如何抓取tcp数据包

计算机网络 课程设计报告

课程设计题目：TCP数据包的抓取与分析

专 业： 班 级： 姓 名： 学 号: 指导教师:

年 月 日

1

目 录

1.摘要.........................................................................................3 2.引言.........................................................................................4 3.目录.........................................................................................2 4.TCP数据包抓取....................................................................5 5.TCP数据包分析.............................

**大学

计算机科学与技术学院

实验报告

（ 2007 ~2008 学年度 第 一 学期 ）

课程名称

项目名称

网络编程技术 网络抓包

姓名

学号

专业 计算机

班级

地点

教师

一实验目的：

1. 通过学习，使大家熟练掌握JAVA的安装，配置及其运行环境。 2. 初步掌握如何连接JAVA和数据库。

3．从网络上采集至10万个数据包分别存入TXT文件和数据库中。 4．完成协议统计、包长统计。

5．实现数据包流量的时间变化（10分钟为单位）直观的统计图。

二．软硬件环境

操作系统：Windows xp 数据库：SQL Server 2000

开发环境：JDK_1_5-0-07, WinPcap_4_0_1，JCreator Pro 3.5

三 实验原理：

1. Java语言具有以下特点：简单、面向对象、分布式、解释执行、安全、 跨平台、高性能、多线程等特点。首先安装上述开发环境中的各个软件，Winpcap 是一个第三方类库，为Jpcap提供基础类Jpcap是一个静态库，可以被包截获程序直接调用，它应用Packet.dll导出的服务向上层应用程序提供强有力的截获界面。它是应用程序的一部分。 1）建立获取网络数据包的程

**大学

计算机科学与技术学院

实验报告

（ 2007 ~2008 学年度 第 一 学期 ）

课程名称

项目名称

网络编程技术 网络抓包

姓名

学号

专业 计算机

班级

地点

教师

一实验目的：

1. 通过学习，使大家熟练掌握JAVA的安装，配置及其运行环境。 2. 初步掌握如何连接JAVA和数据库。

3．从网络上采集至10万个数据包分别存入TXT文件和数据库中。 4．完成协议统计、包长统计。

5．实现数据包流量的时间变化（10分钟为单位）直观的统计图。

二．软硬件环境

操作系统：Windows xp 数据库：SQL Server 2000

开发环境：JDK_1_5-0-07, WinPcap_4_0_1，JCreator Pro 3.5

三 实验原理：

1. Java语言具有以下特点：简单、面向对象、分布式、解释执行、安全、 跨平台、高性能、多线程等特点。首先安装上述开发环境中的各个软件，Winpcap 是一个第三方类库，为Jpcap提供基础类Jpcap是一个静态库，可以被包截获程序直接调用，它应用Packet.dll导出的服务向上层应用程序提供强有力的截获界面。它是应用程序的一部分。 1）建立获取网络数据包的程

设计题4：发送TCP数据包

本设计的目的是填充一个TCP数据包，并发送给目的主机。

1）以命令行形式运行：SendTCP source_ip source_port dest_ip dest_port Data 其中SendTCP为程序名，source_ip、source_port、dest_ip和dest_port分别为源IP地址、目的IP地址、源端口和目的端口， Data为数据字段。

2）其他的TCP头部参数请自行设定。

3）数据字段为“This is my homework of network,I am very happy!”。 4）成功发送后在屏幕上输出“send OK”。

引言：

TCP作用

TCP建立连接时的三次握手

在因特网协议族（Internet protocol suite）四层协议中，TCP层是位于IP层之上，应用层之下的传输层。不同主机的应用层之间经常需要可靠的、像管道一样的连接，但是IP层不提供这样的流机制，而是提供不可靠的包交换。

应用层向TCP层发送用于网间传输的、用8位字节表示的数据流，然后TCP把数据流分割成适当长度的报文段（通常受该计算机连接的网络的数据链路层的最大传送单元（MTU）的限制

实验七 TCP及UDP协议数据包分析实验

一、实验目的

掌握TCP及UDP协议相关原理及相关数据包获取及分析方法 二、实验要求及实验内容

1、查看UDP题头文件，步骤如下： （1）打开dns-moviefone.pkt。

（2）协议列中的头两个数据包是基于UDP发送的，后面的数据包是基于TCP发送的，回答以下有关跟踪到的数据包#1的问题：

A、这个数据包的哪个域表明它是基于UDP通信的； B、通信时使用哪个类型的源端口； C、这个数据包的应用层协议是什么？ D、UDP题头的长度是多少？ E、这个数据包有多少字节的数据？ 2、检查TCP握手进程，需要采取以下步骤：

（1）数据包#3,#4代表握手进程。双击数据包#3打开它的解码窗口。回答以下有关跟踪到的数据包#3的问题：

A、这个数据包的哪个域表明它是基于TCP通信的； B、通信时使用哪个类型的源端口； C、这个数据包的应用层协议是什么？ D、TCP数据包的长度是多少？ E、源主机的序号是多少？

（2）双击数据包#4打开它的解码窗口。回答以下有关跟踪到的数据包#4的问题： A、数据包#4的发送方使用的序号是多少？ B、发送方和接受方使用的MSS 值是相同的吗？

三、实验报告要求

1、写出实验内容

实验4 TCP数据包及连接建立过程分析

1．实验目的

1. 学习并分析TCP数据包的结构、含义

2．分析TCP连接的建立过程和数据传输过程。

2．实验设备与环境

1．Wireshark网络分析软件

2．实验文件“计算机网络－实验文件.cap”

