网络通信协议分析实验.doc

网络通信协议分析实验在学习了计算机网络的基本工作原理之后，可以对网络协议的执行过程、网络服务的实现技术作进一步的探讨。由于网络中的数据通常是以包的方式传送的，在对网络协议、网络的安全和可靠性等进行分析时，网络管理员常采用网络协议分析器捕获数据包的方式，对传输的数据包进行侦听和分析。目前，Internet中流行的数据包侦听与分析工具比较多，在本专题实验中，选用Ethereal开放源代码工具包,通过捕获的数据包考察分析网络通信协议，以加深对协议、协议封装，以及协议数据单元格式的理解。网络体系结构的考查分析1实验目的计算机网络体系结构是分层的。本实验的目的是通过Ethereal捕获数据包，进一步理解计算机网络分层的体系结构，初步了解Web交互中的各层是如何协同工作的。2实验任务1）了解网络协议分析器的基本特点。2）使用网络协议分析器Ethereal捕获数据包序列，查看分析网络协议的分层结构。3实验设备及环境本实验设备及环境十分简单，可在某局域网或家庭网络环境中进行。只要将一台正常接入Internet的计算机运行网络协议分析器Ethereal即可。在Internet上免费的数据包捕获软件很多，如Sniffer Pro、Ethereal、Netxray、Iris，以及Windows 自带的网络监视器等。这些软件的使用非常简单。本专题实验以Windows环境下的数据包捕获与分析软件Ethereal为例。4实验方法与操作（1）安装软件并捕获数据包从Ethereal网页下载其最新版本，在客户端主机上安装Ethereal软件。在连入Internet的个人计算机上启动Ethereal，并开始捕获跟踪记录。在Web浏览器中，打开URL（如）,将所得到的跟踪记录存放在example1.cap文件中。（2）Ethereal层次化的数据包（也称为分组）协议分析方法根据五层协议模型，协议数据是从上到下封装后发送的。对于协议分析需要从下至上进行。Ethereal首先对网络层的协议识别后进行组包还原然后脱去网络层协议头。将里面的数据交给传输层分析，这样一直进行下去直到应用层。由于网络协议种类很多，就Ethereal所识别的500多种协议来说，为了使协议和协议间层次关系明显。从而对数据流里的各个层次的协议能够逐层处理。Ethereal系统采用了协议树的方式，如果协议A的所有数据都是封装在协议B里的，那么这个协议A就是协议B的一个协议子结点。若将最低层的无结构数据流作为根结点。那么具有相同父结点的协议则为兄弟结点协议。Ethereal系统采用协议特征字来区分识别兄弟结点协议。每个协议会注册自己的特征字。这些特征字给自己的子结点协议提供可以互相区分开来的标识。比如FTP协议，在Ethereal中它的父结点是TCP协议，特征字是TCP协议的端口字段值21。这样当一个端口为21的TCP数据流来到时，首先由TCP协议注册的解析模块处理；处理完之后通过查找协议树找到自己协议下面的子协议，判断应该由哪个子协议来执行，找到正确的子协议FTP后，就转交给FTP注册的解析模块处理。这样由根结点开始一层层解析下去。由于Ethereal采用了协议树加特征字的设计，用它很容易查看层次化的网络体系结构。（3）使用Ethereal查看分组交换和协议分层访问某一网址(如)，用Ethereal获取的传输分组后，显示分为三个窗口，从上到下分别为：分组捕获列表、所选分组的详细信息、所选定分组中的数据。封装过程意味着某个捕获的帧携带来自多个层的信息。顶层方框显示交互过程中最先传输的8个分组，可以查看各分组的含义。中间栏显示第一个窗格中突出显示的分组(DNS查询)信息。从上到下浏览中间窗格各行，可以看出DNS查询所经历的协议栈：从Ethernet到IP，再到UDP。（4）协议层次统计统计跟踪记录中的所有分组，查看包含了哪些重要协议。在Ethereal中的Analyze菜单中选择Protocol Hierarchy Statistics选项。按照协议在协议栈中出现的顺序把在分组中使用过的所有协议罗列出来。在Packets栏和Bytes栏中则列出了指定协议的分组信息。