网络报文分析

200810314021_陈道争一、实验名称：以太网报文分析二、实验内容：1.Ethereal的基本操作。

2.截获以太网报文，并将报文保存到硬盘上。

3.打开截获的报文，并分析其中的某一条报文。

三、实验过程与步骤：1.在Windows操作系统下安装软件Ethereal。

2选择“Capture”中的“Options”进行设置。

3.打开“IE浏览器”，输入任意一个网址，打开其中的一个网页。

4.Ethereal软件的界面中会出现很多条的报文。

5.选择“Stop the running live capture”。

四、报文分析：1.选取No.180的一条HTTP报文，具体报文见“200810314021_陈道争.cap”，以下分析都是根据此报文，就不再附图了。

2.从应用的角度网络可以划分为物理层、链路层、网络层、传输层、应用层几个部分。

以太网上的数据以报文的形式进行传递，每个报文由数据内容部分和各个层次的报文头部组成。

3.链路层：（1）以太网的链路层由14个字节的内容组成。

（2）前六个字节的内容表示报文的目标硬件地址（Destination MAC），本报文描述的是网关的MAC 地址，值是：00-0f-e2-77-8f-5e。

（3）接下来六个字节的内容表示报文的源硬件地址（Source MAC），本报文描述的是本机的MAC 地址，值是：00-23-7d-4d-16-55。

（4）接下来两个字节的内容表示网络层所使用协议的类型，本报文使用的是IP协议，IP协议的类型值是：0X0800。

4.网络层：（1）目前使用最广泛的网络层协议是IPv4协议。

IPv4协议的头部由20个字节的内容组成。

（2）其中第一个字节的前四个位的内容表示IP协议使用的版本号，值是：4，表示本报文使用的是IPv4协议。

（3）后四位的内容表示报文头部的长度，值是：20bytes。

（4）接下来两个字节的内容表示总长度，是首部和数据之和的长度，值是：657，表示总长度是657字节。

网络报文分析实验报告实验目的本次实验旨在通过对网络报文的分析，深入了解网络通信过程中数据的传输和交互。

实验背景随着互联网的快速发展，网络通信已经成为了人们日常生活中一个不可或缺的组成部分。

网络通信的基本单位是报文，它是在网络中传输的数据单元。

通过对网络报文的分析，可以帮助我们更好地理解、掌握网络通信的工作原理。

实验材料- Wireshark软件：用于捕获和分析网络报文。

实验步骤1. 下载并安装Wireshark软件。

2. 打开Wireshark软件并选择要监测的网络接口。

3. 开始捕获网络报文。

4. 执行特定操作，如访问一个网页、发送邮件等，以产生网络通信。

5. 停止网络报文捕获。

6. 分析捕获到的网络报文。

实验结果通过对网络报文的捕获和分析，我们可以了解到以下几个方面的信息：1. 源IP地址和目标IP地址：可以确定报文是从哪个主机发送到哪个主机。

2. 源端口号和目标端口号：可以确定报文是通过哪个应用程序发送和接收的。

3. 报文的数据内容：可以查看报文中的数据部分，并进行进一步的分析，如解码加密的数据、查找特定信息等。

4. 报文的协议类型：可以确定报文使用的是哪个协议，如TCP、UDP、HTTP 等。

5. 报文的长度和时间戳：可以了解报文的大小和传输时间。

实验分析通过分析捕获到的网络报文，我们可以获得以下几个方面的信息：1. 网络通信的双方：通过源IP地址和目标IP地址，我们可以知道网络通信是由哪两台主机之间进行的。

2. 通信所使用的协议：通过报文的协议类型，我们可以确定报文是使用TCP、UDP、HTTP还是其他协议进行传输。

3. 通信的具体内容：通过分析报文的数据部分，我们可以了解到通信中传输的具体内容，如网页的HTML代码、文件的二进制数据等。

4. 通信的时间和速率：通过报文的时间戳和长度，我们可以了解到通信过程所花费的时间和传输速率。

实验总结通过本次实验，我们对网络报文的分析有了更深入的了解。

Arp报文分析：Arp 报文格式:三层：Frame、Ethernet、Address Resolution Protocol 协议类型：IP 先在ＤＯＣ命令窗口下：ping 10.16.134.66网关的ARP：Arp请求：Arp应答：目的主机：Arp请求：Arp响应：分析：当主机10.16.134.62向主机10.16.134.66发送时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。

