计算机网络实践报告
一、实践名称:
网络抓包分析ICMP协议及报文格式。
二、实践内容和目的:
内容:网络抓包分析ICMP协议及报文格式;
目的:更近一步了解、熟悉抓包软件的使用,对ICMP协议更深层次的认识,熟悉ICMP数据报文的格式。
三、实践器材(设备和元件):
PC机一台、网络抓包软件Wireshark。
四、实践数据及分析结果:
1、ICMP数据报格式及其封装:
2、网络抓包截获的数据:
所截获的ICMP的主要数据报为:Type: 8 (Echo (ping) request) Code: 0 ()
Checksum: 0x24c0 [correct]
Identifier: 0x0001
Sequence number: 10395 (0x289b)
Data (32 bytes)
Data: 6162636465666768696A6B6C6D6E6F707172737475767761...
分析:
从截获的ICMP数据可知,该ICMP类型为8,编码为0,即为回显请求;校验和真确,知道标识和序列号以及所包含的数据为32字节。
五、实践总结:
通过此次实践,更近一步熟悉了抓包软件的使用,了解到了抓包的意义所在,对IP协议以及报文格式有了更深层次的认识。
计算机网络技术及应用实验报告开课实验室:南徐学院网络实验室
第一部分是菜单和工具栏,Ethereal提供的所有功能都可以在这一部分中找到。第二部分是被捕获包的列表,其中包含被捕获包的一般信息,如被捕获的时间、源和目的IP地址、所属的协议类型,以及包的类型等信息。 第三部分显示第二部分已选中的包的每个域的具体信息,从以太网帧的首部到该包中负载内容,都显示得清清楚楚。 第四部分显示已选中包的16进制和ASCII表示,帮助用户了解一个包的本来样子。 3、具体分析各个数据包 TCP分析:
源端口 目的端口序号 确认号 首部长度窗口大小值
运输层: 源端口:占2个字节。00 50(0000 0000 1001 0000) 目的端口:占2个字节。C0 d6(1100 0000 1101) 序号:占四个字节。b0 fe 5f 31(1011 0000 0101 1110 0011 0001) 确认号:占四个字节。cd 3e 71 46(1100 1101 0011 1110 0110 0001 0100 0110) 首部长度:共20个字节:50(0101 0001) 窗口大小值:00 10(0000 0000 0001 00000) 网络层: 不同的服务字段:20 (0010 0000)
总的长度:00 28(0000 0000 0010 10000) 识别:81 28(1000 0001 0010 10000) 片段抵消:40 00(0100 0000 0000 0000) 生存时间:34 (0011 0100) 协议: 06(0000 0110)
IGMP IGMP 是Internet Group Management Protocol(互联网组管理协议)的简称。它是TCP/IP 协议族中负责IP 组播成员管理的协议,用来在IP 主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。 到目前为止,IGMP 有三个版本: 1、IGMPv1(由RFC 1112 定义) 2、IGMPv2(由RFC 2236 定义) 3、IGMPv3(由RFC 3376定义) 一、IGMPv1 1.1报文格式 1、版本: 版本字段包含IGMP版本标识,因此设置为1。 2、类型: 成员关系查询(0x11) 成员关系报告(0x12) 3、校验和 4、组地址: 当一个成员关系报告正被发送时,组地址字段包含组播地址。 当用于成员关系查询时,本字段为0,并被主机忽略。 1.2组成员加入过程 当一个主机希望接收一个组播组的数据,则发送成员加入报告给组播组。
IGMPv1 join包如下: 1.3查询与响应过程 路由器RTA(IGMP查询器)周期性地(默认60秒)向子网内所有主机(224.0.0.1代表子网内所有主机)发送成员关系查询信息。
所有主机收到IGMPv1成员关系查询信息,一主机首先向组播组发送IGMPv1成员关系报告。 组的其他成员监听到报告后抑制自己的成员关系报告发送。 1.4 抑制机制 当主机收到IGMP成员关系查询时,对它已经加入的每个组播组启动一个倒计数报告计时器。各个报告计时器初始值为从0到最大响应之间一个随机数,默认值是10秒。 计时器到时的主机则主动发送成员关系报告,目的地为该主机所属的组地址。 其它主机收到该成员关系报告,则抑制成员关系报告的发送,并删除计时器。 1.5 组成员离开过程 主机“默不作声”地离开组(不发送报告了)。 路由器发送成员关系查询信息。 路由器没有收到该组的IGMP报告,则再发送成员关系信息(3次查询周期过后)。 组播组超时,剪枝。 二、IGMPv2 2.1报文格式 1、类型 成员关系查询(0x11) 常规查询:用于确定哪些组播组是有活跃的,即该组是否还有成员在使用,常规查询地址由全零表示; 特定组查询:用于查询某具体组播组是否还有组成员。 版本2成员关系报告(0x16) 版本1成员关系报告(0x12) 离开组消息(0x17)
安徽农业大学 计算机网络原理课程设计 报告题目wireshark抓包分析了解相关协议工作原理 姓名学号 院系信息与计算机学院专业计算机科学与技术 中国·合肥 二零一一年12月
