网络抓包协议分析
1 设计要求
1)下载并安装wireshark软件,熟悉wireshark,特别是抓包过滤器的使用方法。
2)抓包分析TCP三次握手报文。
2 设计任务
1)给出你安装的wireshark安装版本及其安装环境如操作系统(WIN/MAC)等。
2)抓包你的计算机访问http://biz.doczj.com/doc/b99488459.html,主页的协议报文(注意:TCP 处理的基本单元是TCP报文、或TCP报文段,或TCP segment(分段),这些都是合适的称谓。)。
3)分析上述访问的TCP三次握手报文的主要协议参数取值情况,包括源、目的IP地址,源、目的端口,SYN、ACK标志,SN(发送序号)和AN(Acknowledge Number,确认序号),窗口值WIN,LEN等,并配合三次握手报文的抓包截图按第一次到第三次握手报文分别加以说明(注意:与SYN标志一样,ACK标志是1bit,Acknowledge Number(AN)是32bit,两者是完全不同的协议字段。后者往往也简写成ACK或Ack,特别注意上下文实际表达的实际含义。抓包软件中,一般全大写的ACK是标志位,即要么0要么1;而首字母大写的Ack是AN,即确认序号)。
4)指出上述访问的TCP三次握手中你的计算机发送的第一个报文(即第一次握手报文)的序号(也称ISN--Initial SN)是多少,是否总是为0?每次新的TCP三次握手SN的初始序号ISN是否与上一次TCP三次握手报文SN的初始序号ISN相同。请配合抓包截图加以说明。TCP三次握手后的后续所有的TCP报文(除TCP拆除连接报文)中其ACK标志是否总是标记为1?
5)说明TCP SYN 攻击的原理。
3 设计内容
3.1 Wireshark安装
安装环境:Windows 10专业版○C 2018 Microsoft Corporation.
Wireshake版本:Version 2.2.1(v2.2.1-0-ga6fbd27 from master-2.2).
3.2 抓取报文
(1)、打开Wireshake软件,选中当前正在使用的网络连接,启动抓包。
如下图:
打开浏览器,访问清华官网(http://biz.doczj.com/doc/b99488459.html, ),网站响应后关闭抓包。注意:为了分析方便,浏览器中只打开清华官网一个网页,防止抓取到包的数量过多,妨碍分析。
(2)、访问清华官网属于http的GET请求,返回的网页网址为
http://biz.doczj.com/doc/b99488459.html,/publish/thu2018/index.html。因此在过滤窗口中输入http进行过滤,找到相应的包。如下:
访问清华官网http协议数据包的编号为77。
返回完整的抓包界面,找到编号为77的报文。
从图中可以发现该报文前有本次连接的三次握手的数据包,说明http请求是建立在TCP连接上的。
3.3 分析三次握手
(1)、第一次握手
主机A(192.168.1.102)的59351端口请求与主机B(166.111.4.100)的80端口建立传输连接。此请求连接建立报文将TCP首部中的SYN位置1,ACK置0,发送的报文序号Seq为x=0.如图:
(2)、第二次握手
主机B(166.111.4.100)的TCP实体收到A(192.168.1.102)的连接请求后,发回连接确认信号。在报文中将TCP首部中的SYN置为1,ACK置为1,确认序号Ack为x+1 = 1,同时也为自己选择一个发送序号Seq为y=0.
(3)、第三次握手
主机A(192.168.1.102)的TCP实体收到确认的报文后,还要向B(166.111.4.100)给出确认。确认报文的ACK置1,确认序号Ack为y+1=1,连接建立。
3.4 三次握手的相关问题
(1)、指出上述访问的TCP三次握手中你的计算机发送的第一个报文(即第一次握手报文)的序号(也称ISN--Initial SN)是多少,是否总是为0?
如图所示,TCP三次握手中第一次握手的报文序号为8002H,并不总为0。
(2)、每次新的TCP三次握手SN的初始序号ISN是否与上一次TCP三次握手报文SN的初始序号ISN相同?
访问清华官网,重新抓包。
查看ISN
发现与前一次抓包的的ISN相同。
为了防止偶然因素,再此访问抓包,发现ISN仍然是8020H.
查资料发现,客户端和服务端双方在建立tcp连接时就开始初始化序列号,这个序号的范围是0 — 231?1 2^{31} - 12 31 ?1之间,而且序号的生成也是随机的,通常是一个很大的数值,也就是说每个tcp连接使用的序号也是不一样的。
几次抓包都获取都获取到相同的ISN,可能是由于浏览器的数据缓存。
(3)、TCP三次握手后的后续所有的TCP报文(除TCP拆除连接报文)中其ACK 标志是否总是标记为1?
由上图可知在三次握手建立当前连接后,本次连接后续的所有报文ACK总为1.
3.4 TCP SYN 攻击原理
TCP连接建立,传输数据。
结合上图来说明SYN攻击。SYN攻击发生在TCP连接的第二个阶段,服务器确认客户端同步信息(SYN),用32位确认号(ACK)确认SYN信息。
可以提出这样一个假设,客户端(client)给服务器发syn之后就不存在了,那么第二次握手失败,服务器会根据预先设置的超时时间继续做第二次握手,时间可以假设如下:
第一轮第二次握手等待5s,过了五秒等不到客户端的第三次握手则继续第二轮第二次握手等待15s,依次迭代,直到等待时间超过某个阈值。(注:此处5s,15s均为假设值)。服务器不断的在进行第二次握手,消耗系统资源。
知道了SYN攻击的原理,那么如何进行SYN攻击?我们可以不断的发送TCP 连接请求,同时把自己隐藏好,不让服务器发现。可以伪造IP,服务器根据IP 来寻找客户端,由于IP是伪造的,所以TCP第二次握手会失败。伪造大量的IP 可以大幅度消耗系统资源。从技术的角度上说,我们可以利用原始套接字伪造大量IP,从而构造大量数据包,利用原始套接字构造IP数据与服务器进行第一次握手,服务器忙于在处理队列中的连接,从而消耗系统资源。
(1)、为什么学校的教务网站在使用高峰期会出现响应能力的问题?你有何解决建议?
