计算机网络实验八

计算机网络实验指导书昆明理工大学信自学院

实验八：计算机网络协议分析实验一、实验目的：了解各种协议的格式与工作机制，学习使用Wireshaek协议分析工具。通过eNSP抓包工具，分析所获取报文的内容。二、实验原理：1.TCP协议151616位目的端口号W位鞭端口号32位序号媚位确认序号16位.检验■和保留便位）151616位目的端口号W位鞭端口号32位序号媚位确认序号16位.检验■和保留便位）16位前口大小16位.紧急指衬通讯的双方由IP地址和端口号标识。32位序号、32位确认序号、窗口大小。4位首部长度和IP协议头类似，表示TCP协议头的长度，以4字节为单位，因此TCP协议头最长可以是4x15=60字节，如果没有选项字段，TCP协议头最短20字节。URG、ACK、PSH、RST、SYN、FIN是六个控制位。16位检

验和将TCP协议头和数据都计算在内。2.UDP协议|16位源端口号16位目的端口号16位。DP长度述位UDP输验和015168字节数据（如果有）3.IP协议01516314位版本4位计部长度8位服务类型（TOS）16位总长度〔字节数）新字节1G位标识3位标志13位片偏移8位生存时间（TTL）8位协议L6位首部检验和32位源IP地址32位目的IP地址}选项（如果有）』7数据IP数据报的首部长度和数据长度都是可变长的，但总是4字节的整数倍。对于IPv4，4位版本字段是4。4位首部长度的数值是以4字节为单位的，最小值为5,也就是说首部长度最小是4x5=20字节，也就是不带任何选项的IP首部，4位能表示的最大值是15,就是说首部长度最大是60字节。8位TOS字段有3个位用来指定IP数据报的优先级（目前已经废弃不用）还有4个位表示可选的服务类型（最小延迟、最大吞吐量、最大可靠性、最小成本），还有一个位总是0。总长度是整个数据报的字节数。每传一个IP数据报，16位的标识加1,可用于分片和重新组装数据报。3位标志和13位片偏移用于分片。TTL（Timetolive）是这样用的：源主机为数据包设定一个生存时间，比如64,每过一个路由器就把该值减1,如果减到0就表示路由已经太长了仍然找不到目的主机的网络，就丢弃该包，因此这个生存时间的单位不是秒，而是跳（hop）。协议字段指示上层协议是TCP、UDP、ICMP还是IGMP。然后是校验和，只校验IP首部，数据的校验由更高层协议负责。IPv4的IP地址长度为32位。4.ICMP报文类型ICMP全称InternetControlMessageProtocol（网际控制信息协议）。当某个网关发现传输错误时，立即向信源主机发送ICMP报文，报告出错信息，让信源主机采取相应处理措施，它是一种差错和控制报文协议，不仅用于传输差错报文，还传输控制报文。下面是两种常见的ICMP报文：1）响应请求我们日常使用最多的ping，就是响应请求（Type=8）和应答（Type=0），一台主机向一个节点发送一个Type=8的ICMP报文，如果途中没有异常（例如被路由器丢弃、目标不回应ICMP或传输失败），则目标返回Type=0的ICMP报文，说明这台主机存在，更详细的tracert通过计算ICMP报文通过的节点来确定主机与目标之间的网络距离。回送请求和回答类型：8或0代码：0检验和序号标识符由请求报文发送；由回答报文重复序号2）目标不可到达、源抑制和超时报文这三种报文的格式是一样的，目标不可到达报文（Type=3）在路由器或主机不能传递数据报时使用，例如我们要连接对方一个不存在的系统端口（端口号小于1024）时，将返回Type=3、Code=3的ICMP报文，常见的不可到达类型还有网络不可到达（Code=0）、主机不可到达（Code=1）、协议不可到达（Code=2）等。源抑制则充当一个控制流量的角色，它通知主机减少数据报流量，由于ICMP没有恢复传输的报文，所以只要停止该报文，主机就会逐渐恢复传输速率。最后，无连接方式网络的问题就是数据报会丢失，或者长时间在网络游荡而找不到目标，或者拥塞导致主机在规定时间内无法重组数据报分段，这时就要触发ICMP超时报文的产生。超时报文的代码域有两种取值：Code=0表示传输超时，Code=1表示重组分段超时。目的不可达报文类型：3代码：0至15检验和未使用（全0）收到的IP数据报的一部分，包括IP首部以及数据报数据的前8个字节5.ARP协议在网络通讯时，源主机的应用程序知道目的主机的ip地址和端口号，却不知道目的主机的硬件地址，而数据包首先是被网卡接收到再去处理上层协议的，如果接收到的数据包的硬件地址与本机不符，则直接丢弃。因此在通讯前必须获得目的主机的硬件地址。ARP协议就起到这个作用。源主机发出ARP请求，询问“IP地址是的主机的硬件地址是多少”，并将这个请求广播到本地网段（以太网帧首部的硬件地址填FF:FF:FF:FF:FF:FF表示广播），目的主机接收到广播的ARP请求，发现其中的IP地址与本机相符，则发送一个