如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到目标IP地址，主机A就会在网络上发送一个广播，此时，主机A发送的帧包含:sender MAC address( 本机的ＭＡＣ地址)，sender IP address(本机IP地址)，目标主机B的target MAC address(全部为空)target IP address(目标主机的IP地址)。

这表示向同一网段内的所有主机发出这样的询问：“我是10.16.134.62，我的MAC是"c8:3a:35:d3:cf:41".请问IP地址为10.16.134.66的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“10.16.134.66的MAC地址是c8:3a:35:d3:77:1d”。

这样，主机A就知道了主机B的MAC 地址，它就可以向主机B发送信息了。

同时A和B还同时都更新了自己的ARP缓存表（因为A在询问的时候把自己的IP和MAC地址一起告诉了B），下次A再向主机B或者B向A发送信息时，直接从各自的ARP缓存表里查找就可以了。

ARP缓存表采用了老化机制（即设置了生存时间TTL），在一段时间内（一般15到20分钟）如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

(注：此时arp缓存表中已经删除了10.16.134.66 的MAC 地址)TCP报文分析：TCP三次握手：分析：第一次握手，客户端端口：4831，服务器端口：21 [SYN ] seq=0,len=0,说明客户端向服务器发出连接请求，表明传送数据时，第一个数据字节序号为0，窗口大小为8192（Win=8192）窗口个数为2（WS=2）第二次握手，服务器端口：21 客户端口：4831 [SYN ACK] Ack=1 seq:0说明服务器同意连接请求，发送确认，窗口大小为16384(window size:16384) ,自己选择的序号为0第三次握手：客户端端口：4831 服务器端口：21 [ACK] seq:1 Ack：1 说明客户端收到此报文后向服务器发出确认，连接建立成功。

ptp报文解析摘要：1.引言2.PTP 报文的概述3.PTP 报文的组成部分4.PTP 报文的数据结构5.PTP 报文的解析方法6.总结正文：1.引言随着网络通信技术的不断发展，PTP（Packet Tracer Protocol）报文成为了网络分析中的重要工具。

本文将详细解析PTP 报文的各个方面，帮助读者更好地理解和使用PTP 报文。

2.PTP 报文的概述PTP 报文是一种用于网络数据包跟踪和分析的协议，主要用于网络设备之间的数据交换。

PTP 报文可以在不改变数据包内容的情况下，对数据包进行跟踪和分析，为网络工程师提供便利。

3.PTP 报文的组成部分PTP 报文主要由三部分组成：头部、元数据和载荷。

其中，头部包含了报文的基本信息，如源地址、目的地址等；元数据包含了报文的附加信息，如时间戳、序列号等；载荷则包含了需要跟踪和分析的数据内容。

4.PTP 报文的数据结构PTP 报文的头部采用了固定的数据结构，包括24 比特的版本号、16 比特的标志、3 比特的保留位和13 比特的负载类型。

元数据和载荷的数据结构则根据负载类型而有所不同，具体数据结构需要根据实际情况进行解析。

5.PTP 报文的解析方法PTP 报文的解析方法主要包括以下几个步骤：首先，从接收到的数据包中提取PTP 报文；其次，解析PTP 报文的头部，获取源地址、目的地址等基本信息；然后，解析PTP 报文的元数据，获取时间戳、序列号等附加信息；最后，解析PTP 报文的载荷，获取需要跟踪和分析的数据内容。

6.总结本文详细解析了PTP 报文的各个方面，包括组成部分、数据结构和解析方法。

PTP 报文作为一种重要的网络分析工具，在网络数据包跟踪和分析中具有广泛的应用。

以太帧及IP相关报文分析以太帧（Ethernet Frame）和IP（Internet Protocol）相关报文是计算机网络中最基础且重要的数据传输单位。

本文将从以下几个方面对以太帧和IP报文进行分析。

一、以太帧以太帧是以太网中数据传输的基本单位，由目的MAC地址、源MAC地址、以太类型/长度、数据字段和帧校验序列构成。

1.目的MAC地址和源MAC地址：2.以太类型/长度：以太类型字段用于指示以太帧中封装的数据的协议类型，例如IP协议、ARP协议等。

当以太类型字段的值为小于或等于1500时，这个值表示数据字段的长度，即以太帧中封装的数据长度；当以太类型字段的值大于1500时，这个字段被称为以太类型，表示封装的数据是什么类型的协议。