Wireshark抓包分析了解相关协议工作原理 学生:康谦班级:09计算机2班学号:09168168 指导教师:饶元 (安徽农业大学信息与计算机学院合肥) 摘要:本文首先ping同一网段和ping不同网段间的IP地址,通过分析用wireshark抓到的包,了解ARP地址应用于解析同一局域网内IP地址到硬件地址的映射。然后考虑访问http://biz.doczj.com/doc/5b12559332.html,抓到的包与访问http://biz.doczj.com/doc/5b12559332.html,抓到的包之间的区别,分析了访问二者网络之间的不同。 关键字:ping 同一网段不同网段 wireshark 协议域名服务器 正文: 一、ping隔壁计算机与ping http://biz.doczj.com/doc/5b12559332.html,抓到的包有何不同,为什么?(1)、ping隔壁计算机 ARP包:
ping包: (2)ing http://biz.doczj.com/doc/5b12559332.html, ARP包:
Ping包: (3)考虑如何过滤两种ping过程所交互的arp包、ping包;分析抓到的包有
何不同。 答:ARP地址是解决同一局域网上的主机或路由器的IP地址和硬件地址的映射问题,如果要找的主机和源主机不在同一个局域网上,就会解析出网 关的硬件地址。 二、访问http://biz.doczj.com/doc/5b12559332.html,,抓取收发到的数据包,分析整个访问过程。(1)、访问http://biz.doczj.com/doc/5b12559332.html, ARP(网络层): ARP用于解析IP地址与硬件地址的映射,本例中请求的是默认网关的硬件地址。源主机进程在本局域网上广播发送一个ARP请求分组,询问IP地址为192.168.0.10的硬件地址,IP地址为192.168.0.100所在的主机见到自己的IP 地址,于是发送写有自己硬件地址的ARP响应分组。并将源主机的IP地址与硬件地址的映射写入自己ARP高速缓存中。 DNS(应用层): DNS用于将域名解析为IP地址,首先源主机发送请求报文询问http://biz.doczj.com/doc/5b12559332.html, 的IP地址,DNS服务器210.45.176.18给出http://biz.doczj.com/doc/5b12559332.html,的IP地址为210.45.176.3
1 提供BTV业务功能 本文介绍kylinPET性能测试工具进行IPTV的直播测试 1)图形化直观表示BTV业务交互流程 2)支持视频媒体MDI、RTP丢包等指标监控 3)每个BTV用户一个虚拟IP 4)支持IPv4的IGMP组播;支持IPv6的MLD组播 2 IGMP组播加入频道并监控频道质量 通过该例子,介绍如何使用工具完成BTV业务测试,及介绍工具的界面使用方法。操作步骤: 2.1 Scripter创建流程脚本 2.1.1 新建业务脚本 点击“文件” -> “新建”或者“工具栏”的“新建”按钮。HeBIn
2.1.2 编辑脚本流程 1)配置参数列表 A.新建group-source2参数作为组播报文源IP 按顺序递增,即用户1的组播源IP为152.168.1.1,用户2的组播源IP为 152.1681.2 B.新建group-ip2参数作为组播报文的组播IP
C.新建port参数作为监听媒体流的目的端口 D.组播协议为v3
注意: 1、V3版本需要配置组播源IP,组播IP;而v2版本不需要配置组播源IP,只需要组播IP。 2、V3版本IGMP报文目的IP为224.0.0.22;而v2版本IGMP报文目的IP为配置的组播IP 2)编辑流程图 A.编辑BTV业务流程图,监控媒体流,发送加入组播组报文,休眠20秒,关 闭媒体流,发送离开组播组报文。 B.“monitor A”媒体节点
通知媒体代理器监控媒体流指标,这里选择媒体流目的IP与端口(需在参数预先配置) C.“join A”发送节点 发送IGMP组播报文,组播组IP为group-ip2,组播源为group-source2 D.“close”媒体节点
IPV6协议抓包分析 一、实践名称: 在校园网配置使用IPv6,抓包分析IPv6协议 二、实践内容和目的 内容:网络抓包分析IPv6协议。 目的:对IPv6协议的更深层次的认识,熟悉IPv6数据报文的格式。 三、实践器材: PC机一台,网络抓包软件Wireshark 。 四、实验数据及分析结果: 1.IPv6数据报格式: 2. 网络抓包截获的数据:
3. 所截获的IPv6 的主要数据报为:? Internet Protocol Version 6?0110 .... = Version: 6?. (0000) 0000 .... .... .... .... .... = Traffic class: 0x00000000?.... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000 Payload length: 93 Next header: UDP (0x11)?Hop limit: 1?Source: fe80::c070:df5a:407a:902e (fe80::c070:df5a:407a:902e) Destination: ff02::1:2 (ff02::1:2) 4. 分析报文: 根据蓝色将报文分成三个部分:
