网络与数据通信实验报告指导老师：李艳姓名：胡嘉懿（1110200302）周敏（1110200311）实验1 网络协议分析Ethereal1.ARP帧解析·帧1(线路上传输60字节，俘获60字节)到达时间：2004年5月7日00:35:13.802398000与上一帧的时间差：0.000000000秒与第一帧的时间差：0.000000000秒帧序号：1数据包长度：60字节俘获长度：60字节·以太网Ⅱ，源地址：00:0d:87:f8:4c:f9，目的地址：ff:ff:ff:ff:ff:ff(MAC地址)目的地址：ff:ff:ff:ff:ff:ff(广播)源地址：00:0d:87:f8:4c:f9(192.168.0.44)类型：地址转换协议ARP(Ox0806)尾部：000000000·地址转换协议·硬件类型(Hardware type)：16位，定义ARP实现在何种类型的网络上，以太网的硬件类型值为Ox0001，图中为以太网Ox0001·协议类型(Protocol type)：16位，定义使用ARP/RARP的协议类型，IPv4类型值为Ox0800，图中为IP Ox0800·硬件地址长度(Hardware size)：1字节，以字节为单位定义物理地址的长度，图中为6·协议地址长度(Protocol size)：1字节，以字节为单位定义协议地址的长度，图中为4·操作类型(Opcode)：16位，定义报文类型，1为ARP请求，2为ARP应答，3为RARP 请求，4为RARP应答，图中为请求(Ox0001)·发送方MAC地址(Sender MAC address)：6字节，发送方的MAC地址，图中为00:0d:87:f8:4c:f9·发送方IP地址(Sender IP address)：4字节，发送方的IP地址，RARP请求中不填此字段图中为192.168.0.44·目的MAC地址(Target MAC address)：6字节，ARP请求中不填此字段（待解析），图中为00:00:00:00:00:00·目的协议地址(Target IP address)：4字节，长度取决于协议地址长度，长度一共28字节，图中为192.168.80.12.HTTP帧解析·帧767(线路上传输434字节，俘获434字节)到达时间：2004年5月7日03:28:08.807299000与上一帧的时间差：0.000169000秒与第一帧的时间差：139.460011000秒帧序号：767数据包长度：434字节俘获长度：434字节·以太网Ⅱ，源地址：00:0d:87:fb:73:f9，目的地址：00:0d:87:f8:52:a1(MAC地址)目的地址：00:0d:87:f8:52:a1(192.168.0.56)源地址：00:0d:87:fb:73:f9(192.168.0.233)类型：网际协议IP(Ox0800)·网际协议，源地址：192.168.0.233，目的地址：192.168.0.56·版本(Version)：表示当前正运行的IP版本信息，图中为IPv4·首部长度(Header length)：所有报头信息的总长度，图中为20字节·服务类别(Differentiated services Filed)：在现代新定义中，服务类别是6位的区分服务代码点Differentiated Services Code Point和2位显式拥塞通知字段two-bit Explicit Congestion Notification fieldIn RFC 2481 中，ECN字段被分为ECN-Capable Transport (ECT) bit和CE bit 区分服务：在每个数据包IP头部的服务类别ToS标识字节中，利用已使用的6比特和未使用的2比特，通过编码值来区分优先级DSCN(差分服务代码点)：默认的DSCP值是0，相当于尽力传送ECN-Capable Transport(显式拥塞指示能力传输)：该ECN-Capable Transport (ECT) bit将被数据发送者设置，以表明传输协议的末端节点有ECN的能力ECT bit设置为“ 0 ”表明该传输协议将忽略CE bit，这是ECT bit的默认值ECT bit设置为“ 1 ”表示该传输协议愿意并能够参与在ECNECN-Congestion Experienced (经历拥塞)：CE bit将由路由器设置，对末端节点表明挤塞情况，当路由器有满full队列后，它将丢弃其后到达的数据包CE bit.默认值为“ 0 ”路由器设定CE bit为“ 1 ”，说明末端节点挤塞，在数据包头部中CE bit从不会由路由器从“1” 重置“0”区分服务代码点Ox00：缺省；显式拥塞通知：Ox00(网络未拥塞)区分服务域共8位0000 00. .：DSCN：缺省(相当于尽力传送). . . . . . 0 .：ECN-Capable Transport：0. . . . . . . 