实验二：网络协议分析

实验二：网络协议分析开机后进入windowsXP系统指导老师：曹浪财

助教：徐朝庆邱熠龙

邮箱：975230721&

实验结束后，请班级学习委员及时将电子版的实验报告收齐，然后打包成zip格式一起提交到邮箱，并注明未提交的同学名单。实验环境

windowsXP系统联网计算机

网络监听软件Sniffer

实验目的和要求熟悉网络监听软件Sniffer,对截获的数据帧进行分析，验证EthernetV2标准的MAC层的帧结构分析ARP协议报文首部格式，分析在同一网段和不同网段间的解析过程分析IPv4的报文结构，给出每一个字段的值掌握常用ICMP报文格式及相应方式和作用掌握Tracert命令跟踪路由技术掌握TCP连接的建立和释放过程实验原理数据在网络上是以很小的称为帧（Frame）的单位传输的，帧由几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧已到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会带来安全方面的问题。数据包“包”(Packet)是TCP/IP协议通信传输中的数据单位，一般也称“数据包”。有人说，局域网中传输的不是“帧”(Frame)吗？没错，但是TCP/IP协议是工作在OSI模型第三层(网络层)、第四层(传输层)上的，而帧是工作在第二层(数据链路层)。上一层的内容由下一层的内容来传输，所以在局域网中，“包”是包含在“帧”里的。以太网和IEEE802封装以太网是指数字设备公司（DigitalEquipmentCorp.）、英特尔公司和Xerox公司在1982年联合公布的一个标准。它是当今TCP/IP采用的主要局域网技术。它采用CSMA/CD（带冲突检测的载波侦听多路接入）的媒体介入方法。它的速度是10Mb/s，地址是48bit。IEEE（电子电气工程师协会）802委员会公布了一个稍有不同的标准集，其中802.3针对整个CSMA/CD网络，802.4针对令牌总线网络，802.5针对令牌环网络。这三者的共同特性由802.2标准来定义，那就是802网络共有的逻辑链路控制（LLC）。不幸的是，802.2和802.3定义了一个与以太网不同的帧格式。常用的以太网MAC帧格式有两种标准，一种是EthernetV2标准，另一种是802.3标准。这里只介绍常用的以太网V2的MAC帧格式。

以太网的MAC帧比较简单，有五个字段组成。前两个字段分别为6字节长的目的地址和源地址字段。第三个字段是2字节的类型字段，用来标志上一层使用的是什么协议，以便把收到的MAC帧数据上交给上一层的协议。例如，当类型字段的值是0X0800时，就表示上层使用的是IP数据报。第四个字段是数据字段，其长度在46-1500字节之间。最后一个字段是4字节的帧检验序列FCS（使用CRC检验）。8.2链路层数据帧分析实验步骤：1、【开始】>【Sniffer软件】>打开“当前设置窗口”>选中网络适配器>确定2.Sniffer>Monitor>DefineFilter>在Address选项卡下的Address下拉选择IP>Station1中填入本机IP，Station2中输入Any>选取Capture>Start菜单项，等待截取报3.【开始】>“cmd”>弹出“命令提示符”窗口>键入“pingXXX.XXX.XXX.XXX”>选择Sniffer的“capture”>stopanddisplay>显示截获的数据报文结果>选择“Decode”选项卡查看报文解码其中XXX.XXX.XXX.XXX表示同网段的计算机IP地址4、下图是Sniffer捕获的报文解码，在数据链路层（DLC）和源MAC地址后紧跟着0800,代表该帧数据部分封装的是IP报文，由于0800大于05FF，所以它是EthernetV2帧。提示：选中摘要（summary）框的“ICMPEcho”报文项查看。8.3ARP地址解析协议ARP协议是“AddressResolutionProtocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。用于以太网的ARP请求或者应答分组格式ARP报文的格式：

①硬件类型：指明硬件的类型，以太网是1。

②协议类型：指明发送者映射到数据链路标识的网络层协议的类型；IP对应0x0800，ARP对应的是0x0806。

③硬件地址长度：也就是MAC地址的长度，单位是字节，这里是6。

④协议地址长度：网络层地址的长度，即IP地址长度，单位是字节，这里为4。

⑤操作：指明是ARP请求还是ARP应答。实验原理：使用网络的应用程序是采用逻辑地址（如IP地址）进行通讯的，而实际的物理网络必须使用物理地址（如MAC地址）进行数据传输。所以需要建立逻辑地址与物理地址的映射关系（地址解析），高层应用的报文才可以用底层物理网络传输出去。ARP协议就是将IP地址解析成物理地址的地址解析协议。1、同网段的ARP解析过程

主机与处在同一网段的另一主机进行通信时，首先去缓存中查找目的主机的IP-MAC对应项；如果找到，就将报文用找到的物理地址直接发送出去；如果找不到，源主机就直接向网络发送ARP请求报文，在同一网段的目的主机会对此请求报文做出应答。2、不同网段的ARP解析过程

