目录一、实习任务 (2)二、协议分析 (2)1、捕获ARP数据包,分析研究之............................................... 错误!未定义书签。
2、捕获ICMP数据包,分析研究之............................................. 错误!未定义书签。
3、捕获TCP数据包并分析 (5)4、捕获HTTP数据包并分析 (5)5、捕获DNS数据包并分析 (5)6、捕获DHCP数据包并分析 (5)三、总结 (17)一、实习任务1、捕获APR请求、应答数据包,分析其组成特征;弄清楚ARP协议的作用,对LAN内、LAN之间,APR是如何工作的?APR缓冲的内容如何保存与其作用?请求与应答包的区别。
2、捕获ICMP数据包,分析研究之;弄清楚ICMP数据包的分类、作用,捕捉Ping命令数据包,如何构成ICMP协议包,请示与应答包的区别,怎样传输的。
3、捕获TCP数据包并分析;捕获一对通信的TCP连接、数据传送、释放的整个过程,分析其三次握手连接、四次握手释放的会话过程中每一步通信的参数传送,以及可靠传输的实现。
4、捕获HTTP、DNS数据包,分析其构成;捕获本机浏览外部某一网站时的DNS、HTTP数据包,取DNS、HTTP典型数据包各一个,列出其应用层、传输层、IP层、数据链路层上各层上数据包相应参数,首部内容,并对感兴趣的部分进行深入分析。
5、捕获DHCP数据包,分析其构成;本机设置为自动获取IP地址,捕获本机的DHCP数据包,列出数据包包含的内容,并对其构成进行分析,检查数据包中是否包含本机需要的数据。
二、协议分析1、ARP协议分析(同一捕获方案得到的多个协议可以写在一起)(1)捕获方案利用Ethereal网络协议分析软件及PING命令发送请求可捕捉数据包。
(2)捕获数据包与协议分析数据包字段分析:ARP请求:字段值含义Hardware type 0x0001 硬件类型Protocol type 0x0800 协议类型Hardware size 6 硬件地址长度Protocol size 4 协议地址长度Opcode 0x0001 操作类型Sender MAC address 00:14:2a:69:c7:2c 源MAC地址Sender IP address 172.16.56.42 源协议地址Target MAC addess 00:00:00:00:00:00 目的MAC地址Target IP addess 172.16.59.217 目的协议地址ARP答应:(该表格应与截图对应)字段值含义Hardware type 0x0001 硬件类型Protocol type 0x0800 协议类型Hardware size 6 硬件地址长度Protocol size 4 协议地址长度Opcode 0x0002 操作类型Sender MAC address 00:14:2a:6e:4c:2f 源MAC地址Sender IP address 172.16.59.217 源协议地址Target MAC addess 00:14:2a:69:c7:2c 目的MAC地址Target IP addess 172.16.56.42 目的协议地址协议分析:(协议的工作过程如何在捕获到的数据包中体现)。
如果一个主机的IP地址和ARP请求中的目的IP地址相同,该主机会对这个请求数据包做出ARP应答,将其MAC地址发送给请求者。
这时,双方主机的ARP缓存中各自会增加一条对方的IP地址与MAC地址的映射表项,此表会定期刷新,以防止由于主机离线或网卡改变所造成的解析错误。
当主机A在LAN内向主机B发送IP数据报时,先在其ARP高速缓存内查看有无B的IP 地址。
如有,就在其中查出对应的硬件地址,再将硬件地址写入MAC帧发往次硬件地址。
当查不到,(1)ARP进程在本LAN上广播发送一个ARP请求分组。
(2)本LAN上所有运行ARP 进程的主机都收到此分组。
(3)主机B在请求分组中见到自己的IP地址,向A发送ARP 响应分组,并写入自己的硬件地址。
其余主机不理会此分组。
(4)主机A收到B的ARP响应分组后,再去ARP高速缓存中写入B的IP地址和硬件地址映射。
当要解析的地址不在本LAN内时,需将与本LAN相连的路由器的IP地址解析为硬件地址,将IP数据报发送给路由,再由路由找出下一跳的路由硬件地址,再由其转发给目的机器,目的机器按相似的方法回答自己的硬件地址.主机将已经得得到的地址映射写入ARP缓存中,而且在超过生存时间之后将该项目删除,以免地址映射过时而出错。
ARP的缓存可使网络上短时间内重复询问的ARP广播的数量减少,提高网络利用效率.请求包和应答包的区别:1、请求包是发送的一个广播分组,本LAN上的所有主机上运行的ARP都收此ARP请求分组,而应答包是一个单播发送的,只有目的主机才理睬。
2、内容不太一样:请求包:我的IP地址是XX,硬件地址是YY,我想知道IP地址为ZZ主机的硬件地址。
而发送包:我的IP地址是ZZ,硬件地址是WW。
