网络原理实验.doc

对于选做实验, 考试不做要求实验一：仿真实验1. 做“网络动画”里的相关仿真实验，掌握相关网络原理。2. 做课本1.81.16仿真实验，掌握相关网络原理。到“计算机网络实验教程光盘jiaofu”文件夹，打开相关网页，即可做实验。若动画没有出现，按以下步骤做：1） 到“控制面板”的“添加/删除程序”处，删除j2se，然后注销（不要重启）。2） 安装“计算机网络实验教程光盘network”文件夹里的“jre-1_5_0_07-windows-i586-p.exe”， 然后注销（不要重启）。再尝试打开相关网页。实验二： 网络协议分析仪WireShark（Ethereal）基础1做课本的网络协议分析仪Ethereal实验。1）安装WireShark(或Ethereal) 如果机器原来已经安装有，如需练习安装，可能需先卸载原来的。2）练习捕获、保存自己的上网分组记录。掌握“capture”“Options”对话框里的各选项的使用。3）协议分析2. 阅读wireshark（或Ethereal）使用手册，了解各菜单功能、基本使用方法。3. 练习捕获过滤仅捕获、并保存源或目的IP地址是本机的分组流量。仅捕获、并保存源IP地址是本机的流量。仅捕获、并保存源IP地址是本机所在子网的流量。仅捕获使用HTTP协议的流量。仅捕获捕获IP流量仅捕获DNS流量仅捕获除了DNS和SMTP以外的所有流量仅捕获TCP端口为10001500的流量。仅捕获除了目的MAC地址为31:80:03:aa:00:0e的所有流量4. 观察一个轻流量网络.实验配置如下图，是个私人家庭网络环境，在开始实验前，所有使用网络的应用程序已关闭。捕获30秒形成捕获结果Traces1_1_ExaminingQuietNetworkquietNetwork.capSSDP是简单服务发现协议，是一种网络设备用于寻找其他网络设备的协议。这些SSDP分组是线性调制解调路由器在进行广播，在声明它自身是一个可用的网关设备。 观察其中一个分组，例如第1号分组，的HTTP部分，看在那里声明它自身是一个可用的网关设备。观察列表框、协议框、原始框。分析第11号分组，这分组是台式PC在声明自己属于MSHOME 域/工作组， 在哪里声明的？你是否可以在哪里看到该台式PC安装的是什么类型的操作系统？点”Statistics” “Summary”, 对quietNetwork.cap进行摘要统计，关于本次通信，通信的总字节数是多少？平均每秒多少个分组？平均每秒多少字节？分组的平均大小？这次跟踪有多少秒？许多系统管理员都不允许用户在共享的网络上运行类似WireShark（Ethereal）的程序，你认为是为什么？5. 协议层本实验配置如下图：是在私人家庭网络环境环境中进行。一台运行Windows的PC连接到线缆调制解调路由器。在这台PC已启动了一个Mozilla Web 浏览器。线缆调制解调路由器运行有一个Web服务器，HTTP使用非标准的5678端口，而不是标准的HTTP端口80。实验：在PC启动Ethereal并开始捕获跟踪记录。在Web浏览器中，地址栏打入:5678/rootDesc.xml，将所捕获的跟踪记录保存在Traces1_2_ProtocolLayeringsimpleHttp.cap，1) 协议层次统计打开simpleHttp.cap，点菜单栏的“Statistics” “Protocol Hierarchy”，显示协议层次统计。它按照协议中协议栈中出现的顺序把这分组中使用过的所有协议罗列出来。其中“End Packs”栏反映的是分组使用的最高层协议（即嵌套最深的）。分析simpleHttp.cap的协议层次统计，哪些协议层次是100%，为什么？TCP、UDP分组各自所占比例是多少？它们之和是多少？该和说明什么？2）TCP连接1号分组到16号分组记录了PC机获取线缆调制解调路由器中的rootDesc.xml文件的过程。虽然HTTP协议，但没有标识出来，因为没有使用标准的HTTP端口80，所以分组的最高协议仅显示TCP。观察协议层次统计，理解以下分析：rootDesc.xml大小为3459字节，而协议层次统计显示所有传输的tcp分组大小为4902字节，两者之差为1443，该值为所有协议层开销，占实际传输文件的41.1%。另外，可以看到，16个分组中有10个分组没有数据，这些分组总的大小为566字节，用于TCP连接的建立和维持。数据被记为4336字节，这个数字是实际的rootDesc.xml文件和HTTP首部。3）整个帧在列表框选11号分组，在协议框选Frame帧，分析该分组的真实捕获时间、和前一个捕获分组的时间间隔，帧序号、分组长度、捕获长度、分组里包含的所有协议及其顺序。