0：ECN-CE：0·总长度(Total length)：表示整个数据包的长度，包括数据和报头，图中为420字节·标示符(Identification)：它包含一个整数序列号，用来表示当前的数据包，图中为Ox5e68(24168)·旗标(Flags)：长度为3位，图中为Ox04，即0100 (不能分片)第1位R：保留未用第2位DF：Don't Fragment，“不分片”位，当DF位置被置为1时，路由器将不能对数据包进行分段处理，如果数据包因为不能被分段而不能转发，那么路由器将丢弃数据包并向数据发送方发送错误信息第3位MF：More Fragment，“更多片”位，当路由器对数据包分段时除了最后一个分段的MF置位0，其它分段的MF位全设置为1，当接收者收到MF为0的分段停止分段·分片偏移量(Fragment offset)：该片偏移原始数据包开始处的位置，偏移的字节数是该值乘以8，图中为0(不分片)·延续时间(Time To Live)：当一个物件被赋予TTL值(以秒为单位)之后就会进行计时，如果物件在到达TTL值的时候还没被处理的话，就会被遗弃，这保证了数据包不会无限制的循环，图中为128秒(或经过的路由器个数)·协议(Protocol)：8字节，它表示在IP处理过程结束后，将会有哪个上层协议接收，图中为TCP(Ox06)·报头校验和(Header checksum)：是针对IP报头的纠错字段，校验和不计算被封装的数据，图中为Ox187a(正确)UDP、TCP和ICMP都各有自己的校验和，报头校验和字段包含一个16位二进制补码和，如果数据包在传输中没有发生错误，那么结果应该16位全为1，数据包每经过1台路由器，每台路由器都将重新计算校验和·源地址(Source address)：指数据包发送源IP地址，图中为192.168.0.56·目的地址(Destination address)：数据包将目的IP地址，图中为192.168.0.233·传输控制协议，源端口号：2367(2367)，目的端口号：http(80)，序号：1，确认号：1·源端口号(Source port)：16位，图中为2367(2367)·目的端口号(Destination port)：16位，图中为http(80)·序号(Sequence number)：32位，用来标识从TCP源端向目的端发送的字节流，表示在这个报文段中的第一个字节，图中为1(释放序号)[下一序号：381(释放序号)]·确认号(Acknowledge number)：32位，只有ACK值为1时确认号字段才有效，图中为1(释放确认号)·头部长度(Header length)：4位，给出TCP头部占32位的数目，没有任何选项字段的TCP 头部长度为20字节，最多可以有60字节的TCP头部，图中为20字节·预留：由跟在数据偏移字段后的6位组成，通常都为0·标志位(Flags)：6位，分别为URG、ACK、PSH、RST、SYN、FIN，各位含义如下URG：表示紧急指针字段有效；ACK：表示确认号字段有效；PSH：表示当前报文需要请求推操作；RST：表示复位TCP连接；SYN：用于建立TCP连接时同步序号；FIN：用于释放TCP连接时标识发送方比特流结束图中为Ox0018(PSH，ACK)，即00011000·窗口大小(Window size)：16位，表示源端主机在请求接收端等待确认之前需要接收的字节数，用于流量控制，窗口大小根据网络拥塞情况和资源可用性进行增减，图中为65535·校验位(Checksum)：用于检查TCP数据报头和数据的一致性，图中为Ox853c(正确)·超文本传输协议·GET/超文本传输协议/ HTTP标准 1.1版本·请求方法：GET·接收数据：图像/gif，图像/x-xbitmap，图像/jpeg，图像/pjpeg，应用/x-shockwave-flash ·接收语言：zh-cn·接收编码：gzip，deflate·客户端：Mozilla/4.0 (兼容:IE6.0；windows NT S.1：sv1：.NET CLR 1.1.4322)（浏览器和操作系统的配置情况）·主机IP：192.168.0.56·链接：保持存活实验2 理解A R P协议1.使用ARP命令打开“命令提示符”界面，键入“arp -a”指令查看本机ARP表中的内容如果20分钟内没有其他访问网络的操作，ARP表会自动清空，或使用“arp -d"命令主动清空ARP表的内容在系统“命令提示符”界面中键人“arp -?”，系统将列出所有ARP命令的格式、用法及其相关说明2.根据ARP协议的机制考虑其是否存在地址欺骗的安全隐患?有哪些解决办法？存在地址欺骗的安全隐患，因为在以太局域网内数据包传输依靠的是MAC 地址，IP 地址与MAC 对应的关系依靠ARP 表，每台主机（包括网关）都有一个ARP 缓存表。

在正常情况下，这个缓存表能够有效的保证数据传输的一对一性，也就是说主机A 与主机 C 之间的通讯只通过网关 1 和网关2，像主机 B 之类的是无法截获 A 与 C 之间的通讯信息的。