网络协议数据获取与TCP/IP协议分析
北京理工大学信息与电子学院
1. 实验目的
在这个实验中我们将利用网页浏览的例子来分析网络协议的层次结构。我们将分析数据链路层、IP层以及应用层的协议数据单元(PDU)。特别地,我们将检查IP 地址与端口号如何在一起协调工作,完成端到端的应用。
2. 实验环境介绍
MAC地址和IP地址通过cmd中ipconfig/all获得
包括操作系统:win7
网络接入方式:通过srun3000接入
MAC地址:
IP地址:
3. 实验中分析的协议
(1)以太网与IP编址
(2)DNS查询与响应
(3)TCP三次握手、序列号和ACK应答号
(4)HTTP GET 和响应报文
(5)UDP协议
(6)ARP协议
4. 实验步骤
抓的是google的首页
(1)启动 Wireshark;
(2)启动一个网页浏览器,并输入谷歌的网址:http://biz.doczj.com/doc/8511960679.html,/,此时不按下回车键。
(3)启动Wireshark开始抓包;并
在浏览期网页位置按下回车键,开始访问指定的网页。
(4)
一旦网页内容下载完毕,立即停止Wireshark抓包,并将抓到的数据包存入文件中,同时将显示的网页存储下来,以便后面参考
5. 协议的分析
5.1 以太网帧,IP分组和UDP数据报
(1)检查客户端发出的第一个DNS分组如下:
1)通过以以太帧的展开可以得到以下信息:
a. 确定客户端的以太网地址为:bc:ae:c5:51:a7:03(和cmd查询所得一致)
b.目的以太帧的地址为:00:d0:2b:12:f9:00
c.以太网帧结构的TYPE字段的内容是:IP(0x0800)
2)通过IP帧的展开可以得到以下信息:
a.客户端的IP地址是:10.2.29.37(跟cmd查询所得一致)
b.目的端得IP地址是:10.0.0.10
目的IP其实是学校的DNS服务器的地址:
与连接到Internet计算机的关系是 server与client的关系。
(2)检查客户端发出的第一个DNS分组的IP 报头
a.报头的长度是:
b.分组的总长度:
c.载荷数据中协议的编号和类型是:
(3)检查客户端发出的第一个DNS分组的UDP报头
报头内容如下:
a.确定客户端临时端口号:59307
b.服务器端的默认端口号:53
c.确定UDP报头中的长度字段是否与IP报头长度信息一致
UDP报头长度为:43
IP报头长度为:63-20=43
所以两者相等。
(4)画出客户端和服务器端从数据链路层到应用层的协议栈,并解释为什么各层的PDU内容能够使得应用层的进程之间实现端到端通信。
5.2 DNS
(1)检查客户端发送的DNS分组中的DNS查询报文,内容如下:
a)哪个字段表明这个报文:query,并且说明响应在第51帧
b)查询的正文中传送的信息:网址为:http://biz.doczj.com/doc/8511960679.html,,网络的类
型为A,级别为:IN,即代表internet。
c)查询的交互ID是:
d)确定查询的类型与级别的字段:
(2)现在检查对上述查询的DNS响应的分组,内容如下:
a.客户端和目的地址的MAC地址:
可以看出和查询时候是对应的。
b.客户端和目的地址的IP地址:
可以看出和查询时是对应关系,说明准确。
c.传送DNS响应的IP分组的大小:
所以大小为:328-20=308.
d.UDP数据报的大小:
两者也同样相等,并且响应的比查询的数据大小要长。
e.确定在响应报文中的交互ID是:
和查询时的ID号是一致的,说明是正确的。
f.在响应报文中提供了:7次答案,并且其TTL值如下所示:
流程图如下:
5.3 TCP 三次握手
(1)确定http客户端和服务器端建立连接
的三次握手的第一个TCP分段的帧结构。
a.第一个TCP分段为:
b.客户端和目的端的MAC地址分别为:
和DNS时的一致。
c.客户端和目的端的IP地址分别为:
说明通过学校的DNS服务器,客户端的IP已经和google的IP可以互通。
目的以太网地址对应的是学校的DNS服务器的MAC地址的值,目的IP 地址对用的对应的google服务器的IP值
TCP协议的内容如下:
从中可以看出:
a.客户端使用的临时端口号:
b.使用的默认端口号:和http默认的端口
号一致。
c.TCP分段的长度是:
d.客户端到服务器端分段的初始序列号是:
e.初始窗口大小是:
f.最大分段尺寸是:
g.包含SYN标志的十六进制字符:
(2)确定三次握手中的第二分段
a. 第一和第二分段抓取的时间差是:2.933053-2.729523=0.20353
b. 以太网帧的源地址和目的地址以及类型字段,如下图所示:
c. IP分组中的源IP地址和目的IP地址及其端口号,如下图所示:
IP地址为:
端口号为:
d. TCP分段中的ACK序列号:
e. 各个标识位的值:
f. TCP分段的长度是:
g. 最大分段尺寸是:
(3)确定三次握手中的最后一个分段
a. 从第二分段到最后分段的时间差是:2.933188-2.933053=0.000135
比起第二次的时间减少,因为第二阶段要协商最大分段尺寸,并且还要产生随机的初始序号,比第三阶段内容多。
b. 序列号和ACK序列号:
c. 标志比特的值以及窗口尺寸:
d. 最后一个分段的长度是:
5.4 HTTP GET 报文
(1)确定包含HTTP GET报文的数据帧
为第61帧:
a. 确认TCP报头中的序列号和ACK号:
和预期的是一样的。
b. TCP报头中的标识位:
其中的ACK和Push被置位了,
ACK被置位表示确认号有效,PSH被置位表示通知接收TCP模块立即将
数据传递到应用程序。
c. 分段及载荷的长度分别是:
(2)现在考察GET报文的内容
a.
