北郵 計算機網(wǎng)絡(luò)實驗 網(wǎng)絡(luò)層數(shù)據(jù)分組捕獲
《北郵 計算機網(wǎng)絡(luò)實驗 網(wǎng)絡(luò)層數(shù)據(jù)分組捕獲》由會員分享,可在線閱讀,更多相關(guān)《北郵 計算機網(wǎng)絡(luò)實驗 網(wǎng)絡(luò)層數(shù)據(jù)分組捕獲(17頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、 計算機網(wǎng)絡(luò)課程設(shè)計實驗二:網(wǎng)絡(luò)層數(shù)據(jù)分組的捕獲和解析 1、 實驗類別協(xié)議分析型2、 實驗內(nèi)容和實驗?zāi)康谋敬螌嶒瀮?nèi)容:1) 捕獲在連接Internet過程中產(chǎn)生的網(wǎng)絡(luò)層分組:DHCP分組,ARP分組,IP數(shù)據(jù)分組,ICMP分組。2) 分析各種分組的格式,說明各種分組在建立網(wǎng)絡(luò)連接過程中的作用。3) 分析IP數(shù)據(jù)分組分片的結(jié)構(gòu)實驗?zāi)康模和ㄟ^本次實驗了解計算機上網(wǎng)的工作過程,學(xué)習(xí)各種網(wǎng)絡(luò)層分組的格式及其作用,理解長度大于1500字節(jié)IP數(shù)據(jù)組分片傳輸?shù)慕Y(jié)構(gòu)。4)分析TCP建立連接,拆除連接和數(shù)據(jù)通信的流程。3、 實驗學(xué)時4學(xué)時4、 實驗組人數(shù)1人5、 實驗設(shè)備環(huán)境1臺裝有Windows XP操作系
2、統(tǒng)的pc機,能夠連接到Internet,并安裝WireShark 軟件。6、 學(xué)習(xí)難點重點分析網(wǎng)絡(luò)層分組的格式,掌握各種分組在網(wǎng)絡(luò)通信中的應(yīng)用,了解整個上網(wǎng)的工作過程。發(fā)送ICMP分組,并分析其結(jié)構(gòu)和功能。制作長度大于1500字節(jié)的IP數(shù)據(jù)分組,發(fā)送并分析其分片傳輸?shù)倪^程。7、 實驗步驟1、啟動計算機,連接網(wǎng)絡(luò)確保能夠上網(wǎng),安裝WireShark軟件。2、第一步:開啟WirkShark監(jiān)控,設(shè)置捕獲過濾器,僅捕獲UDP報文Capture =Interfrace=選中所用網(wǎng)卡=點擊Start第二步:設(shè)置WirkShark顯示過濾器,在工作畫面Filter設(shè)置udp.port=68,這樣在捕獲的報
3、文中,僅顯示UDP端口號68的報文(DHCP報文)第三步:在DOS窗口執(zhí)行命令ipconfig/release先釋放已經(jīng)申請的IP地址,再執(zhí)行ipconfig/renew,就可以在WireShark上看到DHCP的四次握手獲得IP地址,缺省路由DNS等參數(shù)的過程。第四步:重新設(shè)置WireShark的捕獲選項和顯示選項(這些選項的設(shè)置方法可以參照軟件自帶手冊)。執(zhí)行一個ping命令,觀察ARP和PING命令的執(zhí)行過程。關(guān)于捕獲過濾器的手冊:Help=Contents,找到4.9節(jié):Filtering while capturing關(guān)于顯示過濾器的手冊:Help=Contents,找到6.3節(jié):F
4、iltering packets while viewing3、分析數(shù)據(jù)分組的分片傳輸過程制作大于8000字節(jié)的IP數(shù)據(jù)分組并發(fā)送,捕獲后分析其分片傳輸?shù)姆纸M結(jié)構(gòu)。使用Windows中ping命令的-l選項,例如:ping -l 8000 192.168.0.14、分析TCP通信過程WireShark的Filter項 填為tcp.port=21 (僅觀察FTP的TCP通信,F(xiàn)TP端口號為21)。捕獲所有下面通信過程的TCP報文進行分析。1) 觀察TCP建立連接的三次握手和粗暴方式拆除連接的流程。執(zhí)行命令ftp 連接建立后直接按下Ctrl-C中止程序運行。2) 觀察TCP建立連接的三次握手,數(shù)據(jù)