学校的教务网站在使用高峰期(如选课期间)会有大量的IP同时访问服务器,发出TCP连接请求,而由于服务器的带宽和运算能力有限,无法同时响应所有的TCP连接请求,因此不能及时响应的TCP请求只能不断等待服务器空闲,然后才响应该TCP请求。同时,由于用户网页无法及时响应而导致用户不断刷新网页,又产生新的TCP连接请求,而之前的请求确依然在等待。
解决方法:可以采用负载均衡的方法,做链路负载和服务器负载,平衡网络流量,减少个别服务器和网络的负载压力,从而提高网页访问速度和系统稳定性。采用在高峰期分流的方法来减小服务器的访问量,比如让不同的年级在不同的时间进行选课。
(2)、使用HTTP协议访问网站时,在URL的最后跟随的?后的参数有何作用?
?用于分隔url和传输的数据。通过该方法,可实现两个url之间的数据交互,web服务器解析url时同时获得解析该url所需要的参数。
(3)、HTTP协议到底是无连接的协议还是面向连接的协议(提示:考虑HTTP的不同版本)?为什么?能否使用HTTP over UDP方式访问WWW网站?如果可以,需要解决哪些问题?
HTTP是一个标准的客户端服务器模型,是一个无状态的协议。他可以是无连接的也可以是面向连接的协议,这取决于他下层使用哪种协议来构建。
HTTP 1.0/1.1/2都使用TCP来构建传输层,TCP是面向连接的协议,所以一般情况下我们认为HTTP为面向连接的协议,但是在下一版HTTP中,有望引入谷歌主导开发的QUIC协议。QUIC放弃了TCP,使用了同级的UDP协议来做传输层。而UDP是无连接的。因此可以看出HTTP可以面向连接也可以是无连接的。
从谷歌的QUIC协议可以看到理论上是可以使用HTTP over UDP的方式访问www网站的。HTTP协议使用的TCP原因是使用TCP是安全、可靠,尤其是一些商务网站需要TCP协议传输数据。而如果多数据的及时性以及准确性没有那么高的要求的话,可以使用UDP进行传输数据。但需要解决诸如丢包,流控,拥塞,重包检测的问题。
网络协议分析 Chap 1——TCP/IP 概述 1.用IP实现异构网络互联(IP能够屏蔽底层物理网络的差异,向上提供一致性) 2.通用的协议分层思想: (1)第N层实体在实现自身定义的功能的时候,只能使用第N-1层提供的服务 (2)N层向N+1层提供服务,该服务不仅包括N层本身所具备的功能,还包括由下层服务提供的功能总和 (3)最底层只提供服务,是提供服务的基础;最高层只是用户,是使用服务的最高层,中间各层既是下一层的用户,又是上一层的服务提供者 (4)仅在相邻层间有借口,且下层服务的实现细节对上层完全透明 3.TCP/IP分层模型 分层优势:简化问题,分而治之,有利于软件升级换代 应用层、传输层、IP层、网络接口层、物理层 分层缺点:效率低 1.各层之间相互独立,都要对数据进行分别处理 2.每层处理完毕都要加一个头结构,增加了通信数据量 TCP/IP的分层原则:信宿机第n层收到的数据与信源机第n层发出的数据完全一致。 应用层:提供通用的应用程序,如电子邮件、文件传输等。 传输层:提供应用程序间端到端的通信 ①格式化信息流②提供可靠传输③识别不同应用程序 IP层:负责点到点通信 ①处理TCP分层发送请求 ②为进入的数据报寻径 ③处理ICMP报文:流控、拥塞控制 ④组播服务 网络接口层:接收IP数据报并通过选定的网络发送。 总结:TCP/IP模型是在1个硬件层上构建的4个软件层 4.TCP/IP 中协议依赖关系
CHAP 2 点到点PPP协议 1.最大接收单元:用以向对方通告可以接受的最大报文长度; 2.PPPoE定义了在以太网中使用PPP协议的规范,主要用于城域以太网以及个人用户基于以太网连接ADSL接入设备的场合 CHAP 3 Internet地址及地址解析 1.IP地址:网络号+主机号 2.IP地址的寻路特点: (1)指明了主机所在的网络,标识了对象位置 (2)标识了到达对象的路径,机先投递到对象所在网络,之后投递到相应的主机 3.IP地址分类 A类:0 —8位网络号首字节1—126 B类:10 —16位网络号首字节128—191 C类:110 —24位网络号首字节192—223 D类:1110 —组播地址首字节224—239 E类:11110 -- (保留未用)首字节240—247 特殊IP地址: 网络地址:主机号全0;广播地址:主机号全‘1’ 有限广播地址:32位全‘1’;回送地址:127.*.*.*,网络软件测试及本机进程间的通信。 4.从IP地址中提取网络部分,过程如下: (1)提取首比特位,为0则是A类地址,第一个字节是网络号 (2)首位为1,则提取第二位,为0则是B类地址,前两个字节是网络号 (3)第二位为1,则提取第三位,为0 则是C类地址,前三个字节是网络号 5.ARP的基本思想是“询问”。 6.ARP步骤: (1)发送方发送一个ARP请求,该报文以广播方式发送,包含接收方的IP地址。 (2)网络上所有主机都会受到这个请求,比较请求中的接收方IP与自己的IP,若相同,则向发送方回应,回应中包含自己的物理地址,否则不作回应。 总结:广播请求,单播回应! 话外:在TCP/IP协议中,每一个网络结点是用IP地址标识的,IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址(物理地址)寻址的。因此,必须建立IP地址与MAC地址之间的对应(映射)关系,ARP协议就是为完成这个工作而设计的。 7.ARP欺骗。(P31) (1)嗅探器的原理:在共享网络环境下,所有数据通过物理广播方式投递,在网卡工作于混杂模式下不会进行地址检查而直接接收数据,主机可以修改网卡的工作模式嗅探网断内的所有通讯数据。(被动攻击) (2)基于ARP欺骗的嗅探器:在同一网段中可以通过ARP询问知道网段内任意主机的IP地址和MAC地址映射关系。在交换式网络环境下,一台主机H若想截获A、B主机间的通讯,可以首先向A发送一个ARP应答报文,里面包含IPb/MACh,A收到后会更新