第一部分: 33 33 00 01 00 02,目的组播地址转化的mac地址, 以33 33 00表示组播等效mac;00 26 c7 e7 80 28, 源地址的mac地址;86 dd,代表报文类型为IPv6 (0x86dd); 第二部分: 60,代表包过滤器"ip.version == 6"; 00 00 00,Traffic class(通信类别): 0x00000000; 00 5d,Payload length(载荷长度,即报文的最后一部分,或者说是报文携带的信息): 32; 11,Next header(下一个封装头): ICMPv6 (17); 01,Hop limit(最多可经历的节点跳数): 1; fe 80 00 00 00 00 00 00 c0 70 df 5a 40 7a 90 2e,源ipv6地址; ff 02 00 00 00 00 00 00 00 00 00 00 00 01 00 02,目的ipv6地址; 第三部分(报文携带的信息): 02,表示类型为Neighbor Solicitation (2); 22,表示Code: 38; 02 23是Checksum(校验和): 0x6faa [correct]; 00 5d 36 3a,Reserved(保留位): 00000000; fe 80 00 00 00 00 00 00 76 d4 35 ff fe 03 56 b0,是组播地址中要通信的那个目的地址; 01 01 00 23 5a d5 7e e3,表示
中国矿业大学《网络协议》 姓名:李程 班级:网络工程2009-2 学号:08093672
实验一:抓数据链路层的帧 一、实验目的 分析MAC层帧结构 二、准备工作 本实验需要2组试验主机,在第一组上安装锐捷协议分析教学系统,使用其中的协议数据发生器对数据帧进行编辑发送,在第二组上安装锐捷协议分析教学系统,使用其中的网络协议分析仪对数据帧进行捕获分析。 三、实验内容及步骤 步骤一:运行ipconfig命令
步骤二:编辑LLC信息帧并发送 步骤三:编辑LLC监控帧和无编号帧,并发送和捕获:步骤四:保存捕获的数据帧 步骤五:捕获数据帧并分析 使用iptool进行数据报的捕获: 报文如下图: 根据所抓的数据帧进行分析: (1)MAC header 目的物理地址:00:D0:F8:BC:E7:06 源物理地址:00:16:EC:B2:BC:68 Type是0x800:意思是封装了ip数据报 (2)ip数据报
由以上信息可以得出: ①版本:占4位,所以此ip是ipv4 ②首部长度:占4 位,可表示的最大十进制数值是15。此ip数据报没有选项,故它的最大十进制为5。 ③服务:占8 位,用来获得更好的服务。这里是0x00 ④总长度:总长度指首都及数据之和的长度,单位为字节。因为总长度字段为16位,所以数据报的最大长度为216-1=65 535字节。 此数据报的总长度为40字节,数据上表示为0x0028。 ⑤标识(Identification):占16位。IP软件在存储器中维持一个计数器,每产生一个数据报,计数器就加1,并将此值赋给标识字段。但这个“标识”并不是序号, 因为IP是无连接的服务,数据报不存在按序接收的问题。当数据报由于长度超过网络的MTU 而必须分片时,这个标识字段的值就被复制到所有的数据报的标识字段中。相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。 在这个数据报中标识为18358,对应报文16位为47b6 ⑥标志(Flag):占3 位,但目前只有2位有意义。标志字段中的最低位记为MF (More Fragment)。MF=1即表示后面“还有分片”的数据报。MF=0表示这已是若干数据报片中的最后一个。标志字段中间的一位记为DF(Don't Fragment),意思是“不能分片”。只有当DF=0时才允许分片。这个报文的标志是010,故表示为不分片!对应报文16位为0x40。 ⑦片偏移:因为不分片,故此数据报为0。对应报文16位为0x00。 ⑧生存时间:占8位,生存时间字段常用的英文缩写是TTL (Time To Live),其表明数据报在网络中的寿命。每经过一个路由器时,就把TTL减去数据报在路由器消耗掉的一段时间。若数据报在路由器消耗的时间小于1 秒,就把TTL值减1。当TTL值为0时,就丢弃这个数据报。经分析,这个数据报的的TTL为64跳!对应报文16位为0x40。 ⑨协议:占8 位,协议字段指出此数据报携带的数据是使用何种协议,以便使目的主机的IP层知道应将数据部分上交给哪个处理过程。这个ip数据报显示使用得是TCP协议对
IGMP IGMP 是Internet Group Management Protocol(互联网组管理协议)的简称。它是TCP/IP 协议族中负责IP 组播成员管理的协议,用来在IP 主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。到目前为止,IGMP 有三个版本: 1、IGMPv1(由RFC 1112 定义) 2、IGMPv2(由RFC 2236 定义) 3、IGMPv3(由RFC 3376定义) 一、IGMPv1 1.1报文格式 1、版本: 版本字段包含IGMP版本标识,因此设置为1。 2、类型: 成员关系查询(0x11) 成员关系报告(0x12) 3、校验和 4、组地址: 当一个成员关系报告正被发送时,组地址字段包含组播地址。 当用于成员关系查询时,本字段为0,并被主机忽略。 1.2组成员加入过程 当一个主机希望接收一个组播组的数据,则发送成员加入报告给组播组。 页脚内容1
IGMPv1 join包如下: 页脚内容2
1.3查询与响应过程 路由器RTA(IGMP查询器)周期性地(默认60秒)向子网内所有主机(224.0.0.1代表子网内所有主机)发送成员关系查询信息。 所有主机收到IGMPv1成员关系查询信息,一主机首先向组播组发送IGMPv1成员关系报告。 组的其他成员监听到报告后抑制自己的成员关系报告发送。 1.4 抑制机制 页脚内容3
