网络层数据分组捕获和解析

(圆满word版)网络层数据分组捕捉和分析(圆满word版)网络层数据分组捕捉和分析(圆满word版)网络层数据分组捕捉和分析实验二：网络层数据分组的捕捉和分析1.实验种类协议分析型2.实验内容和实验目的本次实验内容：1〕捕捉在连结Internet过程中产生的网络层分组：DHCP分组，ARP分组，IP数据分组，ICMP分组。2〕分析各样分组的格式，说明各样分组在成立网络连结过程中的作用。3〕分析IP数据分组分片的构造。经过本次实验认识计算机上网的工作过程，

学习各样网络层分组的格式及其作用，

理解长度大于1500字节IP数据组分片传输的构造。3.实验设施环境WindowsXP操作系统的pc机，连结到Internet，使用WireShark软件。4.实验步骤4.1准备工作启动计算机，连结网络保证能够上网。。4.2捕捉和分析网络层分组开启监控，连结网络。一段时间后查察捕捉的分组。分析各样分组的格式以及在上网过程中所起的作用。4.3-1发送ICMP分组，捕捉并分析格式ICMP是〔InternetControlMessageProtocol

〕Internet

控制报文协议。它是

TCP/IP

协议族的一个子协议，用于在IP主机、路由器之间传达控制信息。控制信息是指网络通不通、主机能否可达、路由能否可用等网络自己的信息。这些控制信息固然其实不传输用户数据，于用户数据的传达起重视要的作用。

可是对0100为协议种类：4.0101为首部长度：5*4=20字节00000000为效力种类。0000000000111100为总长度：60〔20个头部，40个数据〕0000100010101101为表记：0*08ad〔2221〕000为标记位MF=0DF=00000000000000为片偏移：offest=010000000为生计时间：12800000001为协议：ICMP〔1〕0000000000000000为首部校验和：0011101101110010110000001000010110为源地点：01110111010010111101010100110011为目标地点：00001000为ICMP报文的种类：800000000为code：00100110011001101为校验和：0x4ccd今后边的32为与ICMP的种类相关在后边的为数据局部。此ICMP为回送恳求与回送回复报文发送ARP分组，捕捉并分析格式ARP，即地点分析协议，实现经过IP地点得悉其物理地点。在TCP/IP网络环境下，每个主机都分派了一个32位的IP地点，这类互联网地点是在网际范围表记主机的一种逻辑地点。为了让报文在物理网路上传达，必然知道对方目的主机的物理地点。这样就存在把IP地点变换成物理地点的地点变换问题。以以太网环境为例，为了正确地向目的主机传达报文，必然把目的主机的32位IP地点变换成为48位以太网的地点。这就需要在互连层有一组效力将IP地点变换为相应物理地点，这组协议就是ARP协议。ARP包：本机希望知道ip为118.229.130.1主机的物理地点，假如本机的ARP缓存表中没有目标IP地点，那么本机将会发送一个播放本机MAC地点是“00：26：18：fd：f8：12〞，这表示向同一网段内的所有主机发出这样的咨询：“我是118.229.130.1，我的硬件地点是"00：26：18：fd：f8：12".请问IP地点为192.168.1.1的MAC地点是什么？〞网络上其余主机其实不响应ARP咨询，只有目标主机接收到这个帧时，才向本机做出这样的回应：“的MAC地点是xx-xx-xx-xx-xx-xx〞。这样，本机就知道了目标主机的MAC地点，它就能够向目标主机发送信息了。还同时都更新了自己〔本机与目标的〕的ARP缓存表〔因为本机在咨询的时候把自己的IP和MAC地点一同告诉了目标主机〕，下次本机再向目标主机也许目标主机向本机发送信息时，直接从各自的ARP缓存表里查找就能够了。发送DHCP分组，捕捉并分析格式DHCP动向主机设置协议〔DynamicHostConfigurationProtocol〕是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络效力供应商自动分派IP地点给用户给内部网络管理员作为对所有计算机作中央管理的手段。第一开释目前的IP地点，此后再从头获得IP地点。此后向网络发出一个DHCPDISCOVER封包。封包的根源地点会为，而目的地点那么为255.255.255.255，此后再附上DHCPdiscover的信息，向网络进行播放。当DHCP效力器监听到客户端发出的DHCPdiscover播放后，它会从那些还没有租出的地点范围内，选择最前面的空置IP，连同其余TCP/IP设定，响应给客户端一个DHCPOFFER封包。因为客户端在开始的时候还没有IP地点，因此在其DHCPdiscover封包内会带有其MAC地点信息，并且有一个XID编号来划分该封包，DHCP效力器响应的DHCPoffer封包那么会依据这些资料传达给要求租约的客户。依据效力器端的设定，DHCPoffer封包会包含一个租约限时的信息。假如客户端收到网络上多台DHCP效力器的响应，只会精选此中一个DHCPoffer而已(平常是最初到达的那个)，并且会向网络发送一个DHCPrequest播放封包，告诉所有DHCP效力器它将指定接受哪一台效力器供应的IP地点。同时，客户端还会向网络发送一个ARP封包，查问网络上边有没有其余机器使用该IP地点；假如发现该IP已经被占用，客户端那么会送出一个DHCPDECLIENT封包给DHCP效力器，拒绝接受其DHCPoffer，并从头发送DHCPdiscover信息。当DHCP效力器接收到客户端的DHCPrequest今后，会向客户端发出一个DHCPACK响应，以确认IP租约的正式奏效，也就结束了一个圆满的DHCP工作过程。假定向来得不到响应的状况下，客户端一共会有四次DHCPdiscover播放(包含第一次在内)，除了第一次会等候1秒以外，其余三次的等候时间分别是9、13、16秒。假如都没有得到DHCP效力器的响应，客户端那么会显示错误信息，宣布DHCPdiscover的失败。今后，鉴于使用者的选择，系统会连续在5分钟今后再重复一次DHCPdiscover的过程。发送IP数据分组，捕捉并分析格式IP数据分组：发送一个8000字节的包经过6片就行分组传输。供1500个字节id为0x3a51(14929)标记位为001：最低位为MF=1：后边还有分片中间位为DF=0：赞成分片在后边包含源地点与目标地点。〔前面已有分析，此处不再复述〕IP协议头部后边是传输层的数据包含头部和数据局部，在此不再分析。数据的长度为1472.此后分析第二片能够得出，offset==1480，是因为前一片从传输层获得了1480的数据加上个字节的头部信息最后在网络层形成了1500字节的包，此后此处的1480是传输层数据的断点。能够得出offset=1480*(N-1)N为第几片。因为后边还有片因此MF=1DF=0。同理分析2345片都拥有同样数据。来分析下最后一片：

