实验三_捕获TCP数据包_杨磊.docx

计算机网络与应用实验实验三 捕获TCP数据包自94班 杨磊 2009011451实验目的通过实验熟悉Wireshark抓包软件的使用方法，理解TCP传输过程，以及慢启动、拥塞避免等相关技术。实验环境1. 操作系统：Windows7 网络环境为紫荆2#527A 2. 所用软件：wireshark-win32-1.6.3（最新版）实验内容1. 在windows环境进行Wireshark抓包。2. 在windows环境Wireshark窗口中查看各种协议下的数据包。3. 在windows环境上传文件到服务器，同时观察TCP传输过程。实验记录与问题解答回答以下有关TCP 报文段的问题：1 你的客户端电脑传送文件到8的IP地址和端口是什么？从8接收文件的IP地址和端口是什么？答：建立连接的前两条报文如下：151.6563728TCP66aura http-alt SYN Seq=0 Win=8192 Len=0 MSS=1460 WS=4 SACK_PERM=1Transmission Control Protocol, Src Port: aura (2066), Dst Port: http-alt (8080), Seq:0, Len: 0)可见，客户端电脑传送文件到8 的IP 地址是2，端口是2066，8 接收文件的IP 地址是8，端口是8080。2 用来初始化客户端电脑和8的TCP连接的TCP SYN报文段的序号是什么？在报文段中，那个地方表明这是一个SYN报文段？答：报文如下（同上一报文）151.6563728TCP66aura http-alt SYN Seq=0 Win=8192 Len=0 MSS=1460 WS=4 SACK_PERM=1Sequence number: 0(relative sequence number)Flags: 0x02 (SYN)可见初始化这个报文段的序号是0,Flags字段中SYN位为1，表明了这是一个SYN报文段。3 回复SYN报文段时，由8发送的SYNACK报文段的序号是什么？在SYNACK报文段中的ACKnowledgement域的值是什么？8是如何确定这个值的？表明这个段是SYNACK的标志位或者符号是什么？答：报文如下：161.65716382TCP66http-alt aura SYN, ACK Seq=0 Ack=1 Win=16384 Len=0 MSS=1460 WS=1 SACK_PERM=1Sequence number: 0 (relative sequence number)Acknowledgement number: 1 (relative ack number)Flags: 0x12 (SYN, ACK)SYNACK 序号是0，ACK 值为1，其等于SYN 报文段中Seq 值加1，标志位是Flags = 0x12。4 包含HTTP POST命令的TCP段的序号是多少？注意，要找到POST命令，你需要在Wireshark窗口的底部发掘这个数据包内容域，找到一个在其DATA域中有标识POST的段。答：报文如下：191.65780428TCP517aura http-alt PSH, ACK Seq=1 Ack=1 Win=65700 Len=463Sequence number: 1 (relative sequence number)Next sequence number: 464 (relative sequence number)Acknowledgement number: 1 (relative ack number)Header length: 20 bytesFlags: 0x18 (PSH, ACK)Data: 504f5354202f75706c6f61642f75706c6f6164746f66696c.Length: 4630000 00 01 e8 13 4b a9 00 24 e8 f5 a9 b3 08 00 45 00 .K.$ .E.0010 01 f7 75 eb 40 00 80 06 65 af 3b 42 87 52 a6 6f .u. e.;B.R.o0020 b4 62 08 12 1f 90 90 56 a3 11 01 e7 35 8c 50 18 .b.V .5.P.0030 40 29 41 70 00 00 50 4f 53 54 20 2f 75 70 6c 6f )Ap.PO ST /uplo0040 61 64 2f 75 70 6c 6f 61 64 74 6f 66 69 6c 65 73 ad/uploa dtofiles0050 65 72 76 65 72 20 48 54 54 50 2f 31 2e 31 0d 0a erver HT TP/1.1.可见，上述包含POST命令的TCP报文段的序号是1。5 仔细思考一下作为TCP连接的第一个报文段的包含HTTP POST的TCP报文段。TCP连接（包括包含HTTP POST的报文段）的开头6个报文段的序号是多少？每个报文段都在什么时间发送？每个报文段接收到ACK的时间是多少？假定每个TCP报文段发送事件和收到其确认信息的事件之间存在时间差，那么这6个报文段各自的RTT值是多少？接收到每个ACK之后的EstimatedRTT数值是多少？（参见课本237页）假设第一个报文段的EstimatedRTT值等于其观测到的RTT值，后续报文段的EstimatedRTT均按课本237页方程计算。注意：Wireshark有一个很好的功能，它允许你画出发送的每一个TCP段的RTT。选择一个在“listing of the captured packets”窗口中的TCP段，此TCP正在从客户端到36，然后选择：Statistics-TCP Stream Graph-Round Trip Time Graph。答：文件传输开始的6个报文段时间如下表格所示：Sequence number发送时间Ack接收时间RTTEstimatedRTT11.6578041.6596760.0030720.0030724641.6583861.6614090.0030230.0032451219241.6597341.6630500.0033160.0032239833841.6597621.6632370.0034750.0032003648441.6597841.6640840.00430.0031748163041.6614731.6650550.0035820.00305408下面是利用Wireshark做出的RTT变化图：每个报文相关数据如下：191.65780428TCP517aura http-alt PSH, ACK Seq=1 Ack=1 Win=65700 Len=463Sequence number: 1 (relative sequence number)Next sequence number: 464 (relative sequence number)Flags: 0x18 (PSH, ACK)Window size value: 16425Checksum: 0x4170 validation disabledData (463 bytes)221.65838628TCP1514aura http-alt ACK Seq=464 Ack=1 