当主机收到IGMP成员关系查询时,对它已经加入的每个组播组启动一个倒计数报告计时器。各个报告计时器初始值为从0到最大响应之间一个随机数,默认值是10秒。 计时器到时的主机则主动发送成员关系报告,目的地为该主机所属的组地址。 其它主机收到该成员关系报告,则抑制成员关系报告的发送,并删除计时器。 1.5 组成员离开过程 主机“默不作声”地离开组(不发送报告了)。 路由器发送成员关系查询信息。 路由器没有收到该组的IGMP报告,则再发送成员关系信息(3次查询周期过后)。 组播组超时,剪枝。 二、IGMPv2 2.1报文格式 1、类型 成员关系查询(0x11) 常规查询:用于确定哪些组播组是有活跃的,即该组是否还有成员在使用,常规查询地址由全零表示;特定组查询:用于查询某具体组播组是否还有组成员。 版本2成员关系报告(0x16) 版本1成员关系报告(0x12) 离开组消息(0x17) 2、最大响应时间 以0.1秒为单位,默认值是100,即10秒。 页脚内容4
TCP协议分析实验 学号: 姓名: 院系: 专业:
一.实验目的 学会使用Sniffer抓取ftp的数据报,截获ftp账号及密码,并分析TCP 头的结构、分析TCP的三次“握手”和四次“挥手”的过程,熟悉TCP 协议工作方式。 二.实验(软硬件以及网络)环境 利用VMware虚拟机建立网络环境,并用Serv-U FTP Server在计算机上建立FTP服务器,用虚拟机进行登录。 三.实验工具 sniffer嗅探器,VMware虚拟机,Serv-U FTP Server。 四.实验基本配置 Micrsoft Windows XP操作系统 五.实验步骤 1.建立网络环境。 用Serv-U FTP Server在计算机上建立一台FTP服务器,设置IP地址 为:,并在其上安装sniffer嗅探器。再并将虚拟机作为一台FTP客户 端,设置IP地址为:。设置完成后使用ping命令看是否连通。 2.登录FTP 运行sniffer嗅探器,并在虚拟机的“运行”中输入,点确定后出现 如下图的登录窗口: 在登录窗口中输入:用户名(hello),密码(123456)【在Serv-U FTP Server中已设定】,就登录FTP服务器了。再输入“bye”退出FTP 3.使用sniffer嗅探器抓包 再sniffer软件界面点击“stop and display”,选择“Decode”选 项,完成FTP命令操作过程数据包的捕获。 六.实验结果及分析 1.在sniffer嗅探器软件上点击Objects可看到下图:
再点击“DECODE(反解码)”按钮进行数据包再分析,我们一个一个的分析数据包,会得到登录用户名(hello)和密码(123456)。如下图: 2. TCP协议分析 三次握手: 发报文头——接受报文头回复——再发报文(握手)开始正式通信。
I G M P及抓包分析
IGMP IGMP 是Internet Group Management Protocol(互联网组管理协议)的简称。它是TCP/IP 协议族中负责IP 组播成员管理的协议,用来在IP 主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。 到目前为止,IGMP 有三个版本: 1、IGMPv1(由RFC 1112 定义) 2、IGMPv2(由RFC 2236 定义) 3、IGMPv3(由RFC 3376定义) 一、IGMPv1 1.1报文格式 1、版本: 版本字段包含IGMP版本标识,因此设置为1。 2、类型: 成员关系查询(0x11) 成员关系报告(0x12) 3、校验和 4、组地址: 当一个成员关系报告正被发送时,组地址字段包含组播地址。 当用于成员关系查询时,本字段为0,并被主机忽略。 1.2组成员加入过程 当一个主机希望接收一个组播组的数据,则发送成员加入报告给组播组。
IGMPv1 join包如下:
1.3查询与响应过程 路由器RTA(IGMP查询器)周期性地(默认60秒)向子网内所有主机(224.0.0.1代表子网内所有主机)发送成员关系查询信息。 所有主机收到IGMPv1成员关系查询信息,一主机首先向组播组发送IGMPv1成员关系报告。 组的其他成员监听到报告后抑制自己的成员关系报告发送。 1.4 抑制机制 当主机收到IGMP成员关系查询时,对它已经加入的每个组播组启动一个倒计数报告计时器。各个报告计时器初始值为从0到最大响应之间一个随机数,默认值是10秒。 计时器到时的主机则主动发送成员关系报告,目的地为该主机所属的组地址。 其它主机收到该成员关系报告,则抑制成员关系报告的发送,并删除计时器。
1.DNS全称为Domain Name System,中文为计算机域名系统,它是由解析器和域名服务 器组成的,域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址,并具有将域名转换为IP地址功能的服务器的服务器。其中域名必须对应一个IP地址,而IP地址不一定有域名。将域名映射为IP地址的过程就称为“域名解析”。在Internet上域名与IP地址之间是一对一(或者多对一)的,域名和IP地址之间的转换过程称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS 就是进行域名解析的服务器。DNS命名用于Internet等TCP/IP网络中,通过用户友好的名称查找计算机和服务。域名的最终指向是IP 2.DNS解析过程 (1)当客户机提出查询请求时,首先在本地计算机的缓存中查找,如果在本地无法查询信息,则将查询请求发给DNS服务器 (2)首先客户机将域名查询请求发送到本地DNS服务器,当本地DNS服务器接到查询后,首先在该服务器管理的区域的记录中查找,如果找到该记录,则进行此记录进行解析,如果没有区域信息可以满足查询要求,服务器在本地缓存中查找 (3)如果本地服务器不能在本地找到客户机查询的信息,将客户机请求发送到根域名DNS服务器 (4)根域名服务器负责解析客户机请求的根域名部分,它将包含下一级域名信息的DNS 服务器地址地址返回给客户机的DNS服务器地址 (5)客户机的DNS服务器利用根域名服务器解析的地址访问下一级DNS服务器,得到再下一级域名的DNS服务器地址 (6)按照上述递归方法逐级接近查询目标,最后在有目标域名的DNS服务器上找到相应IP地址信息 (7)客户机的本地DNS服务器将递归查询结构返回客户机 (8)客户机利用从本地DNS服务器查询得到的IP访问目标主机,就完成了一个解析过程 (9)同时客户机本地DNS服务器更新其缓存表,客户机也更新期缓存表,方便以后查询3.DNS处于IP分层结构的应用层,是一种应用层协议,DNS协议数据单元封装在UDP 数据报文中,DNS服务器端使用公用端口号为53(使用UDP协议0x11) 4.DNS协议报文结构:
IGMP IGMP 就是Internet Group Management Protocol(互联网组管理协议)的简称。它就是TCP/IP 协议族中负责IP 组播成员管理的协议,用来在IP 主机与与其直接相邻的组播路由器之间建立、维护组播组成员关系。 到目前为止,IGMP 有三个版本: 1、IGMPv1(由RFC 1112 定义) 2、IGMPv2(由RFC 2236 定义) 3、IGMPv3(由RFC 3376定义) 一、IGMPv1 1、1报文格式 1、版本: 版本字段包含IGMP版本标识,因此设置为1。 2、类型: 成员关系查询(0x11) 成员关系报告(0x12) 3、校验与 4、组地址: 当一个成员关系报告正被发送时,组地址字段包含组播地址。 当用于成员关系查询时,本字段为0,并被主机忽略。 1、2组成员加入过程 当一个主机希望接收一个组播组的数据,则发送成员加入报告给组播组。
IGMPv1 join包如下: 1、3查询与响应过程 路由器RTA(IGMP查询器)周期性地(默认60秒)向子网内所有主机(224、0、0、1代表子网内所有主机)发送成员关系查询信息。
所有主机收到IGMPv1成员关系查询信息,一主机首先向组播组发送IGMPv1成员关系报告。 组的其她成员监听到报告后抑制自己的成员关系报告发送。 1、4 抑制机制 当主机收到IGMP成员关系查询时,对它已经加入的每个组播组启动一个倒计数报告计时器。各个报告计时器初始值为从0到最大响应之间一个随机数,默认值就是10秒。 计时器到时的主机则主动发送成员关系报告,目的地为该主机所属的组地址。 其它主机收到该成员关系报告,则抑制成员关系报告的发送,并删除计时器。 1、5 组成员离开过程 主机“默不作声”地离开组(不发送报告了)。 路由器发送成员关系查询信息。 路由器没有收到该组的IGMP报告,则再发送成员关系信息(3次查询周期过后)。 组播组超时,剪枝。 二、IGMPv2 2、1报文格式 1、类型 成员关系查询(0x11) 常规查询:用于确定哪些组播组就是有活跃的,即该组就是否还有成员在使用,常规查询地址由全零表示; 特定组查询:用于查询某具体组播组就是否还有组成员。 版本2成员关系报告(0x16) 版本1成员关系报告(0x12) 离开组消息(0x17)
南昌航空大学实验报告 课程名称:计算机网络实验名称:数据包捕获与协议分析 班级:090451班学生姓名:杨望学号:09045131 指导教师评定:签名: 一、实验目的 (1)了解抓包软件工作原理和使用方法。 (2)掌握在非交换以太网环境下侦测、记录、分析数据包的方法 二、实验内容 (1)安装启动抓包软件 (2)监测网络中计算机的连接状况 (3)监测网络中数据的协议分布 (4)监测分析网络中传输的ICMP数据 (5)监测分析网络中传输的HTTP数据 三、实验步骤 1、安装iptool 2、协议过滤
只接受U D P,ICMP和TCP协议的报文 3、UDP报文分析 可以看出数据外依次加上UDP的首部,IP首部和MAC帧的首部,以下报文类似。 TCP报文分析 ARP报文分析
由此可看出各种首部的格式和首部各位所代表的意义。 在操作者未发出联网命令之时便会有UDP类型的数据出现,是因为主机路由表发出的路由信息交换数据,以及各种广播及探测信息数据,这些数据是基于无连接和不可靠的UDP 传输的。 3、ICMP报文分析 使用ping命令可以得到ICMP报文,ICMP的一个重要应用就是分组接探测ping,用来测试两个主机之间的连通性。Ping使用了ICMP回送请求与回送回答报文。Ping是应用层直接使用网络层的一个例子。 4、HTTP报文分析 浏览器与网页服务器之间使用的应用层协议就是HTTP协议。虽然HTTP协议可以建立在任何可靠传输的协议之上,但是就我们所见到的,HTTP还是建立在TCP之上的。首先客户机与服务器需要建立连接。只要单击某个超级链接,HTTP的工作就开始了。建立连接后,客户机发送一个请求给服务器,请求方式的格式为:统一资源标识符(URL)、协议版本号,后边是MIME信息包括请求修饰符、客户机信息和可能的内容。服务器接到请求后,给予相应的响应信息,其格式为一个状态行,包括信息的协议版本号、一个成功或错误的代码,后边是MIME信息包括服务器信息、实体信息和可能的内容。客户端接收服务器所返回的信息通过浏览器显示在用户的显示屏上,服务器关闭连接。 四、实验小结 通过本次实验,了解抓包软件工作原理和使用方法。掌握在非交换以太网环境下侦测、记录、分析数据包的方法掌握了一些抓包软件工作原理和使用方法以及在非交换以太网环境下侦测、记录、分析数据包的方法。
