应用》1994年3卷第4期，东南大学经济管理学院的朱乔的《数据包络分析方法综述与展望》，指出“据国外统计已经有400余篇关于DEA的研究论文、工作报告或者学术论文可查，例如：Annals of Operational Research(1985)、European Journal of Operational Research(1992)、Journal of Productivity Analysis(1992)等等，还有近期为了悼念A.Charnes,W.W.Cooper教授，Annals of Operational Research还专门出版了“从有效性计算到组织和分析数据的新方法---DEA方法15年”的专刊。” 中国人民大学教授魏全龄，在《评价相对有效性的DEA 方法———运筹学的新领域》一文中系统地介绍了DEA的方法，指出数据包络分析(Data Envelopment Analysis,DEA)是一种基于线性规划理论的模型,它将多输入指标和多输出指标综合成为单个评价指标。 在此基础上，李美娟, 陈国宏2003年在《数据包络分析法(DEA) 的研究与应用》中指出DEA 方法以相对效率概念为基础, 用于评价具有相同类型的多投入、多产出的决策单元是否技术有效的一种非参数统计方法，并且对DEA的基本思路进行了详细阐述。 经过各方面的努力，可见数据包络分析(Data Envelopment Analysis,DEA)是一种基于线性规划理论的模型,它将多输入指标和多输出指标综合成为单个评价指标，其基本思路是把每一个被评价单位作为一个决策单元(DMU ,decision making unit s) , 再由众多DMU 构成被评价群体, 通过对投入和产出比率的综合分析, 以DMU 的各个投入和产出指标的权重为变量进行评价运算, 确定有效生产前沿面, 并根据各DMU 与有效生产前沿面的距离状况, 确定各DMU 是否DEA 有效, 同时还可用投影方法指出非DEA 有效或弱DEA 有效DMU 的原因及应改进的方向和程度。 2、模型简介 A.Charnes,W.W.Cooper和E.Rhodes在1978年提出的第一个模型被命名为CCR模型，从生产函数角度看，这一模型是用来研究具有多个输入、特别是具有多个输出的“生产部门” ①魏全龄：中国人民大学信息系教授，先后出版了数十篇关于DEA的发展及应用方面的文章，科研成果显著。

2.6 数据链路层数据帧协议分析

实验数据链路层的帧分析 一、实验目的 分析 TCP、UDP的数据链路层帧结构、 二、准备工作 虚拟机XP，虚拟网卡设置，NAT模式，TCP/IP参数设置自动获取。本实验需安装抓包工具软件IPTool。 三、实验内容及步骤 1.运行ipconfig命令 在Windows的命令提示符界面中输入命令：ipconfig /all，会显示本机的网络配置信息。 2.运行抓包工具软件 双击抓把工具软件图标，输入所需参数，和抓包过滤参数，点击捕捉。 3.进行网络访问 进行网络访问，下载文件/搜索资料/www访问/登录邮件系统等均可。 4.从抓包工具中选择典型数据帧 5.保存捕获的数据帧 6.捕获数据帧并分析 1、启动网络抓包工具软件在网络内进行捕获，获得若干以太网帧。 2、对其中的5-10个帧的以太网首部进行观察和分析，分析的内容为：源物理地址、目的物理地址、上层协议类型。 实验过程: 1.TCP协议数据包、数据帧分析 启动IPTool，IE访问https://www.doczj.com/doc/cb9164634.html,站点,使用iptool进行数据报的捕获。 TCP报文如下图：

根据所抓的数据帧进行分析： （1）MAC header 目的物理地址：00:D0:F8:BC:E7:06 源物理地址：00:16:EC:B2:BC:68 Type是0x800：意思是封装了ip数据报（2）ip数据报

