实验一以太网链路层帧格式分析一．实验目的分析MAC层帧结构二．实验内容及步骤步骤一：运行ipconfig命令在Windows的命令提示符界面中输入命令：ipconfig /all，会显示本机的网络信息：步骤二：编辑LLC信息帧并发送1、打开协议数据发生器，在工具栏选择“添加”，会弹出“网络包模版”的对话框，在“选择生成的网络包”下拉列表中选择“LLC协议模版”，建立一个LLC帧。

2、在“网络包模版”对话框中点击“确定”按钮后，会出现新建立的数据帧，此时在协议数据发生器的各部分会显示出该帧的信息。

3、编辑LLC帧。

4、点击工具栏或菜单栏中的“发送”，在弹出的“发送数据包”对话框上选中“循环发送”，填入发送次数，选择“开始”按钮，即可按照预定的数目发送该帧。

在本例中，选择发送10次。

5、在主机B的网络协议分析仪一端，点击工具栏内的“开始”按钮，对数据帧进行捕获，按“结束”按钮停止捕获。

捕获到的数据帧会显示在页面中，可以选择两种视图对捕获到的数据帧进行分析，会话视图和协议视图，可以清楚的看到捕获数据包的分类统计结果。

步骤三：编辑LLC监控帧和无编号帧，并发送和捕获步骤四：保存捕获的数据帧步骤五：捕获数据帧并分析1、启动网络协议分析仪在网络内进行捕获，获得若干以太网帧。

2、对其中的5-10个帧的以太网首部进行观察和分析，分析的内容为：源物理地址、目的物理地址、上层协议类型。

捕获到的数据报报文如下：对所抓的数据帧进行分析：①MAC header:目的物理地址：00:D0:F8:BC:E7:08源物理地址：00:13:D3:51:44:DD类型：0800表示IP协议②IP header:IP协议报文格式如下：版本：4表示IPv4首部长度：5表示5×4=20个字节。

服务类型：00表示正常处理该数据报。

总长度：0028表示此数据报的总长度为40字节。

标识：6033表示该数据报中标识为24627。

标志：40表示该报文标志为010，即不分片。

片偏移：不分片，所以为00。

生存时间：40表示该数据报的TTL为64跳。

协议：06表示该数据报使用的是TCP协议。

首部检验和：2AF1，用于检验数据报的首部。

源IP地址：DB:DB:44:C2对应为219.219.68.194目的IP地址：71:6C:1D:A2对应为113.108.29.102③TCP Header：TCP协议报文格式如下：源端口：07E2表示此数据包源端口为2018。

目的端口：0050表示目的端口号是80，即接收方计算机上的应用程序为HTTP协议。

序列号：4FF20151表示该报文序列号为1341260113。

确认号：401F5018表示该数据报ACK为1075793944。

首部长度：5表示首部长度为5×4=20个字节。

控制位：10表示该数据报控制位为010000，即ACK被设置为1，应答字段有效，其他均为0，无效。

窗口：F990表示此报文窗口大小为63888。

校验和：1CEB，用于错误检查。

紧急指针：URG标志未被设置，此处为0000。

实验二基本报文分析一．实验目的掌握IP数据包的组成和网络层的基本功能二．实验内容及步骤步骤一：设定实验环境步骤二：利用网络协议分析软件捕获并分析IP数据包。

1、在某台主机中打开网络协议分析软件，在工具栏中点击“开始”，待一段时间后，点击“结束”。

2、在捕获到数据包中，选择IP数据包进行分析。

分析捕获到的IP数据包，因此在本实验中，只分析数据的的IP包头部分。

步骤三：利用网络协议编辑软件编辑并发送IP数据包1、在主机PC1打开网络协议编辑软件，在工具栏选择“添加”，建立一个IP数据包。

2、填写“源物理地址”：可以在地址本中找到本机的MAC地址，然后左键选择，点击“确定”加入地址。

3、填写“目的物理地址”：可以在地址本中选择PC2的MAC地址，然后左键选择并单击“确定”加入地址。

4、填写“类型或长度”：该字段值为0800。

点击工具栏或菜单栏中的“发送”，在弹出的对话框中配置发送次数，然后选择“开始”按钮，发送帧序列。

在PC2中用协议分析器截获数据包并分析。

步骤四：运行ipconfig命令步骤五：运行ping命令捕获到的数据报报文如下：对所抓的数据帧进行分析：①MAC header:目的物理地址：00:D0:F8:BC:E7:08源物理地址：00:13:D3:51:44:DD类型：0800表示IP协议②IP header:版本：4表示IPv4首部长度：5表示5×4=20个字节。

服务类型：00表示正常处理该数据报。

总长度：0028表示此数据报的总长度为40字节。

标识：6033表示该数据报中标识为24627。

标志：40表示该报文标志为010，即不分片。

片偏移：不分片，所以为00。

生存时间：40表示该数据报的TTL为64跳。

协议：06表示该数据报使用的是TCP协议。

首部检验和：2AF1，用于检验数据报的首部。

源IP地址：DB:DB:44:C2对应为219.219.68.194目的IP地址：71:6C:1D:A2对应为113.108.29.102③TCP Header：源端口：07E2表示此数据包源端口为2018。

