《网络协议分析》实验指导书

1、网络协议分析实验指导书verO.01计算机与信息工程系shhkun2014年9月、八前网络协议分析课程是针对计算机及网络工程专业的本科生而设置的一门课程，它具有很强的理论性和实践性。本实验指导书是专门为网络协议分析理论课程配套的、指导学生完成相关实验及操作而编写的。本实验指导书按照TCP/IP的层次结构对网络互连中的主要协议进行分析，由下而上的设计了 9个实验，涉及ARP协议分析、IP协议分析、ICMP协议分析、UDP协议 分析、TCP协议分析、DHCP协议分析、DNS协议分析、HTTP协议分析、SMTP协 议与POP3协议分析。在实验内容之前对实验采用的Wireshark软件进行了介绍。希望

2、学生们通过以上实验进一步加深对网络协议的理解和掌握协议分析的方法。特别说明：1、本指导书中给出的实验网络物理模型，不需要学生动手搭建，所有网络物理模 型都基于现有的实验室运行环境。2、本指导书中实验内容的开展与实验室使用的交换机和路由器的品牌无关，实验 指导书中指出实验品牌等，只是为了举例方便。3、实验中设备的ip地址以实际实验机器的ip地址为准，不同学生的IP地址应该 不同。目录1. 网络协议分析实验环境要求 42. 网络协议分析器Wireshark 52.1 Wireshark主窗口简介 52.2 Wireshark菜单栏简介 62.3 Wireshark的工具栏 72.4 Wiresha

3、rk的网络数据抓包过程 82.5由Wireshark协议窗口分析协议的格式 103. 网络层协议分析 11实验一ARP协议分析 12实验二IP 协议分析 15实验三ICMP协议分析 194. 传输层协议分析 27实验四UDP协议分析 28实验五TCP协议分析 315. 应用层协议分析 34实验六DHCP协议分析 34实验七DNS协议分析 37实验八HTTP协议分析 39实验九SMTP及POP3协议分析 421.网络协议分析实验环境要求(1) 本指导书按照 TCP/IP的层次结构对网络互连中的主要协议进行分析。本章实验的基本思 路是使用协议分析工具从网络中截获数据报，对截获的数据报进行分析。通过

4、试验，使学生了解计 算机网络中数据传输的基本原理，进一步理解计算机网络协议的层次结构、协议的结构、主要功能 和工作原理，以及协议之间是如何相互配合来完成数据通信功能的。Windows 环境下常用的协议分析工具有：Sniffer Pro、Natxray、Iris、Wireshark 以及 Windows2000自带的网络监视器。本书选用Wireshark 1.4.9 中文版 作为协议分析工具。(2) 网络协议图I计算机网巒附录饰用网常齒值协説细樹国2006.6 6彌 Jror?i lUApi |HiT7P FTP. TPlnFT SWTF- PDP3-. ir1A=RMXJS.辭用户裁Pi脛舷

5、MTF, HhSHfflrtifrHTTP-s( i-njpjgjpfra1Sl_PijDHCP. BODTP, TF1T, ROnJSE.NrzP. NT 代討 TTP-% S* ESLiCrPi舸師胆rneiifl审5琲 0GFk胡睡砂 ai=piRF. ,F-?rH.；| t：j- 笛M九灵！AH jjl X(JfifiP,薛析1外优LT,主二层越生融FUDPFHP, filPr- H5FT13SPF, ES-l5s伸EGP DRPt l&RF 曰曲卩J竝空空竺令和却 T_丙聞匚:dF三G“ IT二十叽.ll/GPr匡聽瘠觀讹 RSVP-昏#=昭|呻匸RF.距葺向 孤 RFm= ip m

6、s 卜 匚月拥番心律由悔谊OSPF1 尸IS Si 中WhVPPi Eg EFlIGRPtDWi匸価三BiWir眦由砂SUFrL2f-. PPrp/1csup I.L2T.P，ATWP.压 WHSUP算PIS卜H* gP】 书揺,鮎洛片和:r 仝卿窥餌M23adIEEE 3C2 2IEEE BD2 1 t 冗余融fi&STP) cte bc : J*, (r.-iri EEE BD2.1QEEE ED2.1KEEE BD21p (Qa9fff苛3山：迂看LI 1A IFFEP 祇uEP 叭钉：.5仏：“iefe m ii902 33 f 1D&iSE-T2,和洼 3 B03 0EI I ID&