3.数据字段：数据字段是以太帧中封装的实际数据，如IP报文、ARP报文等。

数据字段的长度可变，具体长度由以太类型字段指示。

4.帧校验序列：帧校验序列用于检验以太帧在传输过程中是否出现错误。

发送端在发送数据前会计算校验和，并将校验和值附加到帧的最后。

接收端在接收到数据后也会进行计算，如果计算结果与接收到的校验和不一致，则表明数据在传输过程中发生了错误。

二、IP报文IP报文是基于IP协议进行数据传输的基本单位，由IP头部和数据部分构成。

1.IP头部：IP头部包含了多个字段，用于指示数据传输的相关信息。

-版本：指示IP协议的版本，通常为IPv4或IPv6-首部长度：指示IP头部的长度，以32位字长为单位。

-区分服务：指示数据传输的优先级和服务质量要求。

-总长度：指示IP报文的总长度，包括IP头部和数据部分的长度。

-标识、标记和片偏移：用于支持IP分片，当数据包过大时，可以进行分片以适应网络传输。

-生存时间（TTL）：表示IP报文在网络中可以经过的最大路由器跳数。

-协议：指示IP报文的上层协议类型，如TCP、UDP等。

-校验和：用于检验IP头部在传输过程中是否出现错误。

-源IP地址和目的IP地址：指示IP报文的源地址和目的地址。

OSPF报文格式分析OSPF（Open Shortest Path First）是一种开放式的最短路径优先（SPF）路由协议，用于在网络中计算最短路径并进行路由选择。

OSPF报文格式定义了在OSPF中用于交换信息的数据包结构。

1. OSPF报文头（OSPF Header）：该部分长度为24个字节，包含了OSPF报文的基本信息，如版本号、报文类型、报文长度等。

2. OSPF Hello报文（Hello Packet）：Hello报文用于网络中的邻居发现和建立OSPF邻居关系。

其长度为44个字节，包含了发送者的路由器ID、OSPF区域ID以及其他邻居信息。

3. OSPF数据库描述报文（Database Description Packet）：该报文用于交换邻居路由器的链路状态数据库（LSDB）的摘要信息。

其长度不定，根据需要而变化。

4. OSPF连通性状态请求报文（Link State Request Packet）：该报文用于向邻居请求链路状态信息。

其长度不定，根据需要而变化。

5. OSPF连通性状态更新报文（Link State Update Packet）：该报文用于向邻居更新链路状态信息。

其长度不定，根据需要而变化。

6. OSPF连通性状态确认报文（Link State Acknowledgement Packet）：该报文用于确认其他OSPF报文的接收情况。

其长度不定，根据需要而变化。

以上是OSPF报文格式的主要部分。

其中，OSPF头部信息在每个报文中都会出现，用于标识报文类型和报文长度等信息。

根据OSPF的设计原则，不同的功能对应不同类型的报文，如Hello报文用于邻居发现，Database Description报文用于数据库同步等。

OSPF报文的格式设计考虑了网络性能和可扩展性的因素。

通过在报文中包含必要的标识和描述信息，OSPF路由器能够根据收到的报文类型和内容做出适当的响应，从而保证网络的正常运行。

一、实验目的1. 理解网络报文的基本概念和结构；2. 掌握网络报文的发送和接收过程；3. 熟悉网络报文的调试和优化方法；4. 提高网络编程能力。

二、实验环境1. 操作系统：Windows 102. 编程语言：C++3. 网络设备：局域网（以太网）4. 实验工具：Wireshark三、实验内容1. 网络报文结构分析2. 网络报文发送与接收3. 网络报文调试与优化四、实验步骤1. 网络报文结构分析（1）使用Wireshark抓取网络报文，观察报文结构；（2）分析报文头部信息，包括源IP地址、目的IP地址、端口号等；（3）分析报文负载部分，了解数据传输内容。

2. 网络报文发送与接收（1）编写C++程序，实现网络报文的发送和接收功能；（2）设置发送和接收端口号，确保程序正常运行；（3）编写测试用例，验证程序功能。

3. 网络报文调试与优化（1）使用Wireshark抓取网络报文，分析报文发送和接收过程；（2）检查报文头部信息，确保正确无误；（3）针对发送和接收速度进行优化，提高程序性能。