将Wireshark软件的第三个窗口向下滚动,将解码的内容与第二个窗口中
的HTTP报文进行比较;
b. 数一数报文中的字节数为20字节与TCP报头中的长度信息一致;
c. 来自服务器的下一个分段期望的下一个序列号应当是:
应该是:现在的序列号+载荷长度=1+503=504
5.5 HTTP Response
a. HTTP GET报文与响应报文之间的时间差是:3.382972-2.933495=0.449477
b. 确定服务器是采用简单的TCP ACK分段进行应答的,并且
来自服务器的分段的序列号是504,即是期望的序列号。
c. 现在考察HTTP响应报文的分段
一共分成了13段,每段的长度加起来正好是总的长度。
d. 检查标志是否有置位:
PSH,ACK被置位。ACK被置位表示确认号有效,PSH被置位表示通知
接收TCP模块立即将数据传递到应用程序。
e. 来自客户端的下一个分段期望的下一个ACK序列号应当是:
f. 响应报文的结果码是:200
5.6 UDP协议
源端口号为:14958
目的端口号为:51358
总的长度为:111
数据的长度为:103字节
5.7 ARP协议
发送端的MAC为:00:26:22:0c:3e:20
IP地址为:10.2.29.46
想知道IP为:10.2.28.1对应的MAC地址。
即把10.2.28.1的MAC地址告诉10.2.29.46.
实验小结
通过本次实验,我初步学会了使用Wireshark进行抓包分析。比较深刻地理解了网络协议的层次结构。通过分析数据链路层、IP层以及应用层的协议数据单元(P DU) ,对各层有比较升入的认识。并且了解了如何进行端到端的通信。
解答: 1. OSI标准中,采用的是三级抽象:体系结构,服务定义,协议说明。 2. TCP/IP协议族中,使用了三个不同层次的地址,主机网络层或网络接口层使用了:物理地址(MAC地址)。 3. TCP/IP协议族中,使用了三个不同层次的地址,传输层使用了:端口地址。 4. TCP/IP协议族中,使用了三个不同层次的地址,网络层使用了:逻辑地址(IP地址)。 5. 根据所提供的服务方式的不同,端口又可分为TCP协议端口和UDP协议端口两种。 6. 从端口的性质来分,通常可以分为以下三类,注册端口(Registered Ports)松散地绑 定于一些服务。 7. 从端口的性质来分,通常可以分为三类,FTP和HTTP服务需要使用:公认端口(Well Kno wn Ports)类型。 8. 从端口的性质来分,通常可以分为三类,动态或私有端口(Dynamic and/or Private Po rts)容易被黑客和木马程序利用。 9. 接口是同一结点内相邻层之间交换信息的连接点。 10. CCITT与ISO的工作领域是不同的:CCITT 主要是考虑通信标准的制定。 11. CCITT与ISO的工作领域是不同的:ISO主要是考虑信息处理与网络体系结构。 12. OSI参考模型和TCP/IP参考模型只是描述了一些概念,用来协调进程间通信标准的制定。 13. 通信服务可以分为两大类:面向连接服务(connect-oriented service)和无连接服 务(connectless service)。 14. 网络数据传输的可靠性一般通过确认和重传机制保证。 15. 通信协议包括:面向连接与确认服务;面向连接与不确认服务;无连接与确认服务;无连接与不确认服务四种类型。 16. IP协议是无连接的、提供“尽力而为”服务的网络层协议。 17. 17. INTERNET使用了不同类型的地址概念,应用层使用了域名(DNS)、电子邮件址、URL等地址。 18. 网络协议是由程序和进程来完成的。 19. B类IP地址中的一个私有网络地址,如果需要50个子网,网络掩码应该为(点十进制表示):255.255.252.0 。
计算机网络技术及应用实验报告开课实验室:南徐学院网络实验室
第一部分是菜单和工具栏,Ethereal提供的所有功能都可以在这一部分中找到。第二部分是被捕获包的列表,其中包含被捕获包的一般信息,如被捕获的时间、源和目的IP地址、所属的协议类型,以及包的类型等信息。 第三部分显示第二部分已选中的包的每个域的具体信息,从以太网帧的首部到该包中负载内容,都显示得清清楚楚。 第四部分显示已选中包的16进制和ASCII表示,帮助用户了解一个包的本来样子。 3、具体分析各个数据包 TCP分析:
源端口 目的端口序号 确认号 首部长度窗口大小值
运输层: 源端口:占2个字节。00 50(0000 0000 1001 0000) 目的端口:占2个字节。C0 d6(1100 0000 1101) 序号:占四个字节。b0 fe 5f 31(1011 0000 0101 1110 0011 0001) 确认号:占四个字节。cd 3e 71 46(1100 1101 0011 1110 0110 0001 0100 0110) 首部长度:共20个字节:50(0101 0001) 窗口大小值:00 10(0000 0000 0001 00000) 网络层: 不同的服务字段:20 (0010 0000)
总的长度:00 28(0000 0000 0010 10000) 识别:81 28(1000 0001 0010 10000) 片段抵消:40 00(0100 0000 0000 0000) 生存时间:34 (0011 0100) 协议: 06(0000 0110)
网络数据包的捕获与 协议分析
实验报告 ( 2016 / 2017 学年第一学期) 题目:网络数据包的捕获与协议分析 专业计算机科学与技术 学生姓名张涛 班级学号 14210133 指导教师江中略 指导单位计算机系统与网络教学中心 日期 2016.10.31
实验一:网络数据包的捕获与协议分析 一、实验目的 1、掌握网络协议分析工具Wireshark的使用方法,并用它来分析一些协议; 2、截获数据包并对它们观察和分析,了解协议的运行机制。 二、实验原理和内容 1、tcp/ip协议族中网络层传输层应用层相关重要协议原理 2、网络协议分析工具Wireshark的工作原理和基本使用规则 三、实验环境以及设备 Pc机、双绞线、局域网 四、实验步骤 1.用Wireshark观察ARP协议以及ping命令的工作过程: (1)打开windows命令行,键入“ipconfig -all”命令获得本机的MAC地址和缺省路由器的IP地址;结果如下: (2)用“arp -d”命令清空本机的缓存;结果如下 (3)开始捕获所有属于ARP协议或ICMP协议的,并且源或目的MAC地址是本机的包。