5、通信和優(yōu)雅方式拆除連接的流程。執(zhí)行命令ftp 用戶名輸入anonymous口令輸入ab執(zhí)行成功后輸入命令bye3) (選作)執(zhí)行下面的操作,觀察TCP連接斷開的流程與2)有何區(qū)別。執(zhí)行命令ftp 用戶名輸入anonymous口令輸入ab執(zhí)行成功后輸入命令bye8、 實驗分析 捕獲ICMP 協(xié)議數(shù)據(jù)1. 運行 ping 命令(例如:c ping 192.168.0.1),遠程主機地址可以是本機地址、網(wǎng)關(guān)路由器地址,也可以是域名(如)。將捕獲到的數(shù)據(jù)保存為文件。2. 使用 Windows 中ping 命令的-l 選項(例如:cping -l 8000 192.168.0.1),制作大于8000 字
6、節(jié)的IP 包并發(fā)送,捕獲后分析其分段傳輸?shù)陌Y(jié)構(gòu)。捕獲 DHCP 協(xié)議數(shù)據(jù)1. 使用 ipconfig 命令釋放計算機的IP 地址(cipconfig -release);2. 使用 ipconfig 命令重新申請IP 地址(cipconfig -renew)。此時 wireshark 窗口中可以捕獲到完整的DHCP 地址分配的流程,將捕獲到的數(shù)據(jù)保存為文件。捕獲 ARP 協(xié)議數(shù)據(jù)采用與捕獲 DHCP 協(xié)議數(shù)據(jù)相同的方法釋放IP 地址并重新申請,在wireshark 窗口中可以捕獲到ARP 請求和響應(yīng)消息,保存為文件。捕獲 TCP 協(xié)議數(shù)據(jù)打開瀏覽器,輸入一個頁面內(nèi)容較簡單網(wǎng)頁URL,如;網(wǎng)頁
7、全部顯示后關(guān)閉瀏覽器。9、實驗結(jié)果1) 捕獲DHCP分組Encode分析如下:由捕獲的數(shù)據(jù)包可見,其IP頭部的目的域地址為ff ff ff ff,即表明該包圍一個廣播包,同時可以看到其源地址為00 00 00 00。根據(jù)DHCP的數(shù)據(jù)包部分的譯碼輸出,我們可以得到Boot Record type域為1(表明是申請IP地址),以及硬件地址類型和硬件地址長度等等信息,并且最終申請的IP地址為59.64.192.184。之后可以看到網(wǎng)關(guān)會發(fā)來一個DHCP ACK數(shù)據(jù)包,用來確認IP地址的分配(由于版面所限,未添加相應(yīng)截圖)2) 捕獲IP數(shù)據(jù)分組:IP分組格式為: 分析IP數(shù)據(jù)分組:其相應(yīng)的分析如下表
8、字段報文(16進制)內(nèi) 容報頭長度45報頭長20字節(jié)服務(wù)類型00正常時延,正常吞吐量,正??煽啃钥傞L度00 30分組長度48字節(jié)標(biāo)識8a 83標(biāo)識為35459標(biāo)志40DF=1,MF=0,不允許分片偏移值00偏移量為0生存周期6e每跳生存周期為110s協(xié)議06攜帶的數(shù)據(jù)來自TCP協(xié)議頭部校驗和89 11頭部校驗和為8911源地址7d 26 80 9c源地址為 125.38.128.156目的地址3b 40 c0 30目的地址為 59.64.192.483) 分析整個上網(wǎng)的工作過程,需要收發(fā)什么分組?每個分組的內(nèi)容是什么?首先通過廣播的方式向默認的網(wǎng)關(guān)(我這里是59.64.192.1)發(fā)送一個DH