五、实验结果与分析1. 网络报文结构分析通过Wireshark抓取网络报文，我们可以观察到以下结构：（1）头部信息：包括源IP地址、目的IP地址、端口号、协议类型等；（2）负载信息：数据传输内容。

2. 网络报文发送与接收编写C++程序，实现网络报文的发送和接收功能。

程序运行结果如下：（1）发送端：成功发送网络报文，报文头部信息正确；（2）接收端：成功接收网络报文，报文头部信息正确。

3. 网络报文调试与优化通过Wireshark抓取网络报文，分析报文发送和接收过程。

针对发送和接收速度进行优化，提高程序性能。

优化后，发送和接收速度得到明显提升。

六、实验总结本次实验使我们对网络报文有了更深入的了解，掌握了网络报文的发送和接收过程，并学会了网络报文的调试和优化方法。

以下为实验心得体会：1. 网络编程需要熟悉网络报文结构，了解报文头部信息；2. 网络编程过程中，调试和优化是提高程序性能的关键；3. Wireshark是一款强大的网络抓包工具，可以帮助我们分析网络报文。

智能变电站网络报文分析作者：王晓东来源：《电子技术与软件工程》2016年第01期行状况及时对异常进行报警，并根据所记录的系统通信报文进行综合离线分析，从而查找系统存在的隐患和异常，分析系统异常和错误原因，指导有关人员定位、排除系统隐患货故障。

对智能变电站发挥着重要的作用，本文针对智能变电站过程层网络报文分析的难点进行分析，介绍了网络报文分析的作用、技术参数、构成及运行维护。

【关键词】网络报文分析过程层技术参数随着智能变电站的迅速发展，变电站站控层、间隔层以及过程层的通信网络报文已经成为变电站智能设备间信息交互和共享的主要方式。

直接影响整个智能变电站的通信是智能设备和通信网络的健康状况，可能导致电力系统重大事故的原因可能是网络报文的发送端、接收端及通信网络异常或故障，因此需要对网络报文进行有效的监视、记录和诊断，提前发现通信网络的薄弱环节和故障设备，预防电力系统事故的发生。

1 智能变电站网络报文分析技术特点及构成技术特点：无损高速记录；海量数据存储；结构灵活安全；调试过程可视化；网络可靠性在线监视；信息综合分析；标准化数据交换接口。

网络报文分析系统构成：现阶段实现智能变电站网络报文分析功能的方式是智能变电站网络报文分析系统，智能变电站网络报文分析系统的结构采用“1 台网络报文分析单元+N 台网络报文记录单元”的构成模式。

2 智能变电站网络报文分析标准规范（1）DL/T 553-2013 电力系统动态记录装置通用技术条件；（2）Q/GDW 383-2009 智能变电站技术导则；（3）Q/GDW 715-2012智能变电站网络报文记录及分析装置技术条件；（4）Q/GDW 733-2012智能变电站网络报文记录及分析装置检测规范；（5）国家电网公司2011年新建变电站设计补充规定。

3 智能变电站网络报文分析的作用3.1 网络报文实时记录、监视及分析实时分析报文，给出预警信息并启动报文记录，启动报文记录的条件包括：报文格式错误：SV、GOOSE、MMS等报文格式错误；报文不连续：丢帧、重复、超时等；报文不同步；数据属性变化：品质因数变化、同步标志变化等；SV采样异常：频率不稳定、双A/D不一致等；对时服务事件：时钟加入、退出、切换等。

1 前言近几年来整个世界逐渐走向移动化。

因此，传统的连网方式已经无法应付新生活形式所带来的挑战。

如果非得通过实体线缆才能够连上网络，使用者的活动范围势必大幅缩小。

无线网络便无此限制，使用者可以享有较宽广的活动空问。

因此，无线技术正逐渐侵蚀传统固定式或有线式网络所占有的领域。

这种改变对每天开车的人来说分外明显，因为边开车边使用移动电话的驾驶行径，已经让他们随时都得面对攸关生死的挑战。

语音通信的无线化，造就了一个全新的产业，为电话注入移动性，已经对于语音通信事业造成深刻的影响。

因为如此一来，人与人之问就可以直接联系，不必受限于设备。

在电脑网络领域，面临同样深刻的巨变。

无线话之所以如此受到欢迎，是因为人们可以丝毫不受地点的影响而彼此沟通。

针对电脑网络所发展的种种新技术，让Internet连接得以提供相同的无线功能。

到目前为止，802.11算是最成功的无线网络技术。

所谓无线网络，既包括允许用户建立远距离无线连接的全球语音和数据网络，也包括为近距离无线连接进行优化的红外线技术及射频技术，与有线网络的用途十分类似，最大的不同在于传输媒介的不同，利用无线电技术取代网线，可以和有线网络互为备份。