ARP应答数据包给源主机，将自己的硬件地址填写在应答包中。ARP数据报的格式如下所示以太网目的地址以太网以太网目的地址以太网源地ht:类型硕件类冲协议op、址以太网地址发送航[1P地址目的以太网硕白的IP地址66222112664愤件地址K度►协议地址长度I-p"量■28字节ARP请求/应答，注意到源MAC地址，目的MAC地址在以太网首部和ARP请求中各出现一次，对于链路层为以太网的情况是多余的，但如果链路层是其它类型的网络则有可能是必要的。硬件类型指链路层网络类型，1为以太网。协议类型指要转换的地址类型，0x0800为IP地址，后面两个地址长度对于以太网地址和IP地址分别为6和4（字节），op字段为1表示ARP请求，op字段为2表示ARP应答。6.MAC协议以太网的帧格式如上图所示。以太网的帧格式如上图所示。其中的源地址和目的地址是指网卡的硬件地址（也叫MAC地址），长度是48位，是在网卡出厂时固化的。用ipconfig/all命令看一下网卡硬件地址。协议字段有三种值，分别对应IP、ARP、RARP。帧末尾是CRC校验码。以太网帧中的数据长度规定最小46字节，最大1500字节，ARP和RARP数据包的长度不够46字节，要在后面补填充位。最大值1500称为以太网的最大传输单元(MTU),不同的网络类型有不同的MTU，如果一个数据包从以太网路由到拨号链路上，数据包长度大于拨号链路的MTU了，则需要对数据包进行分片(fragmentation)o注意，MTU这个概念指数据帧中有效载荷的最大长度，不包括帧首部的长度。7.举例分析下面分析一帧基于UDP的TFTP协议帧。以太网首部0000:00055d67d0b100055d6158a80800IP首部0000:45000010:005393250000801125ecc0a80037c0a80020:0001UDP首部0020:05d40045003fac40TFTP协议0020:0001'c”:誓q'0030:W'e”r”q”.”q”w”e'00'n”e”t”a”s”c”i'0040:'i'00bT'k”s”i”z”e'005T2'00TT0050:'m”e”o”u”t'00T0'00't”s”i”z”e'00'0'0060:00以太网首部：源MAC地址是00:05:5d:61:58:a8，目的MAC地址是00:05:5d:67:d0:b1，上层协议类型0x0800表示IP。IP首部：第一个字节0x45包含4位版本号和4位首部长度，版本号为4,即IPv4，首部长度为5,说明IP首部不带有选项字段。服务类型为0,没有使用服务。16位总长度字段（包括IP首部和IP层payload的长度）为0x0053,即83字节，加上以太网首部14字节可知整个帧长度是97字节。IP报标识是0x9325,标志字段和片偏移字段设置为0x0000，就是DF=0不允许分片，MF=0此数据报没有更多分片，没有分片偏移。TTL是0x80，也就是128。上层协议0x11表示UDP协议。IP首部校验和为0x25ec，源主机IP是c0a80037（5）,目的主机IP是c0a80001（）。UDP首部：源端口号0x05d4（1492）是客户端的端口号，目的端口号0x0045（69）是'TFTP服务的well-known端口号。UDP报长度为0x003f，即63字节，包括UDP首部和UDP层的长度。UDP首部和UDP层的校验和为0xac40。TFTP是基于文本的协议，各字段之间用字节0分隔，开头的0001表示请求读取一个文件，接下来的各字段是：c:\qwerq.qwenetasciiblksize512timeout10tsize0三、实验步骤:使用eNSP完成以下网络拓扑:

