南邮2015IP实验报告

1、 通信与信息工程学院2015 / 2016 学年第 一 学期实 验 报 告课程名称： IP网络技术基础（英） 实验名称： 实验一：实验工具软件介绍 实验二：以太网实验 实验三：TCP/IP协议分析实验 班 级 学 号 B13011413 学 生 姓 名 陈超 指 导 教 师 刘启发 实验一：实验工具软件介绍一、 实验目的和要求：1、 通过该实验能掌握常用网络工具的使用，为后面的实验做准备。2、 能够利用这些工具了解网络的运行状态。二、 实验环境：1、采用方案一进行试验，学生每人微机一台和一个虚拟机编号，安装光盘中的/book/tools目录下的虚拟机和软件工具，再次利用VMware运行光盘系统

2、并按照虚拟机编号选择IP地址，另外教师可利用随书光盘系统架设被观测网络（三物理机或三虚拟机，使用备用地址）。2、实验设计软件的列表如下：被动式工具：NetXray,Netmonitor,WinPcap/Ethereal,tcpdump主动式工具：ping，route, traceroute，nslookup, iperf，SNMP_utils，trapwatcher。综合工具：solarwinds, IPSwitch。其中tcpdump、ping、route、traceroute、nslookup、SNMP_utils几个软件在随书光盘系统中已经安装好了，无需额外安装。请注意NetXray、N

3、etmonitor、solarwinds和IPSwitch有版权问题。三、 实验原理：通过被动工具，获得并分析数据包；通过主动工具发现网络问题(可以手工制造)；通过强大的综合工具对网络进行分析。四、 实验步骤：(包含结果分析)1、 软件安装：安装各种工具软件安装各种供测试的应用软件。2、 实验环节：被动工具windows：Ethereal；主动工具windows：ping，ipconfig, tracert，iperf，trapwatcher.五、 实验心得：此次实验主要是对主动及被动工具的熟悉与使用，包括工具软件Ethereal及windows运行的各种主动工具，利用这些常用的网络工具进行数

4、据包的抓取与分析，从而了解网络的运行状态。通过此次实验，直观且深刻地了解到数据包的抓取方法与流程，更重要的是熟悉了一系列常用网络工具，不仅仅为后续实验打下基础，更是为我们对互联网的学习提供了很有利的帮助，实验的内容亦结合课本所学理论，获益匪浅。实验二：以太网实验一、 实验目的和要求：1、通过该实验能加深对以太网的认识，特别是其封装格式。2、通过该实验能加深对ARP协议的认识。二、 实验环境：1、准备用作服务器的微机一台（使用随书光盘系统构建，手工配置成原网段的IP），学生每人微机一台，在windows环境下即可完成本实验，无需使用VMware。2、软件：WinPcap，Ethereal。三、

5、实验原理：通过抓包软件ethereal获得一些以太网数据包，并对其进行分析，从包的格式来认识以太网协议。四、 实验步骤：(包含结果分析)1.1软件安装1.1.1安装WinPcap软件。1.1.2安装Ethereal软件。1.1.3在随书光盘系统构建的服务器上打开服务（由老师完成）。2.1 抓MAC包2.1.1 启动Ethereal软件。2.1.2 点击Capture菜单。2.1.3 选Start菜单。（注：本弹出窗口里有Filter即过滤器输入框，在后面的试验里需要填写过滤器。）2.1.4 在弹出窗口里点击OK开始抓包（后面将2.1.1至2.1.4合称为开始抓包）。2.1.5 在弹出窗口里看到

6、total数据发生变化则点击Stop，结束抓包。2.1.6 分析所抓的数据包。所抓数据包截图如下：2.1.7分析内容：1、 数据报里的Destination，Source等字段。2、 不同的MAC包字段不一样，有Type，Length，Trailer等字段。3 、在第三个窗口可以看到对应字段的16进制数字以及在整个包中的位置。图11.2 数据帧、数据报的封装格式如下图所示，我们选取2号帧作为代表分别分析相应的数据：（1）由上图总览，可知数据帧的相关信息：此帧的编号为2；获取时间为0.383444；源地址为40；目的地址为0；高层协议为TCP；包内