分组长度、捕获长度的关系是怎样的？4）以太网层找出11号分组的以太网层里的源MAC地址、目的MAC地址，类型字段的值是多少？该值的意义是什么？5）IP层。观察一个分组的IP首部的各个字段6）传输层观察11号分组的TCP首部的各个字段7）应用层观察17号分组的HTTP各个字段分析simpleHttp.cap，回答以下问题：PC、线缆调制解调路由器的MAC地址各是什么？你是如何判断的？分析5号分组，以太网帧首部是多大？整个以太网帧又有多大？IP首部有多大？IP数据报呢？TCP首部呢？TCP报文段呢？6. 用过滤器（捕获过滤、显示过滤、颜色过滤）观察一个重流量网络注意：显示过滤与颜色过滤使用相同的表达式语言，但捕获过滤使用不同的语言。配置：本实验在家庭网络中进行。一台运行Windows的PC连接到线缆调制解调路由器。在这个实验之前，一个安全外壳（SSH）会话和Web浏览器应用已经启动。实验配置图如下：实验：捕获有以下网络活动：打开并使用了多个SSH会话、从因特网上下载一个大文件，并访问大量网页等。设置了捕获选项进行捕获：捕获过滤器为HOST 01, 限定从每个分组获取的字节数不超过68字节，禁用各种名字解析，并将捕获结果保存在Traces1_3_ExaminingBusyNetworkbusyNetwork.cap。1） 显示过滤器点菜单栏 Analyze Display Filters 可看到一些预设的显示过滤规则， 点Expression 按钮可以构造新的过滤规则，点“new”可以保存新的过滤规则。可直接在过滤栏输入过滤规则，有提示。在协议框选择点击各层首部的字段时，窗口左下角提示相应过滤规则。Apply按钮应用过滤规则， clear按钮清除过滤规则。对busyNetwork.cap ，完成以下操作：仅显示HTTP流量，有多少分组被显示？仅显示TCP流量仅显示IP流量仅显示目的MAC地址为00:07:e9:53:87:d9的分组，有多少分组被显示？仅显示 源IP或目的IP为01，并且不是HTTP ，也不是 SMTP的流量显示除了ARP 和 DNS 以外的所有流量2） 颜色过滤颜色过滤与显示过滤使用相同的表达式语言单击菜单栏 View Coloring Rules 查看、设置。注意：颜色过滤规则有顺序，并且可以改变。若一个分组符合多条颜色过滤规则，则排在最前面的颜色过滤规则有效。所以，应将最具代表性的一条放在首位。颜色规则可以保存为一个文件，并可以通过导入保存的文件应用到其他捕获文件。操作：先将原颜色规则删除，再将Traces1_3_ExaminingBusyNetwork /generic.col导入。3） 搜索分组单击菜单栏 Edit Find Packet, 可用多种方式搜索分组。4）问题：这次跟踪有多少秒？有哪两种方法来确定？你发现了几个IP源地址？在这个跟踪记录中出现了多少分组？实验三 应用层协议1. HTTP协议的细节配置：本实验在家庭网络中进行。一台运行Windows的PC连接到线缆调制解调路由器。在PC上运行Mozilla Web浏览器。使用其他的网络应用程序全部关闭。实验配置图如下：在跟踪前，清空了所有PC机上的浏览器的高速缓存，同时清空DNS高速缓存（在Windows XP机器上，在命令提示符状态下运行ipconfig /fulshdns）实验：在台式PC上运行Ethereal，捕获了以下网络活动：在浏览器上，输入,r然后输入，捕获结果存放在Traces2_1_UnderTheHoodOfHTTPhttpWebBrowsing.cap分析：1) 最前两个分组做什么用的？35号分组做什么用的？2）HTTP GET 请求分析分组6的HTTP层， 你看到了哪些首部？它们的含义？4） HTTP的响应分析服务器响应的分组7的HTTP层， 你看到了哪些首部或内容？它们的含义？5） 对每个URL的多重GET请求分析分组8，为什么会有第二个到的链接请求？6） 显示数据流一个大的HTTP报文分成若干TCP报文段传送。观察Web浏览器和Web服务器整个会话过程，显示数据流: 在一连串的分组中选一个，例如分组29，从Analyze 菜单中选择“Follow TCP Stream”，显示整个数据流。Web浏览器和Web服务器发出的数据颜色不同。7）多重TCP流分组35、41和42打开了浏览器和 的第二个TCP连接，以加快速度。分析浏览器和 的两个TCP连接的源、目的IP地址、源端口、目的端口各是什么？有什么异同？根据httpWebBrowsing.cap回答以下问题：跟踪浏览器和 Web服务器之间的TCP数据流，分离出浏览器发出的请求，并将文本复制下来。