End Packets栏和End Bytes栏中反映分组的是这样的：其中指定协议是最后一个协议(即嵌套最深的)。总结可知，捕获的帧100来源于链路层的以太网帧并且使用了网络层的IP协议。其原因是，分组捕获是在一个以太网接口上进行的，而IP协议是互联网中标准的网络层协议。在传输层，分组分为TCP和UDP两种。所有的UDP分组都包含了应用层协议HTTP，而TCP分组则可以进一步分出包含实际数据的分组。（5）查看分析frame层首先从frame层开始，打开某序号分组中的其他协议层。这代表出现在线路上的整个分组，如图10-10所示。注意，当在协议框中选中frame层的时候，整个分组将在原始框中突出显示。突出显示区域中，每对数字表示1 B。例如，前3个字节是“00 07 e9”。如果对其进行统计，总共会有75对突出显示的数字。在frame层，Ethereal记录真实的捕获时间、第一个分组与前一个分组的相对时间增量、帧序号、分组长度以及捕获长度。除非在捕获选项中选择了Limit each packet to X bytes(将每个分组限制在X个字节)，否则分组的长度和捕获的长度应该是一样的。图10-10 帧层（6）查看分析以太网层在协议框中选中某序号分组的以太网层，例如11号分组的以太网层。以太网帧头占用了14 B，各有6 B分别表示目的地址和源地址，另有2 B表示类型。分组中的另外61 B(包括IP和TCP的报头)是以太网帧的数据。以太网帧的帧头与其他许多协议报头一样，指定了一系列位字段，而不是文本字段。因此在原始框中的ASCII部分意义不大。然而，如果将协议框中的内容与突出显示的数据进行比较，可以注意到前6对数(00 07 e9 53 87 d9)与目的地址相匹配，而接下来的6对数(00 06 25 8d be 1d)与源地址相匹配，如图10-11所示。图10-11 以太网帧头最后，类型(0x0800)表示以太网帧中的数据应该传递给目的主机上的IP层实体(即操作系统中的IP层)。正是这个类型字段使以太网可以服务于多种网络层协议。当类型是0x0800时，它将传送给IP层，而当类型是其他值的时候，它将传送给其他不同的协议层。（7）网际协议层接下来，在协议框中选择某序号分组的网际协议层，例如11号分组的IP层可以看到网际协议层信息，如图10-12所示。IP报头有20B，其中，版本号与报头长度占1B，区分服务字段占1B，总长度占2B，标识号占2B，标记与分片偏移量占2B，生存时间占1B，协议类型占1B，报头校验和占2B，源地址和目的地址各占4B。图10-12网际协议层信息对TCP而言，占1B的协议字段设置为0x06。它与以太网帧报头中的类型字段功能一样。它允许多种传输层协议与IP一起使用，因为它会告诉目的主机上的IP层，在处理了IP报头以后，将这个分组的剩余部分传递给哪一个实体。占2B的总长度字段精确地反映了组成整个IP分组（占61 B），报头占20B，数据字段为41B。这41B包含了TCP报头和实际数据。注意查看源地址和目的地址与以太网层中的不一样。在以太网层，这组分组是在两台机器（如00:07:e9:53:7:d9和00:06:25:8d:be:1d）之间的一次会话。而在IP层，这组分组是在两个互联网主机（如和01）之间的一次会话。有趣的是，无论是IP地址还是以太网地址都是全球唯一的。以太网地址是由制造商赋予网卡的一个唯一的号码。IP地址则反映了这台机器在全球Internet中的位置。除非更改了物理设备，否则以太网地址是不会改变的。然而，如果计算机在Internet中的位置有所改变，机器的IP地址会随之改变。（8）传输控制协议层最后，在协议框中选择11号分组的传输控制协议层可以看到TCP层信息。TCP报头与IP报头一样有20B，包括2B的源地址和目的地址的端口号，序号占4B，确认号占4B，报头长度和标记占2B，窗口大小占2B，校验和占2B，还有2B的紧急指针。TCP报头并不像以太网和IP报头一样，含有唯一的源地址和目的地址。然而，它却含有源端口号和目的端口号。