由以上信息可以得出： ①版本：占4位，所以此ip是ipv4 ②首部长度：占4 位，可表示的最大十进制数值是15。此ip数据报没有选项，故它的最大十进制为5。 ③服务：占8 位，用来获得更好的服务。这里是0x00 ④总长度：总长度指首都及数据之和的长度，单位为字节。因为总长度字段为16位，所以数据报的最大长度为216-1=65 535字节。 此数据报的总长度为40字节，数据上表示为0x0028。 ⑤标识(Identification)：占16位。IP软件在存储器中维持一个计数器，每产生一个数据报，计数器就加1，并将此值赋给标识字段。但这个“标识”并不是序号，因为IP是无连接的服务，数据报不存在按序接收的问题。当数据报由于长度超过网络的MTU 而必须分片时，这个标识字段的值就被复制到所有的数据报的标识字段中。相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。 在这个数据报中标识为18358，对应报文16位为47b6 ⑥标志(Flag)：占3 位，但目前只有2位有意义。标志字段中的最低位记为MF (More Fragment)。MF=1即表示后面“还有分片”的数据报。MF=0表示这已是若干数据报片中的最后一个。标志字段中间的一位记为DF(Don't Fragment)，意思是“不能分片”。只有当DF=0时才允许分片。这个报文的标志是010，故表示为不分片！对应报文16位为0x40。 ⑦片偏移：因为不分片，故此数据报为0。对应报文16位为0x00。 ⑧生存时间：占8位，生存时间字段常用的英文缩写是TTL (Time To Live)，其表明数据报在网络中的寿命。每经过一个路由器时，就把TTL减去数据报在路由器消耗掉的一段时间。若数据报在路由器消耗的时间小于1 秒，就把TTL值减1。当TTL值为0时，就丢弃这个数据报。经分析，这个数据报的的TTL为64跳！对应报文16位为0x40。 ⑨协议：占8 位，协议字段指出此数据报携带的数据是使用何种协议，以便使目的主机的IP层知道应将数据部分上交给哪个处理过程。这个ip数据报显示使用得是TCP协议对应报文16位为0x06。

基于数据包络分析的城市燃气供需预警研究(2021)

Enhance the initiative and predictability of work safety, take precautions, and comprehensively solve the problems of work safety. （安全管理） 单位：___________________ 姓名：___________________ 日期：___________________ 基于数据包络分析的城市燃气供 需预警研究(2021)

基于数据包络分析的城市燃气供需预警研究 (2021) 导语：根据时代发展的要求，转变观念，开拓创新，统筹规划，增强对安全生产工作的主动性和预见性，做到未雨绸缪，综合解决安全生产问题。文档可用作电子存档或实体印刷，使用时请详细阅读条款。 摘要：建立天然气供需预警协调机制是保证经济可持续发展的根本保障。利用数据包络分析(DEA)方法处理多输入和多输出这种问题的优势，将数据包络分析(DEA)方法引入城市天然气供需预警协调系统中。以重庆市为例，分析了指标选取的依据，用FrontierAnalyst3软件对重庆市近几年每个季度天然气供需的安全性做了实证分析，并对建立的供需预警协调系统进行评价。通过分析可知，DEA模型不但能正确并且准确预报天然气供给的情况，还能对非有效的决策单元中的指标进行协调，可对未来天然气规划做出科学指导。 主题词：城市；天然气；供需关系；安全；预测；效率；评价；线性规划 重庆市每逢冬季用气高峰，天然气供应非常紧张，等待加气的各种车辆排成长龙。出现这些情况除了供应方面存在问题外，还与重庆市政府没有系统地建立对天然气市场供应预警协调的长效机制有关。

Wireshark抓包实例分析

Wireshark抓包实例分析 通信工程学院010611班赖宇超01061093 一．实验目的 1.初步掌握Wireshark的使用方法，熟悉其基本设置，尤其是Capture Filter和Display Filter 的使用。 2.通过对Wireshark抓包实例进行分析，进一步加深对各类常用网络协议的理解，如：TCP、UDP、IP、SMTP、POP、FTP、TLS等。 3.进一步培养理论联系实际，知行合一的学术精神。 二．实验原理 1.用Wireshark软件抓取本地PC的数据包，并观察其主要使用了哪些网络协议。 2.查找资料，了解相关网络协议的提出背景，帧格式，主要功能等。 3.根据所获数据包的内容分析相关协议，从而加深对常用网络协议理解。 三．实验环境 1.系统环境：Windows 7 Build 7100 2.浏览器：IE8 3.Wireshark：V 1.1.2 4.Winpcap：V 4.0.2 四．实验步骤 1.Wireshark简介 Wireshark（原Ethereal）是一个网络封包分析软件。其主要功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。其使用目的包括：网络管理员检测网络问题，网络安全工程师检查资讯安全相关问题，开发者为新的通讯协定除错，普通使用者学习网络协议的