(4)执行命令:ping http://biz.doczj.com/doc/8511960679.html,,观察执行后的结果并记录。 此时,Wireshark所观察到的现象是:(截图表示)
2.设计一个用Wireshark捕获HTTP实现的完整过程,并对捕获的结果进行分 析和统计。(截图加分析)
3.设计一个用Wireshark捕获ICMP实现的完整过程,并对捕获的结果进行分 析和统计。 要求:给出捕获某一数据包后的屏幕截图。以16进制形式显示其包的内容,并分析该ICMP报文。(截图加分析) 0000 6c 71 d9 3f 70 0b 78 eb 14 11 da b2 08 00 45 00 lq.?p.x. ......E. 0010 00 44 e4 9d 00 00 31 01 f7 11 6a 03 81 f3 c0 a8 .D....1. ..j..... 0020 01 6b 03 0a ab 1a 00 00 00 00 45 00 00 28 68 29 .k...... ..E..(h) 0030 40 00 73 06 f1 9c c0 a8 01 6b 6a 03 81 f3 e9 df @.s..... .kj..... 0040 01 bb e1 58 0a 8d 93 e6 e0 94 50 11 01 01 b4 cc ...X.... ..P..... 0050 00 00 ..
201710TCPIP协议原理与编程作业 1.( 2.0分)下列说法正确的是 A、TCP伪头部和长度补足部分要进行传输 B、RARP是传输层的协议 C、TCP连接的三次握手目的是为了同步连接双方发送数据的初始序列号 D、IP协议提供可靠的数据传输服务 我的答案:C 2.(2.0分)IP头部中,“头部长”字段的度量单位是 A、8位 B、16位 C、32位 D、64位 我的答案:C 3.(2.0分)关于ARP的说法错误的是 A、ARP使用询问/回答机制 B、ARP缓存用于减少地址解析需要的通信 C、ARP实现从物理地址到IP地址的映射 D、ARP只能在同一个物理网络中使用 我的答案:C 4.(2.0分)下列说法错误的是 A、OSI的发展比TCP/IP早10年左右 B、OSI具有完整的七层结构 C、OSI架构很少有实际运行的系统 D、TCP/IP现已成为Internet的主流协议
我的答案:A 5.(2.0分)RIP路由算法所支持的最大Hop数为 A、10 B、15 C、16 D、32 我的答案:B 6.(2.0分)以下哪个IP地址可以在Internet上使用 A、/ B、/ C、/ D、/ 我的答案:A 7.(2.0分)滑动窗口协议是一种 A、超时判断机制 B、差错纠正机制 C、差错检测机制 D、确认重发机制 我的答案:D 8.(2.0分)OSPF采用( )方式进行路由通告 A、单播 B、组播 C、广播 D、以上皆是 我的答案:B 9.(2.0分)以下不属于网络层协议的是
A、ARP B、IGMP C、ICMP D、FTP 我的答案:D 10.(2.0分)负责电子邮件传输的应用层协议是 A、SMTP B、PPP C、IP D、FTP 我的答案:A 11.(2.0分)对已经是分片的IP数据包再进行分片后得到的每个分片中的标志位是 A、一定是1 B、一定是0 C、可能是0 D、以上皆错 我的答案:A 12.(2.0分)TCP协议利用()来提供可靠服务 A、三次握手协议 B、建立连接 C、流量控制 D、超时重发机制 我的答案:A 13.(2.0分)ICMP的类型字段中,字段值为0表示的是 A、超时
snmp简单网络管理协议漏洞分析 字体: | 发表于: 2008-4-10 01:23 作者: menyuchun 来源: IXPUB技术博客 简单网络管理协议(SNMP)是一个 可以远程管理计算机和网络设备的协议. 有两种典型的远程监控模式. 他们可以粗略地分为"读"和"写"(或者是PUBLIC和PRIVATE). 如果攻击者能猜出一个PUBLIC团体串值, 那么他就可以从远程设备读取SNMP数据. 这个信息可能包括 系统时间,IP地址,接口,运行着的进程,etc等. 如果攻击者猜出一个PRIVATE团体串值 (写入或"完全控制", 他就有更改远程机器上信息的能力. 这会是一个极大的安全漏洞, 能让攻击者成功地破坏网络,运行的进程,ect. 其实,"完全控制"会给远程攻击者提供在主机上的完全管理权限. 更多信息请参见: ___________________________________________________________________ SNMP Agent responded as expected with community name: public CVE_ID : CAN-1999-0517, CAN-1999-0186, CAN-1999-0254, CAN-1999-0516
BUGTRAQ_ID : 11237, 10576, 177, 2112, 6825, 7081, 7212, 7317, 9681, 986 NESSUS_ID : 10264 Other references : IAVA:2001-B-0001 SNMP服务在UDP 161/162端口监听 用法:snmputil walk IP public [OID] [----------OID-----------------------含义-------] .1.3.6.1.2.1.25.4.2.1.2 获取系统进程 .1.3.6.1.4.1.77.1.2.25.1.1 获取用户列表 .1.3.6.1.4.1.77.1.4.1.0 获取域名 .1.3.6.1.2.1.25.6.3.1.2 获取安装的软件 .1.3.6.1.2.1.1 获取系统信息 -------------------------------------------------------------------- 扫描到的一个报告: . 端口"snmp (161/udp)"发现安全漏洞: Snmp口令: "public" . 端口"snmp (161/udp)"发现安全提示: sysDescr.0 = Draytek V3300 Advanced Router sysUpTime.0 = 3 Days, 1 Hours, 53 Minutes, 10 Seconds
