计算机网络使用网络协议分析器捕捉和分析协议数据包样本.doc

计算机网络使用网络协议分析器捕捉和分析协议数据包样本 计算机网络使用网络协议分析器捕捉和分析协议数据包广州大学学生实验报告开课学院及实验室:计算机科学与工程实验室11月月28日学院计算机科学与教育软件学院年级/专业/班姓名学号实验课程名称计算机网络实验成绩实验项目名称使用网络协议分析器捕捉和分析协议数据包指导老师熊伟 一、实验目的 (1)熟悉ethereal的使用 (2)验证各种协议数据包格式 (3)学会捕捉并分析各种数据包。 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 二、实验环境1MacBook Pro2Mac OS3.Wireshark 三、实验内容，验证数据帧、IP数据报、TCP数据段的报文格式。 ，分析结果各参数的意义。 器，分析跟踪的路由器IP是哪个接口的。 对协议包进行分析说明，依据不同阶段的协议出分析，画出FTP工作过程的示意图a.地址解析ARP协议执行过程b.FTP控制连接建立过程c.FTP用户登录身份验证过程本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 d.FTP数据连接建立过程e.FTP数据传输过程f.FTP连接释放过程（包括数据连接和控制连接），回答以下问题:a.当访问某个主页时，从应用层到网络层，用到了哪些协议?b.对于用户请求的百度主页（），客户端将接收到几个应答报文?具体是哪几个?假设从是本地主机到该页面的往返时间是RTT，那么从请求该主页开始到浏览器上出现完整页面，一共经过多长时间?c.两个存放在同一个服务器中的截然不同的b Web页（例如，和d.假定一个超链接从一个万维网文档链接到另一个万维网文档，由于万维网文档上出现了差错而使超链接指向一个无效的计算机名，这时浏览器将向用户报告什么?e.当点击一个万维网文档时，若该文档除了次有文本外，那么需要建立几次TCP连接和个有几个UDP过程?本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 析，分析ARP攻击机制。 （选做），事实上，TCP开始发送数据时，使用了慢启动。 利察用网络监视器观察TCP的传输和确认。 在每一确认到达之后，慢启动过程中发生了什么?（选做），TCP必须准备重发初始段（用于打开一个连接的一个段）。 TCP应等多久才重发这一段?TCP应重发多少次才能宣布它不能打开一个连接?为找到结果尝试向一个不存在的地址打开一个连接，并使用网络监视器观察TCP的通信量。 （选做）尝试使用p Winpcap自行设计实现一个简单的网络数据包监听与捕捉程序，同时将捕获的数据包进行分析并将结果显示在屏幕上。 参考Winpcapde的有关资料,（课后选做）。 四、实验步骤、记录和结果Ethereal从开始由于商标问题改名Wireshark了。 所以在我在mac下安装的是2.捕捉数据包，验证数据帧、IP数据报、TCP数据段的报文格式。 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 经过仔细对比，跟书上的报文格式一样。 3.捕捉并分析ARP报文。 下面是发送广播的数据包是第一行指示数据包发送的地址是ff:ff:ff:ff:ff:ff:,这是一个以太网的广播地址。 的第二行指示了就是本机的mac地址。 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 是下图是ARP报文第一行红框表示本机的地址。 中第二行中mac地址为0，因为还道对应ip的的mac地地址。 到下面是收到arp的回复报文的能够看到，红框部分即是刚才请求的mac地址4.捕捉ping过程中的ICMP报文，分析结果各参数的意本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 义。 Ping筛选对应报文选取其中一对进行分析是下图是request报文，从蓝色框中能够看出其类型。 红框。 部分跟回复报文的红框部分相同，指明是它们是匹配的。 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 是下图是reply报文，蓝色框中能够看出类型是reply，红色部分和上图相同5.捕捉tracert过程中的ICMP报文，分析跟踪的路由器IP是哪个接口的。 在在mac os中使用的命令是traceroute，因此在终端中输入traceroute筛选结果本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 了由上图可见，每个报文都发送了3次。 跟而且跟Windows令系统下使用命令tracert抓包不同，Windows使用的是ping（ICMP echo报文），而在Linux，Unix下使用的命令traceroute使用的upd报文。 于不过两者的原理都是相同的，关键都在于TTL（Time ToLive）。 下面来分析其中原理。 前前3个发送报文的TTL是对应收到的报文均是TTL超时本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 间中间3个发送报文TTL比前面的多1，如下图是对应收到的依然是TTL超时后最后3个发送报文TTL再加1，如下图，此时收到的回复报文变成了目的不可达，traceroute完成，过由此看出，经过2个路由转发就可到达目的ip。 6.捕捉并分析TCP三次握手建立连接的过程。 (第一次握手，客户端发出）第一个发出的SYN包关键数本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 据可见下图的（第二次握手，服务器发出）第二个收到的SYN/ACK包，见可见Ack Num等于SYN的的Seq Num加加1，并发回了初始序列号出（第三次握手，客户端发出，确认连接）第三个发出ACK包中，Seq Num等于前一个包的Ack Num，并发出ACK Num的值等于上一个包的Seq Num加加1，发送此包之后，连接建立。 对协议包进行分析说明，依据不同阶段的协议出分析，画出FTP工作过程的示意图a.FTP控制连接建立过程本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 三次握手之后建立连接b.FTP用户登录身份验证过程号登录输入帐号salesxfer，密码pssw0rd，服务器回应登录成功c.FTP数据连接建立过程三次握手后建立连接，服务端数据连接的端口使用的是是49166，客户端为2559d.FTP数据传输过程本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 请求上传文件，分段传输。 e.FTP连接释放过程（包括数据连接和控制连接）首先是释放数据连接然后再释放控制连接工作流程如下图所示本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 ，回答以下问题:a.当访问某个主页时，从应用层到网络层，用到了哪些协议?用在应用层首先使用DNS，解析出ip地址，然用后使用，用传输层使用tcp建立连接用网络层使用ip协议b.对于用户请求的百度主页（），客户端将接收到几个应答报文?具体是哪几个?假设从本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 是本地主机到该页面的往返时间是RTT，那么从请求该主页开始到浏览器上出现完整页面，一共经过多长时间?点击菜单栏Statistics，s Conversations可见下图可见客户端收到030个报文。 过滤得出具体报文如下本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 点击菜单栏Statistics，Summary，可见下图，红框所示，c.两个存放在同一个服务器中的截然不同的b Web页（例如，和能够的。 如下图所示，抓包后过滤，可见，只建立过一次连接。 d.假定一个超链接从一个万维网文档链接到另一个万维网文档，由于万维网文档上出现了差错而使超链接指向一个无效的计算机名，这时浏览器将向用户报告什么?本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 e.当点击一个万维网文档时，若该文档除了次有文本外，那么需要建立几次TCP连接和个有几个UDP过程?用使用/,需要4次次TCP，0个个UDP用使用/，0个个UDP9.捕捉ARP病毒包，分析ARP攻击机制。 （选做），事实上，TCP开始发送数据时，使用了慢启动。 利察用网络监视器观察TCP的传输和确认。 在每一确认到达之后，慢启动过程中发生了什么?（选做），TCP必须准备重发初始段（用于打开一个连接的一个段）。 TCP应等多久才重发这一段?TCP应重发多少次才能宣布它不能打开一个连接?为找到结果尝试向一个不存在的地址打开一个连接，并使用网络监视器观察TCP的通信量。 （选做）用尝试使用Winpcap自行设计实现一个简单的网络数据包监听与捕捉程序，同时将捕获的数据包进行分析并将结果本文档所提供的信息仅供参考之用，不能作