《计算机网络原理》课程综合性实验报告-TCPIP网络协议分析.doc

华北科技学院计算机系综合性实验报告华北科技学院计算机系综合性实验实 验 报 告 课程名称 计算机网络原理 实验学期 2008 至 2009 学年 第 一 学期学生所在系部 计算机系 年级 2006 专业班级 网络B06-10 学生姓名 华科人 学号 200601011101 任课教师 实验成绩 计算机系制实验报告须知1、 学生上交实验报告时，必须为打印稿（A4纸）。页面空间不够，可以顺延。2、 学生应该填写的内容包括：封面相关栏目、实验地点、时间、目的、设备环境、内容、结果及分析等。3、 教师应该填写的内容包括：实验成绩、教师评价等。4、 教师根据本课程的实验指导中实验内容的要求，评定学生的综合性实验成绩；要求在该课程期末考试前将实验报告交给任课教师。综合性实验中，所涉及的程序，文档等在交实验报告前，拷贝给任课教师。任课教师统一刻录成光盘，与该课程的期末考试成绩一同上交到系里存档。5、 未尽事宜，请参考该课程的实验大纲和教学大纲。 计算机网络原理 课程综合性实验报告开课实验室：网络工程实验室 2008 年 11 月 12 日实验题目TCP/IP网络协议分析一、实验目的1. 通过实验，学习和掌握TCP/IP协议分析的方法及其相关工具的使用；2. 熟练掌握 TCP/IP体系结构；3. 学会使用网络分析工具；4. 网络层、传输层和应用层有关协议分析。二、设备与环境l Windows 2003 server 操作系统l TCP/IP 协议l Sniffer工具软件三、实验内容1.要求掌握网络抓包软件Sniffer内容包括：l 捕获网络流量进行详细分析l 利用专家分析系统诊断问题l 实时监控网络活动l 收集网络利用率和错误等2.协议分析（一）：IP协议，内容包括：l IP头的结构l IP数据报的数据结构分析3协议分析（二）：TCP/UDP协议，内容包括： l TCP协议的工作原理l TCP/UDP数据结构分析 4协议分析（三）：应用层协议分析，内容包括：完整的FTP会话分析。四、实验步骤1) 安装Sniffer 进行抓包练习a 安装好Sniffer。b 捕获网络流量进行详细分析。在Sniffer 中选择Capture-Start。进行网络流量捕获。打开浏览器登陆增加网络流量。停止捕获，对所截获的网络流量进行分析。1.选择DashBoard查看网络状态，如图：图一上图中，第一个仪表盘表示网络利用率，第二个表示包的速率，第三个是错误率，红色表示报警值。按Detail查看具体数值：图二2.选择Decode进行分析。如图三。可以看到详细的数据流如图中的arp，tcp和dns等等。图三2. 选择Matrix，查看流量分布。如图四。非常直观的显示流量分布情况。图四4.选择Hosttable查看主机表，如图五。可以看到所有主机的mac地址和包的出入。图五5.选择Protocol Distribution查看协议分布，如图。图中显示了dns、http、netbios等协议的分布情况。图六2) 分析ip协议1. IP数据报头的结构：版本首部长度区分服务总长度标识标志片偏移生存时间协议首部检验和源地址目标地址选项填充表1.IP数据报的格式版本：传输数据的IP版本， 4位首部长度：规定报头长度区分服务：用于设置数据传输的优先权或者优先级， 8位总长度：指出数据报的总长，16位标识：用于标识所有的分段， 16位标志：确定一个数据报是否可分段也指出当前分段后面是否还有分段， 3位片偏移：用于查找分段在整个数据报中的相对位置， 13位生存时间：设置数据报可以经过的最多路由器数。8位协议：指定用于创建数据字段中的数据的上层协议，大小为8位检验和：检查所传输数据的完整性，大小为16位源地址：源IP地址，字段长度为32位目标地址：目标IP地址，字段长度为32位选项：不上一个必须的字段，字段长度具体取决于所选择的IP选项2.实例分析。定义过滤器只允许ICMP、dns（tcp、udp）在cmd中ping 得到抓包结果如下。图七显然，前两条为DNS 查询和回应，后8条为ICMP的请求和回应。我们分析下加亮的数据包，将IP协议展开后如图：图八下面分析IP数据报的数据结构：版本：4，表示当前网络中为IPv4；头部长度：20，表示IP报头长度为20字节；区分服务：0，表示当前IP数据包中没有使用服务类型字段；总长度：60，表示该数据报总长为60字节；标识：表示该数据报的标识为4098；标志：0X，表示该数据报能被分段，且为最好一个数据报片；片偏移：0，该分段偏移量为0；生存时间：128，表示该数据报最多可以经过128个路由；协议：1，代表ICMP协议；检验和：该数据报校验和为3F2A（正确），表示该数据报是完整的；源IP地址：0（本机IP）；目标IP地址：00（G.cn的ip地址）；选项：该数据报没有选项字段；3) 分析tcp/udp协议1. TCP协议的工作原理： TCP连接建立：TCP的连接建立过程又称为TCP三次握手。