0607《网络实验》2015年6月期末考试指导 一、考试说明 本门课程为闭卷考试,满分为100分,考试时间为90分钟。考试题型和各题型所占分数及答题技巧如下: 1. 单项选择题 答题技巧:选择你认为正确的一个选项到括号里,答案与讲义与课件中的知识点一致。 2. 多项选择题 答题技巧:选择你认为正确的多个选项到括号里,答案与讲义与课件中的知识点一致。 3. 填空题 答题技巧:答题时需要在空白处填写准确的课程知识点。 4.简答题 答题技巧:答出讲义与课件中的重要知识点要点即可。 二、复习重点内容 第一章计算机网络基础 1. IP地址 (1)每台计算机都必须由授权单位分配一个区分于其他计算机的唯一地址,我们称之为IP地址。 (2)IP地址由32位(bit)二进制数组成,即IP地址占4个字节。为了方便书写,通常用“点分十进制”表示法,其要点是:每8位二进制数为一组,每组用1个十进制数表示(0~255),每组之间用小数点“·”隔开。 (3)IP地址可分成5类:A类、B类、C类、D类和E类。 (4)全局IP地址和局部IP地址 (5)IP地址的分配 2.局域网的传输介质 双绞线、同轴电缆、光缆、微波。 UTP双绞线,目前广泛使用的是CAT5e,在100M以太网传输时,RJ45使用1,2,3和6芯线进行传输。 CA T6非屏蔽双绞线由4对导线组成,100BASE-T用其中的2对进行数据传输, 1000BASE-T用其中的4对进行数据传输。 不受电磁干扰或噪声影响的介质是光纤。 学校大楼内部网络建设中,计算机到交换机的传输介质最可能采用的是非屏蔽双绞线。 在1000BaseT的以太网中,使用双绞线作为传输介质,最大的网段长度是100m。 100M以太网端口在半双工模式下带宽为100M。 Modem设备是数据电路终结设备(DCE)。 与多模光纤相比,单模光纤的主要特点是高速度、长距离、高成本、细芯线。 局域网常见的拓扑结构有总线型,星型,环型等。 按照覆盖的地理范围,计算机网络可以分为局域网,城域网,广域网。 3. 家庭用户通过小区上网,目前主要有的方式 主要有三种接入方式:ADSL,cable modem和以太网。
IGMP及抓包分析
IGMP IGMP 是Internet Group Management Protocol(互联网组管理协议)的简称。它是TCP/IP 协议族中负责IP 组播成员管理的协议,用来在IP 主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。 到目前为止,IGMP 有三个版本: 1、IGMPv1(由RFC 1112 定义) 2、IGMPv2(由RFC 2236 定义) 3、IGMPv3(由RFC 3376定义) 一、IGMPv1 1.1报文格式 1、版本: 版本字段包含IGMP版本标识,因此设置为1。 2、类型: 成员关系查询(0x11) 成员关系报告(0x12) 3、校验和
4、组地址: 当一个成员关系报告正被发送时,组地址字段包含组播地址。 当用于成员关系查询时,本字段为0,并被主机忽略。 1.2组成员加入过程 当一个主机希望接收一个组播组的数据,则发送成员加入报告给组播组。 IGMPv1 join包如下:
1.3查询与响应过程
路由器RTA(IGMP查询器)周期性地(默认60秒)向子网内所有主机(224.0.0.1代表子网内所有主机)发送成员关系查询信息。 所有主机收到IGMPv1成员关系查询信息,一主机首先向组播组发送IGMPv1成员关系报告。 组的其他成员监听到报告后抑制自己的成员关系报告发送。 1.4 抑制机制 当主机收到IGMP成员关系查询时,对它已经加入的每个组播组启动一个倒计数报告计时器。各个报告计时器初始值为从0到最大响应之间一个随机数,默认值是10秒。 计时器到时的主机则主动发送成员关系报告,目的地为该主机所属的组地址。 其它主机收到该成员关系报告,则抑制成员关系报告的发送,并删除计时器。 1.5 组成员离开过程
计算机学院网络工程2012(1)班学号:姓名: 实训一网络分层及ARP、DNS协议分析 一、实验目的 1.学习WireShark协议分析软件的使用方法,学会利用WireShark进行抓包分析。 2.学习过滤数据包,并对数据包的构成进行分析,直观感受协议分层及各层协议数据单元的格式及相应关系。 3.通过分析ARP与DNS数据包,了解网络各层地址构成。 二、实训内容 1. 阅读协议分析工具WireShark的用户手册,重点学习用户界面操作,了解WireShark的基本使用方法; 2. 利用Wireshark进行数据包的抓取、过滤; 3. 对抓取到的数据包进行协议分析,包括数据帧二进制数据组成、协议分层、各数据包包头信息、数据包之间的关系(ARP解析、DNS解析)等。 三、实验工具 PC机,Windows,WireShark软件 四、实验步骤与分析 (一)学习使用WireShark软件进行网络数据分析 1.本机arp –a,查看ARP缓存。 2.本机 arp –d,删除ARP缓存。本机arp –a,查看ARP缓存。 3.本机ipconfig /displaydns,查看DNS缓存。 4.本机 ipconfig /flushdns,删除DNS缓存 5.运行WireShark软件,启动抓包 6.打开浏览器,访问一个网站 7.点击网站内容
8.停止抓包 9.本机ipconfig /displaydns,查看DNS缓存。 10.填写下列表格: 要求:透彻理解协议分层及各层的地址的内容和意义;理解数据包的数据及其组成。(二) DNS实验 1. 对所抓包设置过滤条件为:“dns” 2.找到有你访问网站URL的DNS请求包和应答包 3.分析DNS请求包
实验二IP数据报传输分析 1 实验目的 掌握如何利用协议分析工具分析IP数据报报文格式,体会数据报发送、转发的过程。在学习的过程中可以直观地看到数据的具体传输过程。 2 实验内容 1、测试例子:将1号机计算机中的一个文件通过FTP下载到208号机中。 2、IRIS的设置。 由于IRIS具有网络监听的功能,如果网络环境中还有其它的机器将抓很多别的数据包,这样为学习带来诸多不便,为了清楚地看清楚上述例子的传输过程首先将IRIS设置为只抓208号机和1号机之间的数据包。设置过程如下: 1)用热键CTRL+B弹出如图所示的地址表,在表中填写机器的IP地址,为了对抓的包看得更清楚不要添主机的名字(name),设置好后关闭此窗口。 图2-1 2)用热键CTRL+E弹出如图所示过滤设置,选择左栏“IP address”,右栏按下图将address book中的地址拽到下面,设置好后确定,这样就这抓这两台计算机之间的包。 图2-2
