当前位置:文档之家› 实验二 TCPIP协议分析与验证

实验二 TCPIP协议分析与验证

实验二TCP/IP协议分析与验证

【实验目的】

通过本实验使学生了解和掌握报文捕获工具Wiresshark(或者EtherDetect)的使用方法和基本特点,通过Wireshark软件捕获并分析基于链路层的协议数据,包括ARP、ICMP、IP、TCP、UDP以及DNS、FTP、HTTP协议的报文格式以及工作过程,促使学生真正了解TCP、UDP、IP等协议的构成。

【实验环境】

(1)联网的PC机,装有Windows操作系统;

(2)网络上安装DNS、FTP和HTTP服务器并配置好;

(3)Wireshark软件及其使用手册。

【实验原理、方法和手段】

第一部分:包嗅探器工作原理

我们观察执行协议的实体之间如何交换信息的基本工具是包嗅探器(packet sniffer),正如其名,嗅探器在你的电脑发送消息或接收消息时进行协议数据的捕获,同时有选择地显示这些协议数据的内容。

由于以太网在物理上具有广播特性,因此通过包嗅探器可以将经过以太网卡的所有以太网帧捕获,通过分析以太网帧封装的各种报文,可以得到ICMP和ARP报文格式;通过分析报文序列,可以验证ICMP和ARP协议的工作过程。

包嗅探器本身是被动的,电脑所收发的数据包不写明是给包嗅探器的,而是由应用程序发送和接收时产生的,在包嗅探器收到包的同时应用程序数据收发仍是正常进行的。包嗅探器的结构如图2-1所示。

图2-1 嗅探器的结构

包嗅探器的另一个组成部分是包分析器,它显示一个协议消息中所有字段的内容,为了完成这些任务包分析器必须了解所有通过协议交换的消息的结构。

第二部分:学习Wireshark

本实验中将使用Wireshark这种包嗅探器。

1.简介

Wireshark是著名的网络协议分析软件,其前身是Etherreal,该软件可以成为网络嗅探和协议分析功能,广泛用于协议分析和网络研究中。

Wireshark可以分析前期抓取的网络包,即.pcap文件;也可以通过网络接口进行实时抓包分析。如果使用.pcap文件,通过文件菜单,打开指定位置的.pcap文件则显示该文件所存储的网络包信息。如果需要实时分析网络协议,则通过capture菜单选取网络接口,然后启动抓包则进行实时流量捕获,并在各子窗口显示相关信息。通过对过滤器的设置,可以筛选需要分析的网络包。还可以通过capture->option来设置包过滤器,从而决定哪些网络包会被选中,其它则抛弃。Wireshark的主窗口界面如图2-2所示。

图2-2 Wireshark程序主界面

(1)网络包列表

显示当前capture文件中所有网络包的摘要信息,包括:编号、时间戳、源IP地址、目的IP地址、协议等信息。capture文件中的一个网络包对应网络包列表框中的一行,当选中其中一行,则该网络包对应的更详细信息分别显示在下面两个面板内。

(2)选中网络包的头部信息

用一种较为详细的形式显示所选中网络包的信息,包括协议和协议的个字段信息,可以通过点击行首的“+”来展开信息。

(3)选中网络包的内容

又称为“网络包字节面板”,以字节的形式显示网络包列表框中选中网络包的内容。分为三列,最左边一列是字节的偏移量;中间一列是以十六进制表示的网络包字节信息;而最右边一列是对应的ASCII字符(如果没有合适的ASCII字符,则用.表示)。

(4)显示过滤器设置

用于设置显示过滤器,从而筛选出要显示的网络包。例如:ip.src==192.168.1.1,则只显示源IP地址为192.168.1.1的网络包。通过逻辑表达式可以构造出更复杂的显示过滤器。

根据上述基本的设置功能,可以观察基本的协议行为,理解协议的工作过程,因此可以利用Wireshark工具进行网络协议的学习。

2.使用wireshark

(1)使用ping命令抓取数据包,分析该数据包的IP协议首部的主要字段的内容和含义。

(2)ping命令是向目标主机发送ICMP请求数据包,当目标主机给与ICMT echo类型数据包回应时就可以试探出本机和目标主机之间连通性。使用ping命令并抓取目标主机送回的ICMP echo消息,分析ICMP数据报中的主要字段内容及其作用。

【实验内容】

要求学生在各自机器上进行文件下载和浏览网页操作,通过Wireshark捕获报文并分析TCP/IP协议族中各种协议的报文格式和工作过程。然后在各自机器上发送ping、tracert命令,然后通过Wireshark捕获以太网帧并分析IP、ICMP和ARP协议的报文格式和工作过程。【实验步骤】

(1)启动Wireshark,并设置好相关参数;

(2)启动Wireshark捕获功能;

(3)发送ping或tracert命令或进行文件下载和网页浏览;

(4)分析Wireshark捕获的各种报文并验证TCP/IP协议的报文格式和工作过程。

例如:ICMP协议分析

(1)运行Wireshark,开始截获报文,为了只截获和实验内容有关的报文,将Wireshark的Capture Filter设置为“No Broadcast and no Multicast”;

(2)以为目标主机,在命令窗口执行ping命令,要求ping通10次;

(3)停止截获报文,分析截获的结果

实验题目:

1.(1)设置获取数据包的filter为两台机之间。

(2)捕获两台机之间的IP数据报的报文。

(3)在报文的十六进制代码中找出源IP、目标IP、首部长度以及协议字段的值。2.(1)设置获取数据包的filter为两台机之间。

(2)捕获两台机之间的ICMP报文。

(3)分析echo和echo reply两种类型的ICMP报文的。

3.(1)先对Capture Filter的hardware address进行设置。

(2)捕获ARP的request报文。

(3)给出该报文中的Sender’s hardware address和Target hardware address的值。4.(1)先对Capture Filter的hardware address进行设置。

(2)捕获ARP的reply报文。

(3)给出该报文中的Sender’s hardware address和Target hardware address的值。

相关主题