Win=65700 Len=1460Sequence number: 464 (relative sequence number)Next sequence number: 1924 (relative sequence number)Flags: 0x10 (ACK)Window size value: 16425Checksum: 0x828f validation disabledData (1460 bytes)241.65973428TCP1514aura http-alt ACK Seq=1924 Ack=1 Win=65700 Len=1460Sequence number: 1924 (relative sequence number)Next sequence number: 3384 (relative sequence number)Flags: 0x10 (ACK)Window size value: 16425Checksum: 0x17a1 validation disabledData (1460 bytes)251.65976228TCP1514aura http-alt ACK Seq=3384 Ack=1 Win=65700 Len=1460Sequence number: 3384 (relative sequence number)Next sequence number: 4844 (relative sequence number)Flags: 0x10 (ACK)Window size value: 16425Checksum: 0x1f3b validation disabledData (1460 bytes)261.65978428TCP1514aura http-alt ACK Seq=4844 Ack=1 Win=65700 Len=1460Sequence number: 4844 (relative sequence number)Next sequence number: 6304 (relative sequence number)Flags: 0x10 (ACK)Window size value: 16425Checksum: 0x8443 validation disabledData (1460 bytes)281.66147328TCP1514aura http-alt ACK Seq=6304 Ack=1 Win=65700 Len=1460Sequence number: 6304 (relative sequence number)Next sequence number: 7764 (relative sequence number)Flags: 0x10 (ACK)Window size value: 16425Checksum: 0x2ee7 validation disabledData (1460 bytes)对应的ack报文如下：231.65967682TCP60http-alt aura ACK Seq=1 Ack=1924 Win=65535 Len=0 Sequence number: 1 (relative sequence number)Acknowledgement number: 1924 (relative ack number)Window size value: 65535Calculated window size: 65535271.66140982TCP60http-alt aura ACK Seq=1 Ack=4844 Win=65251 Len=0Sequence number: 1 (relative sequence number)Acknowledgement number: 4844 (relative ack number)Window size value: 65251Calculated window size: 65251331.66305082TCP60http-alt aura ACK Seq=1 Ack=7764 Win=65535 Len=0Sequence number: 1 (relative sequence number)Acknowledgement number: 7764 (relative ack number)Window size value: 65535Calculated window size: 65535381.66323782TCP60http-alt aura ACK Seq=1 Ack=10684 Win=65251 Len=0Sequence number: 1 (relative sequence number)Acknowledgement number: 10684 (relative ack number)Window size value: 65251Calculated window size: 65251441.66408482TCP60http-alt aura ACK Seq=1 Ack=13604 Win=65535 Len=0Sequence number: 1 (relative sequence number)Acknowledgement number: 13604 (relative ack number)Window size value: 65535Calculated window size: 65535491.66505582TCP60http-alt aura ACK Seq=1 Ack=15064 Win=65535 Len=0Sequence number: 1 (relative sequence number)Acknowledgement number: 15064 (relative ack number)Window size value: 65535Calculated window size: 655356 开始的6个TCP报文段的长度各自是多少？答：从上面的报文段可知，这六个报文段的长度分别是：483（463+20） bytes、1480bytes、1480bytes、1480bytes、1480bytes、1480bytes。7 在整个跟踪过程中，在接收端广告（advertise）的可用缓存空间的最小值是多少？接收端有没有因缓存空间不足而限制发送端的发送？答：在6个ack报文中可以看出，接收端窗口的最小为65251，因此接收端广告的可用缓存空间最小值为64087。发送端窗口一直是16425，小于接收端窗口并保持恒定，因此没有收到这个限制。8 在跟踪文件中，有重传的报文段么？回答这个问题，你需要检查哪个地方？答：在此次跟踪中没有发现重传的报文段。只需要检查客户机发出报文段的sequence number字段即可，如果有重复的sequence number，则证明发生了相同数据的重传。9 接收方在一个ACK中，通常确认多少数据？你能辨别出这样一种情形吗：即接收方对收到的报文段，每隔一个确认一次？（参考 教材245页的Table3.2）答：接收方在一个ACK 中通常确认1 -2 个报文段数据。利用Flow Graph 功能，查看相应的发送和ack情况，其中一部分统计如下：可以看出在这次跟踪过程中通常是每个ACK确认一个报文段。10 这个TCP连接的吞