第一章练习 1 OSI和ISO分别代表什么含义?它们是什么关系? 2 OSI/RM模型没有被最终采用的原因是什么? 3下面哪些协议属于应用层协议?( B ) A. TCP和UDP B. DNS和FTP C. IP D. ARP 4 Internet最早是在( C ) 网络的基础上发展起来的? A. ANSNET B. NSFNET C. ARPANET D. MILNET 5 当网络A上的主机向网络B上的主机发送报文时, 路由器要检查( B ) 地址 A.端口 B. IP C.物理 D.上述都不是 6.下面哪一个是应用层提供的服务? ( D ) A.远程登录服务 B.文件传送 C.邮件服务 D.上述都是 7要将报文交付到主机上的正确的应用程序, 必须使用( A )地址 A.端口 B. IP C.物理 D.上述都不是 8. 网络应用访问操作系统的常用接口是,实现IP地址到物理地址映射的协议是。 9. 在TCP/IP协议族中,能够屏蔽底层物理网络的差异,向上提供一致性服务的协议是;实现异构网络互联的核心设备是。 10. 在TCP/IP网络中,UDP协议工作在层,DNS协议工作在层。 11判断对错:TCP/IP是一个被广泛采用的网际互联协议标准,仅包含TCP和IP两个协议。() 第二章练习 1 PPP协议是什么英文的缩写?用于什么场合? 2 ISP验证拨号上网用户身份时,可以使用哪些认证协议? 3.PPP协议的通信过程包括哪几个阶段? 4.LCP的用途是什么? 5.PPP是Internet中使用的(1),其功能对应于OSI参考模型的(2),它 使用(3)技术来解决标志字段值出现在信息字段的问题。 (1)A. 报文控制协议 B. 分组控制协议 C. 点到点协议 D. 高级数据链路控制协议 (2)A. 数据链路层 B. 网络层 C. 传输层 D. 应用层
第五章实验六ARQ协议模拟 [实验目的]:要求学生能够深刻理解ARQ协议,通过模拟软件对ARQ协议有更加具体的理解 [实验要求]:要求学生使用模拟的软件,通过修改不同的参数,查看两个程序通信过程中的丢失和错误包的处理情况,并且能够在实验报告上详述ARQ协议的机制。 [实验内容]: 1.ARQ模拟实验中 学生通过使用模拟信号的软件,查看不同参数情况下通信过程中出现的丢包和发生错误包后相应的客户端是如何处理的,并能够就一种情况在实验报告中详述其整个通信流程,包括校验位的判别,序号的判别,丢失和错包后的重传,ACK,NAK 等。 [实验步骤]: 1、打开XDS.EXE,选择ARO_0程序。
2、设置最小时延为100ms。数据包3实验100ms。数据包5丢失。数据包7差错。 3、发送端点击发送。截图如下:
选择ARQ_6程序,配置以及结果如下:
[实验结果分析]: ARQ_0: 首先,发送方将数据封装成帧。 先发送数据1。其十六进制码为31,二进制码为00110001。由于D6~D0中有3个1,3为奇数,因此校验位D7为1(红色)。蓝色D6-D4代表序号。 由于传输过程采用的是连续ARQ协议,发送方并不等待接收方发回的确认信息,连续将数据2~8发送给接收方,其中看到数据5和数据7丢失。 接着在发送数据8时看到接收方收到数据31H。接收方并不发送ACK。 接着接收到了32H和34H(33H时延),由于不发送ACK,发送方并不知道数据包5丢失,数据包7出现插座,因此接收方收不到35H和37H,最后收到的数据顺序为1 2 4 6 7 3 9 10。 ARQ_6:
计算机网络技术及应用实验报告开课实验室:南徐学院网络实验室
第一部分是菜单和工具栏,Ethereal提供的所有功能都可以在这一部分中找到。第二部分是被捕获包的列表,其中包含被捕获包的一般信息,如被捕获的时间、源和目的IP地址、所属的协议类型,以及包的类型等信息。 第三部分显示第二部分已选中的包的每个域的具体信息,从以太网帧的首部到该包中负载内容,都显示得清清楚楚。 第四部分显示已选中包的16进制和ASCII表示,帮助用户了解一个包的本来样子。 3、具体分析各个数据包 TCP分析:
源端口 目的端口序号 确认号 首部长度窗口大小值
运输层: 源端口:占2个字节。00 50(0000 0000 1001 0000) 目的端口:占2个字节。C0 d6(1100 0000 1101) 序号:占四个字节。b0 fe 5f 31(1011 0000 0101 1110 0011 0001) 确认号:占四个字节。cd 3e 71 46(1100 1101 0011 1110 0110 0001 0100 0110) 首部长度:共20个字节:50(0101 0001) 窗口大小值:00 10(0000 0000 0001 00000) 网络层: 不同的服务字段:20 (0010 0000)
总的长度:00 28(0000 0000 0010 10000) 识别:81 28(1000 0001 0010 10000) 片段抵消:40 00(0100 0000 0000 0000) 生存时间:34 (0011 0100) 协议: 06(0000 0110)
《网络协议分析与实现》习题解答参考思路 第1章习题解答参考思路 习题1: 该题考查对异构网络互联概念、异构网络涉及的问题以及解决方法的理解程度。其中涉及的问题包括地址问题、包格式转换问题、路由问题等,其中1.1.3节还列举了很多其他的问题。 习题2: 该题可参考教材中所讲述的用户A和用户B的数据转换和传输过程进行解答。 习题3: 该题主要考查网上查找资料的能力。在http://biz.doczj.com/doc/b99488459.html,/上可以查到所有的RFC信息。 习题4: TCP/IP模型和OSI参考模型之间的层次对应关系及各层协议参见教材中的图1-5。 习题5: 该题主要考查动手能力,可以使用Wireshark(曾称为Ethereal)、Sniffer Portable 等软件进行抓包,然后针对一些具体报文进行分析。注意分析通信中的多路复用和多路分解过程,说出通信双方的物理地址、IP地址和端口地址。 习题6: 该题主要考查阅读代码的能力,这部分代码是对数据结构课程中队列操作的一个实现。该队列是一个基于优先级排序的队列,主要的数据结构是qinfo: struct qinfo { Bool q_valid; int q_type; /* mutex type */ int q_max; int q_count; int q_seen; int q_mutex; int *q_key;
char **q_elt; }; 具体操作如下: int enq(int q, void *elt, int key); /*入队列操作,根据key的大小插到队列中的合适位置*/ void * deq(int q);/*出队列操作*/ void * headq(int q);/*获取队列头部元素*/ void * seeq(int q);/*按顺序取队列元素*/ int newq(unsigned size, unsigned mtype); /*分配一个新的队列,并返回队列的索引位置*/ int freeq(int q);/*释放队列*/ int lenq(int q);/*获取队列长度*/ static int initq();/*初始化队列*/
