网络协议分析试验总结

本文格式为Word版，下载可任意编辑——网络协议分析试验总结试验一IP协议

练习一利用仿真编辑器发送IP数据包

描述:收发IPv4报文,不填上层协议.

问题:①查看捕获到得报文长度是60，和你编辑的报文长度不同，为什么？

最小帧长度为60，当不足60时，在源数据尾部添加0补足。②探讨，为什么会捕获到ICMP目的端口不可达过错报文？过错报文的类型为协议不可达，由于上层协议为0，未定义。

练习二编辑发送IPV6数据包

描述:收发IPv6报文.

问题:①比较IPV4头，IPV6有了那些变化？IPV4的TTL字段在IPV6里对应那个字段？比较IPv4和IPv6的报头，可以看到以下几个特点：

●字段的数量从IPv4中的13（包括选项）个，降到了IPv6中的8个；●中间路由器必需处理的字段从6个降到了4个，这就可以更有效地转发普通的IPv6数据包；

●很少使用的字段，如支持拆分的字段，以及IPv4报头中的选项，被移到了IPv6报头的扩展报头中；

●●IPv6报头的长度是IPv4最小报头长度（20字节）的两倍，达到40字节。然而，新的IPv6报头中包含的源地址和目的地址的长度，是IPv4源地址和目的地址的4倍。

对应：跳限制这个8位字段代替了IPv4中的TTL字段。

练习三：特别的IP地址

描述:直接广播地址包含一个有效的网络号和一个全“1〞的主机号,只有本网络内的主机能够收到广播,受限广播地址是全为1的IP地址;有限广播的数据包里不包含自己的ip地址，而直接广播地址里包含自身的ip地址练习四:IP包分段试验

问题:探讨，数据量为多少时正好分两片？1480*2=2960练习五:netstat命令

描述:C:>netstat–s；查看本机已经接收和发送的IP报文个数

C:>netstat–s；查看本机已经接收和发送的IP报文个数C:>netstat–e；观测以太网统计信息，

试验二2.1ARP协议

练习一维护ARP缓存表

描述:：查看ARP缓存:arp–a手动建立ARP表:arp–sIP(如1)MAC（如:00-E0-4D-3D-84-53）清空ARP缓存表：arp–d练习二仿真发送ARP请求报文

描述:ARP协议叫物理解析协议,是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保存一定时间

2.2ICMPv4协议

练习一利用仿真编辑器编辑ICMP回显请求报文练习二仿真发送ICMP时间戳请求报文

描述:ICMP封装在IP报文里面,一个ICMP报文32位,8位类型,八位代码,16位校验和

2.3ICMPv6

只是把ICMP放在了IPv6数据包的载荷中.

试验三3.1ARP

练习一发送ARP请求报文（不同网段内）

描述:在跨越路由器进行通信的时候,发起通讯的主机发现目的地址不在同一个网段,会先查询路由器的地址,于是广播出ARP请求,路由器的入口网卡发现有一个ARP请求的目的IP是自己的IP地址,于是回复自己的Mac,得到了Mac,发起通信的主机将通信内容发送到路由器的入口网卡,并选路到出口网卡,此时出口网卡需要知道目标的Mac,于是广播出ARP查询,目标机回复自己的Mac,路由器的出口网卡成功的将信息发送到目标机器.

练习二ICMP过错报文

描述:ICMP目的端口不可达/超时/的状况.注意为了模拟目的端口不可达,某主机ping一个不存在的IP地址,为了模拟超时,向一个跨路由器的目标通信,但是TTL设置为1,路由器会丢弃TTL耗尽的包,由于根本就收不到,所以当然就没有回复,就会超时

试验3.2ARP欺骗

描述:1、ARP高速缓存

ARP缓存表是记录IP地址和MAC地址的映射关系。ARP表分为动态更新和静态更新两种，系统默认动态,更新时间为120秒。ARP表的建立是通过以下两个途径：

●主动解析：假使一台计算机想与另一台不知道MAC地址的计算机通信，则该计算机主动发ARP请求；

●被动解析：假使一台计算机接收到了一台计算机的ARP请求，则首先在本地建立请求计算机的IP地址和MAC地址的对应表；

ARP地址欺骗正是利用高速缓存，使高速缓存中存在错误的映射关系，误导数据包发往错误的目的地。

2、ARP地址欺骗的原理

一般状况下，当系统收到ARP请求或应答时，都要把源端的硬件地址和IP地址填入ARP高速缓存。正是

根据这一性质，为ARP欺骗提供了条件。编辑一个ARP应答数据包，将ARP层的源IP地址为主机A的IP地址，将ARP层的源MAC地址填为主机B的MAC地址，将MAC层的源地址填为主机A的MAC地址，发送这个数据包。当到达目的主机时，由于ARP特性：当系统收到ARP请求或应答时，都要把请求端的硬件地址和协议地址填入ARP高速缓存。所以在向ARP高速缓存中添加表项时，添加的是主机A的IP地址和主机B的MAC地址值。当要向主机A发送数据包时，要发送的数据包的目的MAC地址填入了由高速缓存中提取的地址(主机B的MAC地址)，这样，要发送给主机A的数据包被发送给了主机B。