安徽农业大学 计算机网络原理课程设计 报告题目wireshark抓包分析了解相关协议工作原理 姓名学号 院系信息与计算机学院专业计算机科学与技术 中国·合肥 二零一一年12月
Wireshark抓包分析了解相关协议工作原理 学生:康谦班级:09计算机2班学号:09168168 指导教师:饶元 (安徽农业大学信息与计算机学院合肥) 摘要:本文首先ping同一网段和ping不同网段间的IP地址,通过分析用wireshark抓到的包,了解ARP地址应用于解析同一局域网内IP地址到硬件地址的映射。然后考虑访问http://biz.doczj.com/doc/8511960679.html,抓到的包与访问http://biz.doczj.com/doc/8511960679.html,抓到的包之间的区别,分析了访问二者网络之间的不同。 关键字:ping 同一网段不同网段 wireshark 协议域名服务器 正文: 一、ping隔壁计算机与ping http://biz.doczj.com/doc/8511960679.html,抓到的包有何不同,为什么?(1)、ping隔壁计算机 ARP包:
ping包: (2)ing http://biz.doczj.com/doc/8511960679.html, ARP包:
Ping包: (3)考虑如何过滤两种ping过程所交互的arp包、ping包;分析抓到的包有
何不同。 答:ARP地址是解决同一局域网上的主机或路由器的IP地址和硬件地址的映射问题,如果要找的主机和源主机不在同一个局域网上,就会解析出网 关的硬件地址。 二、访问http://biz.doczj.com/doc/8511960679.html,,抓取收发到的数据包,分析整个访问过程。(1)、访问http://biz.doczj.com/doc/8511960679.html, ARP(网络层): ARP用于解析IP地址与硬件地址的映射,本例中请求的是默认网关的硬件地址。源主机进程在本局域网上广播发送一个ARP请求分组,询问IP地址为192.168.0.10的硬件地址,IP地址为192.168.0.100所在的主机见到自己的IP 地址,于是发送写有自己硬件地址的ARP响应分组。并将源主机的IP地址与硬件地址的映射写入自己ARP高速缓存中。 DNS(应用层): DNS用于将域名解析为IP地址,首先源主机发送请求报文询问http://biz.doczj.com/doc/8511960679.html, 的IP地址,DNS服务器210.45.176.18给出http://biz.doczj.com/doc/8511960679.html,的IP地址为210.45.176.3
计算机网络使用网络协议分析器捕捉和分析协议数据包样 本 计算机网络使用网络协议分析器捕捉和分析协议数据包广州大学学生实验报告开课学院及实验室:计算机科学与工程实验室11月月28日学院计算机科学与教育软件学院年级//专业//班姓名学号实验课程名称计算机网络实验成绩实验项目名称使用网络协议分析器捕捉和分析协议数据包指导老师熊伟 一、实验目的 (1)熟悉ethereal的使用 (2)验证各种协议数据包格式 (3)学会捕捉并分析各种数据包。 本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。 文档如有不当之处,请联系本人或网站删除。 二、实验环境1.MacBook Pro2.Mac OS3..Wireshark 三、实验内容,验证数据帧、IP数据报、TCP数据段的报文格式。 ,,分析结果各参数的意义。 器,分析跟踪的路由器IP是哪个接口的。 对协议包进行分析说明,依据不同阶段的协议出分析,画出FTP 工作过程的示意图a..地址解析ARP协议执行过程b.FTP控制连接建立过程c.FTP用户登录身份验证过程本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。
文档如有不当之处,请联系本人或网站删除。 d.FTP数据连接建立过程 e.FTP数据传输过程 f.FTP连接释放过程(包括数据连接和控制连接),回答以下问题:a..当访问某个主页时,从应用层到网络层,用到了哪些协议?b.对于用户请求的百度主页(),客户端将接收到几个应答报文??具体是哪几个??假设从是本地主机到该页面的往返时间是RTT,那么从请求该主页开始到浏览器上出现完整页面,一共经过多长时间??c.两个存放在同一个服务器中的截然不同的b Web页(例如,,和d.假定一个超链接从一个万维网文档链接到另一个万维网文档,由于万维网文档上出现了差错而使超链接指向一个无效的计算机名,这时浏览器将向用户报告什么?e.当点击一个万维网文档时,若该文档除了次有文本外,,那么需要建立几次TCP连接和个有几个UDP过程?本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。 文档如有不当之处,请联系本人或网站删除。 析,分析ARP攻击机制。 (选做),事实上,TCP开始发送数据时,使用了慢启动。 利察用网络监视器观察TCP的传输和确认。 在每一确认到达之后,慢启动过程中发生了什么?(选做),,TCP 必须准备重发初始段(用于打开一个连接的一个段)。 TCP应等多久才重发这一段?TCP应重发多少次才能宣布它不能打开一个连接?为找到结果尝试向一个不存在的地址打开一个连接,并使用网络监视器观察TCP的通信量。
网络数据包协议分析 一、实验目的 1.学习网络协议分析工具Ethereal的使用方法; 2.截获数据并对它们观察,分析其中2中协议(arp&tcp)数据包包头各数据位的含义, 了解协议的运行机制。 二、实验步骤 1.安装并打开Ethereal软件; 2.利用”运行cmd”打开命令提示符,输入“ping”确认网络连接是否完成; 3.点击capture->options选择网卡(默认有线); 4.点击capture开始抓包; 5.打开浏览器,访问一个网站,这样才可以抓到tcp的数据包; 6.点击stop停止抓包。 三、实验结果分析 1.Arp---address resolution protocol,地址解析协议的缩写,就是主机在发送帧前将目 标IP地址(32位)转换成目标MAC地址(48位)的过程。它属于链路层的协议。
