IP和TCP数据分组的捕获和解析

1、实验二：ip和tcp数据分组的捕获和解析1.实验类别协议分析型2.实验内容和实验目的本次实验内容：1）捕获在连接internet过程中产生的网络层分组：dhcp分组，arp分组，ip数据分组，icmp分组。2）分析各种分组的格式，说明各种分组在建立网络连接过程中的作用。3）分析ip数据分组分片的结构。通过本次实验了解计算机上网的工作过程，学习各种网络层分组的格式及其作用，理解长度大于1500字节ip数据组分片传输的结构。4）分析tcp建立连接，拆除连接和数据通信的流程。3.实验学时4学时。4.实验分组单独完成。5.实验设备环境1台装有windows xp 操作系统的pc机，要求能够连接到int

2、ernet，并安装wireshark软件。6.实验步骤6.1准备工作启动计算机，连接网络确保能够上网，安装wireshark软件。6.2 捕获dhcp报文并分析dhcp报文格式先介绍一下dhcp的报文格式，如图1op(1)htype(1)hlen(1)hops(1)transaction id(4)seconds(2)flags(2)ciaddr（4）yiaddr（4）siaddr（4）giaddr（4）chaddr（16）sname（64）file（128）options（variable）（图1 dhcp报文格式）op：若是client送给server的封包，设为1，反向为2；htype：

3、硬件类别，ethernet为1；hlen：硬件长度，ethernet为6；hops：若数据包需经过router传送，每站加1，若在同一网内，为0；transaction id：事务id，是个随机数，用于客户和服务器之间匹配请求和相应消息；seconds：由用户指定的时间，指开始地址获取和更新进行后的时间；flags：从0-15bits，最左一bit为1时表示server将以广播方式传送封包给 client，其余尚未使用；ciaddr：用户ip地址；yiaddr：客户ip地址；siaddr：用于bootstrap过程中的ip地址；giaddr：转发代理（网关）ip地址；chaddr：client

4、的硬件地址；sname：可选server的名称，以0x00结尾；file：启动文件名；options：，厂商标识，可选的参数字段如下图所示，在dos窗口执行命令ipconfig/release后，已经申请的ip地址被释放。再执行ipconfig/renew，在wireshark上就看到了dhcp的四次握手获得ip地址，缺省路由dns等参数的过程。现在来详细分析下这四次握手的过程。（1）第一次握手：客户端首先向网络以广播形式发送dhcp discover报文，目的是发现网络中存在的dhcp server，并请求给出回应。从图中可以看出dhcp discover数据包二层源mac地址为源端口mac

5、，目的mac为广播地址ff:ff:ff:ff:ff:ff. 三层源地址为。目的地址为广播地址55。端口 ：源端68，目的端 67。（2） 第二次握手：向client端提供ip地址。当 dhcp服务器监听到客户端发出的 dhcpdiscover 广播后，它会从那些还没有租出的地址池内，选择最前面的的空置 ip ，连同其它 tcp/ip 设定，回应给客户端一个 dhcpoffer 封包。由于客户端在开始的时候还没有 ip 位址，所以在其 dhcpdiscover 封包内会带有其 mac 位址信息，并且有一个 xid 编号来辨别该封包，dhcp服务器回应的 d

6、hcpoffer 封包则会根据这些资料传递给要求租约的客户。根据服务器端的设定，dhcpoffer 封包会包含一个租约期限的信息,当客户端到了这个期限,会释放出ip,进行相同步骤的再次申请.在dhcp offer包中我们可以获得以下的信息:信息类型为应答广播信息,客户端ip地址为.通过dhcp discover请求申请后,服务器端分配的ip地址为36dhcp服务器的 ip地址为.租约时间为4个小时.client ip address =()表示客户机还没有使用该地址your(client)ipaddres

7、s=36(36)表示dhcp server分配给该客户机的ip地址 next server ip address它标示了客户机下一次发出dhcp request报文时，哪个dhcp server会发出回应dhcp message typedhcp offer表示这是一个对dhcp discover的回应报文subnet mask=28表示分配的ip地址子网掩码为16位ip address lease time=4 hour 表示租期是4小时server identifier=表示服务器的 ip地

8、址为router=29表示它的路由网关是29domain name=""表示域名所有发送dhcp offer信息包的服务器将保留它们提供的一个ip地址。在该地址不再保留之前，该地址不能分配给其他的客户。(3) 第三次握手：用户发送dhcp request报文,客户以广播的方式发送dhcp request信息包作为响应。注意其中的dhcp message type一项中typerequest表示这是一个请求报文。 （4）第四次握手：第四阶段dhcp server回应dhcp ack报文, 该信息包是以单