1.1研究背景无线网络最明显的优点，在于提供人们移动性。

无线网络的使用者可以连接至既有网络，而后随意漫游。

通过基站，使用者可以一面开车，一面利用手机通话。

起初手机十分昂贵，价格因素使得手机用户局限在销售经理需要高度的移动性以及重要的决策阶层需要随时能够联络得上。

移动电话已经证实是一项十分有用的服务。

同样地，无线数据网络让软件开发人员从此不必再受Ethernet网线的束缚。

他们可以在图书馆、会议室、停车场甚至对街的咖啡馆工作。

只要使用者不走出基站的覆盖范围，即可使用网络资源。

唾手可及的无线网络设备能够轻易涵盖整第1页个公司；只要花些工夫，用点特殊设备，就可以让802.11网络的覆盖范围延伸至想要的地区，距离甚至可以长达数里。

《计算机网络基础》课程报告基于Wireshark的TCP和UDP报文分析院系：班级：学号：姓名：教师：2012年11月4日目录一 TCP连接时的三次握手 (3)二 TCP连接释放时的四次握手 (5)三 UDP报文分析 (7)3.1 UDP报文结构 (7)3.2 UDP检验和的计算 (7)四结束语 (9)一、TCP连接时的三次握手TCP 协议为终端设备提供了面向连接的、可靠的网络服务。

TCP在交换数据报文段之前要在发送方和接收方之间建立连接。

客户是连接的发起者，服务器是被动打开和客户进行联系。

具体的过程如下所述。

第一次握手：客户发送 SYN=1，seq=0的TCP报文给服务器Ps：客户的TCP向服务器发出连接请求报文段，其首部中的同步位SYN = 1。

序号 seq = 0，表明报文中未携带数据。

报文如下：源端口号:56644(56644)目的端口号:http(80)[Stream index: 0]Sequence number: 0 (relative sequence number)Header length: 32 bytesFlags: 0x02 (SYN)000. .... .... = Reserved: Not set...0 .... .... = Nonce: Not set.... 0... .... = Congestion Window Reduced (CWR): Not set.... .0.. .... = ECN-Echo: Not set.... ..0. .... = Urgent: Not set.... ...0 .... = Acknowledgement: Not set.... .... 0... = Push: Not set.... .... .0.. = Reset: Not set.... .... ..1. = Syn: Set.... .... ...0 = Fin: Not setWindow size: 8192Checksum: 0x1030 [validation disabled]Options: (12 bytes)第二次握手：服务器发送SYN=1，ACK=1，seq=0的TCP报文给客户Ps：服务器的TCP收到客户发来的连接请求报文段后，如同意，则发回确认。

ICMP报文数据包分析ICMP报文数据包分析ICMP（Internet Control Message Protocol）是互联网控制消息协议，它是一种辅助协议，用于在IP网络中传递控制信息。