7、信息概况为：源端口为6950，目标端口为1212。（2）物理层的数据帧概况：（将部分数据放大如下图所示）从上图中可以看出：2号帧，线路上有60字节，实际捕获60字节；捕获时间为2015年12月1日15 : 49 : 22，此包与前一捕获数据包的时间间隔为0.383444000秒，与第一帧的时间间隔为0.383444000秒；帧号为2，帧长为60字节，捕获长度为60字节，此帧没有被标记且没有被忽略，帧内封装的协议结构为TCP数据协议。（3）数据链路层以太网帧头部信息（将部分数据放大如下图所示）从上图可以看出，此包为以太网协议版本2，源地址为40，其网卡地址为00:22:1

8、9:a5:d3:d4；目标地址为0，网卡地址为c0:3f:d5:b3:89:c9。帧内封装的上层协议类型为IP，十六进制代码为0800。Trailer为0000000000。（4）互联网层IP包头部信息（将部分数据放大如下图所示）从上图可以看出，互联网协议IPv4，源地址为40，目标地址为0，IP包头部长度为20字节；差分服务字段为0x00 (DSCP 0x00 : Default; ECN : 0x00)，表示一个特定的上层协议所分配的重要级别，默认的DSCP值是0，相当于尽力传送，ECN字段被分为ECN-Capable

9、 Transport (ECT) bit和CE bit，ECT bit设置为“ 0 ”表明该传输协议将忽略ignore CE bit，CE bit将由路由器设置，设置为0说明对末端节点不挤塞；IP包的总长度为41字节，标志字段为32964，标记字段为0x86c4，没有分片（Dont Fragment），分片的偏移量为0，生存期为128，当减少为0时，该数据包将被丢弃以保证数据包不会无限制的循环，上层协议为TCP，报头的检验和显示为正确correct。（5）TCP协议信息（将部分数据放大如下图所示）从上图可以看出，用户数据包协议的源端口为6950，目标端口为1212，序号为0，ACK序号为0，首

10、部长度为20字节，标志字段0x0010，窗口大小65535 ，报头的检验和显示为正确correct。（6） 对应十六进制代码（将部分数据放大如下图所示）2.2 抓ARP包2.2.1 点击开始菜单里的运行。2.2.2 输入cmd命令（如果是windwos98则输入command命令）并运行。2.2.3 输入arp d *命令并运行。（在后面将2.2.1至2.2.3合称为在命令窗运行××命令。）运行此命令截图如下：2.2.4 填写过滤器 arp and （(dst 本机IP and src 目的IP) or （src 本机IP and dst 目的IP) 开始抓包（本报告中目的

11、IP均指服务器的IP，由老师给出）。2.2.5 运行ping 目的IP，完成后点击STOP停止抓包。首先我们需要知道本机的 IP 地址，在命令提示符下输入 ipconfig命令，运行此命令结果如下：本机的 IP 地址为 0，子网掩码为 ，默认网关为54。在命令提示符下输入 ping54，显示能够 ping 通，如下图：回到Ethereal界面，按下stop键，抓包如下：2.2.6 分析所抓的数据包。1.能看到本机IP发出的ARP请求和目的IP发出的ARP应答。2.注意帧首部，ARP是直接封装在MA

12、C包中的。3.注意ARP报文的各个字段内容及意义。如下图所示，我们选取44号帧作为代表分别分析相应的数据：（1）由上图总览，可知数据帧的相关信息：此帧的编号为44； 获取时间为0.484173000； 源地址2； 目的地址为Broadcast； 高层协议为ARP； 包内信息概况为：谁有IP地址为54主机的mac地址的话，请告诉IP地址为2的主机（2）物理层的数据帧概况：（将部分数据放大如下图所示）从上图可知，该物理帧为44号帧，线路上有60字节，实际捕获60字节，捕获时间为2015年12月1日16:54:09，此包与前一捕

