网络数据报捕获和协议分析.doc

昆明理工大学信息工程与自动化学院学生实验报告（ 2011 2012 学年 第 2 学期 ）课程名称：网络工程及应用 开课实验室： 信自楼442 2012年3 月31 日年级、专业、班学号姓名成绩实验项目名称网络数据报捕获和协议分析指导教师教师评语该同学是否了解实验原理：A.了解B.基本了解C.不了解该同学的实验能力：A.强 B.中等 C.差 该同学的实验是否达到要求：A.达到B.基本达到C.未达到实验报告是否规范：A.规范B.基本规范C.不规范实验过程是否详细记录：A.详细B.一般 C.没有 教师签名： 年 月 日一、实验目的及内容学会使用网络数据报捕获工具。并对捕获的数据包进行协议分析。二、实验原理及基本技术路线图（方框原理图或程序流程图）通过常用的网络数据包捕获工具（建议使用EtherPeek，也可以选用其他工具），捕获并分析一台计算机登录另外一台计算机的FTP服务器时的数据包，要求从数据链路层、网络层、传输层以及应用层各层上进行分析。要求捕获并分析ARP协议、TCP协议三次握手、FTP认证的相关报文进行分析。三、所用仪器、材料（设备名称、型号、规格等或使用软件）PC机2台；EtherPeek软件；Serv-U FTP服务器软件；四、实验方法、步骤（或：程序代码或操作过程）1. PC1安装EtherPeek软件；PC2安装Serv-U软件；在Serv-U上创建用户，要求用户名和密码均为学生的姓名拼音。在PC1上测试登录PC2上的FTP成功。本步骤不要求截图，提供简要文字说明即可。记录PC1和PC2各自的IP地址和MAC地址。 2. PC1的dos窗口下，使用arp -a命令查看arp缓冲，然后使用arp -d *命令清空arp缓冲。3. PC1上启动EtherPeek软件，开启捕获，在PC1上登录PC2上的FTP，登录成功后，停止EtherPeek的捕获。请给出数据包捕获列表的截图，如果捕获的帧过多，请设置恰当的过滤条件，从第2步开始，重新捕获数据包。4. 在数据包捕获列表中，找到PC1对PC2的arp请求和响应帧，并给出数据帧内容的截图，然后对帧进行分析，将分析的结果填入下表中。5. 在数据包捕获列表中，找到PC1对PC2的TCP三次握手的三个帧，并给出数据帧内容的截图，然后对帧进行分析，将分析的结果填入下表中。并以此为例画出tcp三次握手的示意图。6. 在数据包捕获列表中，找到PC1和PC2的TCP连接建立后，在此TCP连接上进行FTP报文命令交互的报文。并提供各个报文的截图，以及标注其中的FTP请求和响应命令。 五、实验过程原始记录( 测试数据、图表、计算等)1. PC1安装EtherPeek软件；PC2安装Serv-U软件；在Serv-U上创建用户，要求用户名和密码均为学生的姓名拼音。在PC1上测试登录PC2上的FTP成功。本步骤不要求截图，提供简要文字说明即可。记录PC1和PC2各自的IP地址和MAC地址。使用ipconfig /all命令可以查看网卡的IP地址和MAC地址，如果存在多个网卡（本地连接）的话，请判断本实验中所使用的网卡（本地连接）。PC1：1 C8-9C-DC-50-AF-53PC2：0 C8-9C-DC-50-AF-F82. PC1的dos窗口下，使用arp -a命令查看arp缓冲，然后使用arp -d *命令清空arp缓冲。3. PC1上启动EtherPeek软件，开启捕获，在PC1上登录PC2上的FTP，登录成功后，停止EtherPeek的捕获。请给出数据包捕获列表的截图，如果捕获的帧过多，请设置恰当的过滤条件，从第2步开始，重新捕获数据包。过滤条件截图：捕获列表的截图：4. 在数据包捕获列表中，找到PC1对PC2的arp请求和响应帧，并给出数据帧内容的截图，然后对帧进行分析，将分析的结果填入下表中。ARP请求包截图。ARP请求包分析。字段名称长度(字节)字段内容(16进制数据)字段解释帧头部目标MAC地址6FFFFFFFFFFFF广播地址源MAC地址6C89CDC50AF53PC1的网卡MAC地址类型/长度208060806表示类型是ARP报文ARP包硬件类型200011表示以太网协议类型208000800表示IP协议硬件地址长度106MAC地址长度为6字节协议地址长度104IP地址长度为4字节操作200011表示ARP请求源硬件地址6C89CDC50AF53PC1的MAC地址源协议地址4C0A86629PC1的IP地址1目标硬件地址6000000000000目标MAC地址未知目标协议地址4C0A86629目标IP地址0帧尾部帧校验序列4/ARP响应包截图。ARP响应包分析。