9、CP REQUEST報文,以申請獲得動態(tài)的IP地址,里面包括的內(nèi)容如實驗結(jié)果1示網(wǎng)關(guān)受到報文后,會回送一個DHCP ACK報文,以告訴申請方已經(jīng)將IP地址分配過去,本次實驗分配的地址是59.64.192.48之后本機還要廣播自己的地址映射關(guān)系,用ARP數(shù)據(jù)報。其形式是這樣的:本機發(fā)送ARP請求查找它自己的IP地址,這樣就會使每臺主機在ARP緩存中加入一個映射表象,即讓其他主機知道了當(dāng)前本機的地址,相應(yīng)的數(shù)據(jù)報如下圖示 DHCP REQUEST 數(shù)據(jù)報DHCPACK數(shù)據(jù)報ARP數(shù)據(jù)報4) 捕獲ICMP分組:分組一 相應(yīng)ICMP譯碼輸出分析ICMP分組:字 段報文(16進制) 內(nèi) 容類 型03終點
10、不可達代 碼03端口不可達校 驗 和bf 73頭部校驗和為bf 73此ICMP報文是差錯報文,報告差錯為終點不可達中的端口不可達。通過ping命令產(chǎn)生ICMP報文二相應(yīng)的ICMP譯碼輸出分析ICMP分組:字 段報文(16進制) 內(nèi) 容類 型08問一臺機器是否仍處于活動狀態(tài)代 碼00校 驗 和19 5c頭部校驗和為195c此ICMP為用來判斷指定目標(biāo)是否可達以及是否活著的報文,是ping命令中常用的5) 制作一個8000字節(jié)的IP數(shù)據(jù)分組,發(fā)送后捕獲分析。由于分組長度大于1500字節(jié),因此需要分片傳輸。按照2)中的方法分析所有分片的結(jié)構(gòu)。IP分組一其相應(yīng)的分析如下表字段報文(16進制)內(nèi) 容報頭
11、長度45報頭長20字節(jié)服務(wù)類型00正常時延,正常吞吐量,正??煽啃钥傞L度05 dc分組長度1500字節(jié)標(biāo)識0b 6e標(biāo)識為2926標(biāo)志20DF=0,MF=1,允許分片,當(dāng)前片不是最后片偏移值00偏移量為0生存周期80每跳生存周期為128s協(xié)議01攜帶的數(shù)據(jù)來自ICMP協(xié)議頭部校驗和A9 F7頭部校驗和為A9 F7源地址3b 40 c0 b8源地址為 59.64.192.184目的地址d3 5e 90 64目的地址為 211.94.144.100IP分組二其相應(yīng)的分析如下表字段報文(16進制)內(nèi) 容報頭長度45報頭長20字節(jié)服務(wù)類型00正常時延,正常吞吐量,正??煽啃钥傞L度05 dc分組長度15
12、00字節(jié)標(biāo)識0b 6e標(biāo)識為2926標(biāo)志20DF=0,MF=1,允許分片,當(dāng)前片不是最后片偏移值20 B9偏移量為1480生存周期80每跳生存周期為128s協(xié)議01攜帶的數(shù)據(jù)來自ICMP協(xié)議頭部校驗和A9 3E頭部校驗和為A9 3E源地址3b 40 c0 b8源地址為 59.64.192.184目的地址d3 5e 90 64目的地址為 211.94.144.100IP分組三其相應(yīng)的分析如下表字段報文(16進制)內(nèi) 容報頭長度45報頭長20字節(jié)服務(wù)類型00正常時延,正常吞吐量,正??煽啃钥傞L度05 dc分組長度1500字節(jié)標(biāo)識0b 6e標(biāo)識為2926標(biāo)志2XDF=0,MF=1,允許分片,當(dāng)前片不
13、是最后片偏移值21 72偏移量為2960生存周期80每跳生存周期為128s協(xié)議01攜帶的數(shù)據(jù)來自ICMP協(xié)議頭部校驗和A8 85頭部校驗和為A8 85源地址3b 40 c0 b8源地址為 59.64.192.184目的地址d3 5e 90 64目的地址為 211.94.144.100IP分組四其相應(yīng)的分析如下表字段報文(16進制)內(nèi) 容報頭長度45報頭長20字節(jié)服務(wù)類型00正常時延,正常吞吐量,正??煽啃钥傞L度05 dc分組長度1500字節(jié)標(biāo)識0b 6e標(biāo)識為2926標(biāo)志2XDF=0,MF=1,允許分片,當(dāng)前片不是最后片偏移值22 2b偏移量為4440生存周期80每跳生存周期為128s協(xié)議01