相关知识……当然，有的人也会用它来寻找一些敏感信息。 值得注意的是，Wireshark并不是入侵检测软件（Intrusion Detection Software,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark 撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。 2.实例 实例1：计算机是如何连接到网络的？ 一台计算机是如何连接到网络的？其间采用了哪些协议？Wireshark将用事实告诉我们真相。如图所示： 图一：网络连接时的部分数据包 如图，首先我们看到的是DHCP协议和ARP协议。 DHCP协议是动态主机分配协议(Dynamic Host Configuration Protocol)。它的前身是BOOTP。BOOTP可以自动地为主机设定TCP/IP环境，但必须事先获得客户端的硬件地址，而且，与其对应的IP地址是静态的。DHCP是BOOTP 的增强版本，包括服务器端和客户端。所有的IP网络设定数据都由DHCP服务器集中管理，并负责处理客户端的DHCP 要求；而客户端则会使用从服务器分配下来的IP环境数据。 ARP协议是地址解析协议(Address Resolution Protocol)。该协议将IP地址变换成物理地址。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。 让我们来看一下数据包的传送过程：

(1) 数据包络分析法(DEA)概述

(1)数据包络分析法(DEA)概述 数据包络分析(Data Envelopment Ana lysis，简称D EA）方法是运用数学工具评价经济系统生产前沿面有效性的非参数方法，它适应用于多投入多产出的多目标决策单元的绩效评价。这种方法以相对效率为基础，根据多指标投入与多指标产出对相同类型的决策单元进行相对有效性评价。应用该方法进行绩效评价的另一个特点是，它不需要以参数形式规定生产前沿函数，并且允许生产前沿函数可以因为单位的不同而不同，不需要弄清楚各个评价决策单元的输入与输出之间的关联方式，只需要最终用极值的方法，以相对效益这个变量作为总体上的衡量标准，以决策单元(DM U)各输入输出的权重向量为变量，从最有利于决策的角度进行评价，从而避免了人为因素确定各指标的权重而使得研究结果的客观性收到影响。这种方法采用数学规划模型，对所有决策单元的输出都“一视同仁”。这些输入输出的价值设定与虚拟系数有关，有利于找出那些决策单元相对效益偏低的原因。该方法以经验数据为基础，逻辑上合理，故能够衡量个决策单元由一定量大投入产生预期的输出的能力，并且能够计算在非DEA有效的决策单元中，投入没有发挥作用的程度。最为重要的是应用该方法还有可能进一步估计某个决策单元达到相对有效时，其产出应该增加多少，输入可以减少多少等。 1978年由著名的运筹学家查恩斯（A.Charnes）,库伯（W.W.Cooper）和罗兹（E.Rhodes）首先提出数据包络分析（Data Envelopment Analysis，简称DEA）的方法，DEA有效性的评价是对已

有决策单元绩效的比较评价，属于相对评价，它常常被用来评价部门间的相对有效性（又称之为DEA有效）。他们的第一个数学模型被命名为CCR模型，又称为模型。从生产函数角度看，这一模型是用来研究具有多项输入、特别是具有多项输出的“生产部门”时衡量其“规模有效”和“技术有效”较为方便而且是卓有成效的一种方法和手段。自从该方法提出以来，就广泛应用于各个行业的有效性评价上。此后，得到不断的完善，并且在实践中的应用也越来越广泛。例如1984年R.D.Banker, A.Charnes和W.W.Cooper给出了一个被称为BCC的模型，又称之为BC2模型。另外，于1985年Charnes,Cooper 和 B.Golany, L.Seiford, J.Stutz给出了另一个模型，称为CCGSS模型，又称之为C2GS2模型，这两个模型是用来研究生产部门之间的“技术有效”相对效率。下面将介绍这两个优化模型。 ( 2 ) 数据包络模型（又称为DEA模型）描述 数据包络分析(DEA)由美国著名运筹学家A. Charnes等人在1978年以相对效率概念为基础发展起来的一种新的绩效评价方法。这种方法是以决策单元(Decision Making Unit，简称DMU)的投入、产出指标的权重系数为变量，借助于数学规划模型将决策单元投影到DEA 生产前沿面上，通过比较决策单元偏离DEA生产前沿面的程度来对被评价决策单元的相对有效性进行综合绩效评价。其基本思路是:通过对投入产出数据的综合分析，得出每个DMU综合相对效率的数量指标，确定各DMU是否为DEA有效。下面我们先描述DEA模型。