2、捕获ICMP数据包,分析研究之ICMP数据包的分类ICMP协议数据包对IP分组在传送时出现的异常情况进行报告,对IP报文传输时出现的差错、拥塞、路由改变、以及路由器或主机信息的获取等情况,向源端主机提交报告,由源主机采取相应措施,改进传输质量。
ICMP协议包构成:ICMP的前8字节是:报文类型1字节、代码1字节、校验和2字节,选项部分4字节。
ICMP报文分为两大类——差错报告报文与询问报文,差错报文共有五种、询问报文有两种ICMP请求包字段值含义Type 8 类型Code 0 代码Checksum 0x365c 校验和Identifier 0200 鉴别Sequence number 0x1500 序列号ICMP答应包:字段值含义Type 0 类型Code 0 代码Checksum 0x3e5c 校验和Identifier 0200 鉴别Sequence number 0x1500 序列号请求和应答数据包的区别是在于类型,请求包为Type8,而应答包为Type0。
ICMP与IP 协议同处于TCP/IP模型的网际层,但ICMP报文是封装在IP数据报的数据部分进行传输的。
3、捕获TCP数据包并分析TCP建立连接第一次握手第二次握手第三次握手TCP数据包分析:(本地主机A:172.16.56.42;目的主机B:210.38.137.119)第一次握手:本地主机A向目的主机B发送连接请求。
第二次握手:目的主机B确认本地主机A的连接请求--建立正向连接,同时发出对B的反向连接请求。
第三次握手:本地主机A响应目的主机B的连接请求—建立反向连接。
TCP连接过程主要信息记录表步骤源端口目的端口类型方向主要参数①205180SYN A→B Seq=0,MSS=1460, win=0,len=0②802051SYN,ACK B→A Seq=0,ACK=1,win=5840,MSS=1460③205180ACK A→B Seq=1,ACK=1,win=65535,len=0TCP释放链接第一次步第二次步第三步第四步分析TCP释放过程,与连接过程相似,需要经过四个步骤:第一步:B对A发出释放请求——结束本次数据传送;第二步:A确认B释放反向连接;第三步: A对B发出释放请求;第四步: B确认A的请求,释放正向连接.TCP释放过程主要信息记录表步骤源端口目的端口类型方向主要参数1802051FIN,ACK B→A seq=658,ACK=386, win=6912len=02205180ACK A→B seq=386,ACK=659,win=64878, len=03205180FIN,ACK A→B seq=386,ACK=659,win=64878,len=04802051ACK B→A seq=659,ACK=387,win=6912,len=04、捕获HTTP数据包并分析HTTP协议是WWW浏览器与WWW服务器之间进行交互通信的协议,客户机利用HTTP协议向服务器请求所需资源,服务器利用HTTP协议将指定资源递交给客户,这种传输是一个完整的过程,成功则全部传送,中间出现错则取消前面的传送——将这种交互传送看作是一个事务,成功则全部完成,否则事务撤销,这就是面向事务的概念。
HTTP请求报文HTTP响应报文链路层HTTP链路层分析字段值含义Source 00:14:2a:69:c7:2c 源地址Destination 00:19:c6:04:3d:81 目的地址Type 0x0800 类型网际层HTTP网际层分析字段值含义Version 4 版本Header length 20 首部长度Differentiated Services Field 0x00 区分服务Total length 396 总长度Identification 0x8036 标识Fragment offset 0 标志Time to live 64 生存时间Protocol 0x06 使用协议Header checksum 0x01f3 首部校验和Source 172.16.56.42 源地址Destination 121.14.89.250 目的地址运输层HTTP运输层分析字段值含义Source port 1684 运输层源端口Destination port 80 目的端口Sequence number 1 序号Next sequence number 357 下次序号Acknowledgement number 1 确认号Header length 20 bytes 头长度Flags 0x0018 标志Window size 65535 窗口Checksum 0x5fb0 校验和应用层HTTP应用层分析应用层对多行"首部字段","状态"值的逐行说明包括主机名、选用语言、连接状态等。