ARP协议数据包包头数据位分析: 1.第一栏显示帧信息。 Frame 280 (60 bytes on wire,60 bytes capture)是指该数据包含有60个字节,ethereal软件截获了60个字节。点击打开,里面包括了到达时间、相对前一个包的时间延迟、传输时间、帧号280、包长度(60字节)和捕获到的长度(60字节)。 2.第二栏显示以太网信息。 源MAC地址是f4:6d:04:3a:62:33,目的MAC地址是ff:ff:ff:ff:ff:ff。 3.第三栏显示因特网协议信息。 它包括了硬件类型:以太网;协议类型是IP协议和发送方的IP地址与MAC地址,也包括了目的IP地址和MAC地址。 2.tcp—transition control protocol,传输控制协议的缩写。是一种面向连接(连接导向) 的、可靠的、基于字节流的传输层通信协议。
CHAPTER 4 Introduction to Network Layer Exercises 1.We mention one advantage and one disadvantage for a connectionless service: a.The connectionless service has at least one advantage. A connectionless service is simple. The source, destination, and the routers need to deal with each packet individually without considering the relationship between them. This means there are no setup and teardown phases. No extra packets are exchanged between the source and the destination for these two phases. b.The connectionless service has at least one disadvantage. The packets may arrive out of order; the upper layer that receive them needs to reorder them. 3.An n-bit label can create 2n different virtual-circuit identifier. 5.Each packet started from the source needs to have a fragmentation identification, which is repeated in each fragment. The destination computer use this identifica- tion to reassemble all fragments belonging to the same packet. 7.The delay in the connection-oriented service is always more than the delay in the connectionless service no matter the message is long or short. However, the ratio of the overhead delay (setup and teardown phases) to the data transfer delay (trans- mission and propagation) is smaller for a long message than a short message in a connection-oriented service. 9.A router is normally connected to different link (networks), each with different MTU. The link from which the packet is received may have a larger MTU than the link to which the packet is sent, which means that router needs to fragment the packet. We will see in Chapter 27 that IPv6 does not allow fragmentation at the router, which means the source needs to do some investigation and make the packet small enough to be carried through all links. 11.A fragment may have been lost and never arrives. The destination host cannot wait forever. The destination host starts a time and after the time-out, it can sends an error message (see Chapter 9) to inform the source host that the packet is lost and, if necessary, should be resent. The time-out duration can be based on the informa- 1