发送到的HTTP请求有几次，每次请求的是哪些对象, 每个对象有多大？你是如何知道的？这些请求哪些是来自于端口3841的连接？有几个是来自于端口3842 的连接？本实验Web服务器的响应报文的状态码都是“200”，表示OK。另外做实验捕获在试图访问一个不存在的网页时web服务器的响应，分析Web服务器响应报文的状态码是什么？阅读RFC 2616.2. HTTP高速缓存、授权、cookie配置：实验配置图如下：本实验在家庭网络中进行。一台运行Windows的PC连接到线缆调制解调路由器。在PC上运行Mozilla Web浏览器。使用其他的网络应用程序全部关闭。在跟踪前，清空了所有PC机上的浏览器的高速缓存，同时清空DNS高速缓存, 另外清空了cookie.实验:本实验跟踪了一系列的HTTP连接1）cookie在Traces2_2_HTTPCachingAuthCookieshttp_cookie.cap，保存了台式PC对的访问跟踪。在删除了所有已保存的cookie后，紧接着就开始跟踪。打开http_cookie.cap，选择第三个分组，在Analyze菜单下点击Follow TCP Stream，可观察有由第三个分组开始的TCP流的内容。分析：第一个get请求（分组6）有没有Cookie首部？服务器的响应（分组8）是否有Set-Cookie 首部？如果有,其描述了什么？有什么作用？下一个请求（分组10）是否包含有cookie? 如果有，其作用是什么？2) 授权（Authorization 首部）本实验捕获以下网络活动：用户通过浏览器试图访问/jnm/networks/book文件，浏览器弹出对话框，要求输入用户名、密码，用户此时输入了错误的密码，浏览器再次弹出对话框，要求重新输入用户名、密码，本次用户输入正确，页面可以正确被下载了。接着，用户重新下载系统页面，及访问同目录下的其他页面，浏览器没有要求重新输入用户名、密码。捕获结果保存在Traces2_2_HTTPCachingAuthCookies http_auth.cap。分析：第一个请求（分组6）是 GET /jnm/networks/book, 不包含Authorization 首部,服务器响应（分组8）返回的状态码是401，表示访问该页需要授权，该响应包含WWW-Authorization 首部，表示需要用密码来获得授权。这样，浏览器弹出对话框，要求输入用户名、密码，分析后面的请求和响应中的Authorization首部。3）高速缓存本实验捕获记录以下网络活动：用浏览器获取/rfc/rfc1149.txt文件，第一次下载该页面后，使用浏览器的刷新重载该页，捕获结果保存在Traces2_2_HTTPCachingAuthCookies http_uselocal.cap。观察http_uselocal.cap，理解以下内容：客户在分组6发送GET请求，服务器在分组7发送该网页副本（数据），并包含一个Last-Modified首部来描述数据的时间或版本: Last-modified: Thu, 29 Mar 1990 14:31:04 GMT。客户在分组12发送第二次GET请求，包含If-Modified-Since: Thu, 29 Mar 1990 14:31:04 GMT， 来描述在目前数据的时间或版本。服务器收到后，比较服务器数据的最近一次修改时间，和客户的GET请求里的If-Modified-Since，发现相同，就不再给客户发送数据的副本，而是通过状态码304，通知客户使用本地的数据。客户端通过Cache-Control 首部指定它能接受什么类型的缓存数据。本例中，Cache-Control: max-age=0，描述客户希望接收时间间隔不大于0秒的缓存副本，也就是或客户端不愿意接受来自中间代理服务器高速缓存的数据。服务器通过Cache-Control首部来指定数据该如何缓存。关键字“public”表示该数据可以被保存在本地主机和共享高速缓存中；关键字“private”表示数据是针对特定的用户，不应该做代理服务器的高速缓存中共享；关键字“no-cache”说明数据不应高速缓存。研究你的浏览器的cookie控制选项。3. FTP-文件传输协议 选做 配置：本实验在家庭网络中进行。一台运行Windows的PC连接到线缆调制解调路由器。该PC上运行一个FTP客户端.实验：使用FTP客户端匿名连接FTP服务器，打开目录in-notes获取文件rfc959.txt,并将捕获结果保存在Traces2_3_FileTransferProtocolftpRFC959.cap。