首先发送方主机向接收方主机发起一个建立连接的同步（SYN）请求；接收方主机在收到这个请求后向送方主机回复一个同步/确认（SYN/ACK）应答；发送方主机收到此包后再向接收方主机发送一个确认（ACK），此时TCP连接成功建立； TCP数据传送：TCP是一种可靠传输的协议，它在传输的过程中使用序列号和确认号来跟踪数据的接收情况；在传输过程中，如果在重传超时时间内没有收到接收方主机对某数据包的确认回复，发送方主机就认为此数据包丢失，并再次发送这个数据包给接收方，这称为TCP重传；TCP并不总是在接收到数据后立即对其进行确认，它允许主机在接收数据的同时发送自己的确认信息给对方；TCP是可靠传输的协议，它提供校验和计算来实现数据在传输过程中的完整性。 TCP连接释放：发送方主机和目的主机建立TCP连接并完成数据传输后，会发送一个将结束标记置1的数据包，然后经过四次握手释放本次连接。2. TCP数据结构分析启动抓包，打开浏览器登陆页面完全显示后关闭浏览器。抓到如图所示数据包。图九此数据包为建立http连接的TCP数据包，图中可以清晰的看到SYN,SYN_ACK,ACK三次握手的过程。下面对TCP数据结构进行分析，如图图十源端口：2990 ； 目标端口：80（属于HTTP服务） ；序列号：TCP数据包序列号为1851570156 ；确认号：期望收到下个报文段的首字节序号1851570157 ；TCP偏移量：TCP数据报首部长28字节 ；标志：仅有SYN=1，表示这是一个连接请求 ；窗口：表示接收端能够接收的下一段的大小65535 ；校验和：686D（正确），表示数据没有被修改和损坏，是完整的 ；紧急指针：URG=0，这里无紧急指针 ；选项：最大报文段MSS为1460字节；选择选项SACK ；3. UDP数据结构分析由于DNS属于UDP数据包，直接将第一次ping 的抓包记录分析即可。如图：图十一源端口：1893 目的端口53（DNS服务） ；数据长度：34字节 ；校验和：8844 （正确） ；数据部分： 26字节的数据 ；4) 分析ftp协议1. 启动抓包，登陆ftp服务器，下载一个文件，退出，查看抓包数据。如图所示：2.主机与服务器经过SYN,SYN_ACK,ACK三次握手建立连接后，FTP协议开始工作，如图：FTP会话建立过程：a) 服务器发送相关信息 （前三行FTP数据包）；b) 主机发送用户名 wss (USER wss)；c) 服务器要求密码 (Password required for wss)；d) 主机发送密码 wss( PASS wss ) FTP中密码用明文形式发送；e) 密码正确，登陆成功(230 Logged on) ；f) 主机请求公告消息，服务器回应（略） ；g) 主机请求列查看当前目录(PWD) ；h) 服务器回应（”/”is current directory） ；i) 主机请求ASCII传送模式（TYPE A ） ；j) 服务器回应(Type set to A) ；k) 主机请求使用被动模式(PASV) ；l) 服务器回应进入被动模式(Entering Passive Mode)；m) 主机请求列目录（LIST）；n) 服务器接收并传输数据(Connection accepted ,transfer) ；o) 主机ftp客户端列出文件及目录。FTP文件传输过程：（图）a) 主机请求进入wl目录 （CWD /wl/） ；b) 服务器响应(CWD successful./wl/is current directory) ；c) 主机请求ASCII传送模式（TYPE A ） ；d) 服务器回应(Type set to A) ；e) 主机请求使用被动模式(PASV) ；f) 服务器回应进入被动模式(Entering Passive Mode)；g) 主机请求列目录（LIST）；h) 服务器接收并传输数据(Connection accepted ,transfer) ；i) 主机ftp客户端列出文件及目录 ；j) 主机请求复制文件到本地 ；k) 服务器和主机协调ASCII和被动模式进行传输。l) 传输完毕，客户端进入源目录。五、协议验证及结果分析经过此次试验，我对Sniffer软件有了更为深刻的认