计算机网络实验五数据分析

上海电力学院上海电力学院 计算机网络计算机网络 课程实验报告课程实验报告 题 目 实验五 数据分析实验 姓 名 李娜娜 学 号 20121755 实验小组 第 5 1 组 院 系 计算机科学与技术学院 专业年级 计算机科学与技术 2012 级 同组成员 李敦君 20121756 吴佳慧 20121757 2015 年 6 月 3 日 一 实验目的一 实验目的 熟悉并掌握 Wireshark 的基本使用 了解网络协议实体间进行交互以及报 文交换的情况 学会使用 Wireshark 分析 IP ICMP 以及 TCP 协议 二 预备知识二 预备知识 要深入理解网络协议 需要观察它们的工作过程并使用它们 即观察两个 协议实体之间交换的报文序列 探究协议操作的细节 使协议实体执行某些动 作 观察这些动作及其影响 这种观察可以在仿真环境下或在因特网这样的真 实网络环境中完成 观察正在运行的协议实体间交换报文的基本工具被称为分 组嗅探器 packet sniffer 又称分组捕获器 顾名思义 分组嗅探器捕获 嗅探 你的计算机发送和 接收的报文 三 实验内容三 实验内容 1 任务一 分析以太网帧与 ARP 协议 1 俘获和分析以太网帧 1 选择 工具 Internet 选项 删除文件 如下图 2 启动 Wireshark 分组嗅探器 3 在浏览器地址栏中输入要访问的网址 如 4 停止分组俘获 在俘获分组列表中 listing of captured packets 中找到 HTTP GET 信息和响应信息 如下图所示 HTTP GET 信息被 封装在 TCP 分组中 TCP 分组又被封装在 IP 数据报中 IP 数据报 又被封装在以太网帧中 在分组明细窗口中展开 Ethernet II 信 息 packet details window 回答下列问题 a 你所在的主机48 bit Ethernet地址是多少 答 根据上图所示 主机 48 bit Ethernet 地址 即 MAC 地址 DC 0E A1 DB E6 DE b Ethernet 帧中目的地址是多少 这个目的地址是的Ethernet地 址吗 答 根据上图所示 Ehernet 帧中目的地址 BC D1 77 C3 8F F6 是 的 Ethernet地址 2 分析地址 ARP 协议 ARP 协议用于将目的 IP 转换为对应的 MAC 地址 Arp 命令用来观察和操 作缓存中的内容 虽然arp命令和 ARP有一样的名字 很容易混淆 但它们的作 用是不同的 在命令提示符下输入arp可以看到在你所在电脑中 ARP 缓存中的 内容 为了观察到你所在电脑发送和接收ARP 信息 我们需要清除ARP缓存 否 则你所在主机很容易找到已知 IP 和匹配的 MAC地址 步骤如下 1 清除 ARP cache 具体做法 在 MSDOS 环境下 输入命令 arp d The d 表示清除操作 删除 all table entries 具体操作如下图所示 2 选择 工具 Internet 选项 删除文件 3 启动 Wireshark 分组俘获器 4 在浏览器地址栏中输入如下网址 5 停止分组俘获 6 选择 Analyze Enabled Protocols 取消 IP 选项 选择 OK 具体操作 如下图所示 捕获到如下的信息 分析 arp 协议 1 本主机由于不知道目的 MAC 地址 主机广播了一个 ARP 请求包 2 每个收到的终端都会将其的目的 IP 地址与自己的比对 相符合的主机会给出 ARP 的应答 在这个应答帧中就填上了目的的 MAC 地址 3 2 任务二 分析 ICMP 协议 Ping 和 traceroute 命令都依赖于 ICMP ICMP 可以看作是 IP 协议的伴随协 议 ICMP 报文被封装在 IP 数据报发送 1 ping 和 ICMP 利用 Ping 程序产生 ICMP 分组 Ping 向因特网中的某个特定主机发送特 殊的探测报文并等待表明主机在线的回复 具体做法 1 打开 Windows 命令提示符窗口 Windows Command Prompt 2 启动Wireshark 分组嗅探器 在过滤显示窗口 filter display window 中输 入icmp 开始Wireshark 分组俘获 3 输入 ping n 10 hostname 其中 n 10 指明应返回10条ping信 息 4 当ping程序终止时 停止Wireshark 分组俘获 停止分组俘获后 得到如下图的结果 a 你所在主机的IP地址是多少 目的主机的IP地址是多少 主机IP 192 168 1 119 目的主机IP 192 168 1 1 b 查看ping请求分组 ICMP的type和code又是多少 Type为8 Code为0 