实验网络协议分析工具的使用模板

大连理工大学本科试验汇报课程名称:网络综合试验学院（系）:软件学院专业:网络工程班级:0908学号:92471学生姓名:王小龙6月22日

大连理工大学试验汇报学院（系）:软件学院专业:网络工程班级:0908姓名:王小龙学号:92471组:12___试验时间:-6-22试验室:C-310试验台:指导老师签字:成绩:试验一:网络协议分析工具Wireshark使用一、试验目学习使用网络协议分析工具Wireshark方法,并用它来分析部分协议。二、试验原理和内容1、tcp/ip协议族中网络层传输层应用层相关关键协议原理2、网络协议分析工具Wireshark工作原理和基础使用规则三、试验环境以及设备Pc机、双绞线四、试验步骤（操作方法及思索题）用Wireshark观察ARP协议以及ping命令工作过程:（20分）（1）打开windows命令行,键入“ipconfig-all”命令取得本机MAC地址和缺省路由器IP地址;如图所表示:（2）用“arp-d”命令清空本机缓存;如图（3）开始捕捉全部属于ARP协议或ICMP协议,而且源或目MAC地址是本机包。具体方法为:运行Wireshark,点击Capture选项,选中下拉菜单中Options选项。在弹出框中CaptureFilter中输入“(arporicmp)andetherhost00-25-64-3b-53-5d”并消除“Hidecaptureinfodialog”前勾,如图所表示:（4）实施命令:“ping54”如图所表示:此时Wireshark所观察到现象如图所表示:其原因为:”ping54”是对当地网关查询,从上图知host向destination共发送了4个pakets,即有4跳,故有4个回射请求和4个回射应答。用Wireshark观察tracert命令工作过程:（20分）运行Wireshark,因为tracert命令中用到消息为ICMP,所以开始捕捉ICMP消息;其过滤规则为:icmpandetherhost00:25:64:3b:53:5d在Windows命令行中实施“tracert-d.”Wireshark中观察到如图所表示:tracert工作原理:tracert先发送TTL为1回射数据包,并在随即每次发送过程将TTL加1,依次发送TTL为1、2、3、4、5ICMP报文,从源地址到目地址共经过了5跳路由,第六跳抵达目地址。各个路由在转发数据包TTL之前将其减1,当数据包上TTL为0时,路由器将ICMP已超时消息发送至源系统。为了确保网路稳定性,源端每次发送3组icmp数据包,直到抵达对应目标,或TTL抵达最大值。tracert命令能够用来追踪数据包所经过全部路由器,从而通常见来检测网络异常故障所在。用Wireshark观察TCP连接建立过程和终止过程:（30分）（1）开启Wireshark,配置过滤规则为捕捉全部源或目是本机Telnet协议中包其中,tcp端口号位为23,过滤规则为:tcpport23andetherhost00:25:64:3b:53:5d,如图所表示:（2）在Windows命令行窗口中实施命令“telnet”,登录碧海青天bbs,此时Wireshark所观察到现象如图:此图为tcp三路连接过程:（1）建立连接时,用户端发SYN=J到服务器（图中序列号为0）,等候服务器确定;（2）服务器收到SYN包,必需确定用户SYN,ACK=J+1,（图中ACK=1）同时自己也发送一个SYN包（SYN=K）,即SYN+ACK包,此时服务器进入SYN_RECV状态;（3）用户端收到服务器SYN＋ACK包,向服务器发送确定包ACK=K+1,（图中此时序列号为1）此包发送完成,用户端和服务器进入ESTABLISHED状态,完成三次握手。然后正常退出bbs,此时Wireshark所观察到现象如图:此图为tcp断开连接四路握手过程:（1）TCP服务器发送一个FIN,用来关闭用户到用户端数据传送。

（2用户端收到这个FIN,它发回一个ACK,确定序号为收到序号加1。和SYN一样,一个FIN将占用一个序号。

（3）用户端关闭服务器连接,发送一个FIN给服务器。

（4）服务器发回ACK报文确定,并将确定序号设置为收到序号加1。由图轻易知,本试验是服务器先提议关闭连接用Wireshark观察使用DNS来进行域名解析过程:（30分）（1）在Windows命令窗口中实施命令“nslookup↙”,进入该命令交互模式;（2）开启Wireshark,配置过滤规则为捕捉全部源或目是本机DNS协议中包,DNS使用传输层协议是UDP,它使用UDP端口号53,过滤规则为::udpport53andetherhost00:25:64:3b:53:5d,如图:（3）在提醒符“>”下直接键入域名.,解析它所对应IP地址;由主机名解析IP过程:由Wireshark所观察现象知本机先向第一跳路由器发送一个A统计查询,..ourEDA-Server-NAT,判定其是否有对应于此IP地址,收到返回信息通知无此域名,该路由广播该信息查找此主机名对应IP地址,当再次发送目地址,得到对应IP地址。（4）在提醒符“>”下键入命令“settype=mx”,设置查询类型为MX统计;（5）在提醒符“>”下键入域名“”,解析它所对应MX统计;由Wireshark所观察到解析域名“”所对应MX统计过程。其过程为:主机先向其第一跳路由发送一个MX统计查询,.ourEDA-Server-NAT,判定其是否有此域名对应IP地址,收到返回消息通知无这类域名;该路由发送广播信息查询此域名,当再次发送查询请求时,得到邮件服务器主机名,然后主机再向路由器发送一个A统计查询.OurEDA-Server-NAT,收到消息无此域名,最终路由器广播查询此域名,得到对应IP地址。（6）在提醒符“>”下键入命令“settype=a”,恢复查询类型为A统计;（7）在提醒符“>”下键入MX统计查询结果,从而查出“”邮件服务器IP地址;“”域有多个邮件服务器？它们IP地址分别是什么？有2个邮件serv