目的端口：0050表示目的端口号是80，即接收方计算机上的应用程序为HTTP协议。

序列号：4FF20151表示该报文序列号为1341260113。

确认号：401F5018表示该数据报ACK为1075793944。

首部长度：5表示首部长度为5×4=20个字节。

控制位：10表示该数据报控制位为010000，即ACK被设置为1，应答字段有效，其他均为0，无效。

窗口：F990表示此报文窗口大小为63888。

校验和：1CEB，用于错误检查。

紧急指针：URG标志未被设置，此处为0000。

实验三 ARP地址解析协议分析实验一．实验目的掌握ARP协议的作用和格式二．实验内容及步骤步骤一：设定实验环境步骤二：捕获ARP报文并进行分析1、在主机PC1中用命令arp –a可以查看ARP缓存表中的ARP记录，用arp –d 命令删除ARP缓存中的记录。

2、在PC1中开启协议分析仪进行数据包捕获。

3、在PC1中用命令ping172.16.1.253。

4、捕获ARP报文进行分析。

捕获的ARP请求报文；捕获的ARP应答报文。

在PC1中用命令arp –d删去ARP缓存中的ARP记录。

在PC1上开启协议分析仪捕获ARP包进行分析。

在PC1上ping PC3地址172.16.2.2。

对捕获的数据包进行分析。

步骤三：编辑发送ARP报文请求报文（同网段）1、在命令提示符下运行：arp –d，清空ARP高速缓存。

2、编辑并发送ARP报文。

3、在PC1上开启协议分析软件，进行数据包捕获分析。

4、在PC1中用命令arp –a可以查看到ARP缓存中的PC2的ARP记录。

步骤四：编辑发送ARP报文请求报文（不同网段）1、在命令提示符下运行：arp –d，清空ARP高速缓存。

2、在PC1上编辑并发送ARP请求，目标地址为PC3主机的地址。

3、在PC1上开启协议分析软件，进行数据包捕获分析。

对所抓的ARP数据报分析：ARP请求报文如下：①MAC header:目的地址：FF:FF:FF:FF:FF:FF，ARP请求时是广播地址。

源地址：00:13:D3:51:44:DD帧类型：0806表示ARP协议。

②ARP报文：ARP协议报文格式如下：硬件类型：0001表示以太网。

协议类型：0800表示IP协议，指明发送方提供的高层协议地址为IP地址。

硬件地址长度：06表示以太网。

协议地址长度：04表示IPv4。

操作类型：0001表示ARP请求。

发送方硬件地址:：00:13:D3:51:44:DD发送方IP地址：DB.DB.44.C2对应为219.219.68.194目标硬件地址：00:00:00:00:00:00目标IP地址:：DB:DB:44:7A对应为219.219.68.122ARP应答报文如下：①MAC header:目的地址：00:13:D3:51:44:DD源地址：44:37:E6:0D:4F:13帧类型：0806表示ARP协议。

②ARP报文：硬件类型：0001表示以太网。

协议类型：0800表示IP协议，指明发送方提供的高层协议地址为IP地址。

硬件地址长度：06表示以太网。

协议地址长度：04表示IPv4。

操作类型：0002表示ARP应答。

发送方硬件地址:：44:37:E6:0D:4F:13发送方IP地址：DB.DB.44.7A对应为219.219.68.122目标硬件地址：00:13:D3:51:44:DD目标IP地址:：DB:DB:44:C2对应为219.219.68.194填充：该报文使用了填充，占用了18个字节。

实验四TCP传输控制协议分析一．实验目的掌握TCP协议的报文形式；掌握TCP连接的建立和释放过程；掌握TCP数据传输中编号与确认的过程；理解TCP重传机制。

二．实验内容及步骤步骤一：设定实验环境步骤二：查看分析TCP三次握手1、在PC2中安装FTP服务端程序。

2、在PC1中开启协议分析软件，进行数据包抓包。

3、在PC1中的协议分析软件中利用工具栏中的TCP连接工具对PC2发起连接。

在IP地址中填入PC2地址172.16.1.253，端口填入FTP服务端口21，然后点击连接。

分析PC2中捕获到的三次握手报文：TCP三次握手过程中第一个报文；TCP三次握手过程中第二个报文；TCP三次握手第三个报文。

步骤三：查看分析TCP确认机制1、在PC1中开启协议分析软件进行数据包捕获。

2、在PC1协议分析软件工具栏中的TCP连接工具中连接到PC2的FTP服务器并发送dir命令。

3、分析捕获到的FTP数据包。

步骤四：查看TCP连接超时重传过程1、查看PC1中ARP缓存记录，确保有PC2中ARP记录，如下图所示。

2、将PC2从网络中断开，确保PC2不会对PC1发送的TCP连接请求进行回应。

3、在PC1中开启协议分析软件，进行数据包捕获。

4、在PC1中用工具栏中的TCP连接工具对PC2的FTP服务发起连接，如下图所示。

5、在PC1中分析捕获的TCP数据段利用HTTP协议三次握手报文如下：TCP第一次握手：TCP第二次握手：TCP第三次握手：TCP协议报文格式如下：对所抓的数据报MAC、IP协议分析同上实验，对于三次握手的分析，需要比较这三次握手数据报的相同点与不同点。

相同点：本机物理地址：219.219.68.194本机逻辑地址：00:13:D3:51:44:DD远地物理地址：220.181.124.13远地逻辑地址：00:D0:F8:BC:E7:08端口：0050表示端口号为80，即TCP三次握手使用的是HTTP协议。