1. OSI标准中,采用的是三级抽象:体系结构,服务定义,协议说明。 2. TCP/IP协议族中,使用了三个不同层次的地址,主机网络层或网络接口层使用了:物理地址(MAC地址)。 3. TCP/IP协议族中,使用了三个不同层次的地址,传输层使用了:端口地址。 4. TCP/IP协议族中,使用了三个不同层次的地址,网络层使用了:逻辑地址(IP地址)。 5. 根据所提供的服务方式的不同,端口又可分为TCP协议端口和UDP协议端口两种。 6. 从端口的性质来分,通常可以分为以下三类,注册端口(Registered Ports)松散地绑 定于一些服务。 7. 从端口的性质来分,通常可以分为三类,FTP和HTTP服务需要使用:公认端口(Well Kno wn Ports)类型。 8. 从端口的性质来分,通常可以分为三类,动态或私有端口(Dynamic and/or Private Po rts)容易被黑客和木马程序利用。 9. 接口是同一结点内相邻层之间交换信息的连接点。 10. CCITT与ISO的工作领域是不同的:CCITT 主要是考虑通信标准的制定。 11. CCITT与ISO的工作领域是不同的:ISO主要是考虑信息处理与网络体系结构。 12. OSI参考模型和TCP/IP参考模型只是描述了一些概念,用来协调进程间通信标准的制定。 13. 通信服务可以分为两大类:面向连接服务(connect-oriented service)和无连接服 务(connectless service)。 14. 网络数据传输的可靠性一般通过确认和重传机制保证。 15. 通信协议包括:面向连接与确认服务;面向连接与不确认服务;无连接与确认服务;无连接与不确认服务四种类型。 16. IP协议是无连接的、提供“尽力而为”服务的网络层协议。 17. 17. INTERNET使用了不同类型的地址概念,应用层使用了域名(DNS)、电子邮件址、URL等地址。 18. 网络协议是由程序和进程来完成的。 19. B类IP地址中的一个私有网络地址,如果需要50个子网,网络掩码应该为(点十进制表示):。 20. C类IP地址中的一个私有网络地址,从网络地址开始。
tcpip协议分析试题与答案 《TCP/IP协议分析》模拟测试试题一 一、单项选择题(每题2分,共30分) 1.DNS是用来解析下列各项中的哪一项() A、IP地址和MAC地址 B、用户名和IP地址 C、TCP名字和地址 D、主机名和传输层地址 2.TELNET是进程端口号一般是()A、80B、25C、23D、21 3.()拓扑使用细缆。 A、10BASE2 B、10BASE5 C、10BASE-T D、100BASE-FX 4. 路由功能一般在()实现。 A、物理层 B、数据链路层 C、网络层 D、传输层 5.管理计算机通信的规则称为:() A、协议 B、介质 C、服务 D、网络操作系统 6.域名http://biz.doczj.com/doc/8511960679.html,/ 由4 个子域组成,其中哪个表示主机名。() A、www B、pdsu C、edu D、cn 7. 通信子网不包括() A、物理层 B、网络层 C、传输层 D、数据链路层 8.IP 地址192.1.1.2 属于,其默认的子网掩码为。 A、B 类,255.255.0.0 B、A 类,255.0.0.0 C、C 类,255.255.0.0 D、C 类,255.255.255.0 9 .IP 协议提供的是类型。() A、面向连接的数据报服务 B、无连接的数据报服务 C、面向连接的虚电路服务 D、无连接的虚电路服务 10 .Internet 采用了目前在分布式网络中最流行的模式,大大增强了网络信息服务的灵活性。() A、主机/ 终端 B、客户/ 服务器 C、仿真终端 D、拨号PPP 11.负责电子邮件传输的应用层协议是() A、SMTP B、PPP C、IP D、FTP 12.文件传输是使用下面的协议。() A、SMTP B、FTP C、SNMP D、TELNET 13. 在下列给出的协议中,不是TCP/IP 的应用层协议。 A、HTTP B、FTP C、TCP D、POP3 14.传输介质是通信网络中发送方和接收方之间的( ) 通路。 A、物理 B、逻辑 C、虚拟 D、数字 15.传送速率单位“b/s ”代表() A、bytes per second B、bits per second C、baud per second D、billion per second 二、填空题(每空1 分,共20分) 1.用户在INTERNET上发邮件是通过(SMTP)协议来实现的,收邮件是通过(POP3)协议实现的。 2.OSI参考模型中,提供建立、维护和拆除端到端连接的层是(传输层),为报文分组提供在网络中路由功能的层是(网络层),负责把源计算机的数据编码成适合传输的比特流的层是(数据链路层)。 3.物理层的接口特性有机械特性、(电气特性)、功能特性和(规程特性)。 4.E-mail 地址的格式一般是(用户名@邮件服务器域名)。
IPV6协议抓包分析 一、实践名称: 在校园网配置使用IPv6,抓包分析IPv6协议 二、实践内容和目的 内容:网络抓包分析IPv6协议。 目的:对IPv6协议的更深层次的认识,熟悉IPv6数据报文的格式。 三、实践器材: PC机一台,网络抓包软件Wireshark 。 四、实验数据及分析结果: 1.IPv6数据报格式: 2. 网络抓包截获的数据:
3. 所截获的IPv6 的主要数据报为:? Internet Protocol Version 6?0110 .... = Version: 6?. (0000) 0000 .... .... .... .... .... = Traffic class: 0x00000000?.... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000 Payload length: 93 Next header: UDP (0x11)?Hop limit: 1?Source: fe80::c070:df5a:407a:902e (fe80::c070:df5a:407a:902e) Destination: ff02::1:2 (ff02::1:2) 4. 分析报文: 根据蓝色将报文分成三个部分:
