第7节 简单抓包实验及验证帧结构——基于“科来”软件

0 摘要

本节以科来软件为例介绍了简单的抓包实验，并通过抓包实验简单验证TCP/IP协议栈结构；简单分析了帧结构中的帧头结构。本实验为后续分析复杂数据铺垫。

1 安装科来软件及Telnet客户端

1.1 在虚拟机win7上安装科来软件

（1）官网下载地址。
（2）安装，根据提示安装。
（3）安装时出现“无法注册动态库或控件(DLL/ocx)运行RegSvr32失败，其返回值0x3”的错误提示。本次实验采用真实机（win10）代替win7系统进行实验。

1.2 将虚拟机win2003和真实机调接到同一个局域网中

虚拟机win2003连接VMnet1，设置IP地址为10.1.1.1；真实机连接VMnet1，设置IP为10.1.1.2。确保能相互ping通，为win2003开启Telnet服务。开启Telnet服务具体可参考《第7节 服务器的远程管理》

1.3 真实机安装Telnet客户端

（1）软件下载：win7及以上系统没有自带Telnet以及ssh等客户端，因此在cmd窗口无法使用相应命令。需要安装对应客户端，可以下载安装使用putty。该软件集成了Telnet与ssh等远程管理命令的安装包。
（2）右键所下载的msi文件→安装→一直默认安装。
（3）双击→输入要远程管理的IP以及采用的端口→点击open进入命令行对话窗口。

2 简单抓包实验

2.1 抓取Telnet数据包

（1）打开科来软件。真实机开启科来网络分析系统。

（2）真实机打开putty软件对win2003进行远程管理，输入win2003管理员账号密码进入控制。

（3）在真实机科来软件界面，可以看到已经抓取到进出该网卡的所有数据包，数据包的类型多样。

（4）设置协议类型限定为Telnet进行预览，在过滤器中输入命令“protocol = telnet”、并点击回车进行过滤，看到Telnet数据包如下：

（4）选中上图中的某个数据包，双击进入。可以看到该包数据的结构为2层帧头+3层IP包头+4层TCP头+5层数据+2层帧尾。

2.2 抓取ping数据包

（1）真实机ping 10.1.1.1。
（2）设置协议类型限定为icmp进行预览，在过滤器中输入命令“protocol = icmp”、并按回车进行过滤，看到icmp数据包如下：

（3）双击进入观察数据包帧结构。没有4层TCP/UDP头和5层数据。

参考文章

[1] 第29节 简单抓包实验及帧结构分析——基于科来网络分析系统