分析数据链路层帧结构

南华大学计算机学院 实验报告 课程名称计算机网络原理 姓名杨国峰 学号20144360205 专业网络2班 任课教师谭邦 日期 2016年4月4日 成绩 南华大学

实验报告正文： 一、实验名称分析数据链路层帧结构 二、实验目的： 1. 掌握使用Wireshark分析俘获的踪迹文件的基本技能； 2. 深刻理解Ethernet帧结构。 3. 深刻理解IEEE 802.11帧结构。 三、实验内容和要求 1. 分析俘获的踪迹文件的Ethernet帧结构； 2. 分析IEEE 802.11帧结构。 四、实验环境

五、操作方法与实验步骤 1.Ethernet帧结构（本地连接与无线连接）

2.IEEE 802.11帧结构

六、实验数据记录和结果分析 1.Ethernet帧结构（本地连接为例） Ethernet II, Src: Tp-LinkT_95:c6:20 (fc:d7:33:95:c6:20), Dst: Clevo_00:a1:18 (80:fa:5b:00:a1:18) 以太网协议版本II，源地址：厂名_序号（网卡地址），目的：厂名_序号（网卡地址） Destination: Clevo_00:a1:18 (80:fa:5b:00:a1:18)目的：厂名_序号（网卡地址） Source: Tp-LinkT_95:c6:20 (fc:d7:33:95:c6:20) 源：厂名_序号（网卡地址） Type: IP (0x0800) 帧内封装的上层协议类型为IP Padding: 000000000000 所有内边距属性 2.分析IEEE 802.11帧结构 Protocol version：表明版本类型，现在所有帧里面这个字段都是0x00。 *Type：指明数据帧类型，是管理帧，数据帧还是控制帧。 Subtype：指明数据帧的子类型，因为就算是控制帧，控制帧还分RTS帧，CTS帧，ACK 帧等等，通过这个域判断出该数据帧的具体类型。 To DS/From DS：这两个数据帧表明数据包的发送方向，分四种可能情况讨论： **若数据包To DS为0，From DS为0，表明该数据包在网络主机间传输。 **若数据包To DS 为0，From DS为1，表明该数据帧来自AP。 **若数据包To DS为1，From DS为0，表明该数据帧发送往AP。若数据包To DS为1，From DS为1，表明该数据帧是从AP发送自AP的，也就是说这个是个WDS(Wireless Distribution System)数据帧。 Moreflag：分片标志，若数据帧被分片了，那么这个标志为1，否则为0。 *Retry：表明是否是重发的帧，若是为1，不是为0。 PowerManage：当网络主机处于省电模式时，该标志为1，否则为0。 Moredata：当AP缓存了处于省电模式下的网络主机的数据包时，AP给该省电模式下的网络主机的数据帧中该位为1，否则为0。 Wep：加密标志，若为1表示数据内容加密，否则为0。 *Order 这个表示用于PCF模式下。 Duration/ID（持续时间/标识）：表明该帧和它的确认帧将会占用信道多长时间；对于帧控制域子类型为：Power Save-Poll的帧，该域表示了STA的连接身份（AID, Association Indentification）。

网络数据包分析实验

实验一：网络数据包分析实验 班级：班学号：姓名:一、实验目的 通过对实际的网络数据包进行捕捉，分析数据包的结构，加深对网络协议分层概念的理解，并实际的了解数据链路层，网络层，传输层以及应用层的相关协议和服务。 、实验内容 1. IGMP包解析 1.1数据链路层 El代XEL洱丁；亡日：亡5 MB)」osr: IP- 4m 4 t-is ：hi-At I _n * tP f Ld L^iJ 1 Sei 00:00:1^^ saur-ctt El1imro_&ai?SiU Type；IP CgMOsw) 源数据： 数据链路层头部：01 00 5e 00 00 16 00 21 97 0a e5 16 08 00 数据链路层尾部：00 00 00 00 00 00 分析如下：

