(完整word版)IP和TCP数据分组捕获和解析(20210413200343)

1、-WORD格式 -可编辑-实验二：IP和TCP数据分组的捕获和解析1. 实验类别协议分析型2. 实验内容和实验目的本次实验内容：1） 捕获在连接In ternet过程中产生的网络层分组：DHCP分组，ARP分 组，IP数据分组，ICMP分组。2）分析各种分组的格式，说明各种分组在建立网络连接过程中的作用。3）分析IP数据分组分片的结构。通过本次实验了解计算机上网的工作过程， 学习各种网络层分组的格式 及其作用，理解长度大于1500字节IP数据组分片传输的结构。4）分析TCP建立连接，拆除连接和数据通信的流程。3. 实验学时4学时。4. 实验分组单独完成5.实验设备环境1台装有Win dowsX

2、P操作系统的pc机，要求能够连接到In ternet，并 安装WireShark软件。6.实验步骤6.1准备工作启动计算机，连接网络确保能够上网，安装WireShark软件6.2捕获DHCP报文并分析DHCPS文格式先介绍一下DHCP勺报文格式，如图1-WORD格式 -可编辑-OP(1)HtypeHlenHops(-WORD格式 -可编辑-(1) 1)Transaction ID(4)Seconds(2)Flags(2)Ciaddr (4)Yiaddr (4)Siaddr (4)Giaddr (4)Chaddr (16 )Sname (64 )File (128 )Options (varia

3、ble )（图1 1 DHCPDHCP报文格式）OP:若是client送给server的圭寸包，设为1,反向为2；Htype :硬件类别，ethernet 为 1 ；Hle n：硬件长度，ethernet 为 6；Hops：若数据包需经过router传送，每站加1，若在同一网内，为0；Transaction ID：事务ID，是个随机数，用于客户和服务器之间匹配请求 和相应消息；Seco nds由用户指定的时间，指开始地址获取和更新进行后的时间；Flags：从0-15bits，最左一 bit为1时表示server将以广播方式传送圭寸包给 clie nt，其余尚未使用；Ciaddr:用户IP地址；

4、Yiaddr：客户IP地址；Siaddr：用于bootstrap过程中的IP地址；Giaddr：转发代理（网关）IP地址；-WORD格式 -可编辑-Clienr IP address: 36 (118-229,161.236)Chaddr： client的硬件地址；Sname可选server的名称，以0 x00结尾;File：启动文件名；Optio ns：，厂商标识，可选的参数字段如下图所示，在 DOS窗口执行命令ipconfig/release 后，已经申请的IP地址被释放341 40.17164E 36 211.6B.71.5 DHCP

5、342 DHCP Release - Transaction ID Ox81745cO3Frame Ml: 342 b/tes on vire (273bits). M2 bytes captured (2736 bits)ETherner II. Src： Conipaliri_d7：Qia7 (00:26:22了h Hangzhoy_6aieB5 (00:0f:咗：日a：lw:呂门 internet Protocol version 4, Src; 11829.161,236 (36L Dst: 211,68.71,5 (211.66,71,5 uier Data

6、gram Pr macol. 5rc Port: boot pc (68 X Dst Port: boatps (67J sDotstrap ProtocolMessage type: Boot Request COHardware type： EthernetHsrdwa广e address length； 6Hips: 0Transaction ID： OK81745CO3seconds elapsed: 0Boutp flags: OKOOOO (Lnicast)Your (client) IP address： 0.0-0.0 (0.0,00)Next server IP addres

7、s: ()Relay agent IP address: ()clienrt MAC address: Compalin_d7:0c:a7 (00:26:22:d7:0c:a7) Client hardwire address padding： 000000000DQOOODQQ000 server hoST name not givenBoot file nam电 ng givenMagic cookie: DHCPoption: (t=53,1=1) :HCP Message Tpe = DHCP Release option:

