下载文档原格式
实验三 网络数据包的捕获与分析一、实验目的和要求通过本次实验,了解sniffer 的基本作用,并能通过sniffer 对指定的网络行为所产生的数据包进行抓取,并分析所抓取的数据包。
二、实验内容A :1、首先打开sniffer 软件,对所要监听的网卡进行选择2、选择网卡按确定后,进入sniffer 工作主界面,对主界面上的操作按钮加以熟悉。
B :设置捕获条件进行抓包基本的捕获条件有两种:1、链路层捕获,按源MAC 和目的MAC 地址进行捕获,输入方式为十六进制连续输入,如:00E0FC123456。
2、IP 层捕获,按源IP 和目的IP 进行捕获。
输入方式为点间隔方式,如:10.107.1.1。
如果选择IP 层捕获条件则ARP 等报文将被过滤掉。
链任意捕获条件编辑协议捕获编辑缓冲区编辑基本捕获条件路层捕获IP 层捕获数据流方向链路层捕获地址条件高级捕获条件在“Advance ”页面下,你可以编辑你的协议捕获条件,如图:选择要捕获的协议捕获帧长度条件错误帧是否捕获保存过滤规则条件高级捕获条件编辑图在协议选择树中你可以选择你需要捕获的协议条件,如果什么都不选,则表示忽略该条件,捕获所有协议。
在捕获帧长度条件下,你可以捕获,等于、小于、大于某个值的报文。
在错误帧是否捕获栏,你可以选择当网络上有如下错误时是否捕获。
在保存过滤规则条件按钮“Profiles”,你可以将你当前设置的过滤规则,进行保存,在捕获主面板中,你可以选择你保存的捕获条件。
C:捕获报文的察看:Sniffer软件提供了强大的分析能力和解码功能。
如下图所示,对于捕获的报文提供了一个Expert专家分析系统进行分析,还有解码选项及图形和表格的统计信息。
专家分析系统专家分析系统捕获报文的图形分析捕获报文的其他统计信息专家分析专家分分析系统提供了一个只能的分析平台,对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。
在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容,可以方便了解网络中高层协议出现故障的可能点。
任务三计算机网络实验IP数据报捕获与分析一、实验目的本实验的目的是通过使用网络抓包工具捕获IP数据报,了解IP协议的工作过程,分析数据报的结构和内容。
二、实验设备和工具1.计算机2.网络抓包工具:Wireshark三、实验原理IP(Internet Protocol)是网络层的核心协议,在互联网中承担着数据包的传输任务。
IP协议负责将数据包从源主机传输到目标主机,保证数据在不同主机之间的正确传输。
IP数据报是IP协议传输的基本单位,由IP头和数据部分组成。
IP头部包含以下重要字段:1.版本(4位):表示IP协议的版本号,IPv4为4,IPv6为62.首部长度(4位):表示IP头部的长度,以32位的字节为单位。
3.区分服务(8位):用于标识优先级和服务质量等信息。
4.总长度(16位):指明整个IP数据报的长度。
5.标识(16位):用于标识同一个数据报的分片。
6.标志位(3位):标记是否进行数据报的分片。
7.片偏移(13位):表示数据报组装时的偏移量。
8.生存时间(8位):表示数据报在网络中的存活时间。
9.协议(8位):指明IP数据报中携带的数据部分所使用的协议,如TCP、UDP等。
10.头部校验和(16位):用于对IP头部的校验。
11.源IP地址(32位):指明数据报的发送者的IP地址。
12.目的IP地址(32位):指明数据报的目标IP地址。
四、实验步骤1.安装Wireshark软件。
2.打开Wireshark软件,选择需要进行抓包的网络接口。
3.点击“开始”按钮,开始抓包。
4.进行相关网络操作,产生数据包。
5.停止抓包。
6.选中其中一个数据包,进行分析。
五、数据包分析Wireshark软件可以对捕获到的数据包进行详细的分析,提供了丰富的信息和统计数据。
以下是对数据包的一些常规分析内容:1.源IP地址和目的IP地址:根据协议规定,每个IP数据报必须携带源IP地址和目的IP地址,通过分析这两个字段可以确定数据包的发送方和接收方。