（9）分组综述概括起来，在11号分组中，数据部分有21B，而各种协议报头则有54B。因为这个分组传输的是一个文件的尾部，所以只有少量的数据。5实验报告内容根据以上实验操作过程，用图形显示相关内容，并予以解释，然后跟踪记录文件example1.cap回答以下问题。以太网报头是多大？整个以太网帧又有多大？IP报头有多大？IP分组最大可能是多少？如何确定？用捕获的IP分组试画出IP报头格式图。6讨论与思考在一个已经获得了系统管理员允许的本地网络上进行一次跟踪，查看分析网络协议，并分析有关的协议数据封装的问题。Wireshark协议分析器网络协议分析器是用于捕获、显示、分析对等进程之间交换PDU的一种工具。协议分析器在定位和排除网络故障时非常有用，它也可以作为教学工具使用。通常，人们把网络性能分析归纳为四种方式：4 基于流量镜像协议分析；4 基于 SNMP 的流量监测技术；4 基于网络探针（Probe）技术；4 基于流（flow）的流量分析。其中，WireShark 是一种基于流量镜像协议分析软件。流量镜像协议分析方式主要侧重于协议分析，它把网络设备的某个端口（链路）流量镜像给协议分析器，通过各层协议解码对网络流量进行监测。WireShark是目前比较好的一个开放源码的网络协议分析器，支持Unix、Linux和Windows平台。WireShark提供了对IP、ARP、TCP、UDP、Telnet和FTP等常用协议的支持，在很多情况下可以代替价格昂贵的Sniffer Pro。在此以Windows平台为例介绍进行为例协议分析的方法。WireShark的前身是著名的Ethereal，是一款免费、开源的网络协议分析软件。它具有设计完美的图形用户接口（GUI）和众多分类信息及过滤选项。用户通过WireShark，同时将网卡设置为混合模式，可以用来捕获在网络上传送的数据包，并分析其内容。通过查看每一数据包流向及其内容，用来检查网络的工作情况，或是用来发现网络程序的缺陷。在Windows下WireShark的安装与使用WireShark网络协议分析器需要在网络环境下运行。首先，要在客户机端安装WireShark软件（可直接从WireShark网站http:/www.W下载其最新版本）。安装之后，由于该软件依赖于Pcap库，因此在安装之前要先安装WinPcap（WinPcap下载地址： /install/default.htm）。然后再按照默认值安装WireShark。安装好后，双击桌面上的 WireShark图标，即可运行该软件。WireShark启动运行界面如图9.1所示。图 9.1 WireShark运行启动界面WireShark的主窗口与大多数图形界面程序一样，如图9.2所示，Wireshark主窗口由如下几个部分组成：图9.2 WireShark的主窗口4 菜单用于开始操作，包括File、Edit、View、Go、Capture、Analyze、Statistics、Help菜单。4 主工具栏提供快速访问菜单中经常用到的项目的功能。4 Fiter toolbar/过滤工具栏提供处理当前显示过滤的方法。4 Packet List面板也称为协议跟踪列表框，用于显示打开文件的每个包的摘要。点击面板中的单独条目，包的其他情况将会显示在另外两个面板中。4 Packet Details面板也称为协议层次框，用于显示在Packet List面板中选择的包的更多详情。4 Packet Bytes面板也称为协议代码框，用于显示在Packet List面板选择的包的数据，以及在Packet Details面板高亮显示的字段。4 状态栏显示当前程序状态以及捕捉数据的更多详情。WireShark的三窗格界面在WireShark的图形用户界面（GUI）中，通过Packet List、Packet Details和Packet Bytes三个窗格界面可以直观的查看捕获的数据包。协议跟踪列表框（Packet List面板）如图9.3所示。每一行表示协议数据文件里的一个协议。如果选中了其中一行，选中的那一行会以蓝色底色高亮度显示。如图9.3中的第8行，对应该协议的信息就会