分析：单击菜单栏Statistics Conversations，再单击TCP：即可看到在本跟踪记录中，全部4个TCP连接：一个控制通道、两个列举目录的数据通道、和一个文件传输的数据通道。1）控制通道分析分组15（可在学习了TCP后再看），本地客户端为控制通道初始化了一条到FTP服务器0上FTP端口（端口21）的TCP连接，客户端端口为1931。观察从分组6开始的，客户端和服务器的交互。选择一个分组，例如分组3，单击菜单栏 Analyz Follow TCP Stream，可以看到控制通道中客户端发出的命令，及服务器做出的响应，注意这两者颜色不同。2）数据通道分组20，客户端初始化了一条到FTP服务器0端口34178的TCP连接，客户端端口为1932， 建立了一条数据通道，用于显示根目录“/”列表。选择分组20，单击菜单栏 Analyz Follow TCP Stream，可看到根目录“/”列表分组43，客户端初始化了一条到FTP服务器0端口34188的TCP连接，客户端端口为1933，建立了一条数据通道，用于显示in-notes目录列表。选择分组43，单击菜单栏 Analyz Follow TCP Stream，可看到in-notes目录列表。分组345，客户端初始化了一条到FTP服务器0端口34247的TCP连接，客户端端口为1934，建立了一条数据通道，用于传输下载rfc959.txt文件。选择分组345，单击菜单栏 Analyz Follow TCP Stream，可看到该文件的内容。问题：使用FTP, 用户名、密码、文件是以密文还是明文方式传输？是否安全？传送rfc959.txt文件花费了多长时间？整个FTP会话呢？在每个数据通道中，服务器发送了多少数据给客户端？客户端发送了多少数据给服务器？哪个请求的数据最多，传送RFC文本还是目录列表信息？4. 用SMTP和POP发送和接收邮件。 选做 配置：本实验在家庭网络中进行。一台服务器和一台便携机都运行在Linux环境下，并通过线缆调制解调路由器连接到因特网。服务器运行着DNS服务器、SMTP服务器和POP3服务器。这几个服务器的配置都使用域。这个域仅用作实验，没有真正在到域名注册机构注册。在邮件服务器上创建两个账户： 和 ,并且将这两个账户配置在便携机电脑的邮件客户端上，设置发送邮件服务器为 , 接收邮件服务器为 ,被命名为 和 的机器是同一台机器06，SMTP监听端口25 ，POP3监听端口110 ，这台机器还配置了在域解析域名的DNS服务。实验：1） 发送邮件在便携机用电子邮件客户端，从 发送 一封邮件 到 , 并捕捉分组，将结果保存在 Traces2_4_SendingAndReceivingEmailplain_smtp.cap。分析该文件：分组18是DNS请求与应答。查到 的IP地址为06，反向解析PTR请求是为了核查06的身份。分组9开始初始化一个便携机到06机器端口25的TCP连接。邮件服务器在分组12发出欢迎的数据、表明准备就绪。邮件服务器发出DNS请求来验证客户端身份。选择一个分组（比如分组9），单击菜单栏 Analyze Follow TCP Stream，查看客户端和邮件服务器端对话全过程，红色的是客户端发出的命令，蓝色的是邮件服务器做出的应答。其中有三个主要的命令：MAIL FROM命令指定电子邮件的发送者的地址RCPT TO命令指定电子邮件的接收者的地址，多个RCPT TO 命令指定多个接收者。DATA命令通知邮件服务器接下来的行跟邮件报文的主体。DATA部分包含哪些首部（从Subject:开始）？报文的实际文本（电子邮件内容）在哪里？2） 接收邮件在便携机上运行电子邮件客户端，接收发送至邮箱里的电子邮件，包括前面发送的那一封。将捕捉到的网络通信结果保存在Traces2_4_SendingAndReceivingEmailpop3.initial.cap分组18是DNS请求与应答，用来确定接收邮件服务器的IP地址。分组11开始做POP连接，选分组11，单击菜单栏 Analyze Follow TCP Stream，观察全部的数据交换。客户端发送的第一个命令是CAPA，请求服务器返回其支持的服务列表，包含授权机制。本例的服务器未实现这个机制，响应“-ERR authorization first”，由于客户端缺乏其他可能的授权机制的信息，因此用USER和PASS命令以明文形式发送用户名和密码。服务器接受。客户端再次尝试发送CAPA命令，服务器响应“-ERR authorization first”，表明CAPA命令未执行，也需要授权。