13、获帧的时间间隔为0.484173000秒，与第一帧的时间间隔为4.148297000秒，帧号为44，帧长为60字节，捕获长度为60字节，此帧没有被标记且没有被忽略，帧内封装的协议结构为ARP数据协议，用不同颜色染色标记的协议名为ARP，染色显示规则字符串为arp。（3）数据链路层以太网帧头部信息（将部分数据放大如下图所示）从上图可知，此包为以太网协议版本2，源地址为2，其网卡地址为00:10:5c:cc:58:a0；目标地址为广播地址，其网卡地址为ff : ff : ff : ff : ff : ff。帧内封装的上层协议类型为ARP，十六进制代码为0806。（4）ARP

14、请求报文信息（将部分数据放大如下图所示） 由上图可知，ARP硬件类型是以太网(0x0001)，硬件地址长度是6个字节；协议类型是IP协议，协议地址长度是4个字节；操作类型是0x0001(ARP请求)；发送方的硬件地址是2（c0:3f:d5:b3:98:20），发送方的协议地址是2（2），目的硬件地址是00 : 00 : 00_00 : 00 : 00(00 : 00 : 00 : 00 : 00 : 00)，目的协议地址是54（54）。（5） 对应十六进制代码（将部分数据放大

15、如下图所示）三、 实验心得：此次实验的内容主要是运用实验一中所熟练使用的常用网络工具进行数据包的抓取与分析，与计算机网络理论课息息相关，通过Ethereal软件对数据包的捕获与我们通过数据包对其格式的分析与研究，更加直观且清晰地了解到网络传输协议的分层与格式要求，是对所学知识的极大巩固与深化。实验三：TCP/IP协议分析实验一、 实验目的和要求：1. 通过该实验能加深对TCP/IP协议的认识，特别是其封装格式。2. 通过该实验能加深对ICMP协议的认识。4. 通过该实验能加深对TCP协议的认识。5. 通过该实验能加深对UDP协议的认识。6. 通过该实验能加深对应用层协议Http、Ftp、Tel

16、net等的认识。二、 实验环境：1. 用作服务器的微机一台（使用随书光盘系统构建，手工配置成原网络的IP），学生每人微机一台，在windows环境下即可完成本实验，无需使用VMware。2. 软件：WinPcap，Ethereal，QQ。三、 实验原理：通过抓包软件ethereal获得一些数据包，并对其进行分析，从包的格式来认识TCP/IP协议。本实验抓取的数据包包括对应于Http、Telnet、Ftp、TCP、UDP、IP、ARP协议的数据包以及MAC包。四、 实验步骤：(包含结果分析)1、 软件安装1.1 安装WinPcap软件。1.2 安装Ethereal软件。1.3 在随书光盘系统构建

17、的服务器上打开Http、Telnet、Ftp等服务，安装并使用QQ。2、 实验环节2.1 抓IP包2.1.1 填写过滤器 IP；开始抓包。2.1.2 运行ping 目的IP命令，完成后点STOP停止抓包。命令：ping 40 ，显示能够ping通。2.1.3 分析所抓的数据包。2.1.4 分析内容：IP包中的各个字段。图11.3 IP数据报的数据格式 16位标识用来标识惟一的IP包，每发一个，该值加1。 当把一个IP包分片时，就可以用3位标志和13位片偏移重组。各个片的16位标识是一样的。如下图所示，我们选取1号帧作为代表分别分析相应的数据：（1）由上图总览，可知数据帧