主机与处在不同网段的主机进行通信时，数据要想发送给默认网关，然后由它转发出去。源主机首先去缓存中查找默认网关的IP-MAC对应项；如果找到，源主机就把报文发送给它的默认网关；如果找不到，源主机就会发送ARP请求报文，从默认网关的ARP应答报文中获得默认网关的IP-MAC对应项。实验步骤：1、运行Sniffer软件2、选取“Monitor”>DefineFilter>弹出对话框>在“Address”中选择“Hardware”>在“Station1”处键入本机的MAC地址>“Station2”处填入“Any”3、同网段ARP的解析：“Capture”>”Start”>在命令提示符窗口键入arp–d>arp–a>pingXXX.XXX.XXX.XXX>“Capture”>>“StopandDisplay”>分析报文提示：在“summary”栏选中“ARP”报文同网段的请求和应答报文如下截图：2、不同网段的解析：前面步骤同1，在DOS窗口输入：ping3>stopanddisplay截获报文并显示。不同网段的ARP请求和应答报文分析不同网段的报文填入下表字段项ARP请求报文ARP应答报文DestinationSourceSenderMACAddressSenderIPAddressTargetMACAddressTargetIPAddress

8.4IPv4协议分析

IP数据报首部的固定部分中的各字段8.4IPv4协议分析分析IPv4的报头结构，给出每个字段的值；实验步骤：运行Sniffer>>capture>>start>>在DOS窗口中输入>>ping3>>stopanddisplay>>选择Decode选项>>分析截获的报文填入表格字段报文信息字段报文信息版本片偏移首部长度生存周期服务类型协议总长度校验和标识源地址标志目的地址8.5ICMP协议分析和路由跟踪实验要求：1、理解ICMP协议与IP协议的封装关系2、掌握常用的ICMP报文格式及响应方式和作用3、理解路由跟踪过程4、掌握tracert命令跟踪路由技术ICMP协议：为了处理当数据包经过多个网络传输后可能出现的故障，在IP层引入子协议ICMP。当遇到IP数据包无法访问目标等情况时，路由器自动发送ICMP报文，向源主机报错。ICMP报文的封装ICMP有两种报文：差错报文和查询报文。

差错报文用于当路由器或主机在处理数据过程出现问题时，向源主机进行报告；

查询报文用于帮助网络管理员从一个网络设备上得到特定的信息，例如某个主机是否可达，中间经过哪些路由器等。ICMP报文都是封装在IP报文中传输的。ICMP报文还分为很多类，简明的报文类型如下表所示。种类类型报文差错报告报文3目的端不可达4源端抑制11超时12参数问题5改变路由查询报文8或0回送请求或应答13或14时间戮请求或应答17或18地址掩码请求或回答10或19路由器查询和通告Tracert工作原理Tracert(跟踪路由)是路由跟踪实用程序，用于确定IP数据报文访问目标所采取的路径。Tracert命令用IP数据报文中的生存时间(TTL)字段和ICMP报告的错误消息来确定从源主机到网络其他主机的路由。源主机的Tracert程序向目标端发送ICMP请求，并将封装ICMP请求数据包的IP分组报头中的TTL值置1,。此ICMP数据包在到达第一个路由器时，IP报头中的TTL减1变为0，根据规定路由器会丢弃TTL为0的IP分组，并同时向发送端发送ICMP超时消息。源主机从收到的超时消息中，记录并显示发回超时信息的路由器的IP地址，以及IP分组从源主机的第一个路由器之间的往返时间；然后Tracert程序继续向目标端发送ICMP请求数据包，但IP分组报头的TTL加1置为2,。这个ICMP请求数据包在向目标端前进的路途上到达第二个路由器后，TTL的值减为0；第二个路由器同样的向发送端发送ICMP超时报文。源主机就获得了路途上第二路由器的IP地址以及往返时间。以此类推，直到有一个ICMP请求数据包到达目的端。这样源主机就可以根据各路由器回复的ICMP超时报文来确定达到目的端的路径上所有的路由器IP地址与通讯往返时间。利用Tracert可以测试从源端到目的端的路径需要通过哪些节点，同时了解通讯路径中哪个节点存在故障。实验步骤：1、捕获并分析ICMP超时报文运行Sniffer>>Capture>>start>>在DOS窗口键入3>>stopanddisplay>>截获并显示报文>>在报文显示列表找到超时报文(Timeexceeded，ICMP报文中Type=11)>>报文信息填入表格类型代码校验和数据2、捕获分析回送请求和应会送答ICMP报文使用刚刚截获的报文，在报文显示列表找到ICMPEcho和ICMPEchoreply报文，并将相应的信息填入表格类型代码校验和标示符序列号EchorequestEchoreply3、用Tracert跟踪路由运行Sniffer>>capture>>start>>在DOS窗口输入tracert–d4>>stopanddisplay>>截获并显示报文>>分析tracert命令的工作过程下图报文是本地主机发往远端主机的ICMP报文。其中IP报头的TTL值为1，即Tracert发送的第一个ICMP报文，ICMP代码为8（ICMP请求报文）。ICMP请求报文下图报文是从源主机发往远端主机的分组经过第一个路由器，由于TTL(timetolive)从1减为0，路由器发送超时报文给源主机，ICMP超时报文的类型为11。大家可以在列表中找到有源主机发出的TTL(timetolive)为2、3、4等的ICMP请求报文，同样可以找到途中各路由器发回给源主机的超时报文，最后IP分组的TTL递增到足够大时，源主机的tracert程序发送的ICMP请求报文终于到达目的主机。此时目的主机向源主机发送ICMP应答报文，而不是超时报文，路由跟踪过程到此结束。回答问题：1、tracert程序每次回发送几个TTL相同的ICMP请求报文？2、路由跟踪过程中，中间节点(路由器)返回的ICMP报文和目的端返回的ICMP报文有什么区别？最后目的主机向源主机发送ICMP应答报文8.6TCP传输控制协议分析实验要求：掌握TCP协议的形式；掌握TCP连接的简历和释放过程；掌握TCP数据传输编号与确认的过程；实验原理：TCP是一种面向连接的、可靠的、基于字节流的通信协议。实验条件：XP或win7联网计算机，Sniffer软件，FTP服务器TCP：传输控制协议TCP是一种可靠的、面向连接的字节流服务。源主机在传送数据前需要先和目标主机建立连接。然后，在此连接上，被编号的数据段按序收发。同时，要求对每个数据段进行确认，保证了可靠性。如果在指定的时间内没有收到目标主机对所发数据段的确认，源主机将再次发送该数据段。TCP包首部●源、目标端口号字段：占16比特。TCP协议通过使用"端口"来标识源端和目标端的应用进程。端口号可以使用0到65535之间的任何数字。在收到服务请求时，操作系统动态地为客户端的应用程序分配端口号。在服务器端，每种服务在"众所周知的端口"（Well-KnowPort）为用户提供服务。