****** 网络协议分析与仿真 课程设计报告书 院系名称:计算机学院实验内容:网络流量分析学生姓名:*** 专业名称:网络工程班级:**** 学号:********* 时间:20**年**月**日
网络协议分析与仿真课程设计报告 网络流量分析 一、课程设计目的 加深对IP、DSN 、TCP、UDP、HTTP等协议的理解; 掌握流量分析工具的使用,学习基本的流量分析方法。 二、课程设计内容 流量分析 工具:Wireshark(Windows或Linux),tcpdump(Linux) 要求:使用过滤器捕获特定分组;用脚本分析大量流量数据(建议用perl)。 内容:Web流量分析 清除本机DNS缓存,访问某一网站主页,捕获访问过程中的所有分组,分析并回答下列问题(以下除1、3、8、11外,要求配合截图回答): (1)简述访问web页面的过程。 (2)找出DNS解析请求、应答相关分组,传输层使用了何种协议,端口号是多少? 所请求域名的IP地址是什么? (3)统计访问该页面共有多少请求IP分组,多少响应IP分组?(提示:用脚本编程实现) (4)找到TCP连接建立的三次握手过程,并结合数据,绘出TCP连接建立的完整过程,注明每个TCP报文段的序号、确认号、以及SYN\ACK的设置。 (5)针对(4)中的TCP连接,该TCP连接的四元组是什么?双方协商的起始序号是什么?TCP连接建立的过程中,第三次握手是否带有数据?是否消耗了一个 序号? (6)找到TCP连接的释放过程,绘出TCP连接释放的完整过程,注明每个TCP报文段的序号、确认号、以及FIN\ACK的设置。 (7)针对(6)中的TCP连接释放,请问释放请求由服务器还是客户发起?FIN报文段是否携带数据,是否消耗一个序号?FIN报文段的序号是什么?为什么是 这个值? (8)在该TCP连接的数据传输过程中,找出每一个ACK报文段与相应数据报文段的对应关系,计算这些数据报文段的往返时延RTT(即RTT样本值)。根据课本 200页5.6.2节内容,给每一个数据报文段估算超时时间RTO。(提示:用脚本 编程实现) (9)分别找出一个HTTP请求和响应分组,分析其报文格式。参照课本243页图6-12,在截图中标明各个字段。
安徽农业大学 计算机网络原理课程设计 报告题目wireshark抓包分析了解相关协议工作原理 姓名学号 院系信息与计算机学院专业计算机科学与技术 中国·合肥 二零一一年12月
Wireshark抓包分析了解相关协议工作原理 学生:康谦班级:09计算机2班学号:09168168 指导教师:饶元 (安徽农业大学信息与计算机学院合肥) 摘要:本文首先ping同一网段和ping不同网段间的IP地址,通过分析用wireshark抓到的包,了解ARP地址应用于解析同一局域网内IP地址到硬件地址的映射。然后考虑访问http://biz.doczj.com/doc/b99488459.html,抓到的包与访问http://biz.doczj.com/doc/b99488459.html,抓到的包之间的区别,分析了访问二者网络之间的不同。 关键字:ping 同一网段不同网段 wireshark 协议域名服务器 正文: 一、ping隔壁计算机与ping http://biz.doczj.com/doc/b99488459.html,抓到的包有何不同,为什么?(1)、ping隔壁计算机 ARP包:
ping包: (2)ing http://biz.doczj.com/doc/b99488459.html, ARP包:
Ping包: (3)考虑如何过滤两种ping过程所交互的arp包、ping包;分析抓到的包有
何不同。 答:ARP地址是解决同一局域网上的主机或路由器的IP地址和硬件地址的映射问题,如果要找的主机和源主机不在同一个局域网上,就会解析出网 关的硬件地址。 二、访问http://biz.doczj.com/doc/b99488459.html,,抓取收发到的数据包,分析整个访问过程。(1)、访问http://biz.doczj.com/doc/b99488459.html, ARP(网络层): ARP用于解析IP地址与硬件地址的映射,本例中请求的是默认网关的硬件地址。源主机进程在本局域网上广播发送一个ARP请求分组,询问IP地址为192.168.0.10的硬件地址,IP地址为192.168.0.100所在的主机见到自己的IP 地址,于是发送写有自己硬件地址的ARP响应分组。并将源主机的IP地址与硬件地址的映射写入自己ARP高速缓存中。 DNS(应用层): DNS用于将域名解析为IP地址,首先源主机发送请求报文询问http://biz.doczj.com/doc/b99488459.html, 的IP地址,DNS服务器210.45.176.18给出http://biz.doczj.com/doc/b99488459.html,的IP地址为210.45.176.3
《网络协议分析》课程标准 课程名称、代码:网络协议分析、 总学时数:36(理论课学时数:18 实践课学时数:18) 学分数:2 适用专业:计算机网络技术、计算机应用技术 一、课程的性质 1、必修课; 2、专业课。 二、课程定位 该课程是作为计算机网络技术专业和计算机应用专业的专业必修课。通过该门课的学习,使学生深入学习TCP/IP协议体系结构和基本概念,分析各个协议的设计思想、流程及其所解决的问题。通过该门课程的学习,进一步提高学生作为网络管理员的技能水平。学生能够胜任中小型企业的网络维护的日常工作。学生应先修《计算机网络基础》一课,掌握计算机网络技术的基础知识后,方可修此门课程。 三、课程设计思路 本课程的设计思路是以计算机专业学生就业为导向,着重培养学生的动手能力。通过调查研究社会对计算机专业学生在网络安全技术方面的要求,制定相关的理论教学内容和实践内容。课程整体结构按照网络管理员工作岗位所涉及到的工作任务,维护中小型局域网正常运作、检测网络故障等工作技能的培养安排课程项目。在学时分配上,理论课时与实践课时各占一半,注重实践教学,有利于提高学生的动手能力,同时也加深了对理论知识的理解,做到知其然并知其所以然。 四、课程基本目标 1、知识目标: (1)知道TCP/IP协议以及工作原理; (2)知道PPP协议以及工作原理; (3)知道Internet地址及地址解析; (4)知道IP协议以及工作原理; (5)知道ICMP协议以及工作原理; (6)知道UDP协议以及工作原理; (7)知道TCP协议以及工作原理; (8)知道Internet地址扩展技术。 2、职业技能目标: (1)能分析PPP协议; (2)能分析ARP协议; (3)能分析IP协议; (4)能分析ICMP协议; (5)能分析UDP协议; (6)能分析TCP协议; (7)能分析HTTP协议。 3、职业素质养成目标