18、的相关信息：此帧的编号为1； 获取时间为0.000000000； 源地址4； 目的地址为40； 高层协议为IP； （2）物理层的数据帧概况（将部分数据放大如下图所示）从图中可以看出：1号帧，线路上有55字节，实际捕获55字节，捕获时间为2015年12月8日15 : 56 : 23，此包与前一捕获帧的时间间隔为0.000000000秒，与第一帧的时间间隔为0.000000000秒，此帧没有被标记且没有被忽略，帧内封装的协议结构为IP数据协议，用不同颜色染色标记的协议名为IP，染色显示规则字符串为ip。（3） 数据链路层以太网帧头部信息（将部分数据放

19、大如下图所示）从上图可知，此包为以太网协议版本2，源地址为c0:3f:d5:b3:96:c5，目标地址为00:22:19:a5:d3:d4，帧内封装的上层协议类型为IP，十六进制代码为0800。 （4）互联网层IP包头部信息（将部分数据放大如下图所示）由上图，互联网协议IPv4，源地址为4，目标地址为40，IP包头部长度为20字节，差分服务字段为0x00 (DSCP 0x00 : Default; ECN : 0x00)，表示一个特定的上层协议所分配的重要级别，默认的DSCP值是0，相当于尽力传送，ECN字段被分为ECN-Capable Tran

20、sport (ECT) bit和CE bit，ECT bit设置为“ 0 ”表明该传输协议将忽略ignore CE bit，CE bit将由路由器设置，设置为0说明对末端节点不挤塞，IP包的总长度为41字节，标志字段为11302，标记字段为0x2c26，没有分片，分片的偏移量为0，生存期为64，当减少为0时，该数据包将被丢弃以保证数据包不会无限制的循环，上层协议为IP，报头的检验和显示为正确correct。（5）对应十六进制代码（将部分数据放大如下图所示）2.2 抓ICMP包2.2.1 填写过滤器ICMP and (dst 本机IP and src 目的IP) or (src 本机IP and

21、 dst 目的IP)，开始抓包。2.2.2 运行 tracert目的IP2 命令，完成后停止抓包。运行命令截取如下：所抓数据包截取如下：2.2.3 分析所抓的数据包。2.2.4 分析内容： 1.ICMP报文是封装在IP报文内的。 2.第一个抓包能得到TTL过期（类型11）的报文。 3. 第二个抓包能得到ICMP请求（类型8）和ICMP应答（类型0）的报文。代码端均为0。 4.注意以上报文的对应字段。5. 请求和应答紧跟的是16位标识符、16位序号、可选数据部分。 6. TTL过期报文的类型是11，代码字段为 0，紧跟的是32为全0、IP首部IP数据部分。图11.4 ICMP报文的数据格式 如下

22、图所示，我们选取435号帧作为代表分别分析相应的数据：（1）由上图总览，可知数据帧的相关信息：此帧的编号为435； 获取时间为14.148271； 源地址4； 目的地址为4； 高层协议为ICMP； （2）物理层的数据帧概况：1号帧，线路上有106字节，实际捕获106字节，捕获时间为2015年12月8日14 : 13 : 23，此包与前一捕获帧的时间间隔为14.148271000秒，与第一帧的时间间隔为14.148271000秒，此帧没有被标记且没有被忽略，帧内封装的协议结构为ICMP数据协议，用不同颜色染色标记的协议名为ICMP，染色显示规则字符

23、串为icmp。（3） 数据链路层以太网帧头部信息：此包为以太网协议版本2，源地址为00 : 10 : 5c : cc : 3c : 12，目标地址为00 : 10 : 5c : cc : 52 : 07，帧内封装的上层协议类型为ICMP，十六进制代码为0800。 （4）互联网层IP包头部信息（将部分数据放大如下图所示）由上图，互联网协议IPv4，源地址为4，目标地址为4，IP包头部长度为20字节，差分服务字段为0x00 (DSCP 0x00 : Default; ECN : 0x00)，表示一个特定的上层协议所分配的重要级别，默认的DSCP值是0