●顺序号字段：占32比特。用来标识从TCP源端向TCP目标端发送的数据字节流，它表示在这个报文段中的第一个数据字节。

●确认号字段：占32比特。只有ACK标志为1时，确认号字段才有效。它包含目标端所期望收到源端的下一个数据字节。

●头部长度字段：占4比特。给出头部占32比特的数目。没有任何选项字段的TCP头部长度为20字节；最多可以有60字节的TCP头部。

●标志位字段（U、A、P、R、S、F）：占6比特。各比特的含义如下：

◆URG：紧急指针（urgentpointer）有效。

◆ACK：确认序号有效。

◆PSH：接收方应该尽快将这个报文段交给应用层。

◆RST：重建连接。

◆SYN：发起一个连接。

◆FIN：释放一个连接。

●窗口大小字段：占16比特。此字段用来进行流量控制。单位为字节数，这个值是本机期望一次接收的字节数。

●TCP校验和字段：占16比特。对整个TCP报文段，即TCP头部和TCP数据进行校验和计算，并由目标端进行验证。

●紧急指针字段：占16比特。它是一个偏移量，和序号字段中的值相加表示紧急数据最后一个字节的序号。

●选项字段：占32比特。可能包括"窗口扩大因子"、"时间戳"等选项。

(1)TCP协议的报文分析FTP是常用的应用层协议，其使用TCP的控制和数据连接。在FTP客户端，使用Sniffer捕获由FTP命令产生的TCP数据包。为了产生数据源，本实验在DOS命令行中输入ftp登陆命令(本例为5),而后进入FTP的某一目录下载一个文本文件，最后退出服务器。

实验步骤：

运行Sniffer>>Monitor>>DefineFliter>>选取Address选项卡>>在Address下拉列表选择IP>>在Station1和Station2下面分别填入本机IP和FTP服务器IP地址>>Capture>>start>>在DOS窗口输入ftp5>>输入用户名和密码，都为116>>“gettext.txt”>>“quit”>>Sniffer软件的Capture>>StopandDisplay>>截获并显示报文提示：输入密码后是默认不显示的，直接按回车(2)TCP连接建立过程根据FTP和TCP协议，抓取到前面的三个报文，是TCP连接的三次握手过程。下图是FTP客户端(本机)向FTP服务器发送第一次握手信号；控制位的同步SYN=1，表示发出连接请求。下图表示FTP服务器向FTP客户端发送第二次握手信号，控制位里面有确认位和同部位(SYN=1,ACK=1)。下图为FTP客户端向FTP服务器发送第三次握手信号；控制位里面只有确认位ACK=1。经过三次握手后，FTP客户端与FTP服务器建立起连接，就可以下载文件了。

根据TCP协议建立过程的三个报文，填写下表。字段名称第一条报文第二条报文第三条报文序号SequenceNumberAcknowledgmentNumberACKSYNTCP连接终止建立连接需要三次握手，而终止一个连接要经过4次握手TCP连接释放过程TCP连接释放使用了四次握手，通讯