1、第 1 页广州大学学生实验报告开课学院及实验室:计算机科学与工程实验室 2014 年 11 月 28 日学院计算机科学与教育软件学院年级/专业/班姓名 学号实验课程名称 计算机网络实验 成绩实验项目名称 使用网络协议分析器捕捉和分析协议数据包指导老师 熊伟一、实验目的(1) 熟悉 ethereal 的使用(2) 验证各种协议数据包格式(3) 学会捕捉并分析各种数据包。二、实验环境1MacBook Pro2Mac OS 10.10.13Wireshark三、实验内容1.安装 ethereal 软件2.捕捉数据包,验证数据帧、IP 数据报、TCP 数据段的报文格式。3.捕捉并分析 ARP 报文。第
2、 2 页4.捕捉 ping 过程中的 ICMP 报文, 分析结果各参数的意义。5.捕捉 tracert 过程中的 ICMP 报文,分析跟踪的路由器 IP 是哪个接口的。6.捕捉并分析 TCP 三次握手建立连接的过程。7.捕捉整个 FTP 工作工程的协议包对协议包进行分析说明,依据不同阶段的协议分析,画出 FTP 工作过程的示意图a 地址解析 ARP 协议执行过程b. FTP 控制连接建立过程c . FTP 用户登录身份验证过程d. FTP 数据连接建立过程e. FTP 数据传输过程f. FTP 连接释放过程(包括数据连接和控制连接)8.捕捉及研究 WWW 应用的协议报文,回答以下问题:a. .
3、当访问某个主页时,从应用层到网络层,用到了哪些协议?b. 对于用户请求的百度主页() ,客户端将接收到几个应答报文?具体是哪几个?假设从本地主机到该页面的往返时间是 RTT,那么从请求该主页开始到浏览器上出现完整页面,一共经过多长时间?c. 两个存放在同一个服务器中的截然不同的 Web 页(例如, http:/ http:/ 可以在同一个持久的连接上发送吗?d. 假定一个超链接从一个万维网文档链接到另一个万维网文档,由于万维网文档上出现了差错而使超链接指向一个无效的计算机名,这时浏览器将向用户报告什么?e. 当点击一个万维网文档时,若该文档除了有文本外,还有一个本地.gif 图像和两个远地.g
4、if 图像,那么需要建立几次 TCP 连接和有几个 UDP 过程?9.捕捉 ARP 病毒包,分析 ARP 攻击机制。 (选做)10.TCP 采用了拥塞控制机制,事实上,TCP 开始发送数据时,使用了慢启动。利用网络监视器观察TCP 的传输和确认。在每一确认到达之后,慢启动过程中发生了什么?(选做)11.在 TCP 知道往返时间之前,TCP 必须准备重发初始段(用于打开一个连接的一个段) 。TCP 应等多久才重发这一段?TCP 应重发多少次才能宣布它不能打开一个连接?为找到结果尝试向一个不存在的地址打开一个连接,并使用网络监视器观察 TCP 的通信量。 (选做)第 3 页尝试使用 Winpcap
5、 自行设计实现一个简单的网络数据包监听与捕捉程序,同时将捕获的数据包进行分析并将结果显示在屏幕上。参考 Winpcapde 的有关资料 http:/www.winpcap.org/ , http:/winpcap.polito.it(课后选做)。四、实验步骤、记录和结果1.安装 ethereal 软件Ethereal 从 06 年开始由于商标问题改名 Wireshark 了。所以我在 mac 下安装的是2.捕捉数据包,验证数据帧、IP 数据报、TCP 数据段的报文格式。经过仔细对比,跟书上的报文格式一样。第 4 页3.捕捉并分析 ARP 报文。下面是发送广播的数据包第一行指示数据包发送的地址是
6、 ff:ff:ff:ff:ff:ff:,这是一个以太网的广播地址。第二行指示了就是本机的 mac 地址。下图是 ARP 报文第一行红框表示本机的地址。第二行中 mac 地址为 0,因为还未知道对应 ip 的 mac 地址。下面是收到 arp 的回复报文第 5 页可以看到,红框部分即是刚才请求的 mac 地址4.捕捉 ping 过程中的 ICMP 报文, 分析结果各参数的意义。Ping 筛选对应报文选取其中一对进行分析下图是 request 报文,从蓝色框中可以看出其类型。红框部分跟回复报文的红框部分相同,指明是它们是匹配的。第 6 页下图是 reply 报文,蓝色框中可以看出类型是 reply
7、,红色部分和上图相同5.捕捉 tracert 过程中的 ICMP 报文,分析跟踪的路由器 IP 是哪个接口的。在 mac os 中使用的命令是 traceroute,因此在终端中输入 traceroute 192.168.90.9筛选结果第 7 页由上图可见,每个报文都发送了 3 次。而且跟 Windows 系统下使用命令 tracert 抓包不同,Windows 使用的是 ping(ICMP echo 报文) ,而在Linux,Unix 下使用的命令 traceroute 使用的 upd 报文。不过两者的原理都是相同的,关键都在于 TTL(Time To Live) 。下面来分析其中原理。前