如果部分软件无法使用CLOUD,请将该CLOUD改成模拟器里的PC,则下面的实验只完成网络可达性测试就好。在路由器AR2上的进行抓包，选择以太网GE接口，通过本机Ping服务器，该FTP服务器的IP地址为,则可以得到以下报文：田EthernetII,Src:HuaweiTe_03:0f:3f(00:e0:fc:03:0f:3f),田EthernetII,Src:HuaweiTe_03:0f:3f(00:e0:fc:03:0f:3f),Dst:HuaweiTe.cf:a8:20(54:89:98:cf:a8:20)sInternetProtocol,Src:(),Dst:()Version:4No.TimeSourceDestinationProtocolInfo▲10.000000ICMPEcho(ping)request(id=0x0001,seqflT20.000000ICMPEcho(ping)reply(id=0x0001,seqfl三32.563000ICMPEcho(ping)request(id=0x0001,seq(lj42.563000ICMPEcho〔ping)reply(id=0x0001,seqfl55.953000ICMPEcho(ping)request(id=0x0001,seqfl65.953000ICMPEcho(ping)reply(1d=0x0001,seqfl79.000000ICMPEcho(ping)request(id=0x0001,seqfl89.000000ICMPEcho〔ping)reply(id=0x0001,seqCI▼FileEditViewGoCaptureAnalyzeStatisticsTelephonyToolsHelpKM尊斜■部]白忌混务昌I气令吟⑤辱殳国亶]冠0蚊E3I#回晒潇I回Filter:▼Expression...ClearApplynFrame1:74bytesonwire(592bits),74bytescaptured(592bits)Headerlength:20bytes田DifferentiatedServicesField:0x00(DSCP0x00:Default;ECN：0x00)TotalLength:60Identification:Ox22ec(8940)eFlags:0x00Fragmentoffset:0Timetolive:62Protocol:ICMP(1)国Headerchecksum:0xd47b[correct]Source:()Destination:()qInternetControlMessageProtocolType:8(Echo(ping)request)Code:0Checksum:0x4d47[correct]Identifier:0x0001Sequencenumber:20(0x0014)Sequencenumber(LE):5120(0x1400)(±)Data(32bytes)00000010002000300040o11e7e00000010002000300040o11e7eoo66oeod603066007C5204668odb4ao466-coa3ceo66289220669c28183066o37700670866oa675055C670744006781330067f8223a67-oiloc673b4o907176c4of8do66?..E.MG....abcdefghijklmnopqrstuvabcdefghiQFrame(frame),74bytesPackets:20Displayed:20Marked:0Profile:Default通过本机FTP客户端访问远程FTP服务器，则可以抓到以下报文:

■Standardinput-WiresharkFileEditViewGoCaptureAnalyzeStatisticsTelephonyToolsHelp翱肘曰日泾免昌I、令吟较辱殳[b(b]giqgiwi#国地芥I口Filter:▼Expression...ClearApplyNo.TimeSourceDestinationProtocolInfo1925.407000TCP36269>ftp[SYN]Seq=OWin=8192Len=l1025.422000TCPftp>36269[SYN,ACK]Seq=OAck=lWi1128.282000TCP36269>ftp[SYN]Seq=OWin=8192Len=i1228.282000TCPftp>36269[SYN,ACK]Seq=OAck=lWi1328.422000TCPftp>36269[SYN,ACK]Seq=OAck=lWi—1430.016000TCP36269>ftp[ACK]Seq=lAck=lWin=8191530.016000FTPResponse:220FtpServerTryFtpDforf1633.391000TCP[TCPDupACK14#1]36269>ftp[ACK]三i1733.500000TCP[TCPDupACK14#2]36269>ftp[ACK]—1833.953000FTP[TCPRetransmission]Response:220Ft■1935.203000TCP36269>ftp[ACK]Seq=lAck=34Win=812038.547000TCP[TCPDupACK19#1]36269>ftp[ACK]▼rrrsFrame9:66bytesonwire(528bits),66bytescaptured(528bits)sEthernetII,Src:HuaweiTe_03:0f:3f(00:eO:fc:03:Of:3f),Dst:HuaweiTe_cf:a8:20(54:89:98:cf:a8:20)曰internetProtocol,Src:(),Dst:()Version:4Headerlength:20byteseDifferentiatedServicesField:0x00(DSCP0x00:Default;ECN:0x00)TotalLength:52Identification:0x2cld(11293)eFlags:0x02(Don11Fragment)Fragmentoffset:0Timetolive:62Protocol:TCP(6)田Headerchecksum:0x8b4d[correct]Source:()Destination:()ooooo01234oooooooooo0604eo9oop-8203700050ooooo01234oooooooooo0604eo9oop-820370005020108000a4oofddcclafcdd28e9420283000030400200821oaoO50014C8O0702oooO8103oooOf8O33aoofoolocoo3dc4o46bcb55f8doOFile:”C:\Users\ADMINI~l\App...Packets:20Displayed:20Marked:0Profile:Default前三个报文是TCP的三次握手过程，然后客户端的某个PORT（这里是36269）连接FTP服务器的TCP的21知名端口，请求登录，成功后，告知服务器客户端自己的数据端口，通常是PORT+1（36270），服务器会用20端口和其进行数据传输。1、根据上机指导书要求的步骤完成实验内容。请按照附件示例分析其中你抓到的一个报文（因为附件提供了ICMP报文的详细解释，因此请选择其他类型的报文进行分析），要求注明报文中每个字节的基本意义，课后请同学自行学习TCP三次握手的基本通信过程；2、将实验过程中出现的问题做出描述，并将解决方法和体会写在实验报告中。

附件:所获取的一个ICMP报文的详细解释:回10.000000ICMPEcho(ping)request(id=0xceabTseq(be/le>...』晅eFrame1:98bytesonwire(784bits),98bytescaptured(784bits)eEthernetII,Src:HuaweiTe_03:2f::c3COO:eO:fc:03:2f:c3),Dst:HuaweiTe_cfeInternetProtocol,Src:C),Dst:(192.：sInternetControlMessageProtocol[Type:8(Echo〔ping)request)Code:0Checksum:0x9b09[correct]Identifier:OxceabSequencenumber:256(0x0100)Sequencenumber(LE):1(0x0001)□Data(56bytes)Data:7efa27003a46952850494e90c5d535a00001020304050607...[Length:56]〜-iirIhooooooo012345ooooooo0123456ooooooooooooooo1eooeofoo2o8oaof5cooo9485ooO8oa5O4CO1oO82oO38cafoco05c6f3b5ddKado1®e5cCMcCOIM9obbBo9o1HbeaaM94o1H0999■o4o1H8088Ho5o1H777E2012666390125554012a4443012033300122222012Hillfo12eooo7012ooffoao115ee0301Type（类型）8、Code（代码）0：0x0800代表该报文提出Echorequest回应请求，也就是Ping命令；Checksum校验和字段（16位）：0x9b09包括数据在内的整个ICMP数据包的校验和，其计算方法和IP头部校验和的计算方法是一样的；Identifier16bits标识符字段：0xceab用于标识本ICMP进程。这里发出的5个Echorequest属于同一个进程，因此其值是一样的；Sequencenumber16bits序列号字段:0x0100，用于判断应答数据报；Sequencenumber（LE）:0x0001window系统与Linux系统发出的ping报文的字节顺序不一样，因此这里会有LE和BE的参数（windows为LE：little-endianbyteorder，Linux为BE：big-endian）;Data:0x7efa2700…任意数据（可变长），每个请求的报文封装的数据不一样。