3、抓包 按下IRIS工具栏中开始按钮。在浏览器中输入:FTP://192.168.113.1,找到要下载的文件,鼠标右键该文件,在弹出的菜单中选择“复制到文件夹”开始下载,下载完后在IRIS工具栏中按按钮停止抓包。下面我们将详细分析这个过程。 说明:为了能抓到ARP协议的包,在WINDOWS 2000 中运行arp –d 清除arp缓存。 用iris捕获的包来分析一下TCP/IP的工作过程,为了更清晰的解释数据传送的过程,我们按传输的不同阶段抓了四组数据,分别是1查找服务器、2建立连接、3数据传输和4终止连接(实验二完成第一组数据的分析)。每组数据,按下面三步进行解释: 显示数据包 解释该数据包 按层分析该包的头信息 4、查找服务器抓包分析 1)下图显示的是1、2行的数据 图2-3 2)解释数据包 这两行数据就是查找服务器及服务器应答的过程。 在第1行中,源端主机的MAC地址是00:50:FC:22:C7:BE。目的端主机的MAC地址是FF:FF:FF:FF:FF:FF,这个地址是十六进制表示的,F换算为二进制就是1111,全1的地址就是广播地址。所谓广播就是向本网上的每台网络设备发送信息,电缆上的每个以太网接口都要接收这个数据帧并对它进行处理,这一行反映的是步骤5)的内容,ARP发送一份称作ARP请求的以太网数据帧给以太网上的每个主机。网内的每个网卡都接到这样的信息“谁是192.168.113.1的IP地址的拥有者,请将你的硬件地址告诉我”。 第2行反映的是步骤6)的内容。在同一个以太网中的每台机器都会"接收"到这个报文,但正常状态下除了1号机外其他主机应该会忽略这个报文,而1号的主机的ARP层收到这份广播报文后,识别出这是发送端在寻问它的IP地址,于是发送一个ARP应答。告知自己的IP地址和MAC地址。第2行可以清楚的看出1号回答的信息__自己的MAC地址
一、选择题(30小题,每小题1分,将正确答案填入答题卡内。) 1.制定OSI/RM的国际标准化组织是( )。 A.IBM B.ANSI http://biz.doczj.com/doc/5b12559332.html,ITT D.ISO 2.100Base-T使用哪一种传输介质?() A.同轴电缆线路 B.双绞线 C.光纤 D.红外线 3. 远程使用网上计算机是互联网络的一项服务,下列命令中()是登陆远程主机命令 A. WWW B. FTP C. E-mail D. Telnet 4. 若一个IP分组中的源IP地址为193.1.2.3,目标地址为0.0.0.9,则该目标地址表示()。 A.本网中的一个主机 B.环回地址 C.组播地址 D.本网中的广播 5.下面哪一个不是路由协议()。 A. RIP B. OSPF C. BGP D. CIDR 6.ARP协议完成()的映射变换。 A.域名地址与IP地址之间 B.物理地址到IP地址 C.IP地址到物理地址 D.主机地址到网卡地址 7. 中继器的作用是()。 A.放大和整形物理信号 B.过滤与转发帧 C.路由选择 D.协议转换 8.计算机网络中,“bps”是表示()的单位。 A.服务器内存容量 B.网络开启时间 C.软件运行速度 D.网络数据传输速率 9.在多路复用技术中,FDM是()。 A.频分多路复用 B.波分多路复用 C.时分多路复用 D.线分多路复用10.以太网中网络冲突是由于()因素引起的。 A.网络上的两个结点单独传输的结果 B.网络上的两个结点同时传输的结果 C.网络上的两个结点轮流传输的结果 D.网络上的两个结点重复传输的结果 11. 下列哪一种格式是错的()。 《计算机网络原理》试卷第 1 页(共 6 页) A.http://210.43.68.1/comp.htm B.http://biz.doczj.com/doc/5b12559332.html,/main.htm C.http://biz.doczj.com/doc/5b12559332.html,;21 D.http://201.196.43.0:8080/index.html 12.计算机网络发展过程中的里程碑是()。 A.日本的DDX-1网 B.法国的CYCLADES网 C.美国的ARPA网 D.英国的EPSS网 13.以太网的访问方法和物理层技术规范由()描述。 A.IEEE802.3 B.IEEE802.4 C.IEEE802.5 D.IEEE802.6 14.TCP协议中,提供HTTP数据传输的服务器端口号为()。 A.21 B.60 C.80 D.86 15. 已知一TCP报文段的数据部分为2800字节长(使用固定首部),需要分片为长度不超过1420字节的数据报片,则第二片数据报片的片偏移的值是()。 A.355 B.1400 C.175 D.350 16.关于千兆以太网,以下说法错误的是。 A.千兆以太网的帧结构与标准以太网相同 B.千兆以太网对媒体的访问采用半双工和全双工两种方式 C.采用半双工方式时,仍采用CSMA/CD来解决信道的争用问题 D.千兆以太网的最小帧长不同于快速以太网 17.网络层、数据链路层和物理层传输的数据单位分别是______________。 A. 报文、帧、比特 B. 包、报文、比特 C. 包、帧、比特 D. 数据块、分组、比特18.按照传统的划分子网技术,把网络202.112.78.0划分为多个子网(子网掩码是255.255.255.192),则一个子网中可用的主机地址总数是。 A.126 B.128 C.62 D.64 19. 信息是()。 A.消息 B.