8、 3 个发送报文的 TTL对应收到的报文均是 TTL 超时中间 3 个发送报文 TTL 比前面的多 1,如下图对应收到的依然是 TTL 超时第 8 页最后 3 个发送报文 TTL 再加 1,如下图此时收到的回复报文变成了目的不可达,traceroute 完成,由此看出,经过 2 个路由转发就可到达目的 ip。6.捕捉并分析 TCP 三次握手建立连接的过程。(第一次握手,客户端发出)第一个发出的 SYN 包关键数据可见下图(第二次握手,服务器发出)第二个收到的 SYN/ACK 包,可见 Ack Num 等于 SYN 的 Seq Num 加 1,并发回了初始序列号(第三次握手,客户端发出,确认连接
9、)第三个发出 ACK 包中,Seq Num 等于前一个包的 Ack Num,并发出 ACK Num 的值等于上一个包的 Seq Num 加 1,发送此包之后,连接建立。第 9 页7.捕捉整个 FTP 工作工程的协议包对协议包进行分析说明,依据不同阶段的协议分析,画出 FTP 工作过程的示意图a. FTP 控制连接建立过程三次握手之后建立连接b . FTP 用户登录身份验证过程登录输入帐号 salesxfer,密码 pssw0rd,服务器回应登录成功c. FTP 数据连接建立过程三次握手后建立连接,服务端数据连接的端口使用的是 49166,客户端为 2559d. FTP 数据传输过程第 10 页
10、请求上传文件,分段传输。e. FTP 连接释放过程(包括数据连接和控制连接)首先是释放数据连接然后再释放控制连接工作流程如下图所示第 11 页8.捕捉及研究 WWW 应用的协议报文,回答以下问题:a. .当访问某个主页时,从应用层到网络层,用到了哪些协议?在应用层首先使用 DNS,解析出 ip 地址,然后使用 http,传输层使用 tcp 建立连接网络层使用 ip 协议b. 对于用户请求的百度主页() ,客户端将接收到几个应答报文?具体是哪几个?假设从本地主机到该页面的往返时间是 RTT,那么从请求该主页开始到浏览器上出现完整页面,一共经过多长时间?点击菜单栏 Statistics,Conve
11、rsations 可见下图第 12 页可见客户端收到 30 个报文。过滤得出具体报文如下点击菜单栏 Statistics,Summary,可见下图,红框所示,耗时 1.006 秒c. 两个存放在同一个服务器中的截然不同的 Web 页(例如, http:/ http:/ 可以在同一个持久的连接上发送吗?可以的。如下图所示,抓包后过滤,可见,只建立过一次连接。第 13 页d. 假定一个超链接从一个万维网文档链接到另一个万维网文档,由于万维网文档上出现了差错而使超链接指向一个无效的计算机名,这时浏览器将向用户报告什么?e. 当点击一个万维网文档时,若该文档除了有文本外,还有一个本地.gif 图像和两
12、个远地.gif 图像,那么需要建立几次 TCP 连接和有几个 UDP 过程?使用 http/1.0,需要 4 次 TCP,0 个 UDP使用 http/1.1 需要 1 次 TCP,0 个 UDP9.捕捉 ARP 病毒包,分析 ARP 攻击机制。 (选做)10.TCP 采用了拥塞控制机制,事实上,TCP 开始发送数据时,使用了慢启动。利用网络监视器观察TCP 的传输和确认。在每一确认到达之后,慢启动过程中发生了什么?(选做)11.在 TCP 知道往返时间之前,TCP 必须准备重发初始段(用于打开一个连接的一个段) 。TCP 应等多久才重发这一段?TCP 应重发多少次才能宣布它不能打开一个连接?
13、为找到结果尝试向一个不存在的地址打开一个连接,并使用网络监视器观察 TCP 的通信量。 (选做)尝试使用 Winpcap 自行设计实现一个简单的网络数据包监听与捕捉程序,同时将捕获的数据包进行分析并将结果显示在屏幕上。参考 Winpcapde 的有关资料 http:/www.winpcap.org/ , http:/winpcap.polito.it(课后选做)。第 14 页5、实验总结通过这次抓包实验,较深入地理解和体会到客户端和服务器直接数据是怎么传送的。还有在 Windows 和Mac 系统下,它们追踪路由的命令是不同的,发送的数据包也是不同的,但是原理还是相同的。除此之外还意识到互联网是很不安全的,平时必须注意防范。