8、(t=54,l=4) DHCP server identifier = Option: (t*61.1*7) Client idarnlfierEnd OptionPadding再执行ipconfig/renew，在WireShark上就看到了 DHCP的四次握手获得IP地址，缺省路由DNS等参数的过程。-WORD格式 -可编辑-MO 5S. 501702 11自沱加1.俎，129llS,2,161.,23eiOQOO0010DOJO0050DOflO61aos61aos 213O2-A213O2-A 舄&1M2 4-4- - -U3QGAU3QGA 尸o o应o oo

9、dod f f 0000右心C n-n- Q Q Q Q Q Q d d H H 卡 e e 4 4 o o fl fl n n f-f-cAOOCcAOOC f f 90009000 f f f f o o o o o o H H f fOJ 子 D D 口 A A 1n1n4f1dort4f1dort f fIf30AIf30A f f ofof 8 8 A Aoxox d d _u_u d d n n 0 0 尸coco心r. r. 5_r5_r c c o o o o J-fJ-f 2 2 DoDo n n o o Q Q Q Q o o o o rt rt ooooortooooor

10、t 8 8 o o 6 6 o o o o o o o o D D -u-u fl fl rt rt 7 7 On-O7On-O7 A A aocraocr鼻A A ColoColo CACA QDODDQDODD n n 7i7i o o D D 7 7 n n DiiDii9 90TJl-l0TJl-l zizi 6 6 O2-AO2-A 27Bom27BomFYofle Def-aukFrime 66234S byces an wire (27&1 hits), 348 bytes carpiiuredl (27B4- bltaEthernet IIF Sr*C: ciitp 11rt_

11、d7:Oe:! a7 (00:26 i:22 :d7 i&C: i7J p Dt: BrP :ff:Ff :ff:Ff :ff JIrrt*rnEt Prate 匚口 1 V9 am Prpt KI?I VPort:;匚 $日入 &?t Pflrt: boXMJi BOdtEtrap PrgtKlMessage type; Boot Request (1JHardware types CtiherrietHardware address lengths &Hops: QTransacrlon ID： OxZccdSBdOSeconds el -apsedl:右tt Boadzcfli fJeD

12、&emE Gigahit Ethernet Ciriver (M. Pactrts: 3119 Dtsphyed: S Marked. H现在来详细分析下这四次握手的过程(1)第一次握手：客户端首先向网络以广播形式发送DHCP discover报文，目的是发现网络中存在的DHCP serve，并请求给出回应。从图中可以看出 DHCP discover 数据包二层源 mac地址为源端口 mac,目的mac为广播地址ff:ff:ff:ff:ff:ff. 三 层源地址为0目的地址为广播地址 55端口 ：源端68, 目的端67。20 53.4 33441 DD0

13、0)5pne;pDHCP DHCPDHCPTrinf n nri IP gxfcedH-Sdu373 DHCP flsqwst - TransactHon ID OxJccdSSdJO32 DHCP ACK- TranacHon ID Ox?CC-ddH)E E 003088 dO 00 00 00 00 HHMEflninrOO-00 00 00.-WORD格式 -可编辑-63B 58.488008 29 118.229.161 a23s& DKP 342 DKP Qffer Transaction ID 0 x2tcd88dD E88;byt

14、EW 口门 日 27&日气上客：片工42 bytmw 匚(27*6 匕疔些(2)第二次握手：向client端提供IP地址。当DHCP服务器监听到客户端发出的 Dhcpdiscover广播后，它会从那些还没有租出的地址池内，选择最前面 的的空置IP，连同其它TCP/IP设定，回应给客户端一个 DHCPOFFER 圭寸包。由于客户端在开始的时候还没有IP位址，所以在其Dhcpdiscover封包内会带有其 MAC位址信息，并且有一个XID编号来辨别该封包， DHCP服务器回应的Dhcpoffer封包则会根据这些资料传递给要求租约 的客户。根据服务器端的设定，Dhcpoffer封包会包含一个租约期限