ICMP报文数据包可以分为两类：差错报文和询问报文。

差错报文用于报告错误的IP数据报，而询问报文则用于测试网络连接是否正常。

一、ICMP差错报文1.目的不可达报文当路由器或主机无法处理IP数据报时，会发送目的不可达报文。

这种报文通常发生在以下情况：目的地端口未开放、网络地址无效、TTL（生存时间）值已过期等。

目的不可达报文可以帮助网络管理员诊断和解决网络问题。

2.超时报文当IP数据报在传输过程中超过TTL值时，会被路由器丢弃，并由发送端主机接收到一个超时报文。

这种报文可以告诉发送端主机在哪个路由器处发生了超时，有助于对网络性能进行评估和优化。

3.参数错误报文当IP数据报的头部参数有误时，路由器会发送参数错误报文。

例如，如果IP数据报的校验和错误，或者IP选项不符合要求，就会触发参数错误报文。

这种报文可以帮助发送端主机修改IP数据报头部，使其能够正确传输。

二、ICMP询问报文1.Echo请求报文Echo请求报文也被称为ping请求报文，它用于测试网络连接是否正常。

发送端主机发送Echo请求报文，接收端主机收到后，会返回一个Echo应答报文，确认收到请求。

这种询问-应答模式可以用于检查网络延迟、丢包率和链路质量等。

2.路由跟踪报文路由跟踪报文用于查询IP数据报从源主机到目的主机的路径。

发送端主机发送路由跟踪报文，要求接收端主机返回一条路径信息，包括每个路由器节点和它们的IP地址。

这种报文可以帮助网络管理员了解网络拓扑结构和路由选择策略。

三、ICMP数据包格式ICMP数据包的格式相对简单，包括ICMP类型、代码、校验和、ICMP数据等字段。

其中，ICMP类型表示报文的类型（如目的不可达、超时、参数错误等），代码字段表示更具体的报文类型（如目的端口未开放、网络地址无效等），校验和用于检测数据包在传输过程中的完整性，ICMP数据则包含与特定类型相关的信息（如目的IP地址、端口号等）。

FH Parameter Set 只能出现在实体层采用跳频技术 (Frequency Hopping) 之工作站所传送之Beacon 帧中。 DS Parameter Set 只能出现在实体层采用直接顺序技术 (Direct Sequence) 之工作站所传送之Beacon 帧中。 CF Parameter Set 只能出现在具有 PCF 功能之 AP 所传 送之Beacon 帧中。 IBSS Parameter Set 只能出现在隶属于一个独立BSS (IBSS) 之工作站所传送之Beacon 帧中。 TIM (Traffic Information Map) 只能出现在AP 所传送之 Beacon 帧中。
控制帧
CTS帧:
Frame Control
Duration RA TA FCS
Frame Control字段（2个字节）：用来决定帧的类型。 Duration字段（2个字节）：Duration 的值（单位是us） 应该等于传送该待送 Data 帧或 Management 帧，加上 一个 CTS 帧，加上一个 ACK 帧及加上三个 SIFS 帧间 隔的时间。 RA字段（6个字节）：RA 应该是无线媒介上的一个地 址，也就是待送Data 帧或 Management 帧的立即目的地 地址。 TA 字段（6个字节）：TA则是传送此帧之工作站之地址。 FCS字段（4个字节）：错误检查码 ，记录帧的检查码， 采用 CRC-32 技术。
Beacon Interval (2 字节) : 记录 Beacon 帧预计传送时间 (Target Beacon Transmission Time, TBTT) 的间隔，单位为Kus。 Capability Information (2 字节) : 记录所要求或响应之功能。 SSID （9字节）是一个ESS (Extended Service Set) 或IBSS (Independent BSS) 的识别码。长度字段值若等于零表示所携带的是 广播 SSID (broadcast SSID)。 Supported Rates 组件（2字节）主要是让工作站来声明其所能接收 的有哪些传输速率。

Βιβλιοθήκη 管理帧各式管理帧之格式
Frame Control Duration DA SA BSSID Sequence Control Frame Body FCS
管理帧之帧主体
顺序 1 2 3 4
5
信息 Timestamp Beacon Interval Capability Information SSID
FH Parameter Set 只能出现在实体层采用跳频技术 (Frequency Hopping) 之工作站所传送之Beacon 帧中。 DS Parameter Set 只能出现在实体层采用直接顺序技术 (Direct Sequence) 之工作站所传送之Beacon 帧中。 CF Parameter Set 只能出现在具有 PCF 功能之 AP 所传 送之Beacon 帧中。 IBSS Parameter Set 只能出现在隶属于一个独立BSS (IBSS) 之工作站所传送之Beacon 帧中。 TIM (Traffic Information Map) 只能出现在AP 所传送之 Beacon 帧中。
802.11协议定义三类帧
数据帧----Data帧
控制帧----CTS帧 ACK帧 管理帧----Probe Request 帧 Probe Response帧 Beacon帧 Authentication帧 Association Request 帧 Association Response帧
树形结构
列表
编辑框
缺陷一
缺陷：遇到数据帧携带大数据的报文时，程序 将解析不出结果或解析的结果与预想的差别很 大。 原因：经过仔细的调试发现程序在取帧的大小 的时候，不是将保存帧大小的字段整个的取出， 而是只取了它的第一个字节进行换算； 解决方案：如果取出这个字段双字进行换算， 程序将能够解析携带大数据数据帧的报文。