数据头部的前6个字节是接收者的mac地址：01 00 5e 00 00 16 数据头部的中间6个字节是发送者的mac地址：00 21 97 0a e5 16 数据头部的最后2个字节代表网络协议，即：08 00协议类型。 1.2网络层 Header* 1 cngth: 24 byres n axed services "乜Id：0x00 (.DSCP 0X00: D&fau11: 0x003 Tqtil rength:斗D Tdsrrtificar I cn： QklclJ 也^7460) H Flmqs： Q>00 Fra^Tienr offset;：Q Time VQ live; 1 Fr DTCCDl : IGMP go?) ￥ HPAder fhecksijn：CxJ85c [correct] 5DU RUM;172,10.103.?0

如何理解wireshark抓取的数据包含义之“Understanding TCP Sequence and Acknowledgment Numbers”

Understanding TCP Sequence and Acknowledgment Numbers By stretch | Monday, June 7, 2010 at 2:15 a.m. UTC If you're reading this, odds are that you're already familiar with TCP's infamous "three-way handshake," or "SYN, SYN/ACK, ACK." Unfortunately, that's where TCP education ends for many networkers. Despite its age, TCP is a relatively complex protocol and well worth knowing intimately. This article aims to help you become more comfortable examining TCP sequence and acknowledgment numbers in the Wireshark packet analyzer. Before we start, be sure to open the example capture in Wireshark and play along. The example capture contains a single HTTP request to a web server, in which the client web browser requests a single image file, and the server returns an HTTP/1.1 200 (OK) response which includes the file requested. You can right-click on any of the TCP packets within this capture and select Follow TCP Stream to open the raw contents of the TCP stream in a separate window for inspection. Traffic from the client is shown in red, and traffic from the server in blue. The Three-Way Handshake TCP utilizes a number of flags, or 1-bit boolean fields, in its header to control the state of a connection. T he three we're most interested in here are: ?SYN - (Synchronize) Initiates a connection ?FIN - (Final) Cleanly terminates a connection ?ACK - Acknowledges received data As we'll see, a packet can have multiple flags set.

DEA数据包络分析不足、特点、指标选取

DEA 一、同类可比 同类可比在很多情况下是社科研究的基础和前提，比如研究地区效率，西藏、新疆、青海等地与上海、北京、广东、江苏等经济发达地区情况完全不一样，在很多情况下是不可比的，如果将这些地区放在一个模型中分析，是值得商榷的。 二、DEA对异常值相当敏感 DEA对异常值相当敏感，在实际生活中，由于统计数据质量、测量误差等问题，构成数据包络曲线的那些点是非常敏感的，或者说，其它效率不是最优的点都是和数据包络曲线上最好的点相比，而这些点其实是不稳定的，在此基础上得出的处理结果也是不稳定的。 三、DEA也许只有宏观意义 即使是同一套数据，如果同时满足固定前沿和随机前沿的适用条件。采用固定前沿和随机前言，其分析结果往往是不一致的，也就是说，对于决策单元A，采用固定前沿它可能是有效的，但采用随机前 沿它可能就是无效的。那么能否说明DEA在做文字游戏也不能这么说，通常情况下，对于同一套数据采用两种不同方法处理的结果，其相关性往往很高，因此适合做宏观分析，但微观上说A有效B无效之类的要慎重。 四、DEA往往难以给出具体的政策建议 即使得出了研究结果，对于一些效率相对低下的决策单元，如何进行改进通过技术进步还是通过改善管理再进一步的建议往往难以给出。 五、效率低下的决策单元也许问题不严重 任何DEA分析，都是建立在投入产出的基础之上的，但是投入产出数据有很多是无法定量计量的。实际上，DEA分析有个隐含的假设：我们做效率分析，只能基于定量数据，那些不能定量计量的投入产出，干脆假设所有的决策单位没有差异，但这种假设一定存在吗 纯技术效率反映的是DMU 在一定( 最优规模时) 投入要素的生产效率。 规模效率反映的是实际规模与最优生产规模的差距。 一般认为：综合技术效率=纯技术效率×规模效率。