9、播的方式发送的。当服务器接收到dhcp request信息包时，它以一个dhcp acknowledge信息作为响应，其内容同dhcpoffer类似。在该报文中可以获得以下信息:dhcp服务器端给出了domain name=”e”表示服务器的域名为”。现在观察arp和ping命令的执行过程。我们向40发送ping请求，发送的数据大小为32字节。默认情况下，只发送四个数据包 此时得到对方的4次回应。在给40发送4个数据包的过程当中，返回了4个，这48个数据包当中返回速度最快为1ms，最慢为7ms，平均速度为2ms 。下面看看的执行过程： 上图表

10、示的是apr的格式。先发送一个请求包：整个报文长度为字节，"who has 40?tell 36",即将本机的信息以及想要连接的ip进行广播。头6个字节是以太网目的地址 ff ff ff ff ff ff 这是一个广播地址，全网下的所有终端都能接受到。sender mac add 发送者的mac地址ip地址以及想要获得的ip地址都广播出去。接下来分析是应答的数据包。应答包长度为60个字节头6个字节是本地的mac地址接着的6个字节就是对方的mac地址，这样我们就知道了对方地址。加进缓存表。6.3分析数据分组的分片传输过程制作

11、大于8000字节的ip数据分组并发送，捕获后分析其分片传输的分组结构。使用windows中ping命令的-l选项，ping -l 8000 执行之后我们捕获了4个数据包：（默认情况下，只发送四个数据包）从4个分组中随便选取一个进行详细的分析：version：版本的信息是ipv4。所有的设备必要运行相同版本的ip协议，否则设备将会拒绝接收数据包。长度为4个字节。header length ip：报头长度为20字节 total length：总长度，表示整个数据包的长度。包括数据和报头。从该值中减去header length值的长度，得到的就是数据有效负荷的长度。

12、在我们分析的这个数据包中，总长度为56.identification：表示当前的数据包。在我们分析的这个数据包中,为0xb3e6（46054）fragment offset：重组分片为0。time to live：存活时间。计数器会按一定增量逐渐减少为0.当到0时，该数据包将被丢弃。protocol：icmp协议接收。header checksum（报头的校验和）：报头正确（correct）source：发送设备的ip地址为36。destination：接收设备的ip地址为。6.4分析tcp通信过程wireshark的filter项 填为tcp.

13、port=21 (仅观察ftp的tcp通信，ftp端口号为21)。捕获所有下面通信过程的tcp报文进行分析。（1）观察tcp建立连接的三次握手和粗暴方式拆除连接的流程。执行命令ftp 连接建立后直接按下ctrl-c中止程序运行。可以看出，我的ip地址为36,目的ip地址为97.现在来详细分析一下这3次握手过程。第一次握手：source port:源端口号为1666destination port:目的端口号为ftp的21端口sequence number:相对确认号为0header length:首部长度为32字节flag:标志位（0x02）.只

14、设置了syn，也就是位同步标志,表示请求建立连接。windows size value:窗口大小为65535.checksum;校验和是正确的。options:选项是12字节可以看到是我（客户）向目标地址（服务器）发出的第一次握手，seq=0，syn=1。服务器可以知道我的联机请求。 第二次握手：服务器在收到请求后，发回确认（syn+ack）。source port:源端口号（服务器）为ftp的21destination port:目的端口为（客户端）1666sequence number:相对确认号为0ack num=1:对所接受的段的确认header length:首部长度为32字节fla

15、g:标志位（0x02）.flag中，syn:认可连接。ack表示对所接受的段的确认。windows size value:窗口大小为65535.checksum;校验和是正确的。options:选项是12字节第三次握手：客户向服务器发出的确认段。再向服务器发出第三次握手，可以看到ack=1，seq=1，ack=1。source port:源端口号为1666destination port:目的端口号为ftp的21端口sequence number:相对确认号为1header length:首部长度为32字节flag:标志位（0x02）.只设置了ack，表示已建立连接。windows size value:窗口大小为65535.checksum;校验和是正确的。options:选项是12字节粗暴方式拆除连接：用户直接与服务器断开连接。（2） 观察tcp建立连接的三次握手，数据通信和优雅方式拆除连接的流程。执行命令ftp 用户名输入anonymous口令输入ab执行成功后输入命令byetcp三次握