24、，相当于尽力传送，ECN字段被分为ECN-Capable Transport (ECT) bit和CE bit，ECT bit设置为“ 0 ”表明该传输协议将忽略ignore CE bit，CE bit将由路由器设置，设置为0说明对末端节点不挤塞，IP包的总长度为92字节，标志字段为19445，标记字段为0x4bf5，没有分片，分片的偏移量为0，生存期为1，当减少为0时，该数据包将被丢弃以保证数据包不会无限制的循环，上层协议为ICMP，报头的检验和显示为正确correct。（5）对应十六进制代码（将部分数据放大如下图所示）（6）第二个抓包能得到ICMP请求（类型8）和ICMP应答（类型0）的报

25、文。ICMP报文字段信息分析（将部分数据放大如下图所示）所抓类型8截取如下：从上图可知，数据包类型为8，表示ICMP回应请求报文，代码段为0，检验和显示为正确correct，数据部分共64字节。所抓类型0截取如下：从上图可知，数据包类型为0，表示ICMP回应应答报文，代码段为0，检验和显示为正确correct，数据部分共64字节。2.3 抓TCP包2.3.1 填写过滤器 tcp and (dst 本机IP and src 目的IP) or (src 本机IP and dst 目的IP)，开始抓包。2.3.2 运行 telnet 目的IP命令，登陆telnet后退出，完成后点STOP停止抓包。2

26、.3.3 分析所抓的数据包。所抓数据包截取如下：2.3.4 分析内容： 1. TCP报文是封装在IP报文内部。2.TCP报文的各个字段。图11.5 TCP分组的封装格式 3TCP建立一个连接采用3次握手机制，注意这3个TCP包的发送序列号和接收序列号字段。 4 . TCP关闭一个连接采用4次握手机制，注意这4个TCP包的发送序列号和接收序列号字段。图10.6 TCP的握手过程如下图所示，我们选取147号帧作为代表分别分析相应的数据：（1）由上图总览，可知数据帧的相关信息：此帧的编号为147； 源地址为4； 目的地址为18； 高层协议为TCP； （

27、2）物理层的数据帧概况：该帧147号帧，线路上有66字节，实际捕获66字节，此帧没有被标记且没有被忽略，帧内封装的协议结构为TCP数据协议，用不同颜色染色标记的协议名为TCP，染色显示规则字符串为tcp。（3） 数据链路层以太网帧头部信息：此包为以太网协议版本2，源地址为c0:3f:d5:b3:96:c5，目标地址为00:00:5e:00:01:01，帧内封装的上层协议类型为TCP，十六进制代码为0800。 （4）互联网层IP包头部信息：互联网协议IPv4，源地址为4，目标地址为18，IP包头部长度为20字节；差分服务字段为0x00 (DSCP

28、0x00 : Default; ECN : 0x00)，表示一个特定的上层协议所分配的重要级别，默认的DSCP值是0，相当于尽力传送，ECN字段被分为ECN-Capable Transport (ECT) bit和CE bit，ECT bit设置为“ 0 ”表明该传输协议将忽略ignore CE bit，CE bit将由路由器设置，设置为0说明对末端节点不挤塞；IP包的总长度为41字节，标志字段为32964，标记字段为0x86c4，没有分片（Dont Fragment），分片的偏移量为0，生存期为128，当减少为0时，该数据包将被丢弃以保证数据包不会无限制的循环，上层协议为TCP，报头的检验和

29、显示为正确correct。（5）传输协议信息报文（将部分数据放大如下图所示）此帧源端口4844，目的端口80，序号为0，首部长度32字节，窗口大小65535，校验和为正确correct，12字节选项字段。（6）对应十六进制代码（将部分数据放大如下图所示）（7）TCP建立一个连接采用3次握手机制，注意这3个TCP包的发送序列号和接收序列号字段。（相应过程截取如下）第一步，4向40发起连接请求，发送一个SYN段，源端口为6950，目的端口为1394，通告自己的初始序号（ISN，由协议栈 随机产生的一个32位数），设置确认序号为0(因为还没有收到过对端