15、的信 息，当客户端到了这个期限，会释放出IP进行相同步骤的再次申请 Ethernei: HI. src: Hangzhou_6aila：85 (00:Of;e2 :6asle:B5jDsn : cortipalrn_d7i0c:a7 (002Ss22:dT：Qc; sestlnatiorii： ccmpalin_d7:0c:a7 C00:26:22:d7：.0c：a7) Source: HangzliDU_6a:lezSS (00:Of :e2:6a:lez85)Type IP (0 x00005imc&rnet Prcto匚version 4a Src:(115,Dst:User Datag

16、ram Protocol? Src Porti baotps (67J t Dst Port z bootpc (6B) 山 oaoTsirap protocolMessage type: Boot ReplyHardware type: EthernetHardware address lengrh: 5Hgps; 1Transaction I&z 0 x2ccdSBdXseconds0Bootp flags: OxQQOO Curlcast)Client IP addressi (0u0.0.0)rour (client) IP address: 3

17、6 (118.229.1&1.23Mert server IP address: 0, 0. Or0 CO-0,0, 0)Relay agent IP address: 118.229ul61a12& (118.229-161.129) 匚 11 ent HA.C address : comp a 11 nd? i： 0c: a? (00s2S：22 :d7：0c:a7) client hardware address padding： OOOOOOOQOOOOOOOOOOUO Server hast name not given BOOT file name nut glven-Magic

18、cookie: DKP Option: (t=53.25S. 255.12S option: Ct15fI 1-11) Domalni Name ,i-bupT. educn,e Opxion: (t=331-4) Router Oprtion: (t=41 =8) Damain Marne ServerEnd optionPadding在DHCP offer包中我们可以获得以下的信息：信息类型为应答广播信 息,客户端IP地址为.通过DHCP discover请求申请后，服务器端分 配的IP地址为36DHCP服务器的IP地址为. 租

19、约时间为4个小时.Clie nt IP address =()表示客户机还没有使用该地址Your(Clie nt)IPaddress=36(36)表示DHCP Server分配给该客户机的IP地址n ext Server IP address它标示了客户机下一次发出 DHCP Request报文时，哪个DHCP Server会发出回应DHCP Message Type= DHCP Offer 表示这是一个对 DHCP Discover 的回应报文-WORD格式 -可编辑-689689 58/10844158/108

20、441 0 0 0.0,00.0,0 255.255,255,255255.255,255,255 DHCPDHCP 373373 DHDPDHDP RequestRequest - - TrAnsactiofiTrAnsactiofi IDID 0 x2cc(i8RdD0 x2cc(i8RdD Frame 689: 373 bytes on wire (29 bits) 373 bytes captured (298J bits)商ver host name not givenoption: Ct-53p1=1JOption: (t=6L, 1=7 option； fr-50,1-43 op

21、ticn: Ct-54p 1=43option: (t=L2,l-15 Hast Name = PC-200911301537Sub net Mask=28 表示分配的IP地址子网掩码为 16 位Ip address lease time=4 hour 表示租期是 4 小时Server identifier= 表示服务器的 IP 地址为 Router=29 表示它的路由网关是 29Domain Name=表示域名所有发送DHCP Offer信息包的服务器将保留它们提供的一个

22、IP地址。 在该地址不再保留之前，该地址不能分配给其他的客户。(3)第三次握手：用户发送DHCP request报文，客户以广播的方式发送 DHCP Request信息包作为响应。注意其中的 DHCP Message Type一项中 type= Request表示这是一个请求报文。7 Etliernet Iirrc: Conipalin_d7:Oc:a7 C0C|：26:22:d7:0c?a7J Dst: Broadcast (ff:ff :ffiff:ff:ff) Desrinarion： Broadcast ftf;f:ff：ff:ff：ff)source: Compalln_d7:0c:

23、a? (00:26:22:d7:0c:a7)Type: IP CDxOSCO)internet prorocol version 4, Src： O.0,0,o Co. 0,0.0 C-st:為九255.2巧，25$ (255.255 + 255. J55) user Datagram rotocDl( src Port: bootpccst Port: bootps (67)Bootstrap ProtocolMessage Type： SOOT Requesi (1)Hmrckar日 type: EthernetHardware address length: & Hops: 0Trans

24、action ID： 0 x2ccd88d0 seconds elapsed: DSDDtp flags： QxOOOQ (ucasi：) client IP address: 0,0.0.0 (0.0.0,0)Your (client) IP address: D.0.0.0 (0.0.0.D)Next server IP address: QdQ.Q (Q+C.0.0)Relay agent IP address: 0,0.0.0 ()Client MAC address: Compalln_d7:0c:a7 C00：26:22:d7:Oc:a7)Client hardwar

25、e address padding： OOCOOOODOOOOOOOOOOOOBoot fi1e name not given Magic cookie： DUCPDHCP Message Type = DHCP Request client identifierRequested IP Address - LIS.?29.161.&DHCP Server Idenfifier = option: (x-8Li 1-19) client Fully Qualified Dana-inOption: Ct-60p1=90 vendor cl ass identifier =

26、 M5FT 5.0 opilori： (t =55,1-11) Parameter Request L乜toption:仕4 右1 萄 Vendor -Specific inform ar ionEnd option-WORD格式 -可编辑-(4)第四次握手:第四阶段DHCP server回应DHCP ACK报文，该信息包是以单播的方式发送 的。当服务器接收到 DHCP Request信息包时，它以一个DHCP Acknowledge 信息作为响应，其内容同 DHCPOFFER类似。在该报文中可以获得以下信息:DHCP服务器端给出了 domainname= e”表示服务器的域名为 ”。现在观察

27、ARP和PING命令的执行过程我们向40发送ping请求，发送的数据大小为32字节。默认情况下，只发送四个数据包此时得到对方的4次回应。在给 40发送4 4个数据包的过程当中，返回了4 4个，这4848个数据包当中返回速度最快为1ms1ms，最慢为7ms7ms，平均速度为 2ms2ms。-WORD格式 -可编辑-Reply fron 40： Replv fron 118.229.161,140：Replr from 118.229-161,140：Reply fion 40：bytes-32

28、 tine-VRS TTL=64 bi/tes=32 tine =lns TTL=64 btes=32 tine=lns TTL=64 l) )ytes=32 tine =1 ms TTL=64Ping statistics for 118.229 .l&l .140：Packets: Sent - 4, Received 4, Lost 0 ,Approximate round trip tines in dkilli-seconds:Min imun = Iras, Maximum - 7RS # Average - 2ms3：Docunents and Settings Ml dmini

29、stratorF面看看ARP的执行过程:以太网目的 堆址史太网循屮.% 迄 A1F地址自标I? 地址6bv阳62221 1i6649S21-7在以尢两上使用时ARPifi求雎冋答的格式上图表示的是apr的格式先发送一个请求包：licrosoft Windows XP5.1.26003CO 版权所有 1985-2001 Microsoft Corp.J：xDocuments and SettingsAdninistratorpin 118_229_161_140Pinging 40 uitli 32 bytes of data：thar_trMt he r-壯 osx

30、ethostap.EihflLiLrp sia厂 谴件 瓷申円 *rjird t/LR FiiRDEfn-TER) 厂 廊仪 芒尽h ar Jrg確件地对杞址，畑 悔诃赳爪扎賀卫matn*r h*adr)l：；tARP74thr_*rpARpn aiptadr )-WORD格式 -可编辑-整 个报文 长度为 4 2 字节，who has 40?tell 36即将本机的信息以及想要连接的ip进行广播。头6个字节 是以太网目的地址ff ff ff ff ff ff这是一个广播地址，全网下的所有终端都能接受到。Sender mac add发送者的m