20能够看出MF=0DF=0。说明这是最后一个分片。并且只有628个字节的长度，表示所剩的数据的所有。加上前面五个片的数据共有8000字节。此后分析下一数据包能够得出此中的表记发生了变化，来与前一个数据包加以差别。其余的头部局部与前面ICMP协议的时候同样。实验心得经过此次实验，关于各个协议有了很深的认识，特别是关于网络层上的几个协议，如DHCP分组，ARP分组，IP数据分组，ICMP分组。关于每种分组的详尽分析，已经对几个分组的内部构造与原理有了必然程度的认知，把讲堂上讲到的知识应用于实践之中。在此次实验中同样碰到了好多的问题，先是wireshark软件的使用，因为是首次使用，好多指令与方法都不能好多的认识，可是经过实验指导书与软件自带的指导手册，关于软件的使用方法及软件的作用有了必然的认识。还有就是关于抓包，刚开始比较乱，不可以够对抓包这个见解有很好的理解，可是逐渐的分析了一些包今后，发现了此中的构造构成及内在的作用，仍是发现学习了好多。并且能将讲堂上讲的协议在实践中很好的表达出来，仍是利润匪浅的。接着就是关于抓包的分析过程，发此刻ip协议头部的前面还有好多的数据，刚开始的时候误以为ip协议的头部。发现不合理，此后经过软件的自带的分析，发现不是ip协议的头部，个人以为可能是在数据链路层上头部包含本机的mac地点与对方的mac地点。并且在此次实验的抓包中发现了一些现象，比方你在进行语音也许视频的通讯，在抓包的过程中UDP包就显的特其余多，可以得出视频与语音通讯采纳的是不可以靠连结的效力。在去掉了ip协议的头部今后后边随着的是传输层上的数据，