网络协议分析实例.doc

计算机网络上机实验实验一 网络协议分析一、实验目的1. 掌握网络分析原理；2. 学习Ethereal协议分析软件的使用；3. 加深对基本协议的理解。二、实验内容1掌握协议分析软件Ethereal的使用；2分析以太网帧格式；3IP、ICMP、TCP、UDP数据包格式。三、实验所用仪表及设备1S3760(1台)、PC机（2台）2实验拓扑四、实验步骤1. 双击启动桌面上ethereal图标，按ctrl+K进行“capture option”的选择。选择正确的NIC，进行报文的捕获。2. Capture packets in promiscuous mode表示是否打开混杂模式，打开即捕获所有的报文， 一般我们只捕获到本机收发的数据报文，所以关掉。3. 在Capture option中设置过滤规则（Capture filter）后，点击start就开始进行抓包，同时就会弹出“Ethereal:capture form (nic) driver”，其中(nic)代表本机的网卡型号。该界面会以协议的不同统计捕获到报文的百分比。4. 点击stop即可以停止抓包。5. 分析IP、ICMP等网络层协议数据包首部；6. 分析UDP和TCP协议数据首部，分析TCP三次握手机制。五、实验结果：六、数据报文的分析实例【数据见前页图】1、以太网数据帧分析字节 6 6 2 4目的地址源地址类型MAC客户数据（461500子节）FCS以太网MAC帧类型：0800IP数据包 类型：0806ARP请求/应答类型：0835RARP请求/应答所抓数据包为00 1f d0 8d 00 06 00 1d 0f 90 08 9e 08 00分析：“00 1f d0 8d 00 06”是目的MAC地址，“ 00 1d 0f 90 08 9e ”是源MAC地址，“08 00”是数据类型，表示里面封装的是IP数据包。2、IP数据包分析0 4 8 16 19 24 31版本首部长度服务类型总长度标识标志片偏移生存时间协议首部校验和源IP地址目的IP地址长度可变的可选字段填充数据部分45 00 00 28 fc 22 40 00 38 06 a4 04 ca 6c 16 2b C0 a8 01 69所抓数据包为第一个字节“45”高四位是4，表示此数据报是IPv4版本；低四位是5，表示首部长度，由于首部长度以4字节为单位，所以IP数据包的首部长度为20字节。第二个字节“00”表示服务类型。第3、4个字节是“00 28”，表示数据报的总长度是40（2168）字节。第5、6个字节是“fc 22”表示标识字段。第7个字节“40”的高4位表示标志字段，低4位和第8个字节“00”组成片偏移字段。第9个字节“38”表示生存时间；第10个字节“06”表示数据包的数据部分属于哪个协议，此值代表的协议是TCP协议。第11、12两个字节表示首部校验和。第13到16字节“ ca 6c 16 2b”的4个字节表示源IP地址是202.108.22.43。第17到20个字节“C0 a8 01 69”表示目的IP地址是192.168.1.105。3、TCP报文分析081624源端口目的端口序号确认号数据偏移保留URGACKPSMRSTSYNFYN窗口校验和紧急指针选项（长度可变）填充00 50 04 6a 84 e4 e2 04 61 fa 08 a3 50 10 09 d0 2d 1b 00 00 02 04 05 64 01 01 04 02所抓数据包为前两个字节“00 50”表示的是源端口号，“04 6a”表示是目的端口号，第5到8个字节“84 e4 e2 04”表示的是序号字段值，第9到12个字节“61 fa 08 a3”表示的是确认序号值。第13个字节“50”的高4为位表示数据偏移字段值，该TCP报文数据偏移字段值是5，该字段表示报文首部的长度，以4字节为单位，所以该TCP报文的首部长度是28字节。第14个字节“10”表示，ACK=409。第15、16个字节“09 d0”表示窗口字段值是 2512，即告诉发送端在没有收到确认之前所能发送最多的报文段的个数。第17、18个字节“2d 1b”校验和字段。第19、20个字节“00 00”表示紧急指针字段值。剩下的其他字节是TCP报文的选项部分。七、思考题1. TCP的顺序号和确认号有什么规律？答：数据分包发送，顺序号用来在目的终端重组数据，确认号用来确认接收终端收到了哪些包。2. TCP数据中为什么没有总长度？答：他有一个标明是否是结尾报文的标志位，只有最后的那个报文会置为0。所以可以通过收到的报文算出来。3. UDP校验和根据什么计算？答：首先，把校验和字段置0。然后，对首部中每个16bit进行二进制反码求和，在最后将高16位的数加到低16。（把整个首部看成是有一串16bit的字组成0，结果存在