7、DWJl- ；*J.902 le (iQ&E-aBUI 21 liqbas-T5D2.3atlIOGOBmSE-T -4-EFF FD? 3U iucfc*ibrx 戏曰券 1U.-LA.l- : .il- llJflFF-F-K 左日!5U7 3昶 1DGBASE-SR ) iDcaiSE-s r却f山匚HA注3，；卢牛： 氐LF tE9lS. in”E： 卫&阴託丄训l单蟆，I伽902 1 骼(5GFC 制2 阳、BQ211ti(24GHz.l1M0ftlL日口： Tig 4比.卫皿1呵 卩吧此酣巧儡畀 rFF：=ir? lE-f&t； hEEE 002 1 ? (kR-为；庖盟 C1/E

8、3 8DIMET/E0H丄 VOS)IEEE BD2 32 iaZDDESE-L：495&4A0K 5eo=14L0!33A(ii=i37 Wn=257Lefi=L08:bl$ 4&2256iSJJL6./.KTCP9090 轴、斜AtK q=HJ44L 8=4J7 Wn = 25/ LenLW516.482259123 1S7.A57192 168 7.85TCPSOW 455M ACX央2坤撇3=1血心曲丁怙匸忖阳517冲，也刃12J.lSZli7192.103 7.8iTO*WK 利ACK Stfl-11125 7 Atk-1J 7- 257 Le-.- H06518 1.WZ50912

9、J 187.-10.157192.168 7.85TCPBD9C 4D5?I PSH, ACK： Hq137 加皿7 Lan WQ519 947-14112 JO .140164197 167.8SUDPSdijt 1 Kiiri.Tnjr-r)n pon 100苛幻Q 4弓晦731W 16&.7J2?168 7.255NSNS曲涉或贰1聊M5HlQMFC伪4,剛192 1.7.6767Jdfeberf：* Rr!-.js V7DyJl000 ；3?3?J4tV D?A?5AOl+APWyi?3O?t522 礼602伯011 J7JSHOPGwce pg： 3298

10、Destnafti&n 的住 100S5523 .M5323220 181.112.167YS2 168 7.87TCPwnpp-ctwt 180 ACK sj=l Adt=5B Win=22D Len=o-1.6826-291&IUDFSdlccc part nctj口 亡013就 EksUnerticport; 1008-5包列弄Bn*523 4.742229117-9LJ.b2ly2.lh8V.85UDPSdutl part 1342 LXttiaDo门 port. LJOfej匚 Hame 514: 1462 卜蘇乐 on wn (il&% bts 1462 be

11、s captwed (116% IMs)tthernet 11. Srr Haogsha.iLellB-ZODsr Zc1! fd-39 B5raf(3cfc*ia M 39 ：S5： af)IrftErnetPhngohW.lfl/.W.lS/(JL2J.10.大于：如 frame.pkt_le n10lt 小于：女口 lt frame.pkt_le n=大等于：如 frame.pkt_le n-10le =小等于：如 frame.pkt_le *-10也可以使用下面的逻辑操作符将表达式组合起来：and & 逻辑与：如 ip.addr=0&tcp.flag.fi n or

12、|逻辑或：如 ip.addr=0|ip.addr=1xor AA异或：如 tr.dst0:3 = 0.6.29 xor tr.src0:3 = not! 逻辑非：如!llc例如：你想抓取IP地址是7(Filter )为:ip.addr=7 and http的主机所收或发的所有的 HTTP报文，则显示过滤器3ip.addr=192.16S.7.37 and http3ip.addr=192150aip -n :xJJse ps 4idniniatpat(ji*app -a口： 192,168.7.87 0xcInte

13、i-nfee箍址 物理地址 类型 192.1G8-7.2&4 00-00-5 e-00-01-12 动态 255.2E5.ZE5255 f-Ef-E-f f-f f-Ff 静态-MLIseis Mldmxrix&tiatoFJping 1L92 -lb9.7-8BPiny 192192.1&8.7.85 192.lte.7-95 192.168.7.S5 193.160.7.OS在oMini自的的的的卄B -JJ- 0 02 2 2 -J3 3 3 3 =一 = _一 死卄ZZT节 宀士士士于TTL-64TTL=fc4TTL=64TTL=64勺9 孑已计声 齊估0 7_句孙- 启口王豆 s1G