14、攜帶的數(shù)據(jù)來自ICMP協(xié)議頭部校驗和A7 CC頭部校驗和為A7 CC源地址3b 40 c0 b8源地址為 59.64.192.184目的地址d3 5e 90 64目的地址為 211.94.144.100IP分組五其相應(yīng)的分析如下表字段報文(16進制)內(nèi) 容報頭長度45報頭長20字節(jié)服務(wù)類型00正常時延,正常吞吐量,正??煽啃钥傞L度05 dc分組長度1500字節(jié)標(biāo)識0b 6e標(biāo)識為2926標(biāo)志2XDF=0,MF=1,允許分片,當(dāng)前片不是最后片偏移值22 e4偏移量為5920生存周期80每跳生存周期為128s協(xié)議01攜帶的數(shù)據(jù)來自ICMP協(xié)議頭部校驗和A7 13頭部校驗和為A7 13源地址3b 4
15、0 c0 b8源地址為 59.64.192.184目的地址d3 5e 90 64目的地址為 211.94.144.100IP分組六其相應(yīng)的分析如下表字段報文(16進制)內(nèi) 容報頭長度45報頭長20字節(jié)服務(wù)類型00正常時延,正常吞吐量,正常可靠性總長度02 74分組長度628字節(jié)標(biāo)識0b 6e標(biāo)識為2926標(biāo)志03DF=0,MF=0,允許分片,當(dāng)前片是最后片偏移值03 9d偏移量為7400生存周期80每跳生存周期為128s協(xié)議01攜帶的數(shù)據(jù)來自ICMP協(xié)議頭部校驗和C9 C2頭部校驗和為C9 C2源地址3b 40 c0 b8源地址為 59.64.192.184目的地址d3 5e 90 64目的地
16、址為 211.94.144.100上述便是將一個8000字節(jié)的分組劃分為六個分片的情形,我們不妨加以計算5個長度為1500字節(jié)的IP分組,每個分組的凈荷域=1500-20=1480,第一個分組為表明是ICMP分組,又加了8個字節(jié)的長度,故前五個分組組裝起來為1480*5-8=7392。加上最后一個分片,其總長度為7392+628=8000Byte,證明結(jié)果是正確的。6) TCP協(xié)議分析建立連接: 在 TCP/IP 協(xié)議中,TCP 協(xié)議提供可靠的連接服務(wù),采用三次握手建立一個連接。 第一次握手: 建立連接時, 客戶端發(fā)送 syn 包(syn=j)到服務(wù)器, 并進入 SYN_SEND 狀態(tài),等待服
17、務(wù)器確認; 第二次握手:服務(wù)器收到 syn 包,必須確認客戶的 SYN(ack=j+1),同時自己 也發(fā)送一個 SYN 包(syn=k),即 SYN+ACK 包,此時服務(wù)器進入 SYN_RECV 狀態(tài); 第三次握手:客戶端收到服務(wù)器的 SYNACK 包,向服務(wù)器發(fā)送確認包 ACK(ack=k+1),此包發(fā)送完畢,客戶端和服務(wù)器進入 ESTABLISHED 狀態(tài),完成三 次握手。 完成三次握手,客戶端與服務(wù)器開始傳送數(shù)據(jù) 釋放連接: 雖然TCP連接是全雙工的,但可將其視為一對單工連接,每個連接單獨釋放,兩個單工之間獨立。步驟:(1) 客戶端1發(fā)送一個FIN,用來關(guān)閉1到2的數(shù)據(jù)發(fā)送(2) 服務(wù)器
18、2收到這個FIN,它發(fā)回一個ACK,確認序號為收到的序號+1,和SYN一樣,一個FIN將占用一個序號(3) 服務(wù)器2關(guān)閉與客戶端1的連接,發(fā)送一個FIN給客戶端1(4) 客戶端1發(fā)回ACK報文確認,并將確認信號設(shè)置為收到序號+1 每個TCP報文頭部都包含源端口號(source port)和目的端口號(destination port),用于標(biāo)識和區(qū)分源端設(shè)備和目的端設(shè)備的應(yīng)用進程。在TCP/IP協(xié)議棧中,源端口號和目的端口號分別與源IP地址和目的IP地址組成套接字(socket),唯一的確定一條TCP連接。 序列號(Sequence number)字段用來標(biāo)識TCP源端設(shè)備向目的端設(shè)備發(fā)送的字