数据 C.可以辨别的符号 D.经过加工处理的数据 20.下面的4个地址块中,不能聚合到202.112.78.64/26的是()。 A.202.112.78.80/28 B.202.112.78.128/28 C.202.112.78.112/28 D.202.112.78.96/29 21. CERNET表示()。 A.中国移动互联网 B.中国公用计算机互联网 C.中国科学技术网 D.中国教育和科研计算机网 22. ICMP报文是在网际层传送的,当路由器检测网络拥挤时,它需要向初始源站点发送一个报文报告网络拥挤。 A.源站抑制 B.时间超过C.重定向D.回送回答 23.以下地址中()和86.32/12匹配? A.86.42.224.123 B.86.79.65.216 C.86.58.119.74 D.86.68.206.154 24. 若两台主机在同一子网中,则两台主机的IP地址分别与它们的子网掩码相“与”的结果一定()。 A.为全0 B.为全1 C.相同 D.不同 25.有关虚拟局域网的概念,下面哪个说法不正确()。 A. 虚拟局域网是建立在局域网交换机上的,以软件方式实现的逻辑分组。 B. 可以使用交换机的端口划分虚拟局域网,且虚拟局域网可以跨越多个交换机。 C. 在使用MAC地址划分的虚拟局域网中,连接到集线器上的所有节点只能被划分到一个虚网中。 D. 在虚网中的逻辑工作组各节点可以分布在同一物理网段上,也可以分布在不同的物理网段上。 《计算机网络原理》试卷第 2 页(共 6 页) 26.Internet Explorer是目前流行的浏览器软件,它的主要功能之一是浏览()。 A.网页文件 B.文本文件 C.多媒体文件 D.图像文件 27.若数据链路的发送窗口尺寸WT=4,在发送完3号帧、并接到2号帧的确认帧后,发送方还可连续发送()。 A.2帧 B.3帧 C.4帧 D.1帧 28.下列关于信息高速公路的描述正确的是()。 A.一条公路 B.一条车流量很大的高速公路 C.一条信息流通量很大的公路 D.一个能够给用户提供大量信息,由通信网、计算机、数据库及各种日用电子设备组成的完备网络 29.下列域名中,表示教育机构的是()。 http://biz.doczj.com/doc/5b12559332.html, http://biz.doczj.com/doc/5b12559332.html, http://biz.doczj.com/doc/5b12559332.html, http://biz.doczj.com/doc/5b12559332.html, 30.完成邮件服务器之间邮件传递的协议是()。 A. 邮局协议(POP3) B. 简单邮件传送协议(SMTP) C. 因特网报文存取协议(IMAP) D. 通用因特网邮件扩充(MIME) 二、多项选择题(5小题,每题2分)。 1.采用TCP协议作为基础的应用层协议有()。
创建一个使用wpcap.dll的应用程序 用 Microsoft Visual C++ 创建一个使用wpcap.dll的应用程序,需要按一下步骤: ?在每一个使用了库的源程序中,将pcap.h头文件包含(include)进来。 ?如果你在程序中使用了WinPcap中提供给Win32平台的特有的函数,记得在预处理中加入WPCAP的定义。(工程->设置->c/c++->预处理程序定义中添加WPCAP)?如果你的程序使用了WinPcap的远程捕获功能,那么在预处理定义中加入HAVE_REMOTE。不要直接把remote-ext.h直接加入到你的源文件中去。(工程->设置->c/c++->预处理程序定义中添加HAVE_REMOTE) ?设置VC++的链接器(Linker),把wpcap.lib库文件包含进来。wpcap.lib可以在WinPcap 中找到。 ?设置VC++的链接器(Linker),把ws2_32.lib库文件包含进来。这个文件分布于C的编译器,并且包含了Windows的一些socket函数。本教程中的一些范例程序,会需要它。 记住以下几点: ?要添加一个预处理定义,你需要打开Project菜单,选择Settings,然后选择C/C++选项卡,在General类下,你必须在Preprocessor Definitions下的文本框中添加定义。 ?要在一个VC++6.0工程中,添加一,个新的库,你必须打开Project菜单,选择Settings,然后选择Link选项卡,然后把新库的名字添加到Object/Library modules下的文本框中 ?要向VC++6.0中添加一个新的库所在的路径,你必须打开Tool菜单,选择Options,然后选择Directories选项卡,在Show directories下拉框中选择Library files,并且将 新的路径添加到Directories中去 ?要向VC++6.0中添加一个新的包含文件所在的路径,你必须打开Tool菜单,选择Options,然后选择Directories选项卡,在Show directories下拉框中选择Include files,并且将新的路径添加到Directories中去 范例程序 我们一共了一些范例程序来显示WinPcap API的用法。这些程序的源代码,以及编译运行这些代码所需的所有文件,都可以在Developer's Pack找到。作为教程,在这里,我们提供了浏览器式的代码:这样,在每个函数和变量之间的跳转会比较方便。更多完整的范例程序,请参阅WinPcap 教程. // NOTE: remember to include WPCAP and HAVE_REMOTE among your preprocessor definitions. (工程->设置->c/c++->预处理程序定义中添加WPCAP和 HAVE_REMOTE)