客户端发出UIDL 1、LIST、UIDL命令收集处于邮件接收队列的邮件报文的相关信息。它们指出有两个报文（电子邮件）正在队列中，LIST命令返回列表中报文的大小（八进制）。客户端发出RETR 1 命令请求接收报文1，也就是plain_smtp.cap里发送的邮件。客户端发出RETR 2 命令请求接收报文2。3） 电子邮件首部比较pop3.initial.cap 里的接收报文的首部和plain_smtp.cap里的SMTP传输报文，接收邮件报文多了哪些首部？多出的首部的作用是什么（从Subject首部起，由下往上看）。你平时收邮件时，默认情况下电子邮件客户端是否显示邮件报文的所有首部？如何尽可能在电子邮件客户端看到更多的首部？第二个邮件报文是否使用了MIME标准？在客户端如何删除邮件？4） 没有邮件当邮件服务器没有邮件时，POP3会话的情形，被捕获保存在Traces2_4_SendingAndReceivingEmailpop3.nonewmessages.cap使用Follow TCP Stream 观察会话过程。实验四 传输层协议1. TCP介绍 配置：本实验在家庭网络中进行。一台台式PC和一台便携机通过线缆调制解调路由器连接到因特网。实验配置如下图所示：实验：在两台机器上，都安装有ttcp（Windows版本是pcattcp）工具，用于产生和接收具有一定特征的TCP流。例如，在便携机的命令提示符下打入pcattcp r 准备接收数据，在台式机打入pcattcp t n 02 向便携机发送数据。用ethereal捕获形成Traces3_1_IntroductionToTCPtcp_pcattcp_n1.cap。分析：1） 连接建立在tcp_pcattcp_n1.cap中，哪些分组完成了3次握手以建立TCP连接，详细分析该3次握手是如何完成的？2） 单向数据流tcp_pcattcp_n1.cap是台式PC单向便携机发送数据，便携机没有自身的数据传送，只是发送只有首部而没有数据部分的TCP报文段给台式PC。分析哪些分组有数据，数据大小是多少？首部大小是多少？哪些分组没有数据部分？3) 关闭连接哪些分组完成了TCP连接的关闭，详细分析是如何完成的？4）连接统计单击菜单栏 Statistics TCP Stream Graph Time-Sequence Graph (tcptrace)，可以看到传送数据的序号随时间的变化情况。单击菜单栏 Analyze Follow TCP Stream 可以看到TCP会话过程。单击菜单栏 Statistics Protocol Hierarchy 可以看到整个跟踪文件的一些统计数据。5）远程SSH连接Traces3_1_IntroductionToTCP tcp_ssh.cap是台式PC和远程服务器的一个SSH连接活动的捕获结果。将tcp_ssh.cap前面的tcp_pcattcp_n1.cap比较，哪个TCP首部消耗了整个数据流较大的比例，为什么呢？分别对两个文件，单击菜单栏 Analyze Follow TCP Stream观察，哪个是双向交换数据？根据tcp_pcattcp_n1.cap和 tcp_ssh.cap 回答以下问题：在tcp_ssh.cap中，哪些分组包含3次握手？在tcp_ssh.cap中，每个方向中真实的初始序号各是多少？你如何得知？在这两个跟踪文件中，使用SYN分组（SYN位设为1的分组）和SYNACK分组（SYN位、ACK位同时设为1的分组）来计算每个连接的往返时间，往返于本地网的机器的时间和到远程服务器的往返时间相比如何？在tcp_pcattcp_n1.cap中，哪些分组只有首部，而没有数据？写一个显示过滤器来筛选出这些分组。在tcp_ssh.cap有多少分组与这个过滤器匹配？在tcp_pcattcp_n1.cap中，所有的从便携机到台式PC机的分组的确认号都是相同的吗？为什么？所有的从台式PC机到便携机的分组的确认号都是相同的吗？为什么？在tcp_pcattcp_n1.cap中，哪些分组是分组12确认的呢？分组14确认的分组又有多少呢？其它：在命令提示符下，打入netstat命令，观察与本机有关的所有TCP连接状态。2. TCP重传 选做 配置：本实验在家庭网络中进行。一台台式PC和一台便携机通过线缆调制解调路由器与因特网连接起来。便携机是通过一个无线接口连接的，是为了方便发送强的干扰信号，以让其丢失分组。和前面一样，两台机器上都安装有pcattcp工具，用于产生和接收具有一定特征的TCP流。