第六章、TCP、IP协议族.doc

第六章 实验报告实验时间：2010.08.14实验人： 实验名称：一、 测试ARP防火墙的主动防御功能；二、 观察TCP建立链接的过程；实验任务和目标：一、搭建环境；1.安装网络执法官和ARP防火墙2.安装Sniffer软件；开始捕获报文；进行报文分析 1.配置过滤器 ；2.分析捕获的数据包。 二、安装主机，搭建服务器，安装Sniffer软件；开始抓包，客户端登录FTP服务器 ；进行报文分析 。实验环境描述：一、主机安装网络执法官，进行ARP攻击；在被攻击主机安装ARP防火墙，并开启主动防御；分析ARP防火墙的工作原理。二、安装2台Windows 2003主机；配置IIS搭建FTP服务器；在客户端主机安装Sniffer软件。一、测试ARP防火墙的主动防御功能；实验过程：开两台虚机，一台真机；虚机的IP和MAC：真机上的IP的MAC：打开网络执法官；并好真机进行ARP的攻击；在xp 上安装sniffer; 在真机上PING0进行抓包分析；用ARP a查看MAC地址；进行ARP分析；对路由攻击；开始分析；二、观察TCP建立链接的过程；实验过程：开两个2003，一台上安装上IIS，并建立WEB和FTP服务器；同时也在这个03 上安装Sniffer Pro。IP地址为：建立好WEB和FTP服务器后同时取消匿名访问；用IP为的机子去PING 的机子PING时同时也开始抓包；开始对TCP的三次握手进行分析：用的机子去访问上的FTP服务器；第一次握手；第二次握手；第三次握手；从PASV可以看出来服务器将采用被动模式；在的机子上用NETSTATN来查看和机子建立的连接；总结和分析： 一、TCP/IP协议模型和功能：1物理层和数据链路层在物理层和数据链路层，TCP/IP并没有定义任何特定的协议。它支持所有标准的和专用的协议，例如以太网协议等。基本上所有的局域网都采用以太网技术，上述说明的过程就是以太网技术所采用的方式。至于PPP协议一般用于点到点传输，电信网通等部门早期采用的一种技术，现在ADSL技术中使用的PPPoE、PPPoA协议就是PPP协议的一种。2网络层在网络层，TCP/IP定义了网际协议（Internet Protocol，简称IP），而IP又由4个支撑协议组成：ARP（地址解析协议）、RARP（逆地址解析协议）、ICMP（网际控制报文协议）和IGMP（网际组管理协议）。3传输层传输层是难点，但是这里并不对学员作过多要求。只要学员能够明白进程表示，也就是端口号的概念就可以了。4应用层这一层有很多上层应用协议，这些协议帮助实现上层应用之间的通讯，例如HTTP（超文本传输协议）、FTP（文件传输协议）、SMTP（简单邮件传输协议）、DNS（域名系统）等。二、TCP建立的过程。首先，讲解TCP提供的服务，为可靠的面向连接的。然后通过可靠的面向连接的服务，就需要在传输数据之前建立连接。然后，讲解由于TCP是一个全双工的连接，所以TCP连接需要进行3次握手，即AB连接请求，B在同意连接的同时，发起BA的连接，A再对B的连接请求进行确认，这样就建立了AB和BA双向的连接。在建立连接的阶段，确认序号是连接序列号加1，在传输数据的阶段，序列号用来标识字节数，例如发送端使用序号1000发送160个字节，那么接收端会用1160的确认号来确认接收到的数据段。因此，我们使用抓包工具查看到数据传输过程中的序列号与确认号的关系不是加1的关系。之后，通过PC1访问Web访问器使用TCP协议，进行抓包分析TCP连接建立过程。此处需要明确TCP使用端口号表明不同的进程。最后，通过捕获的报文进行分析，并说明相应字段的含义。IP协议。首先，简单介绍IP协议的功能和其提供的服务。可以通过举例进行说明。例如：邮局尽最大努力交付邮件，但并不永远成功。如果一封非挂号信丢失了，那只能由发信人或预期的收信人来发现信的丢失，并采取补救措施。邮局本身并不对每一封信进行跟踪，也不通知发信人有关信件的丢失或损坏情况。然后，在PC1上ping计算机PC2，同时在PC2上进行抓包；需要明确“-n 1”表示ping的次数，即只ping一次。最后，通过报文说明IP协议关键字段的含义：1、源IP地址（Source IP Address）：该字段用于表示IP数据包的源地址，它记录了发送该IP数据包的主机IP地址为。2、目的IP地址（Destination IP Address）：该字段用于表示IP数据包的目的地址，它指出了IP数据包要到达的目的主机的IP地址为。3、TTL（Time to live）：该字段用于表示IP数据包的生存时间。图TTL值为128。一个IP数据包每经过一个路由器，TTL将减去1，当TTL的值为0时，该IP数据包将被丢弃。该字段的作用是防止一个IP数据包在网络中无限循环地转发下去。ICMP协议。首先，提出问题，IP协议不提供差错报告或差错纠正机制，也无法测试另一端主机的活跃性，那么应该如何解决这个问题呢？，由此引出ICMP协议。然后，说明ICMP为网络层协议，但是其封装在IP协议中然后在传递给数据链路出呢个层，讲解ICMP的封装。然后通过ping命令进行抓包。最后，通过抓包讲解echo和echo reply报文。需要明确：回送请求和回送应答报文可以用来确定是否能在IP层通信ARP协议。首先，复习arp协议的原理，可以以提问的形式进行复习。然后讲解ARP的封装。然后，进行抓包，在抓包之前需要先清除PC1的ARP缓存表，再使用ping命令进行通信，这时会发起ARP请求。最后，通过抓包讲解ARP request和ARP reply报文，以及相关字段：1、操作代码（Opcode）：1表示ARP请求（图6.14），2表示ARP应答。2、发送端硬件地址（Senders hardware address）：表示主机PC1的网卡地址。3、发送端协议地址（Senders protocol address）：表示主机PC1的IP地址。4、目标端硬件地址（Target hardware address）：ARP请求中000000000000表示主机PC1不知道PC2的网卡地址，ARP回应中表示主机PC1的网卡地址。5、目标端协议地