31、ac地址ip地址以及想要获得 的ip地址都广播出去。接下来分析是应答的数据包。应答包长度为60个字节头6个字节是本地的 mac地址接着的6个字节就是对方的mac地址，这样我们就知道了对方地址。 加进缓存表。1479 31,937121Hangzhau_6a：le:35BroadcastWPW who hit97?Tfill 291504 32.197095Hang2hauL6a：l：a5BroadcastARP60 who has.118a 220.1&1Tfll 2?1561别站弱94Co(Tipalln=d7 泊

32、Broadcast.ARPA2. who has40?Tell 3615B2 34,365861Asu5tekc_73：7d：79匚 ompaUn_d7:0M：:a7jy?p60 118,229.161,140 is at 00:26:18:731565 3O6BD26AsusT：ekc_b2：ef :19BroadcasrARP&o who hai、i _118.220. l&l-131?S H 1+ -1 F 耳Tell 11S.229.161.17BT -4 -4ft 峠严申 T 乱zrame 153?; 50M 讪苗(4 hits),

33、 b/tej mpturEd (4?Q fcHtJ CrhBrner ire: JtsustekC_T3：(00:26:1E:73:7d:T0X Mt: CompalIn_(i7:&c:a? CDa；26r22:d7:0c:a7) DestiniTiCanpillrijcl7：Oc:a7:d7:dc:a7)Source： ASUEtBkJTS汗d：了9 (tn：26：l：7：7(l：79)Type： ARPTr 护 I er: OOODOOOaOOaOOODOODaOOaOOOOOODOOOOOOOj Address Resolutlan prorocfil (reply)Hardwarery

34、pe:Ethernet(1)pratncoltype：TP(0*0300)Hardwareslie:6PratncolSIZE:4Opcode; reply is graiuiious: FilseSender MAC address: A5U5tekC_73：7d：79 (OD:26:19:73:7d:79)sender IP address：229-161.ido (11乩229.161.14。larger MAC address: CMpalln_d7:dc:a? (OD：26:22;(J7:Oc:a7)Target IP address： 11 躬前9,161.2恥(118.225,1

35、61.236)OMDM ae 22 d7 QXKi 碑q2Bl血 11. icl6415K0519 HE. 2.1. HE192.1. P.l1FM1皿15&T3S,D51Z73 11 B,2?9,ll5i361W,M,D.1IM1514JPi4巧14讣井津 Mint谏M4】J hi16to JS.051J11lft2.W-4TPM+16U 3X0513J2 UD.2allJ2G192.1-.1皿PIbtQ 花師g刃 10.0.11.?Ug.?2.1fl.2J6】OP阡wgneMEd IP prDTQwl (prcKD-la* 5山 卅吧 ID-Pa) PeisMfbled Jn *1K1 F

36、Fagngrrred IP protocol F臼perrtEd IP prptgwl Frignirrtfltl TP prrtgrol rrdHntfld TP prutacpl(prffiM-3* /弘卅皿瞅(pa”TC QaCl. off-M-40,(prero-IDff QMQI, ff-5920.【DHEL：i PessHbled *1W1 W-17EL) Rei55-wbled In #1W1 TD-1M) Dliuwblfd In *1601 IQ-17M-) RBaSHbltd In MfiOl15? ifinM7nB in.n. 11.? 11 B.?W. 1 fii .?

37、ifi TCMP TH Timp-tn-IIVP ewrAPilPd (Tinw ! Ilw PMTAPdPtl in trarKit) l Frame 1522: 70 bytes on wire (560 bits), 70 bytes captured (560 bits)6.3 分析数据分组的分片传输过程制作大于8000字节的IP数据分组并发送，捕获后分析其分片传输 的分组结构。使用 Win dows 中 pi ng 命令的-l 选项，pi ng -l 8000 执行之后我们捕获了 4个数据包：（默认情况下，只发送四个数据包）弹世怜 轉a： uacs 鬧吨诞怦仙脚

38、9 tt M固诃常語召+ * * J2 glS 戰巴国甘寸 Lpwm “ ONT从4 4个分组中随便选取一个进行详细的分析:J Etherner n, 5rc: Hangihju_tiile：B5曲；萌：睨；$3：1；85英 OST： CQmpalln_jd7：0c;a7 W聞：魂：沪；胆：Mj Destination:匚aTipalin_17:Oc:a7 (00:2fi:22:d7:0c:a7Source: Hing2hau_6a:la:05 (00:0f:e2:6iLie:05)T沖E: IP C0D800)j Internet Prorocal Version 4, Src: 10.0.