数据包抓包分析

数据链路层数据包抓包分析 实验内容 （1）安装Wireshark软件。 （2）掌握抓包软件的使用 （3）掌握通过抓包软件抓取帧并进行分析的办法 实验步骤 （1）常用的抓包软件包括Sniffer、NetXRay、Wireshark (又名EtheReal)。 我们采用免费的Wireshark，可以从https://www.doczj.com/doc/cb9164634.html,或其他网站下载。安装完成后，Wireshark的主界面和各模块功能如下： 命令菜单（command menus）：最常用菜单命令有两个：File、Capture。File菜单允许你保存捕获的分组数据或打开一个已被保存的捕获分组数据文件。Capture菜单允许你开始捕获分组。 显示筛选规则（display filter specification）：在该字段中，可以填写协议的名称或其他信息，根据此内容可以对分组列表窗口中的分组进行过滤。 捕获分组列表（listing of captured packets）：按行显示已被捕获的分组内容，其中包括：Wireshark赋予的分组序号、捕获时间、分组的源地址和目的地址、协议类型、分组中所包含的协议说明信息。在该列表中，所显示的协议类型是发送或接收分组的最高层协议的类型。分组首部明细（details of selected packet header）：显示捕获分组列表窗口中被选中分组的头部详细信息。包括：与以太网帧有关的信息，与包含在该分组中的IP数据报有关的信息。如果利用TCP或UDP承载分组， Wireshark也会显示TCP或UDP协议头部信息。最后，分组最高层协议的头部字段也会被显示。 分组内容窗口（packet content）：以ASCII码和十六进制两种格式显示被捕获帧的完整内容。（2）下面我们进行抓包练习。 在capture菜单中选中options,可以设置抓包选项，如下图所示，这里我们需要选

数据包络分析法总结

DEA（Data Envelopment Analysis）数据包络分析 目录 一、DEA的起源与发展（参考网络等相关文献） 二、基本概念 1.决策单元（Decision Making Unit，DMU）.......................................................... 2.生产可能集（Production Possibility Set，PPS） ................................................ 3.生产前沿面（Production Frontier）........................................................................ 4.效率（Efficiency） ........................................................................................................ 三、模型 模型....................................................................................................................................... 模型....................................................................................................................................... 模型....................................................................................................................................... 模型....................................................................................................................................... 5.加性模型(additive model，简称ADD).................................................................... 6.基于松弛变量的模型(Slacks-based.................................. M easure，简称SBM) 7.其他模型........................................................................................................................... 四、指标选取 五、DEA的步骤（参考于网络） 六、优缺点（参考一篇博客） 七、非期望产出 1.非期望产出的处理方法：.............................................................................................. 2.非期望产出的性质： ......................................................................................................

实验四、使用Wireshark网络分析器分析数据包

实验四、使用Wireshark网络分析器分析数据包 一、实验目的 1、掌握Wireshark工具的安装和使用方法 2、理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构 3、掌握ICMP协议的类型和代码 二、实验内容 1、安装Wireshark 2、捕捉数据包 3、分析捕捉的数据包 三、实验工具 1、计算机n台(建议学生自带笔记本) 2、无线路由器n台 四、相关预备知识 1、熟悉win7操作系统 2、Sniff Pro软件的安装与使用(见Sniff Pro使用文档)

五、实验步骤 1、安装Wireshark Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具，Wireshark 是最好的开源网络分析软件。 Wireshark的主要应用如下： （1）网络管理员用来解决网络问题 （2）网络安全工程师用来检测安全隐患 （3）开发人员用来测试协议执行情况 （4）用来学习网络协议 （5）除了上面提到的，Wireshark还可以用在其它许多场合。 Wireshark的主要特性 （1）支持UNIX和Windows平台 （2）在接口实时捕捉包 （3）能详细显示包的详细协议信息 （4）可以打开/保存捕捉的包 （5）可以导入导出其他捕捉程序支持的包数据格式

（6）可以通过多种方式过滤包 （7）多种方式查找包 （8）通过过滤以多种色彩显示包 （9）创建多种统计分析 五、实验内容 1．了解数据包分析软件Wireshark的基本情况； 2．安装数据包分析软件Wireshark； 3．配置分析软件Wireshark； 4．对本机网卡抓数据包； 5．分析各种数据包。 六、实验方法及步骤 1．Wireshark的安装及界面 （1）Wireshark的安装 （2）Wireshark的界面 启动Wireshark之后，主界面如图：