试验3.3ICMPRedirect

练习一利用ICMP重定向进行信息窃取

描述:主机可能会把某数据发送到一个错误的路由。在这种状况下，收到该数据的路由器会把数据转发给正确的路由器，同时，它会向主机发送ICMP重定向报文，来改变主机的路由表。给主机来指出存在一个更好的路由。

试验时,主机A给E发送报文,主机B作为路由器,主机C给A发送ICMP重定向报文,在网关地址中添加自己的IP地址,并依照上表填写ICMP数据部分,此时主机A的路由表中出现了主机A到E的一条记录,网关是C的IP地址;

问题:说明ICMP重定向的意义.

意义：ICMP重定向使得客户端管理工作大大减少，使得对于主机的路由功能要求大大降低。而且当路由线路非最优化是线路的速度一定有所损失。而有了重定向之后可以很快的修改非最优线路提高通信速度。

试验四UDP

练习一利用仿真编辑器编辑UDP数据包并发送

描述:UDP和TCP都是传输层的协议,他们被应用层使用,为了实现多路复用和多路分解,应用层使用了端口号,所以UDP中需要填写源端口和目的端口.问题:①将UDP的校验和填“0〞，在捕获包中查看校验和是否正确？

正,UDP没有纠错能力,也没有回执机制,所以即使它能够发现自身的错误,也没有能力和必要去改正错误

练习二UDP单播通信

描述:使用UDP工具进行通信,确认UDP没有确认报文;

练习三利用仿真编辑器编辑UDP数据包，利用工具接收

描述:向目的主机的没有开放的端口发送UDP,会产生目的端口不可达的ICMP信息.

练习四UDP受限广播通信

描述:使用UDP通信工具,在受限广播地址(全是1)上向发送UDP广播,相连的设备无论是否在同一个网段之内,都能够收到信息,该报文的目的MAC地址是FFFFFF-FFFFFF.

练习五UDP直接广播通信

描述:使用UDP工具,在直接广播地址上(网络号+255)上发送广播,只有同一个网段的设备能够接收到,该报文的目的MAC地址是FFFFFF-FFFFFF.问题:说明受限广播和直接广播的区别？

直接广播地址包括一个有效网络号和一个全1的广播号，主机可能还不知道他所在网络的网络掩码，路由器可能对该种数据报进行转发。

受限广播地址是一个32位全为1的IP地址，在任何状况下这样的数据包仅出现在本地网络中，路由器不对该种数据报进行转发。练习六利用仿真编辑器编辑IPV6的UDP数据包并发送描述:在UDP上,IPv4和IPv6没有区别

练习七运行netstat命令

描述:netstat命令是用于显示网络使用协议的统计；netstat–s；显示每个协议的使用状态，netstat–a；显示主机正在使用的端口号

试验五TCP

练习一观测TCP协议的连接和释放过程描述:

问题:：TCP连接建立时，前两个报文的TCP层首部有一个“maximumsegmentsize〞字段，它的值是多少？怎样得出的？

最大字段长度为1460，该字段长度寻常受该计算机连接的网络的数据链路层的最大传送单元限制。1460=1500-20(IP首部)-20(TCP首部)

练习二利用仿真编辑器编辑并发送TCP数据包

描述:使用仿真编辑器手动实现TCP的三次握手连线和四次握手拆线过程.练习三TCP的重传机制

描述:接收端开启过滤软件,阻断TCP通信,TCP会进行重传,在这个例子中,重传了五次

试验六6.1DNS

练习一nslookup工具的使用

描述:nslookup命令是查询域名对应IP的工具,其用法是：nslookup域名,运行结果:Server:(JServer.NetLab);Address:(53);Name:(host34.NetLab);Address:(4);

反向查询某个IP的域名:>nslookup53运行结果Server:(JServer.NetLab)；Address:(53)；Name:(JServer.NetLab)；Address:(53)；

练习二仿真编辑DNS查询报文（正向解析）

描述:这里最重要的东西是DNS的报文格式和〞域名循环体〞的问题.

图片是域名循环体.