c 查看相应的ICMP响应信息 ICMP的type 和code又是多少 Type为8 Code为0 2 ICMP和Traceroute 在Wireshark 下 用Traceroute程序俘获ICMP分组 Traceroute能够映射出通往 特定的因特网主机途径的所有中间主机 源端发送一串ICMP分组到目的端 发 送的第一个分组时 TTL 1 发送第二个 分组时 TTL 2 依次类推 路由器把 经过它的每一个分组TTL字段值减1 当一个 分组到达了路由器时的TTL字段为1 时 路由器会发送一个ICMP错误分组 ICMP error packet 给源端 1 启动Window 命令提示符窗口 2 启动Wireshark分组嗅探器 开始分组俘获 3 Tracert命令在c windows system32下 所以在MS DOS 命令提示行或者输 入 tracert hostname or c windows system32 tracert hostname 注意在Windows 下 命令是 tracert 而不是 traceroute 4 当Traceroute 程序终止时 停止分组俘获 结果截图 a 查看ICMP echo分组 是否这个分组和前面使用ping命令的ICMP echo 一样 一样的 b 查看ICMP错误分组 它比ICMPecho分组包括的信息多 ICMP错误分组 比ICMP echo分组多包含的信息有哪些 ICMP错误信息比ICMP echo分组多 Internet Protocol src Internet Control Message Protocol 3 3 任务三 分析 TCP 协议 访问学校主页服务器 通过 Wireshark 捕获通信内容 分析 TCP 连接建立的三 次握手过程 抓取数据包 如图6 16所示 图6 16 1 若只显示第一次握手的数据包 则显示过滤器的规则为 tcp flags syn 1 and tcp flags ack 0 显示包含 TCP SYN 并且不包含 ACK 标志的数据 包 找出第一次握手的数据包并截取对该数据包的展开图 根据截图填写下面 字段的内容 源地址 8c 89 a5 f4 f9 cb 目的地址 08 19 ab 9b ec 9f 序号 00 00 00 00 确认号 70 02 ff ff 数据偏移 28byte Urg0 Ack0 Psh0 rst0 Syn0 Fin1 窗口 00 00 第一次 2 若只显示第二次握手的数据包 则显示过滤器的规则为 tcp flags syn 1 and tcp flags ack 1 找出第二次握手的数据包并截取对该数据 包的展开图 根据截图填写下面字段的内容 源地址 08 19 ab 9b ec 9f 目的地址 8c 89 a5 f4 f9 cb 序号 22 21 ae 82 确认号 70 12 11 1c 数据偏移 28byte Urg0 Ack0 Psh0 rst0 Syn0 Fin0 窗口 00 02 3 若只显示第三次握手的数据包 则显示过滤器的规则为 tcp flags syn 0 and tcp flags ack 1 找出第三次握手的数据包并截取对该数据包 的展开图 根 据截图填写下面字段的内容 源地址 8c 89 a5 f4 f9 cb 目的地址 08 19 ab 9b ec 9f 序号 ea c7 49 cf 确认号 50 10 ff ff 数据偏移 20byte Urg0 Ack1 Psh1 rst0 Syn1 Fin0 窗口 00 00 第三次 4 三次握手之后 客户端要请求服务器传送数据 找出第一次请求的数据包并 截取对该数据包的展开图粘贴在下方 第一次请求数据 源地址 8c 89 a5 f4 f9 cb 目的地址 08 19 ab 9b ec 9f 序号 00 00 00 00 确认号 70 02 ff ff 数据偏移 28byte Urg0 Ack0 Psh0 rst0 Syn0 Fin1 窗口 00 00 问题 你是如何确定是第一次的请求的数据包 在握手之后的第一个 HTTP 协议 5 服务器要传送数据给客户端 找出第一次回复的数据包并截取对该数包 的展开图粘贴在下方 第一次回复数据 源地址 08 19 ab 9b ec 9f 目的地址 8c 89 a5 f4 f9 cb 序号 22 21 ae 82 确认号 70 12 11 1c 数据偏移 28byte Urg0 Ack0 Psh0 rst0 Syn0 Fin0 窗口 00 02 3 4 任务四 分析 IP 数据报 自己设计实验 抓取 IP 数据报 解释 IP 数据报首部各字段的含义并写在下方 源 MAC 地址 dc 0e a1 db e6 de 目的 MAC 地址 bc d1 77 c3