1、网络层协议分析 1.A 数据包捕获分析部分 1.A.1、实验目的 1)、了解ICMP 协议报文类型及作用。 2)、理解IP协议报文类型和格式。 3)、分析ARP 协议的报文格式,理解ARP 协议的解析过程。 1.A.2、实验容介绍 1)、ICMP协议分析实验 执行ping 和tracert 命令,分别截获报文,分析截获的ICMP 报文类型和ICMP 报文格式,理解ICMP 协议的作用。 2)、IP协议分析实验 使用Ping 命令在两台计算机之间发送数据报,用Wireshark 截获数据报,分析IP 数据报的格式,理解IP V4 地址的编址方法,加深对IP 协议的理解。 3)、IP 数据报分片实验 我们已经从前边的实验中看到,IP 报文要交给数据链路层封装后才能发送。理想情况下,每个IP 报文正好能放在同一个物理帧中发送。但在实际应用中,每种网络技术所支持的最大帧长各不相同。例如:以太网的帧中最多可容纳1500 字节的数据,这个上限被称为物理网络的最大传输单元(MTU,MaxiumTransfer Unit)。 TCP/IP 协议在发送IP 数据报文时,一般选择一个合适的初始长度。当这个报文要从一个MTU 大的子网发送到一个MTU 小的网络时,IP 协议就把这个报文的数据部分分割成能被目的子网所容纳的较小数据分片,组成较小的报文发送。每个较小的报文被称为一个分片(Fragment)。每个分片都有一个IP 报文头,分片后的数据报的IP 报头和原始IP 报头除分片偏移、MF 标志位和校验字段不同外,其他都一样。 重组是分片的逆过程,分片只有到达目的主机时才进行重组。当目的主机收到IP 报文时,根据其片偏移和标志MF 位判断其是否一个分片。若MF 为0,片偏移为0,则表明它是一个完整的报文;否则,则表明它是一个分片。当一个报文的全部分片都到达目的主机时,IP 就根据报头中的标识符和片偏移将它们重新组成一个完整的报文交给上层协议处理。 4)、ARP协议分析实验 本次实验使用的Windows自带的Arp命令,提供了显示和修改地址解析协议所使用的地址映射表的功能。
长沙理工大学 《网络协议编程》课程设计报告 梁碧莹 学生姓名梁碧莹指导教师王静_________ 院计算机与通信工程专 级网络08-02 学 业网络工程 号200858080205
课程成绩______________________ 完成日期2011年7月2旦 课程设计任务书 (4 )在老师的指导下,要求每个学生独立完成课程设计的全部内容
应当提交的文件: (1)课程设计报告。 (2)课程设计附件(源程序、各类图纸、实验数据、运行截图等) 课程设计成绩评定 学院计算机通信工程专业网络工程 班级网络08-02班学号200858080205 学生姓名梁碧莹_______ 指导教师王静________ 课程成绩____________________ 完成日期2011年7月2日 指导教师对学生在课程设计中的评价
指导教师对课程设计的评定意见 综合成绩指导教师签字年月曰 滑动窗口协议模拟程序的设计与实现 学生:梁碧莹指导老师:王静 摘要:本文主要介绍如何根据滑动窗口协议的原理,在Visual C++的平台上设计一个滑动窗口协议模拟程序,并最终使该程序得以实现。本次程序设计分两部分:第一部分是发送方,第二部分是接收方。通过发送方和接收方之间的数据帧 传输模拟,学习滑动窗口协议控制流量的原理和方法,以及滑动窗口协议的工作
机制。 关键词:滑动窗口协议流量控制工作机制模拟程序 Desig n and Impleme ntati on of Slid ing Win dow Protocol Procedures Stude nt: Lia ng Biyi ng In structor: Wang Jing Abstract: This paper describes the prin ciple of Slidi ng Window Protocol and how to design and implement a procedure about the Sliding Win dow Protocol. The program desig n in two parts, one is the sender, the other is the receiver. After all, studying the principle and method of how the Sliding Window Protocol control the flow, and how the Sliding Window Protocol works through the transmission of data betwee n the sen der and the receiver. Keywords: Slidi ng wi ndow protocol Flow con trol Worki ng mecha nism Simulatio n program 目录 1引言 (1) 1.1 滑动窗口协议概述 (1) 1.2 本次设计任务 (2)
IPV6协议抓包分析 一、实践名称: 在校园网配置使用IPv6,抓包分析IPv6协议 二、实践内容和目的 内容:网络抓包分析IPv6协议。 目的:对IPv6协议的更深层次的认识,熟悉IPv6数据报文的格式。 三、实践器材: PC机一台,网络抓包软件Wireshark 。 四、实验数据及分析结果: 1.IPv6数据报格式: 2. 网络抓包截获的数据:
3. 所截获的IPv6 的主要数据报为:? Internet Protocol Version 6?0110 .... = Version: 6?. (0000) 0000 .... .... .... .... .... = Traffic class: 0x00000000?.... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000 Payload length: 93 Next header: UDP (0x11)?Hop limit: 1?Source: fe80::c070:df5a:407a:902e (fe80::c070:df5a:407a:902e) Destination: ff02::1:2 (ff02::1:2) 4. 分析报文: 根据蓝色将报文分成三个部分:
第一部分: 33 33 00 01 00 02,目的组播地址转化的mac地址, 以33 33 00表示组播等效mac;00 26 c7 e7 80 28, 源地址的mac地址;86 dd,代表报文类型为IPv6 (0x86dd); 第二部分: 60,代表包过滤器"ip.version == 6"; 00 00 00,Traffic class(通信类别): 0x00000000; 00 5d,Payload length(载荷长度,即报文的最后一部分,或者说是报文携带的信息): 32; 11,Next header(下一个封装头): ICMPv6 (17); 01,Hop limit(最多可经历的节点跳数): 1; fe 80 00 00 00 00 00 00 c0 70 df 5a 40 7a 90 2e,源ipv6地址; ff 02 00 00 00 00 00 00 00 00 00 00 00 01 00 02,目的ipv6地址; 第三部分(报文携带的信息): 02,表示类型为Neighbor Solicitation (2); 22,表示Code: 38; 02 23是Checksum(校验和): 0x6faa [correct]; 00 5d 36 3a,Reserved(保留位): 00000000; fe 80 00 00 00 00 00 00 76 d4 35 ff fe 03 56 b0,是组播地址中要通信的那个目的地址; 01 01 00 23 5a d5 7e e3,表示
2008-2009学年第一学期 网络协议分析 期末试卷(A卷)参考答案 第一题判断题(20小题,共20分,对打错打X) 1. 没有完成两个数据包握手称为双向“握手”,是一种不安全的进程。(V) 2. 查阅网上对象所有域名和地址的术语称为统一资源定位符URL (X ) 3. 动态端口也叫临时端口。(V) 4. 用于描述DNS数据库段的数据是一种ASCII文本数据。(V) 5.SOCKS!—种Socket 的实现机制。(X ) 6. 区分服务也叫分用服务,传输层用于向上传送通信数据。(X ) 7. RIPV2最多有15个网络直径,OSPFv2最多有128个网络直径。(X ) 8. DHCP向应消息包含DHCP#求消息。(V) 9. 定界符是PDU的有效数据。(V ) 10. ARPA是一种与Mac地址及IP地址相关的一种协议。(X ) 11. 地址请求是一种ARP服务请求。(X ) 12. 可接收的使用策略AUP是一种格式文档策略。(V ) 13. Apple Talk是一种组安全策略协议。(X ) 14. 权威服务器是PKI中一种发放安全证书的服务器。(X ) 15. 自治系统是一组单一管理权限下的路由器。(V ) 16. 区分服务也叫分用服务,传输层用于向上传送通信数据。(X ) 17. 带宽是一种跨网络信息数量的评估数据。(V ) 18. 绑定确认是一种必选数据。(X )
19. 定界符是PDU的有效数据。(V )
20. 黑洞是数据包无记录丢失的网络节点。 第二题 单项选择题( 20 小题,共 20 分) 面关于 ARP 协议的功能论述正确的是( C )。 协议边界和 OS 边界; C 、数据单元边界和协议边界; A 、 ICMP 协议同 IP 协议一样位于网络层; B 、 Traceroute 和Ping 命令进行网络检测时使用ICMP 报文; C 、 ICMP 协议可以被黑客用来探查主机的开放端口; D 、 ICMP 协议可以完成主机重定向功能。 7、下面关于 IP 协议和 UDP 协议论述正确的是( B ) 1、 A 、ARP 协议根据本地主机的 IP 地址获取远程主机的 MAC 地址; B 、ARP 协议根据远程主机的 MA C 地址获取本地主机的 IP 地址; C 、ARP 协议根据本地主机的 D 、 A RP 协议根据本地主机的 IP 地址获取本主机的 MAC 地址; MAC 地址获取本主机的 IP 地址; 2、 计算机网络体系结构在逻辑功能构成上存在有两个边界,它们是( B )。 A 、 协议栈边界和操作系统边界; B 、 D 、 3、 操作系统边界和协议栈分层边界; 下面 WAN 或 LAN 网络中关于主机数量论述不正确的是( C )。 A 、 网络中使用的协议类型越多,网络中的主机数就越少; 网络中划分的物理区域越多,网络中的主机数就越少; C 、网络中划分的广播区域越多,网络中的主机数就越少; B 、 D 、网络中使用2层交换机越多,网络中的主机数就越少; 4、 B 类网络 172.16.0.0的广播地址是( C )。 A 、172.16.0.1 B 、172.16.0.255 C 、172.16.255.255 D 、172.16.255.0 5、在进行网络 IP 地址配置时,有时会发生 IP 地址是否冲突的网络协议是( A ) IP 地址冲突, TCP/IP 协议族中检查 A 、ARP 协议 B 、PARP 协议 C 、 IP 协议 D 、 802.x 协议 6、下面关于 ICMP 协议论述不正确的是( C )。
中南林业科技大学 实验报告 课程名称:网络协议与分析 姓名:项学静学号:20104422 专业班级:2010级计算机科学与技术 系(院):计算机与信息工程学院 实验时间:2013年下学期 实验地点:电子信息楼602机房
实验一点到点协议PPP 一、实验目的 1.理解PPP协议的工作原理及作用。 2.练习PPP,CHAP的配置。 3.验证PPP,CHAP的工作原理。 二、实验环境 1.安装windows操作系统的PC计算机。 2.Boson NetSim模拟仿真软件。 三、实验步骤 1、绘制实验拓扑图 利用Boson Network Designer绘制实验网络拓扑图如图1-1。 本实验选择两台4500型号的路由器。同时,采用Serial串行方式连接两台路由器,并选择点到点类型。其中DCE端可以任意选择,对于DCE端路由器的接口(Serial 0/0)需要配置时钟信号(这里用R1的Serial 0/0作为DCE端)。 2、配置路由器基本参数
绘制完实验拓扑图后,可将其保存并装入Boson NetSim中开始试验配置。配置时点击Boson NetSim程序工具栏按钮eRouters,选择R1 并按下面的过程进行路由器1的基本参数配置: Router>enable Router#conf t Router(config)#host R1 R1(config)#enable secret c1 R1(config)#line vty 0 4 R1(config-line)#password c2 R1(config-line)#interface serial 0/0 R1(config-if)#ip address 192.168.0.1 255.255.255.0 R1(config-if)#clock rate 64000 R1(config-if)#no shutdown R1(config-if)#end R1#copy running-config startup-config 点击工具栏按钮eRouters,选择R2并按下面过程进行路由器的基本参数配置:Router>enable Router#conf t Router(config)#host R2