实验配置如下图所示：实验：本地TTCP连接在便携机运行一个ttcp接收端，打入命令pcattcp -r -l 1000，在tcp端口5001开始监听；在台式机上做ttcp发送，打入的命令pcattcp -t -l 1000 -n 50 02将从台式机上捕获的跟踪记录保存在Traces3_2_RetransmissionInTCP pcattcp_retrans_t.cap。将从便携机上捕获的跟踪记录保存在Traces3_2_RetransmissionInTCP pcattcp_retrans_r.cap。可以同时打开两个文件进行分析。1） SACK选项协商查看两个跟踪文件中的三次握手里的前两个分组，看SACK选项协商是如何实现的。2） 分组的丢失与重传分析这发送端捕获的pcattcp_retrans_t.cap，使用显示过滤器tcp.analysis.retransmission搜索重传的分组，将发现分组12是重传的分组，其序号是1001，用显示过滤器tcp.srcport = = 1001发现分组5的序号也是1001，但是，分组5是对1001到2046号字节的传输，而分组12是对1001到2000号字节的重传，分组20是对2001到2046号字节的重传。另外分组4是对1到1000号字节的传输，分组7是对2461到3920号字节的传输注意：对于同一个分组，在接收端和发送端的分组号不一定相同，因为可能有分组丢失等情况。分析在接收端捕获的pcattcp_retrans_r.cap, 接收端的分组4对应发送端的分组4，收到11000号字节，接收端发送分组5，对11000号字节确认，但接收端没有收到发送端的分组5，也就是没有收到10012046号字节。在接收端，从分组6收到24613920号字节，但接收端仍然以确认号1001响应（接收端的分组7），接收端的分组7的首部含有SACK信息，表明哪些没有按顺序到达的字节24613921号字节（不包括3921号字节）已收到，自行分析其余重传的情况。3、 TCP与UDP比较 选做 配置：本实验配置图：本实验是在家庭网络上捕获的，这个网络不与外面的网络交换信息。实验：首先用ttcp产生两个TCP流，然后再产生两个UDP流。第一个TCP流和UDP流尝试着发送相同数量的数据到一个处于等待状态的接收端那里。第二个TCP流和UDP流也尝试着发送同样的数据，但没有处于等待状态的接收端。在发送端捕获两次TCP流的结果保存在Traces3_3_ComparingTCPtoUDPtcp_2transmit.cap。在发送端捕获两次UDP流的结果保存在Traces3_3_ComparingTCPtoUDPudp_2transmit.cap。可以同时打开上述两个文件进行分析。1） 用ttcp生成TCP和UDP通信发送5000字节：对于第一个TCP流，在便携机的命令提示符下打入命令pcattcp r l 1000, 准备接收数据，在台式PC机的命令提示符打入命令pcattcp t l 1000 n 5 02，来发送数据。-l 1000表示每个TCP报文段的数据部分大小为1000字节，-n 5表示发送5个TCP报文段，该命令运行结果报告花费了2.48秒接收数据。对于第一个UDP流，在便携机命令提示符下打入命令pcattcp r l 1000 u, 准备接收数据，在台式PC机的命令提示符打入命令pcattcp t l 1000 n 5 02 u，来发送数据。-u表示UDP。该命令运行结果报告花费了0.01秒接收数据。这里，UDP接收数据的时间比TCP有很大节省。2）TCP传输的正常数据分析tcp_2transmit.cap: 第一个包含数据的分组4和最后一个分组8之间的时间，接近UDP接收端所报告的0.01，增加TCP传输时间的主要因素是分组10的重传。这里发送端、接收端相距很近，连接所花费的时间很短。有些分组没有包含数据。总的来说，包括重传，一共发送6822个字节来支持5000个字节的数据传输，这个开销是36%。3） UDP正常数据传输分析udp_2transmit.cap：UDP通信前是否需要建立连接？UDP和TCP首部哪个大？UDP本身，在接收端是否向发送端提供反馈？UDP是否给传输的数据编上序号？接收端在UDP这层，能否确定分组丢失？能否确定分组没有按发送顺序到达？观察UDP首部，长度字段是否包含首部长度？TCP提供的功能也可由应用程序使用UDP实现。本例中，ttcp通过发送特殊的4个字节数据的UDP模拟表示一个连接的开始和结束。（分组1表示连接建立，分组26每个传输1000字节，共5000个字节的实际数据。之后，发送端又发送了分组711，表示连接终止，这些都是ttcp应用实现的，而不是在UDP这层所理解实现的）UDP和TCP的其他区别：应用层一次传给UDP多大的数据，UDP就用一个分组传送多大的数据；而TCP可能会把应用层一次传给的大的数据分几个分组传，或将应用层几次传给它的小的数据合成一个分组传。