练习三仿真编辑DNS查询报文（反向解析）

练习四ipconfig命令

描述:ipconfig/displaydns；显示本机缓冲区中DNS解析的内容；ipconfig/flushdns；清空本机DNS缓冲区中的内容；注意DNS缓存是有生存周期的.

试验6.2UDP端口扫描

练习一UDP端口扫描

描述:向目标端口发送一个UDP协议分组。假使目标端口以“ICMPportunreachable〞消息响应，那么说明该端口是关闭的；反之，假使没有收到“ICMPportunreachable〞响应消息，则端口是开启的.

试验6.3TCP端口扫描

1、TCPSYN扫描

这种方法是向目标端口发送一个SYN分组（packet），假使目标端口返回SYN/ACK标志，那么可以确定该端口处于检听状态;否则返回的是RST/ACK标志。3、TCPFIN扫描

这种方法是向目标端口发送一个FIN分组。按RFC793的规定，对于所有关闭的端口，目标系统应当返回一个RST（复位）标志。这种方法寻常用在基于UNIX的TCP/IP协议堆栈，有的时候有可能SYN扫描都不够机要。一些防火墙和包过滤器会对一些指定的端口进行监视，有的程序能检测到这些扫描.相反，FIN数据包可能会没有任何麻烦的通过。这种扫描方法的思想是关闭的端口会用适当的RST来回复FIN数据包。另一方面,开启的端口会忽略对FIN数据包的回复。这种方法和系统的实现有一定的关系，Windows系统不管端口是否开启，都回复RST，否则就是其他的操作系统,这样，这种扫描方法就不适用了。

试验七7.1FTP协议

练习一FTP

描述:本卷须知:FTP登录的时候,可以捕获到用户名和密码的明文,USER是用户名命令,PASS是密码命令,LIST是dir的命令,问题:①FTP服务器是如何知道用户的数据端口？

客户端通过PORT命令告知服务器:PORT172,16,0,16,5,101,端口是：5*256+101=1381

②21端口和20端口分别传输什么内容？

21端口传输控制信息，20端口传输数据,数据传输终止后,20端口关闭，21端口未关闭,发送quit命令之后,两个端口都关闭.练习二使用浏览器登入FTP

描述:控制台登录和浏览器登录是不一样的,使用浏览器登录,会启动被动模式.问题:

①FTP服务器用哪个端口传输数据，数据连接是谁发起的连接？

FTP服务器用8361接口传输数据，数据连接是客户端主动发起（即此时使用的是PASV模式）

②用户是如何知道服务器的数据端口？

服务器对客户端的PASV命令返回应答：227EnteringPassiveMode(172,16,0,253,32,169)，告知客户端服务器端已经开启了8361（32*256+169=8361）端口作为数据端口。练习三在窗口模式下，上传/下传数据文件

试验7.2HTTP

练习一主页访问

描述:注意HTTP协议的所有东西都封装在TCP中问题:

①使用了HTTP协议的哪种方法（命令）读取网页文件？网页的文件名什

么？

GET方法，网页文件名：/experiment/

练习二页面提交

描述:页面提交就是提交表单

问题:

①提交信息的过程使用了HTTP协议的哪种方法？

POST方法

②传输密码是明文还是密文？粘贴含有用户名和密码的捕获包。

明文

③每次HTTP命令都是单独连接完成的（一次一个连接），这样有什么好

处？

由于HTTP是无状态协议，短连接（一次一个连接）实现、管理起来比较简单，存在的连接都是有用连接，不需要额外的的控制手段

试验7.3DHCP

DHCP工作原理

①发现阶段：DHCP客户机以广播方式发送DHCPdiscover报文来寻觅DHCP服务器。

②提供阶段：DHCP服务器在网络中接收到DHCPdiscover报文后会做出响应，它从尚未出租的IP地址中挑拣一个分派给DHCP客户机，向DHCP客户机发送一个包含出租的IP地址和其他设置的DHCPoffer报文。③选择阶段：假使有多台DHCP服务器向DHCP客户机发来的DHCPoffer提供报文，则DHCP客户机只接受第一个收到的DHCPoffer提供报文，然后它就以广播方式回复一个DHCPrequest请求报文，该报文中包含向它所选定的DHCP服务器请求IP地址的内容。

④确认阶段：DHCP服务器收到DHCP客户机回复的DHCPrequest请求报文之后，它便向DHCP客户机发送一个包含它所提供的IP地址和其他设置的DHCPack确认报文，告诉DHCP客户机可以使用它所提供的IP地址。

⑤重新登录：以后DHCP客户机每次重新登录网络时，就不需要再发送DHCPdiscover发现报文了，而是直接发送包含前一次所分派的IP地址的DHCPrequest请求报文。

⑥更新租约：DHCP服务器向DHCP客户机出租的