第一部分: 33 33 00 01 00 02,目的组播地址转化的mac地址, 以33 33 00表示组播等效mac;00 26 c7 e7 80 28, 源地址的mac地址;86 dd,代表报文类型为IPv6 (0x86dd); 第二部分: 60,代表包过滤器"ip.version == 6"; 00 00 00,Traffic class(通信类别): 0x00000000; 00 5d,Payload length(载荷长度,即报文的最后一部分,或者说是报文携带的信息): 32; 11,Next header(下一个封装头): ICMPv6 (17); 01,Hop limit(最多可经历的节点跳数): 1; fe 80 00 00 00 00 00 00 c0 70 df 5a 40 7a 90 2e,源ipv6地址; ff 02 00 00 00 00 00 00 00 00 00 00 00 01 00 02,目的ipv6地址; 第三部分(报文携带的信息): 02,表示类型为Neighbor Solicitation (2); 22,表示Code: 38; 02 23是Checksum(校验和): 0x6faa [correct]; 00 5d 36 3a,Reserved(保留位): 00000000; fe 80 00 00 00 00 00 00 76 d4 35 ff fe 03 56 b0,是组播地址中要通信的那个目的地址; 01 01 00 23 5a d5 7e e3,表示
实验报告 ( 2014 / 2015 学年第二学期) 题目:网络数据包的捕获与协议分析 专业 学生姓名 班级学号 指导教师胡素君 指导单位计算机系统与网络教学中心 日期2015.5.10
实验一:网络数据包的捕获与协议分析 一、实验目的 1、掌握网络协议分析工具Wireshark的使用方法,并用它来分析一些协议; 2、截获数据包并对它们观察和分析,了解协议的运行机制。 二、实验原理和内容 1、tcp/ip协议族中网络层传输层应用层相关重要协议原理 2、网络协议分析工具Wireshark的工作原理和基本使用规则 三、实验环境以及设备 Pc机、双绞线、局域网 四、实验步骤 1.用Wireshark观察ARP协议以及ping命令的工作过程: (1)打开windows命令行,键入“ipconfig -all”命令获得本机的MAC地址和缺省路由器的IP地址;结果如下: (2)用“arp -d”命令清空本机的缓存;结果如下 (3)开始捕获所有属于ARP协议或ICMP协议的,并且源或目的MAC地址是本机的包。(4)执行命令:ping http://biz.doczj.com/doc/8511960679.html,,观察执行后的结果并记录。
此时,Wireshark所观察到的现象是:(截图表示) 2.设计一个用Wireshark捕获HTTP实现的完整过程,并对捕获的结果进行分析和统计。(截 图加分析) 3.设计一个用Wireshark捕获ICMP实现的完整过程,并对捕获的结果进行分析和统计。要求:给出捕获某一数据包后的屏幕截图。以16进制形式显示其包的内容,并分析该ICMP 报文。(截图加分析) 4. 设计一个用Wireshark捕获IP数据包的过程,并对捕获的结果进行分析和统计(截图加分析) 要求:给出捕获某一数据包后的屏幕截图。以16进制形式显示其包的内容,并分析在该数据包中的内容:版本首部长度、服务类型、总长度、标识、片偏移、寿命、协议、源Ip地址、目的地址 五、实验总结
CHAPTER 5 IPv4 Addresses Exercises 1. a.28 = 256 addresses b.216 = 65536 addresses c.264 = 1.846744737 × 1019 addresses 3.310=59,049 addresses 5. a.0x72220208 b.0x810E0608 c.0xD022360C d.0xEE220201 7. a.(8 bits) / (4 bits per hex digits) = 2 hex digits b.(16 bits) / (4 bits per hex digits) = 4 hex digits c.(24 bits) / (4 bits per hex digits) = 6 hex digits 9.We use Figure 5.6 (the right table) to find the class: a.The first byte is 208 (between 192 and 223) →Class C b.The first byte is 238 (between 224 and 299) →Class D c.The first byte is 242 (between 240 and 255) →Class E d.The first byte is 129 (between 000 and 127) →Class A 11. a.Class is A →netid: 114 and hostid: 34.2.8 b.Class is B →netid: 132.56 and hostid: 8.6 c.Class is C → netid: 208.34.54 and hostid: 12 1
snmp简单网络管理协议漏洞分析 字体:| 发表于: 2008-4-1001:23 作者: menyuchun来源: IXPUB技术博客 简单网络管理协议(SNMP)是一个?可以远程管理计算机和网络设备的协议. 有两种典型的远程监控模式. 他们可以粗略地分为"读"和"写"(或者是PUBLIC和PRIVATE).?如果攻击者能猜出一个P UBLIC团体串值,?那么他就可以从远程设备读取SNMP数据.?这个信息可能包括?系统时间,IP地址,接口,运行着的进程,etc等.?如果攻击者猜出一个PRIVATE团体串值 (写入或"完全控制", 他就有更改远程机器上信息的能力.?这会是一个极大的安全漏洞, 能让攻击者成功地破坏网络,运行的进程,ect.?其实,"完全控制"会给远程攻击者提供在主机上的完全管理权限.???更多信息请参见: _________________________________________________________ __________ ? SNMPAgentrespondedas expected withcommunity name:pub lic?CVE_ID :CAN-1999-0517,CAN-1999-0186,CAN-1999-0254, CAN-1999-0516 BUGTRAQ_ID: 11237, 10576,177,2112,6825, 7081, 7212,7317, 9681, 986?NESSUS_ID:10264 Other references :IAVA:2001-B-0001?? SNMP服务在UDP 161/162端口监听?用法:snmputilwalkIP public[OID]?[----------OID-----------------------含义-------] .1.3.6.1.2.1.25.4.2.1.2 获取系统进程