MQTT协议14种报文分析MQTT协议是一个轻量级的机器对机器(M2M)通信协议，适用于低带宽、不稳定网络以及资源有限的设备。

MQTT协议定义了14种不同类型的报文，用于设备之间的发布/订阅消息传递。

下面是对MQTT协议14种报文的详细分析。

1.CONNECT报文CONNECT报文用于建立客户端与代理服务器之间的网络连接。

它包含了客户端的标识符、协议版本、连接标志和会话标志等信息。

2.CONNACK报文CONNACK报文是代理服务器对CONNECT报文的响应。

它确认连接是否成功建立，并包含连接返回码和会话标志。

3.PUBLISH报文PUBLISH报文用于发布消息到代理服务器或订阅者。

它包含了主题名称、消息标识符、负载和服务质量(QoS)等信息。

4.PUBACK报文PUBACK报文是对PUBLISH报文的响应。

它确认消息已经被代理服务器接收并成功处理。

5.PUBREC报文PUBREC报文是对PUBLISH报文的响应。

它确认代理服务器已经成功接收到消息，并请求客户端进一步处理。

6.PUBREL报文PUBREL报文是对PUBREC报文的响应。

它确认客户端已经成功处理消息，并请求代理服务器释放消息。

7.PUBCOMP报文PUBCOMP报文是对PUBREL报文的响应。

它确认代理服务器已经成功释放消息。

8.SUBSCRIBE报文SUBSCRIBE报文用于订阅主题。

它包含了一个或多个主题过滤器和服务质量(QoS)等信息。

9.SUBACK报文SUBACK报文是对SUBSCRIBE报文的响应。

它包含了订阅请求的结果，包括每个订阅的主题过滤器、服务质量(QoS)和返回码。

10.UNSUBSCRIBE报文UNSUBSCRIBE报文用于取消订阅主题。

它包含了一个或多个主题过滤器。

11.UNSUBACK报文UNSUBACK报文是对UNSUBSCRIBE报文的响应。

它确认代理服务器已经成功取消订阅。

12.PINGREQ报文PINGREQ报文用于保持客户端与代理服务器之间的活动连接。

.计算机网络实验指南（计算机类本科生试用）广东省计算机网络重点实验室计算机科学与工程学院华南理工大学2014年5月实验二网络报文抓取与分析1．实验目的（1）、学习了解网络侦听（2）、学习抓包工具Wireshark的简单使用（3）、对所侦听到的信息作初步分析，包括ARP报文，ICMP报文。

（4）、从侦听到的信息中分析TCP的握手过程，进行解释（5）、分析了解TCP握手失败时的情况2．实验环境2.1 Wireshark介绍Wireshark（前称Ethereal）是一个免费的网络报文分析软件。

网络报文分析软件的功能是抓取网络报文，并逐层显示报文中各字段取值。

网络报文分析软件有个形象的名字“嗅探工具”，像一只猎狗，忠实地守候在接口旁，抓获进出该进口的报文，分析其中携带的信息，判断是否有异常，是网络故障原因分析的一个有力工具。

网络报文分析软件曾经非常昂贵，Ethereal/wireshark 开源软件的出现改变了这种情况。

在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。

Ethereal/wireshark 是目前世界使用最广泛的网络报文分析软件之一。

请需要的同学在教学在线上下载中文操作手册。

2.2 实验要求软件：Wireshark （目前最新版本1.4.1）硬件：上网的计算机3．实验步骤3.1 wireshark的安装wireshark的二进制安装包可以在官网/download.html#release下载，或者可以在其他网站下载。

注意：下载后双击执行二进制安装包即可完成wireshark的安装。

安装包里包含了WinPcap，并不需要单独安装WinPcap。

3.2 查看本机的网络适配器列表操作：单击菜单Capture中的Interfaces选项记录下你看到的信息，并回答问题：（1）、你机器上的网络适配器有几个？4（2）、它们的编号分别是？VMware Network Adapter VMnet8实际地址: 00-50-56-C0-00-08IP 地址: 192.168.241.1子网掩码: 255.255.255.0验证网卡实际地址: 00-1E-30-2D-FF-BAIP 地址: 169.254.2.191子网掩码: 255.255.0.0默认网关:DNS 服务器: 222.201.130.30, 222.201.130.33WINS 服务器:VMware Network Adapter VMnet1实际地址: 00-50-56-C0-00-01IP 地址: 192.168.133.1子网掩码: 255.255.255.0默认网关:DNS 服务器:WINS 服务器:Console网卡实际地址: 78-E3-B5-A5-B5-2BIP 地址: 192.168.3.53子网掩码: 255.255.252.0默认网关: 192.168.1.254DNS 服务器: 222.201.130.30WINS 服务器:3.3 在指定网络适配器上进行监听操作：在步骤3.2中弹出的Interfaces选项中，选择指定的网络适配器并单击start按钮记录并解释wireshark监听的包内容（解释1条记录即可）传输时间，发送方IP地址，接收方IP地址，协议类型，报文长度，报文信息报文内第一行：60bytes是报文大小，报文内第二行：发送方的mac地址，接收方的mac地址报文内第三行：发送方的IP地址，接收方的IP地址报文内第四行：发送方的端口号（80）接收方的端口号（1993）请求序列号为450，回执序列号191。