备注:以下给出习题答案作为参考,对于部分习题,读者也可以思考给出更好的答案。 第一章 1. 讨论TCP/IP成功地得到推广和应用的原因 TCP/IP是最早出现的互联网协议,它的成功得益于顺应了社会的需求;DARPA采用开放策略推广TCP/IP,鼓励厂商、大学开发TCP/IP产品;TCP/IP与流行的UNIX系统结合是其成功的主要源泉;相对ISO的OSI模型,TCP/IP更加精简实用;TCP/IP技术来自于实践,并在实践中不断改进。 2. 讨论网络协议分层的优缺点 优点:简化问题,分而治之,有利于升级更新; 缺点:各层之间相互独立,都要对数据进行分别处理;每层处理完毕都要加一个头结构,增加了通信数据量。 3. 列出TCP/IP参考模型中各层间的接口数据单元(IDU) 应用层/传输层:应用层报文; 传输层/IP层:TCP报文段或UDP分组; IP层/网络接口层:IP数据报; 网络接口层/底层物理网络:帧。 4. TCP/IP在哪个协议层次上将不同的网络进行互联? IP层。 5. 了解一些进行协议分析的辅助工具 可在互联网上搜索获取适用于不同操作系统工具,比如Sniffer Pro、Wireshark以及tcpdump等。利用这些工具,可以截获网络中的各种协议报文,并进一步分析协议的流程、报文格式等。 6. 麻省理工学院的David Clark是众多RFC的设计者,在论及TCP/IP标准的形成及效果时,曾经讲过这样一段话:”We reject kings, presidents and voting. We believe in rough consensus and running code.”你对他的观点有什么评价。 智者见智,我认为这就是“实践是检验真理的唯一标准”。 7. 你认为一个路由器最基本的功能应该包含哪些? 对于网桥、网关、路由器等设备的分界已经逐渐模糊。现代路由器通常具有不同类型的接口模块并具有模块可扩展性,由此可以连接不同的物理网络;路由表的维护、更新以及IP数据报的选路转发等,都是路由器的基本功能。此外,路由器厂商应为使用者提供管理功能。 第二章 1. 尝试用Modem拨入某个ISP,并根据你的操作分析PPP的流程 实验题,若有接入ISP的环境,可直接测试;否则,可参考习题4一起测试。 2. 分析PAP和CHAP的优缺点 PAP简单,但安全性差;CHAP相对安全,但开销较大,且需要通信双方首先共享密钥。 3. 了解L2F和L2TP的思想及应用 这两个协议把PPP的两个端点延伸到互联网的任何角落,相当于在TCP/IP的应用层扩展了PPP的范围。其思想是发送方把PPP帧封装到L2F或L2TP报文中,接收方则对其解封以还原PPP帧,这样对于通信的两端来说看到的是PPP帧,相当于在互联网上架设了一条虚拟的PPP链路。它们主要用于构建VPN(虚拟专用网)。 4. 尝试Windows操作系统的“超级终端”功能 Windows超级终端功能在附件/通信功能下。可以用两台有Modem的计算机,各自连接
低轨卫星网络协议的仿真模拟 引言 未来全球通信系统的重要组成部分就是低轨卫星网络通信系统。由于低轨卫星通信系统的建立周期长、投资巨大,一旦建成不易对系统更改等特点,必须在系统实现前进行精确的仿真验证。OPNET是一款性能优良的网络仿真软件,能够对网络结构、设备和应用进行设计、建模、分析和管理,能够满足大型复杂网络的仿真需求,在网络层协议仿真方面具有一定的优势。然而,尽管OPNET 提供了丰富的标准节点模型、链路模型、协议模块等等,但并没有提供任何低轨卫星标准模块,给低轨卫星网络协议仿真带来一定的困难。当前一些基于OPNET 的低轨卫星仿真,大多数是将陆地网络节点利用有线链路连接,通过离散化有线链路的通断,近似模拟低轨卫星网络中的切换以及拓扑结构变化。这种方法需要针对特定低轨卫星网络在仿真之前进行复杂的运算,而且不具有通用性。文章通过分析低轨卫星协议体系结构,简化协议体系中的某些部分,在OPNET 上实现了低轨卫星网络协议仿真平台。这个平台支持非面相连接网络的路由协议的开发。最后在该仿真平台上加载动态路由协议,对仿真平台进行了验证。 1 卫星通信系统协议体系结构 根据卫星通信系统设计不同(轨道类型,星上处理或者弯管,ISL 的设计方式)采取的网络结构有许多种。根据低轨卫星通信当前发展趋势,本文主要研究具有星上处理/星上交换(OBP /OBS)以及星间链路(ISL)支持的低轨卫星网络,其协议体系结构。 由图1 可以看出星上协议中ATM与IP 之间的关系。早期的宽带IP 卫星系统大多采用基于ATM的传输技术。但是一些研究人员认为IP over Satellite 方案与IP over ATM方案相比具有更大的好处: (1)开销小。Bell 实验室仿真表明如果采用IP over ATM over SONET 的结构,大约有22%~29%的开销,而在其中SONET的开销大约是4%。因此,将ATM层去掉,将会使星上资源得到更充分的利用。 (2)易于实现千兆分组网络。目前,采用ATM 技术的多媒体卫星的实验干线速率已达622Mbps。但是在提升到吉比特时,ATM的开销大这一缺点制约了线速的继续提高。 (3)降低系统复杂度。在RS 块状编码、交织和FEC 等技术支持下,卫星链路可达准光纤质量。因此无需采用ATM复杂的QoS 保证机制便能抵御无线信道的误码。 本文将根据图1的协议框架图建立无连接的IP over Satellite网络协议仿真平台。 2 OPNET 节点模型 低轨卫星网络通信系统由空中卫星网络和地面网关两部分组成。空中卫星网络的主要特点有: (1)由于卫星之间存在相对运动导致空中卫星网络拓扑结构快速持续变化。 (2)卫星网络与地面网关之间存在高速的运动,为确保通信的持续必须进行频繁的切换。 整个卫星网络的协议划分。OPNET 提供的标准节点模块对涉及到的协议进行了细致的模拟,修改起来的工作量巨大,为了避免修改OPNET 标准节点模块,把Gateway节点拆分为两个节点:OPNET标准路由器和低轨卫星网关,这两个节点用PPP 链路直接连接,可以省去链路层协议的设计。低轨卫星网关的切换管理模块实时检测天线的俯仰角,以及信号功率,决定是否切换到另一颗卫星。此外为了把精力都放在网络层协议的设计上,对位置注册管理功能进行了简化,由一个全局独立节点来实现。例如网关可达网络列表应该由低轨卫星网关实现,每个网关都应该保存一个列表,这个列表中包括各个网关及其连接到的Internet 子网地址。网关与卫星映射关系应该由Satellite节点实现,实时向其他卫星节点通告自己当前