3．相关知识

3．1 TCP 数据报结构

? 一个 TCP 数据报由首部和数据两部分组成。

? 首部的前一部分是固定长度，共 20 字节，是所有TCP数据报必须具有的。 ? 在首部的固定部分的后面是一些可选字段，其长度是可变的。

32 bit比特0 8 16 源端口序号TCP首部确数据偏移保留检验和选项（长度可变）认号窗口紧急指针填充20 字节的固定首部24 31目的端口UAPRSFRCSSYIGKHTNNTCP 报文段发送在前IP 首部TCP 首部TCP 数据部分IP 数据部分TCP 报文段首部 3．2 TCP 连接的建立过程

? A 的 TCP 向 B 发出连接请求报文段，其首部中的同步比特 SYN 应置为 1，并选择

序号 x (为了防止

数据包处理的一些建议

前言

我们大部分功能都需要解析数据，进行一系列的包匹配完成，但是目前，我们没有一个很好的框架来简化这个过程，大家处理数据包都是采用原生的linux内核接口，并且没有统一的规范要求如何使用这些接口，所以，存在大量的陷阱，一不留神就造成宕机。

获取IP头部

iph = ip_hdr(skb); struct sk_buff { ...... sk_buff_data_t sk_buff_data_t sk_buff_data_t ...... } transport_header; network_header; mac_header; /* Transport layer header */ /* Network layer header */ /* Link layer header */ 1）__netif_receive_skb()在进入三层处理前就对network_header进行了设置。 2）ip_rcv()中详细的检查保证了IP头部到netfilter后是完整的。 3）netfilter可以尽情使用ip头部。

获取tcp头部

错误1：

tcph = tcp_hdr(skb);

介绍etheral捕获数据包的用法

内容二 数据包捕获与分析

一、实验环境搭建：

1) 运行Windows 2000/2003 Server/XP操作系统的PC一台

2) 每台PC具有一块以太网卡，通过双绞线与局域网相连

3) Ethereal程序、WinPcap程序

二、实验目的：

1）学会正确安装和配置网络协议分析仪软件Ethereal。

2）掌握使用Ethereal分析各种网络协议的技能，加深对帧格式、协议格式、协议层次 的理解。

三、实验步骤：

Ethereal是一个图形用户接口（GUI）的网络嗅探器， Ethereal和其它图形化的网络嗅探器都使用相同的界面模式，如果能熟练地使用Ethereal，那么其它图形用户界面的嗅探器基本都可以操作。

1. Ethereal的安装

由于Ethereal需要WinPcap库, 所以先安装WinPcap_2_3.exe, 再安装Ethereal.exe。

2. 查看Ethereal的捕获接口

图1-1 Capture Interfaces

打开Ethereal，在菜单Capture 下点击Interfaces， 选取要抓包的网卡， 这里选取地址为172.20.12.47 的所在本主机的网卡抓取数据包，接口选择Broadcom

网络层数据包抓包分析

一.实验内容

（1）使用Wireshark软件抓取指定IP包。

（2）对抓取的数据包按协议格式进行各字段含义的分析。 二.实验步骤

（1）打开Wireshark软件，关闭已有的联网程序（防止抓取过多的包），开始抓包；

（2）打开浏览器，输入http://www.sina.com.cn/网页打开后停止抓包。

（3）如果抓到的数据包还是比较多，可以在Wireshark的过滤器（filter）中输入http，按“Apply”进行过滤。过滤的结果就是和刚才打开的网页相关的数据包。

（4）在过滤的结果中选择第一个包括http get请求的帧，该帧用

于向http://www.sina.com.cn/网站服务器发出http get请求 （5）选中该帧后，点开该帧首部封装明细区中Internet Protocol前的”+”号，显示该帧所在的IP包的头部信息和数据区：

（6）数据区目前以16进制表示，可以在数据区右键菜单中选择“Bits View”以2进制表示：

（注意:数据区蓝色选中的数据是IP包的数据，其余数据是封装该IP包的其他层的数据） 回答以下问题：

1、该IP包的“版本”字段值为_0100_(2进制表示)，该值代表该IP包的协

网络层数据包抓包分析

一.实验内容

（1）使用Wireshark软件抓取指定IP包。

（2）对抓取的数据包按协议格式进行各字段含义的分析。 二.实验步骤

（1）打开Wireshark软件，关闭已有的联网程序（防止抓取过多的包），开始抓包；

（2）打开浏览器，输入http://www.sina.com.cn/网页打开后停止抓包。

（3）如果抓到的数据包还是比较多，可以在Wireshark的过滤器（filter）中输入http，按“Apply”进行过滤。过滤的结果就是和刚才打开的网页相关的数据包。

（4）在过滤的结果中选择第一个包括http get请求的帧，该帧用

于向http://www.sina.com.cn/网站服务器发出http get请求 （5）选中该帧后，点开该帧首部封装明细区中Internet Protocol前的”+”号，显示该帧所在的IP包的头部信息和数据区：

（6）数据区目前以16进制表示，可以在数据区右键菜单中选择“Bits View”以2进制表示：

（注意:数据区蓝色选中的数据是IP包的数据，其余数据是封装该IP包的其他层的数据） 回答以下问题：

1、该IP包的“版本”字段值为_0100_(2进制表示)，该值代表该IP包的协