19、節(jié)流,它表示在這個報文段中的第一個數(shù)據(jù)字節(jié)。如果將字節(jié)流看作在兩個應(yīng)用程序間的單向流動,則TCP用序列號對每個字節(jié)進行計數(shù)。序列號是一個32bits的數(shù)。 既然每個傳輸?shù)淖止?jié)都被計數(shù),確認序號(Acknowledgement number,32bits)包含發(fā)送確認的一端所期望接收到的下一個序號。因此,確認序號應(yīng)該是上次已成功收到的數(shù)據(jù)字節(jié)序列號加1。 TCP的流量控制由連接的每一端通過聲明的窗口大小(windows size)來提供。窗口大小用數(shù)據(jù)包來表示,例如Windows size=3, 表示一次可以發(fā)送三個數(shù)據(jù)包。窗口大小起始于確認字段指明的值,是一個16bits字段。窗口大小可以調(diào)節(jié)
20、。 校驗和(checksum)字段用于校驗TCP報頭部分和數(shù)據(jù)部分的正確性。 最常見的可選字段是MSS(Maximum Segment Size,最大報文大?。?。MSS指明本端所能夠接收的最大長度的報文段。當(dāng)一個TCP連接建立時,連接的雙方都要通告各自的MSS協(xié)商可以傳輸?shù)淖畲髨笪拈L度。我們常見的MSS有1024(以太網(wǎng)可達1460字節(jié))字節(jié)。2) 對照教材 6-33 圖,理解TCP 狀態(tài)轉(zhuǎn)換的過程,按照你所捕獲的消息,畫出Client 側(cè)的狀態(tài)轉(zhuǎn)換圖,并進行解釋。 當(dāng)客戶機器上的一個應(yīng)用程序發(fā)出CONNECT請求的時候,本地的TCP創(chuàng)建一條連接記錄,并將它標(biāo)記為SYN SENT狀態(tài),然后發(fā)送
21、一個SYN數(shù)據(jù)段。當(dāng)SYN+ACK到達時候,三步握手完成,連接建立開始發(fā)送和接收數(shù)據(jù)。 當(dāng)應(yīng)用結(jié)束時,發(fā)出CLOSE原語,從而使本地的TCp實體發(fā)送一個FIN數(shù)據(jù)段,并等待相應(yīng)ACK,當(dāng)ACK到達時,發(fā)生一次狀態(tài)遷移,切換到FIN WAIT 2,而且連接的一個方向現(xiàn)在被關(guān)閉。當(dāng)另一方也關(guān)閉的時候,一個FIN數(shù)據(jù)段會到來,然后它被確認?,F(xiàn)在雙方都已經(jīng)關(guān)閉了,但是TCP要等待一段最大的分組生存期的時間,以確保該鏈接的所有分組都已經(jīng)消失了,以防萬一發(fā)生確認被丟失的情形。當(dāng)定時器到期之后,TCP刪除該鏈接記錄。 當(dāng)客戶完成的時候,它執(zhí)行CLOSE,從而導(dǎo)致發(fā)送一個FIN到達服務(wù)器。然后,服務(wù)器接到信號,當(dāng)它也執(zhí)行CLOSE的時候,TCP實體給客戶發(fā)送一個FIN數(shù)據(jù)段。當(dāng)客戶的確認回來的時候,服務(wù)器釋放該鏈接,并且刪除相應(yīng)的鏈接記錄。9、 實驗結(jié)論和實驗心得通過本次實驗,我對IP數(shù)據(jù)包的組成有了更加深刻地認識,對數(shù)據(jù)包在數(shù)據(jù)鏈路層,網(wǎng)絡(luò)層,傳輸層傳遞過程中幀頭信息的變化有了更加深刻的理解,數(shù)據(jù)鏈路層加DLC頭,網(wǎng)絡(luò)層加IP頭,同時每一層還有相應(yīng)的協(xié)議(ICMP,DHCP,ARP),對應(yīng)相應(yīng)的數(shù)據(jù)包。不過總體上來說,這次實驗進行的還是較為順利的,花費時間最多的部分是實驗報告的書寫及相關(guān)結(jié)果的截圖上??傮w來說比較順利的完成了本次實驗。
- 溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。