39、11.2 (), Dst: 11S.225.161.236 (11S.229.161.236) version: 4 Header length: 20 bytesfferentlaed services Field: OxQO (C5CP Q如0： Ceful：; KN; OKOO： NOT-CT (NCI ECN-capable Tran沖ortj) Total Length: 56 idanilficatlDn： Oxb3e6 (4C054) Flags: 0 x00 Frignent offset: Q Time IO Hv&: 252 Protocol: :CMP

40、(1) Header checksum: oxddoa correct Source: 10.&.11.2 (Destination: USH229.161.236 018229.la.236)j internet Corrtrnl Message ProtocDlType: 11 Crlttie-to-livecode: 0 CTIIHE to live & fLp (SYT SeqO Win-65535 Len=“.Kh.erner II, arc: Compal I n_d7: oc:a? (DO: 2: 2 2 s d7: &c: a?). DST: Hangzhou

41、_6a.: le: a 5 00 ： of: e?: 6a i la: B5 ) internet protocol verslDin J1, src: UBa 2291俎2H (11822?,.:16123：右) DST: 2G2了 (20238 97.197) j Transmission 匸口ntrol Ptnto匚Sfc PDrti netvlew-aix-6 (1666)5 Dst Port: ftp (21)K Seq： 0, Len: Source port: netview-an x-6 (1666)Destination port: ftp ?1)Stream Index:

42、49Sequence nutiber: 0 (relative sequence nimber)Heider Jangth: 32 byres000 B.U J a=ReservEd: Ncrt seta0* + *J a , a=Nonces Nat set0 0二Congestion Window Reduced (CWR): Not sex弋1 MECNEcho: NOT 5&T1.1Po.！.urgent: Nat sei0i. i.AcknawledgamenT: Not seiu ii E b亠lm push； wot set 亠亠.0=Reset: Nat setI- = syn

43、:,.0 - Fin: Not setwindow size valuer 65535calcullaied window size: 553 5 cihecksinQxbffs valIdalcn disabled opt Ionsi (12 byres)Source port:源端口号为 1666Destination port:目的端口号为 FTP 的 21 端口Sequenee number:相对确认号为0Header length:首部长度为32字节Flag:标志位（0 x02）.只设置了 SYN也就是位同步标志，表示请求 建立连接。Windows size value: 窗口大小为

44、 65535.Cheeksu m校验和是正确的。Options:选项是12字节可以看到是我（客户）向目标地址（服务器）发出的第一次握手, seq=0, SYN=1。服务器可以知道我的联机请求。第二次握手:服务器在收到请求后，发回确认（SYN+AQK-WORD格式 -可编辑-WlJllfifi? 202.30*7_197 110.2M.1&1TCP fifi ftp HF恂SnWTM-B GNP AF1C Sf；q = D Ack = l Vrfiil = 14fiDni.rame 4390: 66 hyces oni wire (52B b1rs)ip66 byres caprureiErhe

45、rneiL II,Src: Hang2hoLii_6ale85 COD tOf ie2 E6a Lie IBS) CST :mternex： Prot 口 弋口1 version 4 src： 2D2. 38. 97.197 C202u36u97ul97), D 丐 t： 11BB Z29.161u 236 (113-229 工61.23$)J Transmi ssi on Control Prutctcol 9 Src Port E ftp Cl Ost Port: netvi ew-ais-ft (16645a SEqs Q、 Ack: 1E Len; 0 Source pcirt ； f