14、数g2.返 19往Pinsr统计佶息=0ms%丢失=0 /are size: 6Protocol size: 4Opcode: request (0x0001)Is gratuitous FalseSender MAC address： 2c:44:fd:37:55:el (2c:44:fd:37:55:el)Sender IP address: 192,1687.87 (7)Target MAC address: 00：00;00_00：00 00 (00:00:00：00:00：00)Target IP address: 5 (192.168.7

15、.85响应报文为：r+ Frame 451r 60 bes on ivire(40 bits), 60 byte raptured(48H bits)E Ethernet II, Src: 2c4:fd:39:85:af (2c;41：fd:39:5:af)r Dst: 2c4l:fd:37:55:el 2c: 44:fd: 37:55:el) 丄 Address Kesolution Protoco (reply)Hardware type: Ethernet (0x0001)Protocol typp; TP (00800)H ardware si2-e： 6Protocol size:

16、4Opcode: reply (0x0002)Is graixiitods: FlseSender MAC address: 2c：44：fd；39:85:af (2c;44/d:39：85:aF)Sender IP dddiess: 5 (192.1GB.7.85)Target MAC address: 2匸:44忆:3/:站;已1 (2c;44:fd:3/:5七:elTarget IP address 192.16&7E7 (192458 7.B7)实验二IP协议分析一. 实验目的1熟悉IP协议的报文格式；2理解IP地址的作用。二. 实验内容捕获IP协议报文，并进行分

17、析。三实验原理1 . IP协议介绍(1) IP地址的编址方法IP 地址是为每个连接在互联网上的主机分配的唯一识别的32位标识符。IP地址的编址方法共经历了三个阶段，其中最初采用的是分类的IP地址，这是一种基于分类的两级 IP地址编址的方法。表2 IP地址的分类IP地址类型第一字节 十进制范围二进制 固定最高位二进制 网络位二进制主机位A类1-12608位24位B类128 - 1911016位16位C类192 - 22311024位8位D类224 - 2391110组播地址E类240 - 2541111保留试验使用如表2所示，IP地址分为A, B, C, D, E五类，其中 A B、C类地址为可

18、分配主机地址，而 D类地址为组播地址，E类地址保留以备将来的特殊使用。 IP地址采用点分十进制方式记录，每个 地址表被视为4个以点分隔开的十进制整数，每个整数对应一个字节。A、B、C三类地址由两部分组成：网络地址和主机地址，这三类地址的网络地址部分的 长度不一样。每个 A类地址的网络中可以有 1600万台主机；每个 B类地址的网络中可以有 65534台主机；每个 C类地址的网络中可以有 254台主机。（2）IP报文格式IP报文由报头和数据两部分组成，如图9所示：01234567优先怨DTRCK用715”192431头1声 服务类觀总长度f标识生存周期忡邪检验和报源IP地址hl 的 IP 地 h

19、lI .数A *| 11图9 IP 报文格式其中主要字段的意义和功能如下：* 版本：指IP协议的版本；* 头长：是指IP数据报的报头长度，它以 4字节为单位。IP报头长度至少为20字节，如果 选项部分不是4字节的整数倍时，由填充补齐；* 总长度：为整个IP数据报的长度；* 服务类型：规定对数据报的处理方式；* 标识：是IP协议赋予数据报的标志，用于目的主机确定数据分片属于哪个报文；标志：为三个比特，其中只有低两位有效，这两位分别表示该数据报文能否分段和是 否该分段是否为源报文的最后一个分段；* 生存周期：为数据报在网络中的生存时间，报文每经过一个路由器时，其值减1，当生存周期变为0时，丢弃该报

20、文；从而防止网络中出现循环路由；* 协议：指IP数据部分是由哪一种协议发送的；* 校验和：只对IP报头的头部进行校验，保证头部的完整性；* 源IP地址和目的IP地址：分别指发送和接收数据报的主机的IP地址。（3）IP数据报的传输过程在互联网中，IP数据报根据其目的地址不同，经过的路径和投递次数也不同。当一台主机要发 送IP数据报时，主机将待发送数据报的目的地址和自己的子网掩码按位“与”，判断其结果是否与其所在网络的网络地址相同，若相同，则将数据报直接投递给目的主机，否则，将其投递给下一 跳路由器。路由器转发数据报的过程如下： 当路由器收到一个数据报文时，对和该路由器直接相连的网络逐个进行检查，