字段名称长度(字节)字段内容(16进制数据)字段解释帧头部目标MAC地址6C89CDC50AF53PC1的MAC地址源MAC地址6C89CDC50AFF8PC2的MAC地址类型/长度208060806表示类型是ARP报文ARP包硬件类型200011表示以太网协议类型208000800表示IP协议硬件地址长度106MAC地址长度为6字节协议地址长度104IP地址长度为4字节操作200022表示ARP应答源硬件地址6C89CDC50AFF8PC2的MAC地址源协议地址4C0A86628PC2的IP地址0目标硬件地址6C89CDC50AFF8PC1的MAC地址目标协议地址4C0A86629PC1的IP地址1帧尾部帧校验序列4/5. 在数据包捕获列表中，找到PC1对PC2的TCP三次握手的三个帧，并给出数据帧内容的截图，然后对帧进行分析，将分析的结果填入下表中。并以此为例画出tcp三次握手的示意图。TCP三次握手的第一个帧截图。 TCP三次握手的第一个帧分析。字段名称长度(字节)字段内容(16进制数据)字段解释帧头部目标MAC地址6C89CDC50AFF8PC2的MAC地址源MAC地址6C89CDC50AF53PC1的MAC地址类型/长度208000800表示IP协议IP头部版本及头长145版本4，头长5*4=20字节服务类型100默认总长度2003048个字节标识20BD83032标志及片偏移24000不分配，偏移为0生存时间180128协议106TCP协议头部校验和2A14D源IP地址4C0A86629PC1的IP地址1目标IP地址4C0A86628PC2的IP地址0可选部分0无无TCP首部源端口204F31267临时端口目的端口2001521FTP的众所周知端口序号4771398931997772947序号确认序号400000000确认号0数据偏移/保留/标志位27002Tcp头长32字节，SYN=1窗口2FFFF窗口大小=65535校验和220CB紧急指针20000选项及填充12略不要求分析，这里看出tcp头长32字节=20字节固定头部+12字节的可变长部分帧尾部帧校验序列/略不要求分析TCP三次握手的第二个帧截图。TCP三次握手的第二个帧分析。字段名称长度(字节)字段内容(16进制数据)字段解释帧头部目标MAC地址6C89CDC50AF53PC1的MAC地址源MAC地址6C89CDC50AFF8PC2的MAC地址类型/长度208000800表示IP协议IP头部版本及头长145版本4，头长5*4=20字节服务类型100默认总长度2003048个字节标识28CB436020标志及片偏移24000不分配，偏移为0生存时间180128协议106TCP协议头部校验和22071源IP地址4C0A86628PC2的IP地址0目标IP地址4C0A86629PC1的IP地址1可选部分0无无TCP首部源端口2001521FTP的众所周知端口目的端口204F31267临时端口序号4D06DA7773496847223序号确认序号413989470328766576确认号数据偏移/保留/标志位27012Tcp头长32字节，SYN=1,ACK=1窗口2FFFF窗口大小=65535校验和2A89F紧急指针20000选项及填充12略不要求分析，这里看出tcp头长32字节=20字节固定头部+12字节的可变长部分帧尾部帧校验序列/略不要求分析TCP三次握手的第三个帧截图。TCP三次握手的第三个帧分析。字段名称长度(字节)字段内容(16进制数据)字段解释帧头部目标MAC地址6C89CDC50AFF8PC2的MAC地址源MAC地址6C89CDC50AF53PC1的MAC地址类型/长度208000800表示IP协议IP头部版本及头长145版本4，头长5*4=20字节服务类型100默认总长度2002840个字节标识20BD93033(上一个IP包是3032，每发送一个会递增)标志及片偏移24000不分配，偏移为0生存时间180128协议106TCP协议头部校验和2A154源IP地址4C0A86629PC1的IP地址1目标IP地址4C0A86628PC2的IP地址0可选部分0无无TCP首部源端口204F31267临时端口目的端口2001521FTP的众所周知端口序号4771398941997772948序号确认序号4D06DA7B03496847280确认号数据偏移/保留/标志位25010Tcp头长20字节，ACK=1窗口2FFFF窗口大小=65535校验和2D563紧急指针20000选项及填充0无无帧尾部帧校验序列/略不要求分析6. 在数据包捕获列表中，找到PC1和PC2的TCP连接建立后，在此TCP连接上进行FTP报文命令交互的报文。并提供各个报文的截图，以及标注其中的FTP请求和响应命令。FTP欢迎报文；FTP USER命令报文；FTP USER命令响应报文；FTP PASS命令报文；