实验5分析IP报文结构IP（Internet Protocol）是一种基于分组交换的网络层协议，它负责将数据包从源主机发送到目的主机。

IP报文是在网络中传输的数据包的格式和结构。

IP报文的结构主要由首部和数据两部分组成。

首部是固定长度的部分，它储存了关于IP包的一些必要信息，如版本、首部长度、服务类型、总长度、时间戳、标识、标志、分片偏移、生存时间、协议、首部校验和、源IP地址、目的IP地址等。

数据部分则是要传输的实际数据。

首先，IP报文首部的第一个字段是版本（Version），它占4位，表示IP协议的版本号。

当前主要使用的版本是IPv4（版本号为4）和IPv6（版本号为6）。

其次，首部长度（Header Length）占4位，表示首部的长度，以4个字节为单位。

最小值是20字节，最大值是60字节。

由于首部长度字段只有4个位，它的最大值是15（1111），需要加上首部中其他字段的长度才能得到实际的首部长度。

接下来，服务类型（Type of Service）字段占8位，用于标识数据包的优先级和处理要求。

例如，分为低成本、高可靠性、最大吞吐量、最小延迟等不同类型。

标识（Identification）字段占16位，用于标识与此数据包相关的数据报的序列号。

标志（Flags）字段占3位，用于控制数据报的分段与重组。

其中，最高位表示是否允许分段，中间位保留，最低位用于指示是否为最后一个分段。

分片偏移（Fragment Offset）字段占13位，表示数据报分段在原始数据报中的位置，以8个字节为单位。

生存时间（Time to Live）字段占8位，表示数据包在网络中可以经过的最大路由器跳数。

每经过一个路由器，该字段会减1，当它减为0时，数据包将被丢弃。

协议（Protocol）字段占8位，表示上层协议，例如TCP或UDP。

首部校验和（Header Checksum）字段占16位，用于检测IP头部的错误。

它通过对首部进行求和、取反及移位等操作得到校验和值。

实
验
报
告
姓名：李冬冬
班级：RjbJava103
学号：201007092316
㈠实验目的和要求：
具体分析数据报文的格式，包括UDP、TCP、ARP等的详细信息。

㈡实验设备及要求：
抓包工具：wireshark-setup-1.0.0Wireshark(Ethereal)_网络监测㈢实验步骤：
①先用抓包工具进行抓包。

②随机找出要分析的数据报文。

③根据报文格式的不同进行具体的分析。

㈣实验结果：
⒈下面为UDP报文：
分析结果如下：
Ⅰ：UDP报文在源主机和目的主机之间进行传送时的MAC地址。

Ⅱ：UDP报文在源主机和目的主机之间进行传送时的IP地址。

Ⅲ：UDP报文在源主机和目的主机之间进行传送时的UDP协
议。

⒉下面为TCP报文：
分析结果如下：
Ⅰ：TCP报文在源主机和目的主机之间进行传送时的MAC地址。

Ⅱ：UDP报文在源主机和目的主机之间进行传送时的IP地址。

Ⅲ：TCP报文在源主机和目的主机之间进行传送时的TCP协
议。

⒊下面为ARP报文：
分析结果如下：
Ⅰ：ARP报文在源主机和目的主机之间进行传送时的MAC地址。

Ⅱ：ARP报文在源主机和目的主机之间进行传送时的IP地址。

Ⅲ：TCP报文在源主机和目的主机之间进行传送时的ARP协议。

㈤实验结果讨论及分析：
充分具体的解析了UDP、TCP、ARP报文的每一段含义。

让我
们又重新对UDP协议有了更深的了解。