21、即用目的地址和每个网络的子网掩码按位“与”，若与某网络的网地址相匹配，则直接投递；否则，执行2。 对路由表的每一行，将其中的子网屏蔽码与数据报的目的地址按位“与”，若与该行的目的网络地址相等，则将该数据报发往该行的下一跳路由器；否则，执行3。 若路由表中有一个默认路由，则将数据报发送给路由表所指定的默认路由器。否则，报告转 发出错。四实验步骤使用Pi ng命令在两台计算机之间发送数据报，用Wireshark截获数据报，分析IP数据报的格式，理解IPv4地址的编址方法，加深对 IP协议的理解。不带参数的ping命令，默认向目标主机发送数据为32个字节长度的ICMP回送请求报文，封装在IP数据报中

22、。数据包如果顺利到达目的主机，则目的主机会返回一个回送请求报文，该报文会携 带原始的数据。如果传输过程中出错，数据不能继续转发传输，则会向发送主机返回一个差错报文， 报告发送主机数据传输过程中出现的问题。环境应有局域网连接，学生两两一组，开展实验。分析报文中IP数据报头的格式，完成下表： 表3 IP协议报文分析字段报文信息说明版本头长服务类型总长度标识标志片偏移生存周期协议校验和源地址目的地址附录：假设实验中7 向5 发送ping报文，则发出的请求报文可能如下：+ Frame 39: 74 btes on wire (592 bits), 74 by

23、tes captured (592 bits) Ethernet TL, Src: 2c:44:fd:37:55:el (2c:44:Fd:37:55:el)f Dst: 2c44:fd:39:85:af (2c:4:fd:39:85:af) s Destination: 2c:44:fd:39:85:af (2c:44:fd:39:85:af)两 Source: 2c:44:fid:37:55:el (2c44:fd:37:55:el)Type: IP (0x0800)冃 mtrnidzProtxy 5u 192.168787 (192+16877), Dst: 192J68785 (192

24、.168.7.85)Version: 4Header length: 20 btesDifferentiated Services Field: OxOD (DSCP 0x00: Default; ECN: 0x00)0000 00. = Differentiated Ser/Ces Codepoirt: Default (0x00)O = ECN-Capable Transport (ECT): 0 0 = ECN-CE; 0_oUl Length: 60Identification: 0x7413 (29715)i=j Rags: 0x000 = Reserved bit: Not set

25、.0= Dont fragment: Not set*0= More fragments: Not setFragment offset: 0_ime to live: 64PptxolICT1P (1)Header checksum: 0x0000 incorrect, should be 0x76blGood: Falsead: TrueSource: 192.158.Z87 (192168.7.87)Destination: 5 (5)e Internet Control Message ProtocolType: 8 (Echo (ping)

26、 request)Code: 0Checksum: 0xc43 correctIdentifier: UxOlOOSequence number: 25 (0x0019)Sequence number (Lt): 6400 (0x1900)曰 Data (32 bytes)Data bl6263646566676B696abb&C&d&e6f70717273747576 77&1.Length: 32收到的响应报文可能如下:1+ FrEme 453: 74 bytes on wire (592 bits)74 bytes captured (592 bits)i+ Ethernet II, S

27、rc 2c:44:fd:39:85:af (2c:4411:39:85:30, Dst: 2c:l4:fd:37:55:el (2c:44:fd:37:55:el) 已 Internet Protocol, Src: 5 (5), Dst: 7(7)Version: 4Header length: 20 bytesF Diffprpntiatpd Saruirps Fielrl: OkOD (DSCP DxDO: Default; EtN: 口仃)000D 00,. = Differentiated Ser

28、vices Cod ep oi nt： Default (OxOG)+.0. = ECN-Capable Transport (ECT): 00 = ECN-CE： 0Total Length: 60Identification; 0x30f5 (12533)Flags； 0x000 = Reserved bit: Not set.0 = Dont fragment: NuL set=More fragments: Not setfragment offset: 0Time to live: 64Protocol: CMP (1)Header checksum： 0xb9cf correctGood: TrueBad: FalseSource: 5 (192.1687.85)Destination: 192.1687.87 (1921&8.7.87)=Internet Control Message ProtocolType: 0 (Echo (ping) reply)Code: 0Checksum: 0x544f correctIdentifier: 0x0100Sequence nu