30、的数据)，通告自己的滑动窗口大小为65535，窗口扩大因子为2(在首部选项中)，通告最大报文段长度为1460(本地局域网)；第二步，40收到请求包，检查标志位，发现SYN=1，认为这是一个初始化连接的请求，回应这个SYN，同时也发送自己的SYN段(即 ACK,SYN同时置位)。因为SYN本身要占用一个序号（还有标志FIN也要占用一个序号）。所以，确认序号设置为的ISN加1 (即期望收到来自的下一个包的第一个序号为0x8c6c。同时也要通告自己的初始序号，滑动窗口大小，窗口扩大因子，最大报文段长度等第三步，

31、4对来自40的SYN段进行确认，至此，TCP三次握手协议完成，连接建立，在4收 到SYN段时，将自己对应的socket的状态由TCP_SYN_SENT改为TCP_ESTABLISHED，进入连接建立状态。2.4 抓UDP包2.4.1 填写过滤器 udp and (dst or src 目的IP),开始抓包。2.4.2 启动QQ，并发送消息，完成后停止抓包。2.4.3 分析所抓的UDP数据包。所抓数据包如下：如上图所示，我们选取69号帧作为代表分别分析相应的数据：（1）由上图总览，可知数据帧的相关信息：此帧的编号为69； 源

32、地址为4； 目的地址为73； 高层协议为UDP； （2）物理层的数据帧概况：该帧69号帧，线路上有89字节，实际捕获89字节，此帧没有被标记且没有被忽略，帧内封装的协议结构为UDP数据协议，用不同颜色染色标记的协议名为UDP，染色显示规则字符串为udp。（3） 数据链路层以太网帧头部信息：此包为以太网协议版本2，源地址为c0:3f:d5:b3:96:c5，目标地址为00:00:5e:00:01:01，帧内封装的上层协议类型为UDP，十六进制代码为0800。 （4）互联网层IP包头部信息：互联网协议IPv4，源地址为4，目标

33、地址为73，efault; ECN : 0x00)，表示一个特定的上层协议所分配的重要级别，默认的DSCP值是0，相当于尽力传送，ECN字段被分为ECN-Capable Transport (ECT) bit和CE bit，ECT bit设置为“ 0 ”表明该传输协议将忽略ignore CE bit，CE bit将由路由器设置，设置为0说明对末端节点不挤塞；没有分片（Dont Fragment），分片的偏移量为0，生存期为128，当减少为0时，该数据包将被丢弃以保证数据包不会无限制的循环，上层协议为UDP，报头的检验和显示为正确correct。（5）传输协议信息报文（将

34、部分数据放大如下图所示）此帧源端口4007，目的端口8000，长度55字节，校验和为正确correct，数据字段共47字节。（6）对应十六进制代码（将部分数据放大如下图所示）2.5 抓Http包2.5.1 填写过滤器 tcp and (dst 本机IP and src 目的IP) or (src 本机IP and dst 目的IP),开始抓包。2.5.2 在IE里打开一个网页，或输入目的IP打开服务器提供的网页。完成后停止抓包。2.5.3 分析所抓的数据包。所抓数据包如下：如上图所示，我们选取49号帧作为代表分别分析相应的数据：（1）由上图总览，可知数据帧的相关信息：此帧的编号为49； 源地址

35、为4； 目的地址为 30； 高层协议为HTTP； （2）物理层的数据帧概况：该帧49号帧，线路上有446字节，实际捕获446字节，此帧没有被标记且没有被忽略，帧内封装的协议结构为HTTP数据协议，用不同颜色染色标记的协议名为HTTP，染色显示规则字符串为http。（3） 数据链路层以太网帧头部信息：此包为以太网协议版本2，源地址为c0:3f:d5:b3:96:c5，目标地址为00:00:5e:00:01:01，帧内封装的上层协议类型为HTTP，十六进制代码为0800。 （4）互联网层IP包头部信息：互联网协议IPv4，源地址为4，目标地址为30，efault; ECN : 0x00)，表