实验项目列表
实验报告正文: 一、实验名称使用网络协议分析仪 二、实验目的: 1. 掌握安装和配置网络协议分析仪Wireshark的方法; 2. 熟悉使用Wireshark工具分析网络协议的基本方法,加深对协议格式、协议层次和协议交互过程 的理解。 三、实验内容和要求 1. 安装和配置网络协议分析仪Wireshark(); 2. 使用并熟悉Wireshark分析协议的部分功能。 四、实验环境 1)运行Windows 8.1 操作系统的PC 一台。 2)每台PC 具有以太网卡一块,通过双绞线与局域网相连。 3)Wireshark 程序(可以从下载)和WinPcap 程序(可以从 下载。如果Wireshark 版本为 1.2.10 或更高,则已包含了WinPcap 版 本 4.1.3) 五、操作方法与实验步骤 1) 安装网络协议分析仪 安装Wireshark Version 2.2.6 (v2.2.6-0-g32dac6a)。双击Wireshark 安装程序图标,进入安装过程。根据提示进行选择确认,可以顺利安装系统。当提示“Install WinPcap 4.1.3”时,选择安装;此后进入安装WinPcap 版本4.1.3,并选择让WinPcap 在系统启动时运行。此后,Wireshark 将能安装好并运行 2) 使用Wireshark 分析协议 (1) 启动系统。点击“Wireshark”图标,将会出现下图1所示的系统界面。
图1 Wireshark系统界面 其中“俘获(Capture)”和“分析(Analyze)”是Wireshark 中最重要的功能。 (2) 分组俘获。点击“Capture/Interface”菜单,出现下图所示界面。 图2 俘获/接口界面
网络协议分析期末考试http://biz.doczj.com/doc/b99488459.html,work Information Technology Company.2020YEAR
重庆理工大学 网络协议分析 期末试卷(A卷)参考答案 第一题判断题(20小题,共20分,对打√,错打×) 1.没有完成两个数据包握手称为双向“握手”,是一种不安全的进程。(√) 2.查阅网上对象所有域名和地址的术语称为统一资源定位符URL。(×) 3.动态端口也叫临时端口。 (√) 4.用于描述DNS数据库段的数据是一种ASCII文本数据。 (√) 5.SOCKS是一种Socket的实现机制。 (×) 6.区分服务也叫分用服务,传输层用于向上传送通信数据。 (×) 7.RIPv2最多有15个网络直径,OSPFv2最多有128个网络直径。(×) 8.DHCP响应消息包含DHCP请求消息。 (√) 9.定界符是PDU的有效数据。 (√)
10.ARPA是一种与Mac地址及IP地址相关的一种协议。( ×) 11.地址请求是一种ARP服务请求。 (×) 12.可接收的使用策略AUP是一种格式文档策略。 (√) 13.Apple Talk是一种组安全策略协议。 (×) 14.权威服务器是PKI中一种发放安全证书的服务器。 (×) 15.自治系统是一组单一管理权限下的路由器。 (√) 16.区分服务也叫分用服务,传输层用于向上传送通信数据。(×) 17.带宽是一种跨网络信息数量的评估数据。 (√) 18.绑定确认是一种必选数据。 (×) 19.定界符是PDU的有效数据。 (√) 20.黑洞是数据包无记录丢失的网络节点。 (√) 第二题单项选择题(20小题,共20分)
中国矿业大学《网络协议》 姓名:李程 班级:网络工程2009-2 学号:08093672
实验一:抓数据链路层的帧 一、实验目的 分析MAC层帧结构 二、准备工作 本实验需要2组试验主机,在第一组上安装锐捷协议分析教学系统,使用其中的协议数据发生器对数据帧进行编辑发送,在第二组上安装锐捷协议分析教学系统,使用其中的网络协议分析仪对数据帧进行捕获分析。 三、实验内容及步骤 步骤一:运行ipconfig命令
步骤二:编辑LLC信息帧并发送 步骤三:编辑LLC监控帧和无编号帧,并发送和捕获:步骤四:保存捕获的数据帧 步骤五:捕获数据帧并分析 使用iptool进行数据报的捕获: 报文如下图: 根据所抓的数据帧进行分析: (1)MAC header 目的物理地址:00:D0:F8:BC:E7:06 源物理地址:00:16:EC:B2:BC:68 Type是0x800:意思是封装了ip数据报 (2)ip数据报
由以上信息可以得出: ①版本:占4位,所以此ip是ipv4 ②首部长度:占4 位,可表示的最大十进制数值是15。此ip数据报没有选项,故它的最大十进制为5。 ③服务:占8 位,用来获得更好的服务。这里是0x00 ④总长度:总长度指首都及数据之和的长度,单位为字节。因为总长度字段为16位,所以数据报的最大长度为216-1=65 535字节。 此数据报的总长度为40字节,数据上表示为0x0028。 ⑤标识(Identification):占16位。IP软件在存储器中维持一个计数器,每产生一个数据报,计数器就加1,并将此值赋给标识字段。但这个“标识”并不是序号, 因为IP是无连接的服务,数据报不存在按序接收的问题。当数据报由于长度超过网络的MTU 而必须分片时,这个标识字段的值就被复制到所有的数据报的标识字段中。相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。 在这个数据报中标识为18358,对应报文16位为47b6 ⑥标志(Flag):占3 位,但目前只有2位有意义。标志字段中的最低位记为MF (More Fragment)。MF=1即表示后面“还有分片”的数据报。MF=0表示这已是若干数据报片中的最后一个。标志字段中间的一位记为DF(Don't Fragment),意思是“不能分片”。只有当DF=0时才允许分片。这个报文的标志是010,故表示为不分片!对应报文16位为0x40。 ⑦片偏移:因为不分片,故此数据报为0。对应报文16位为0x00。 ⑧生存时间:占8位,生存时间字段常用的英文缩写是TTL (Time To Live),其表明数据报在网络中的寿命。每经过一个路由器时,就把TTL减去数据报在路由器消耗掉的一段时间。若数据报在路由器消耗的时间小于1 秒,就把TTL值减1。当TTL值为0时,就丢弃这个数据报。经分析,这个数据报的的TTL为64跳!对应报文16位为0x40。 ⑨协议:占8 位,协议字段指出此数据报携带的数据是使用何种协议,以便使目的主机的IP层知道应将数据部分上交给哪个处理过程。这个ip数据报显示使用得是TCP协议对