目录

一、实习任务 (2)

二、协议分析 (2)

1、捕获ARP数据包，分析研究之............................................... 错误！未定义书签。

2、捕获ICMP数据包，分析研究之............................................. 错误！未定义书签。

3、捕获TCP数据包并分析 (5)

4、捕获HTTP数据包并分析 (5)

5、捕获DNS数据包并分析 (5)

6、捕获DHCP数据包并分析 (5)

三、总结 (17)

一、实习任务

1、捕获APR请求、应答数据包，分析其组成特征；

弄清楚ARP协议的作用，对LAN内、LAN之间，APR是如何工作的？APR缓冲的内容如何保存与其作用？请求与应答包的区别。

2、捕获ICMP数据包，分析研究之；

弄清楚ICMP数据包的分类、作用，捕捉Ping命令数据包，如何构成ICMP协议包，请示与应答包的区别，怎样传输的。

3、捕获TCP数据包并分析；

捕获一对通信的TCP连接、数据传送、释放的整个过程，分析其三次握手连接、四次握手释放的会话过程中每一步通信的参数传送，以及可靠传输的实现。

4、捕获HTTP、DNS数据包，分析其构成；

捕获本机浏览外部某一网站时的DNS、HTTP数据包，取DNS、HTTP典型数据包各一个，列出其应用层、传输层、IP层、数据链路层上各层上数据包相应参数，首部内容，并对感兴趣的部分进行深入分析。

5、捕获DHCP数据包，分析其构成；

本机设置为自动获取IP地址，捕获本机的DHCP数据包，列出数据包包含的内容，并对其构成进行分析，检查数据包中是否包含本机需要的数据。

二、协议分析

1、ARP协议分析

（同一捕获方案得到的多个协议可以写在一起）

（1）捕获方案

利用Ethereal网络协议分析软件及PING命令发送请求可捕捉数据包。

（2）捕获数据包与协议分析

数据包字段分析：

ARP请求：

字段值含义

Hardware type 0x0001 硬件类型

Protocol type 0x0800 协议类型

Hardware size 6 硬件地址长度

Protocol size 4 协议地址长度

Opcode 0x0001 操作类型

Sender MAC address 00:14:2a:69:c7:2c 源MAC地址

Sender IP address 172.16.56.42 源协议地址

Target MAC addess 00:00:00:00:00:00 目的MAC地址

Target IP addess 172.16.59.217 目的协议地址

ARP答应：

（该表格应与截图对应）

字段值含义Hardware type 0x0001 硬件类型Protocol type 0x0800 协议类型Hardware size 6 硬件地址长度Protocol size 4 协议地址长度Opcode 0x0002 操作类型Sender MAC address 00:14:2a:6e:4c:2f 源MAC地址Sender IP address 172.16.59.217 源协议地址Target MAC addess 00:14:2a:69:c7:2c 目的MAC地址Target IP addess 172.16.56.42 目的协议地址

协议分析：

（协议的工作过程如何在捕获到的数据包中体现）。

如果一个主机的IP地址和ARP请求中的目的IP地址相同，该主机会对这个请求数据包做出ARP应答，将其MAC地址发送给请求者。这时，双方主机的ARP缓存中各自会增加一条对方的IP地址与MAC地址的映射表项，此表会定期刷新，以防止由于主机离线或网卡改变所造成的解析错误。

当主机A在LAN内向主机B发送IP数据报时，先在其ARP高速缓存内查看有无B的IP 地址。如有，就在其中查出对应的硬件地址，再将硬件地址写入MAC帧发往次硬件地址。当查不到，（1）ARP进程在本LAN上广播发送一个ARP请求分组。（2）本LAN上所有运行ARP 进程的主机都收到此分组。（3）主机B在请求分组中见到自己的IP地址，向A发送ARP 响应分组，并写入自己的硬件地址。其余主机不理会此分组。（4）主机A收到B的ARP响应分组后，再去ARP高速缓存中写入B的IP地址和硬件地址映射。

当要解析的地址不在本LAN内时，需将与本LAN相连的路由器的IP地址解析为硬件地址，将IP数据报发送给路由，再由路由找出下一跳的路由硬件地址，再由其转发给目的机器，目的机器按相似的方法回答自己的硬件地址.

主机将已经得得到的地址映射写入ARP缓存中，而且在超过生存时间之后将该项目删除，以免地址映射过时而出错。ARP的缓存可使网络上短时间内重复询问的ARP广播的数量减少，提高网络利用效率.

请求包和应答包的区别：1、请求包是发送的一个广播分组，本LAN上的所有主机上运行的ARP都收此ARP请求分组，而应答包是一个单播发送的，只有目的主机才理睬。2、内容不太一样：请求包：我的IP地址是XX，硬件地址是YY，我想知道IP地址为ZZ主机的硬件地址。而发送包：我的IP地址是ZZ，硬件地址是WW。

2、捕获ICMP数据包，分析研究之

ICMP数据包的分类

ICMP协议数据包对IP分组在传送时出现的异常情况进行报告，对IP报文传输时出现的差错、拥塞、路由改变、以及路由器或主机信息的获取等情况，向源端主机提交报告，由源主机采取相应措施，改进传输质量。

ICMP协议包构成：ICMP的前8字节是：报文类型1字节、代码1字节、校验和2字节，选项部分4字节。ICMP报文分为两大类——差错报告报文与询问报文，差错报文共有五种、询问报文有两种

ICMP请求包