46、tp (21)Destination portnetvlew-lx- (1656)si首*m Indix 0sequence nutiber: D (rElat:1iVE seqLiencB number JAckriDwledgefflenT number : 1 (rel ar1 ve ack nutiber)Header 1 engths 32 byr-eseMRe*servedl; Mot set.F.Nonce； r*ot setcwgesxlcin wi ridow Reduced (cwR)i-CL -EciN-Etho! hior &er4 t k j_ 1. j j匚Urge

47、nt . NOT set-丄 =Ack now! edgement: F. SeT a i*H li 0Push: Nut SEt ME 6Reet: h*ot set4 II- F I-丄f w rL 10 C心Flm HOT stxurl 仃dew si zevalue:14i00Calculated vrlndowsize- 14&0QJ Checksun! Qx373 validati an disabledGo口d Checlcsum: False Bad Checksum FalseOfrt(12 byt4K SEQ/ACK imlyslisT卜d岂 勺豈 an 创匚H： T：口

48、th芒SELjniE!仃I 1门 尸广吕咁占：粵孑日The RTT ro ACK rhe segment was: 0.00349000 secondsSource port:源端口号（服务器）为FTP的21 Desti nation port: 目的端口为（客户端）1666 Sequenee number:相对确认号为0Ack num=1:对所接受的段的确认Header length:首部长度为32字节Flag:标志位（0 x02）.Flag中，SYN认可连接。ACKACK表示对所接受的段的确认。Windows size value: 窗口大小为 65535.Checksu m校验和是正确的

49、。Options:选项是12字节第三次握手:客户向服务器发出的确认段。再向服务器发出第三次握手，可以看到 ACK=1，seq=1，ack=1工r-WORD格式 -可编辑-Destinatlon port； ftp (215Stream indexi 4SSequence ntrnberT 1 Crelative sequence nunberl) Ack nowll edgement ninber s 1 rel ative ack nunber 11 engthr 20 bytes 0 x10Header Flags: 000 BuOu u = u .0.- h h i. 0 -vail u

50、e J ndowReserved: Not setNonces Mot setCongestion Windew Reduced CcwR): Net set ECN-Echo: Not setUrgent: Not setAcknowledgement: SetPushi Not setReset 2 hJcrt setSynj Mot setFinj Mot sex65 535size 65535wi ndow si zeCalculatedvrlnduw size scall!ng factor J 1z CheckELMii 0 x44dB val 1 dax 1 on di sabl

51、 edGood CheckSLIHI FalssSad Check sun False J 雪EQ/ACK analysis!TFdw Is mri ACK 匸口 工卜旧 EEqmEnr I门 千匸-彳牺卫：The RTT to ACK xhe semeriT was 0.000040000 secondsDD00 0010DD2D003 D1351 101.036712 36 97 TCP 5J nrlViCW-alwE flp AKj 8(%)= 1 Aik= 1 Win=65535 Lvn.Frame 4391: 54 bytes on v

52、ire C432 bits3f 54 bytes captured C432 bits)Ethernet II. Src; CompalIn_d70c; a? 00;22;d7; 0c;P Dst; Hangzhou_6aile; 85 COD;Of;e2;6a;le; 85internet Protocol Version 4, 5rc; 118. 229.161236 CHS-229B161BDst 202.3S. 97.197 C202.3S. 97.1973冲 Transmi ssi on Control Protocol f Src Port; netvi ew-ai K-6 C16

53、665 f Dst Port: fp 匸2丄)F Seq; lh Ack: 1(. Len; 0 Source portr netvievr-aiK- C1S665Source port:源端口号为 1666Destination port:目的端口号为 FTP 的 21 端口Seque nee number:相对确认号为1Header length:首部长度为32字节Flag:标志位(0 x02).只设置了 ACK,表示已建立连接Windows size value: 窗口大小为 65535.Cheeksu m校验和是正确的。Options:选项是12字节粗暴方式拆除连接：用户直接与服务器断