UDP可以广播和组播，而TCP只能是单播。4） TCP和UDP接收端不存在分析tcp_2transmit.cap，分组1419是第二次TCP流，接收端不存在，分析udp_2transmit.cap，分组1535是第二次UDP流，接收端不存在.TCP、UDP哪个知道传输失败？哪个不知道？为什么？udp_2transmit.cap有10个ICMP报文，这些是什么类型的ICMP报文？发送端为什么会收到这些报文？一个11个UDP报文，却只收到10个ICMP报文，可能是什么原因？4. TCP流和UDP流的竞争 选做配置：本实验配置图：本实验是在家庭网络上捕获的，这个网络不与外面的网络交换信息。实验：首先用ttcp并行运行两个TCP流； 然后，再并行运行一个UDP流和一个TCP流；最后，再并行运行两个UDP流。1） 两个TCP流的竞争用ttcp在便携机上运行两个TCP接收端，一个监听默认的5001端口，另一个监听指定的5002端口，分别用不同的命令窗口打入命令Pcattcp r l 1000和Pcattcp r l 1000 p 5002在台式机，作为发送端，也分别用不同的命令窗口打入命令：先执行pcattcp -t -l 1000 02过几秒钟后，执行：pcattcp -t -l 1000 -p 5002 02参见Traces3_4_CompetingTCPandUDP pcattcp_t.txt中的TCP/TCP test部分。将捕获结果保存在Traces3_4_CompetingTCPandUDP tcp_tcp.cap分析：第一个TCP流开始于分组3，最后一个为分组4872。 第二个TCP流开始于分组1287，最后一个为分组6148。第一个TCP流独占网络1.7秒（分组31287），然后，第二个TCP流到达，两个TCP流连接共享网络4.9秒（分组12884873），最后，第二个TCP流独占网络1.8秒（分组48746148）。单击菜单栏 Statistics TCP Stream Graph Time-Sequence Graph (tcptrace)，可以分析对每个TCP流的影响。选择第一个TCP流的一个从端口4421到端口5001（不是5001到4421）分组，单击菜单栏 Statistics TCP Stream Graph Time-Sequence Graph (tcptrace)，可以发现前1.8秒线是最陡的，该TCP流连接得到较大带宽，传输速率较大，之后，第二个TCP流进来，线变得平缓，说明传输速率下降。对第二个TCP流也另外做这样的分析，会看到最好1.8秒的线是陡的，这和时第一个TCP流退出对应的。这样，显示了TCP流成功地分享了网络带宽。在两个TCP流同时竞争传输时，每个TCP流都大约传输了1200000个字节，这说明两个TCP流是以平分的方式共享了网络带宽。在tcp_tcp.cap，是否有分组重传？如何得知的？2） TCP流和UDP流的竞争用ttcp在便携机上运行一个TCP接收端，监听默认的5001端口；同时运行一个UDP接收端，监听指定的5002端口，分别用不同的命令窗口打入命令pcattcp r l 1000和pcattcp r -u l 1000 p 5002在台式机，作为发送端，也分别用不同的命令窗口打入命令：先执行pcattcp -t -l 1000 02过几秒钟后，执行：pcattcp -t u l 1000 -p 5002 02参见Traces3_4_CompetingTCPandUDP pcattcp_t.txt中的TCP/UDP test部分。将捕获结果保存在Traces3_4_CompetingTCPandUDP tcp_udp.cap分析：TCP流开始于分组1，最后一个为分组5132。 UDP流第一个是分组1822，最后一个是分组4066。TCP流独占网络2.3秒（分组11821），然后，UDP流到达，持续1.2秒，最后，第二个TCP流又独占网络1.3秒。选TCP流的一个从端口4417到端口5001（不是5001到4417）分组，单击菜单栏 Statistics TCP Stream Graph Time-Sequence Graph (tcptrace)，可以发现在UDP流连接传输期间，线基本上是平的，也就是几乎没有数据发送，这显示了这个UDP不是TCP友好的。用显示过滤器tcp.analysis.retransmission将重传分离出来，会发现它们都发生在2.333.3秒之间，正好是UDP流在传输的时候。