IP协议分析：Version4Headerlength20bytes：0x45包含4位版本号和4位首部长度，版本号为4,即IPv4，首部长度为5,说明IP首部不带有选项字段；DifferentiatedServicesField:0x00,服务类型为0，没有使用服务。服务类型TOS:8位，服务类型通知IP协议如何处理IP报。其中3位表示优先级（现已被忽略），4位表示服务类型TOS（TypeOfService）,1位未用但必须置零。4位的服务类型TOS分别代表：最小时延、最大吞吐量、最高可靠性和最小费用参数。4位中只能置其中1位为1,一旦某位被设置为1,则意味着要求数据报的传输应满足相应的要求。如果所有4位均为0,则意味着是一般服务。Totallength:0x0054,16位总长度字段（包括IP首部和IP层payload的长度）为0x0054，即84字节；Idenification:0x0005IP报标识，16位，标识号字段唯一地标识主机发送的每一份数据报。是一个递增序号，通常每发送一份报文它的值就会加1，用于数据报的分段与重装。

Flags:0x00分片标志：这个3位字段用于控制和识别分片，它们是：Reservedbit位0:保留，必须为0;Don’tfragment位1:禁止分片(DF);位2:Morefragments更多分片(MF)。如果DF标志被设置但路由要求必须分片报文，此报文会被丢弃。这个标志可被用于发往没有能力组装分片的主机。当一个报文被分片，除了最后一片外的所有分片都设置MF标志。不被分片的报文不设置MF标志：它是它自己的最后一片。Fragmentoffset:这个13位字段指明了每个分片相对于原始报文开头的偏移量，以8字节作单位。Timetolive:0xfe这个8位字段避免报文在互联网中永远存在(例如陷入路由环路)。存活时间是一个跳数计数器：报文经过的每个路由器都将此字段减一，当此字段等于0时，报文不再向下一跳传送并被丢弃。Protocal:Icmp(1)这个字段定义了该报文数据区使用的协议。常用的协议编号为：Icmp(1)、TCP(6)、UDP(17)。Headerchecksum:0x3650这个16位检验和字段用于对首部查错。在每一跳，计算出的首部检验和必须与此字段进行比对，如果不一致，此报文被丢弃。Source:0xc0a80201()信源IP地址回Destination:0xc0a80201()信宿IP地址四10.000000ICMPEcho(ping)request(id=0xceabJ.seq(be/le)=25...回田Frame1:98bytesonwire(784bits),98bytescaptured(784bits)sEthernetII,Src:HuaweiTe_03:2f:c3(00:e0:fc:03:2f:c3),Dst:HuaweiTe_cf:a8:Destination:HuaweiTe_cf:a8:20(54:89:98:cf:a8:20^Address:HuaweiTe_cf:a8:20(54:89:98:cf:a8:20)0=IGbit:Individualaddress〔unicast)0=LGbit:Globallyuniqueaddress(factorydSource:HuaweiTe_03:2f:c3(OO:eO:fc:O3:2f:c3)Address:HuaweiTe_03:2f:c3(OO:eO:fc:O3:2f:c3)0=IGbit:Individualaddress(unicast)0=LGbit:Globallyuniqueaddress(factorydType:IP〔0xCl80Cl)田InternetProtocol,Src:C),Dst:C192.168.田InternetControlMessageProtocolooooooo0ooooooo0123456oooooooooooooo1b5ddoado1ee5匚匚fcco1o9obb00901obeaa0940150999004010808800501287702010356600901726210333000127222020128A111afo12oeoooc7o12oooffodo115ee0301It.■.T6P.：F.(PIN...5二二二二："E盘&'以太网协议版本II，源地址：厂名_序号(网卡地址)，目的：厂名_序号(网卡地址)

Destination:HuaweiTe_cf:a8:20(54:89:98:cf:a8:20)目的地址，其中54:89:98是分配给华为公司的以太网物理地址块。所以这里看到的华为设备以太网网卡物理地址的前三个字节都是一样的；Source:HuaweiTe_03:2f:c3(54:89:98:03:2f:c3)信源物理地址；TYPE:0x0