毕业设计(论文)网络数据包的协议分析程序的设计开发 论文作者姓名: 申请学位专业: 申请学位类别: 指导教师姓名(职称): 论文提交日期:
网络数据包的协议分析程序的设计开发 摘要 本文设计与实现了一个基于Linux下Libpcap库函数的网络数据包协议分析程序。程序的主要功能包括网络数据包捕获和常用网络协议分析。程序由输入/输出模块、规则匹配模块、数据捕获模块、协议分析模块组成。其中数据捕获模块和协议分析模块是本程序最关键、最主要的模块。 本文的主要内容如下:首先介绍了网络数据包协议分析程序的背景和概念。其次进行了程序的总体设计:确定了程序的功能,给出了程序的结构图和层次图,描述了程序的工作流程,对实现程序的关键技术做出了分析。接着,介绍完数据包捕获的相关背景和Libpcap函数库后,阐述了如何利用Libpcap函数库实现网络数据包捕获模块。然后对协议分析流程进行了详细的讲解,分析了常用网络协议。最后进行了程序的测试与运行:测试了程序能否按照预期的效果正确执行,印证了预期结果。 关键词:Libpcap;Linux;数据包捕获;应用层;协议识别
The Design and Development of Network Packet Protocol Analyzing Program Abstract The thesis is an attempt to introduce an implementation of network protocol analyzing program which is based on Libpcap, a famous network packet capture library on Linux. It has a rich feature set which includes capturing network packets and analyzing popular network protocols on Internet. The program is made up of an input/output module, a rules matching module, a packet capturing module and a protocol analyzing module. And the last two modules are key modules. The research work was described as followed. firstly, we introduce the background and concepts about network protocol analyzing programs; and we make an integrated design on the program, define functions of it, figure out its structure and hierarchical graphs, describe the workflow of it, and analyze the key techniques used in it; Secondly, after elaborating on the background of packet capture and the Libpcap library, we state a approach to implement a packet capture module with Libpcap; Thirdly, we explain the workflow about protocol analysis, and analyze common network protocols; Finally, we test our program to see whether it works as expected, fortunately, it does. Key words: Libpcap; Linux; Network packet capturing; Application layer; Protocol identification
第4章IP地址:分类编址 8.试把以下的IP 地址从二进制记法转换为点分十进制记法。 a.01111111111100000110011111111101 b.110000001111000000011101 c.101100000001111101011101 d.111101111100011100011101 e.111100111000011111011101 解 我们把每一组8 位换成其等效十进制数,并增加隔开的点: a.127.240.103.253 b.175.192.240.29 c.223.176.31.93 d.239.247.199.29 e.247.243.135.221 11.试找出以下IP 地址的netid 和hostid: a.114.34.2.8 b.19.34.21.5 c.23.67.12.1 d.127.23.4.0 解 以上IP 地址都是A 类地址,故前8 位为netid,后24 位为hostid http://biz.doczj.com/doc/8511960679.html,id:114hostid:34.2.8 http://biz.doczj.com/doc/8511960679.html,id:19hostid:34.21.5 http://biz.doczj.com/doc/8511960679.html,id:23hostid:67.12.1 http://biz.doczj.com/doc/8511960679.html,id:127hostid:23.4.0 15.试用图表示出:IP 地址为8.0.0.0 的网络通过路由器连接到IP 地址为131.45.0.0 的网络。试为路由器的每一个接口选择IP 地址。还要在每一个网络上画出几个标有IP 地址的主机。每个网络是什么类别? 18.IP 地址为185.67.89.34 的主机需要进行环回测试。试问源地址和目的地址是什么? 解 源地址为:185.67.89.34 目的地址为: 127.x.y.z 28.什么是下面每一种情况的最大子网数目?