问题：对于tcp_udp.cap, 在UDP传输分组的这段时间中，有多少TCP分组中各个方向传输？写出相应的显示过滤器。在UDP传输活动期间有TCP成功传输的数据有多少字节？总的TCP通信量是多少字节？怎么得出你答案的？3） 两个UDP流的竞争用ttcp在便携机上运行两个UCP接收端，一个监听默认的5001端口，另一个U监听指定的5002端口，分别用不同的命令窗口打入命令pcattcp r u l 1000和pcattcp r -u l 1000 p 5002在台式机，作为发送端，也分别用不同的命令窗口打入命令：先执行pcattcp -t u -l 1000 02过几秒钟后，执行：pcattcp -t u l 1000 -p 5002 02参见Traces3_4_CompetingTCPandUDP pcattcp_t.txt中的UDP/UDP test部分。将捕获结果保存在Traces3_4_CompetingTCPandUDP udp_udp.cap分析：第一个UDP流开始于分组3，最后一个为分组3707。 第二个UDP流为分组开始于1654， 终止于分组3711.第一个UDP流独占网络0.4秒（分组31653），数据流共享网络带宽的剩余部分。对于UDP，没有Time-Sequence Graph分析工具。根据命令行参数，没有用-n参数指定数据报个数，则每个UDP数据量发送默认的2048个UDP数据报。使用显示过滤器udp.srcport=4445,分离第一个UDP数据流，单击菜单栏Statistics Protocol Hierarchy，只能看到1655个分组（其中5个是ttcp指示传输始末的特殊4字节传输），这个传输的丢失率是19%。显示过滤器udp.srcport=4446,分离第二个UDP数据流，这次发现，这个流中的所有的数据都能显示在网络上。第二个UDP流的接收端报告仅仅收到了163000个字节，92%的丢失率。问题：对于udp_udp.cap，当第二个UDP传输开始后，有多少UPD分组从端口4445传到端口5001？写出相应的显示过滤器。实验五 网络层协议1. IPv4中的分片配置：实验： 本实验使用了一个称为ttcp的工具发送比本网最大传输单元大的数据，在最大支持1514个字节的数据包的网络上发送两个大小为5000字节的报文。数据从IP为00的台式机发送到IP地址为02的便携机电脑上。 本实验获得了Traces4_1_JoiningTheInternetfragment_5000_isolated.cap捕获文件。分析fragment_5000_isolated.cap:是否有分片？两个数据报各自分了几片？各个分片含多少数据？接收方如何知道该将哪些片合并成原来的数据报？2. 使用DHCP获取IP地址 选做 配置：注意：DHCP本身不是网络层协议，而是应用层协议，DHCP在传输层使用的是UDP协议。本实验为台式机获取IP地址。该台式机上运行Windows 操作系统。进入命令提示符状态，启动Ethereal跟踪，输入以下命令：ipconfig /releaseipconfig /renewipconfig /renewipconfig /release跟踪结果保存在Traces4_1_JoiningTheInternetdhcp_isolated.capipconfig命令用户显示IP地址以及修改IP地址的配置等情况。通过分析dhcp_isolated.cap，理解DHCP的工作过程。3. IPv6中的ping命令 选做 配置：在台式机和便携机的命令提示符下：分别打入命令ipv6 install 来激活ipv6, 然后输入ping6命令(这个是ping命令的IPv6版本)，用这个工具从台式机向便携机发送3个数据报，得到便携机3个数据报应答，将得到的跟踪记录保存在Traces4_1_JoiningTheInternetping_ipv6.cap分析ping_ipv6.cap, 理解IPv6如何在IPv4的基础上使用“隧道技术”，即IPv6数据报被封装在IPv4数据报的数据部分中。可以观察到，这里的机器的IPv6的128位的IP地址的后32位的取值是原IPv4的IP地址。4. Ping 和 Traceroute实验六 arp协议1. 课本 实验1.3 arp协议分析什么是arp欺骗，如何解决？2. 分析在下图环境中的A主机捕获到的，保存在traces 5_1_MACAddressesarp.cap.当前，A主机里记有B主机的MAC地址：执行命令ping 00执行arp d 00删除00的高速缓存项。第二次执行命令ping 00第三次执行命令pi