54、开连接。(2)观察TCP建立连接的三次握手，数据通信和优雅方式拆除连接的流程 执行命令 ftp .en用户名输入anonymous口令输入ab执行成功后输入命令bye_b_b 6 6 d d2 2 0 0 9 92 2 5 5 6 6 4 4 ELEL 0 0 4 4 fBfB5f5f5 5 2 2 LlflLlfl 貉s s7 7 0 0 3 3 dosdos7 7 5 5 R-R- a a e e 1 1D D 7b7bCJCJ 3 3 4 4 c c 5 5DBalBdDBalBd0 0 2 2 1 1-c -a-WORD格式 -可编辑-TCP三次握手见（1）的描述

55、，在这里就不再重复讨论了。在三次握手建立好建立起连接后，以优雅方式拆除连接。TCP采用四次握手的方式拆除连接。首先我们向服务器发送一个 QUIT请求，然后开始4次握手。Bro*dcwn NetXtreme oabrt Ethernet Drlv&r (Mtarnsofts Pidket Schedulefji Wesfriark L.&.4 (5N Rev 35941 from /trunfe-.“！ LdfcS Rapture 加 dh1罐 tbstcs retefhen Lccte Intwnak HelpPiter:二| EgesacTL. OEATTireSourceC*Mfanjti

56、ani2OZ .307,197PTtAood Length nfoTCP2163 50-635211 202 . Ifi. S7157ZJ69 50-635551 11B.229-11.236110. 22.161,296右 dt苫 于上口 FM胡门E5535 LmnD ki!S14用66 ftp j dt& 5N, AZK seq-0 Ack -1n-14 600 Li2472 50.63901411B.229.1&1.23620Z.30.97.197TCP54 drs :- rp ACK 5ec=l Ack-63 Wi n = &54 73 Len-02B94 6J. 63600 11B.

57、229-16123697FTP70 RfiqueST : USER aridrlTn口Ui2895 60.65SQM203.30.97197118. 229.1U-.233TCP的 ftp dts ACK 5eq63 Ack17 WlnB-14624 LenlS511S.22.161,236鹫比北冲兀JTCP54 di *. ： ftp ACK ssq-17 nqk令7 wnrk-53236 30.97.197FTP可4 kc: PA55 iSd3113 6石.0L6B86202.3B.97.197ll&.229-Lei.23HFTPS3 FCP previous set

58、ienx losi Responset 230- tAilG ,6UM3LUdM.i凰沁弭沁、IB,fty,14TTCPa 1TCP Dup ACKdts Ftp ACK Seq-i? 3120 66.016963Z02.3E.97.197HE 2J9-161.236FTPf2P Out-Of-Order ftesp口门sm: 230-3121 5百.016933202.ia.97197116. 2 79.：LEl.：2d石FTP60 R&sporia-et 230-3122隔D1柄922Q230PW.197116.3-11.234FTPResporise： 23d- Only downloa

59、ding ipermitted3123 66. QI 700511B.229U161.2362O2.3B.97U197T亡P54 drs ftp A二c；. -ec-27 ACk-172 rtln-6536 Lens3124 6$B 0170172*0-2. 3e,ft7P17fl A.,2Tf.FTPTCP PrffWiqus 卩电护105t P.flpgn5#； 230 -*、3125 66-01702B11B.229-1&1.236202.36.97.-197TCP66 ITtZP Dup .4K： 31Z3+1 cks fx卩胚灯 5eq27 3126 66.0L7Q35202.3S.

60、 97.19736FTP60 TUP our-iDf-order Response: 230-3127 64. ftp ACKJ seq-?7 Aek-234 ww-65302 Len-3 J 61 73-M1357.IB. 229Plf-l.Z3j52.3S.57.197FTP&Q Request: ：362 73.U44153202.3B. 97.197L1B.2Z9-I61.23b1匚 F*60 ir匚F* previous se-neinT losil frp drs FIN *沖3 73-04419-120J, 387.197TCP備TCP Dup ACK