5、捕获DNS数据包并分析链路层DNS链路层分析字段值含义Source 00:14:2a:69:c7:2c 源地址Destination 00:19:c6:04:3d:81 目的地址Type 0x0800 类型网际层DNS网际层分析字段值含义Version 4 版本Header length 20 首部长度Differentiated Services Field 0x00 区分服务Total length 58 总长度Identification 0x8032 标识Fragment offset 0 标志Time to live 64 生存时间Protocol 0x11 使用协议Header checksum 0xcb8f 首部校验和Source 172.16.56.42 源地址Destination 202.96.128.86 目的地址运输层DNS运输层分析字段值含义Source port 51306 运输层源端口Destination port 53 目的端口Length 38 长度Checksum 0x5fa0 校验和应用层DNS应用层分析字段值含义Transaction ID 0x644e 交易ID Flags 0x0100 等级Type A 类型6、捕获DHCP数据包并分析DHCP discover报文字段值含义Message type 1 操作码Hardware type Ethernet 硬件类型Hardware address length 6 硬件地址长度Hops 0 跳数Transaction ID 0xa301eb21 事务标识Seconds elapsed 0 秒数Client IP address 0.0.0.0 客户IPYour IP address 0.0.0.0 你的主机IP地址Next server IP address 0.0.0.0 下一个服务器的IP地址Relay agent IP address 0.0.0.0 中介代理的IP地址Client MAC address 00:14:2a:69:c7:2c 客户MAC地址DHCP message type DHCP Discover DHCP消息类型字段值含义Message type 2 操作码Hardware type Ethernet 硬件类型Hardware address length 6 硬件地址长度Hops 0 跳数Transaction ID 0xa301eb21 事务标识Seconds elapsed 0 秒数Client IP address 0.0.0.0 客户IPYour IP address 172.16.56.42 你的主机IP地址Next server IP address 0.0.0.0 下一个服务器的IP地址Relay agent IP address 172.16.56.1 中介代理的IP地址Client MAC address 00:14:2a:69:c7:2c 客户MAC地址DHCP message type DHCP offer DHCP消息类型Server identifier 172.16.56.1 供应商标识符Subnet mask 255.255.255.0 子网掩码router 172.16.56.1 路由IP address lease time 12 hours IP地址的租用时间字段值含义Message type 1 操作码Hardware type Ethernet 硬件类型Hardware address length 6 硬件地址长度Hops 0 跳数Transaction ID 0xa301eb21 事务标识Seconds elapsed 0 秒数Client IP address 0.0.0.0 客户IPYour IP address 0.0.0.0 你的主机IP地址Next server IP address 0.0.0.0 下一个服务器的IP地址Relay agent IP address 0.0.0.0 中介代理的IP地址Client MAC address 00:14:2a:69:c7:2c 客户MAC地址DHCP message type DHCP Request DHCP消息类型字段值含义Message type 2 操作码Hardware type Ethernet 硬件类型Hardware address length 6 硬件地址长度Hops 0 跳数Transaction ID 0xa301eb21 事务标识Seconds elapsed 0 秒数Client IP address 0.0.0.0 客户IPYour IP address 0.0.0.0 你的主机IP地址Next server IP address 0.0.0.0 下一个服务器的IP地址Relay agent IP address 0.0.0.0 中介代理的IP地址Client MAC address 00:14:2a:69:c7:2c 客户MAC地址DHCP message type DHCP ACK DHCP消息类型Server identifier 172.16.56.1 供应商标识符Subnet mask 255.255.255.0 子网掩码router 172.16.56.1 路由IP address lease time 12 hours IP地址的租用时间三、总结通过计算机网络课程的学习,我基本掌握了计算机网络的基础理论知识,但是对于计算机网络的理解不够深入。