实验二:网络层数据分组的捕获和解析◆实验内容和实验环境实验内容:1)捕获在连接Internet过程中产生的网络层分组:DHCP分组,ARP分组,IP数据分组,ICMP分组。
2)分析各种分组的格式,说明各种分组在建立网络连接过程中的作用。
3)分析IP数据分组分片的结构。
通过本次实验了解计算机上网的工作过程,学习各种网络层分组的格式及其作用,理解长度大于1500字节IP数据组分片传输的结构。
实验环境:1台装有Windows XP 操作系统的pc机,能够连接到Internets使用Wireshark软件。
◆分析网络层分组结构1)捕获DHCP分组Encode分析如下:IP头部目的域地址为:ff ff ff ff 说明该数据包为广播包源地址为10.211.9.36Boot Requset 域为1.这应该是连接网络的首先要做的。
计算机以广播方式发送一个DHCP Requset 报文。
2)捕获IP数据分组:IP分组格式为:分析IP数据分组:字段报文内容包头长度45 包头长20字节服务类型22 正常时延正常吞吐量正常可靠性总长度01a3 419标识448c 标识为17548标志40 DF=1 MF=0不允许分片片偏移00 偏移量为0生存周期30 每跳生存周期为48秒协议06 携带数据来自TCP协议头部校验和78ea 头部校验和为78ea源地址6fca 07fc 源地址为111.202.7.252 目的地址0ad3 0924 目的地址为10.211.9.363)分析整个上网的工作过程,需要收发什么分组?每个分组的内容是什么?a.向默认网关发送一个DHCP REQUEST报文以申请获得IP地址。
b.网关收到报文后回送一个DHCP ACKc.利用ARP数据报本机广播自己的地址映射关系,使其他主机知道当前主机的地址。
DHCP REQUESTDHCP ACKARP4)捕获ICMP分组:ICMP分组格式:字段报文(16进制)内容类型08 询问一台机器是否处于活动状态代码00校验和4d51 校验和为4d51分析ICMP分组:该ICMP用来判断指定目标是否可达或是否活着。
计算机网络技术实践实验报告实验名称 RIP和OSPF路由协议的配置及协议流程姓名__ 17____ 实验日期: 2014年4月11日学号___ _____实验报告日期: 2014年4月12日报告退发: ( 订正、重做 )一.环境(详细说明运行的操作系统,网络平台,网络拓扑图)(1)操作系统:Windows7(2)网络平台:Dynamips环境下的虚拟网络(3)网络拓扑图:6个路由器,3个PC机,11个网段。
(PS:我的学号是511,所以第三个IP为1)二.实验目的✧在上一次实验的基础上实现RIP和OSPF路由协议✧自己设计网络物理拓扑和逻辑网段,并在其上实现RIP和OSPF协议;✧通过debug信息来分析RIP协议的工作过程,并观察配置水平分割和没有配置水平分割两种情况下RIP协议工作过程的变化。
三.实验内容及步骤(包括主要配置流程,重要部分需要截图)(1)改写的.net文件(2)实现RIP和OSPF协议前配置1.运行各个路由器和主机2.完成各个路由器和主机端口配置R1端口:PC1端口:测试连通性:(3)实现RIP协议未配置RIP协议的情况:R1端口配置RIP:测试RIP后路由之间的联通:测试RIP后主机之间的联通:配置RIP协议的情况:Debug信息:R1路由:R2路由:同一自治系统中的路由器每过一段时间会与相邻的路由器交换子讯息,以动态的建立路由表。
RIP 允许最大的跳数为15 多于15跳不可达。
RIP协议根据距离矢量路由算法来完成。
每个路由器都有一个路由表,通过相互传递路由表来更新最新的与其他路由之间的信息。
从上图中R1路由是接收R2传来的信息来更新路由表,而R2是从R5接收信息来更新路由表。
关闭R2水平分割:通过对比关闭之前和之后的R2的debug信息,我们可以发现,在关闭之前,路由器会标记已经收到的信息,不会重复的接收和发出,而关闭之后路由器就在两个路由之间不停的循环发送和接收,照成了不必要操作。
任务三网络编程一、实验目的捕获本机网卡的IP包,对捕获的IP包进行解析。
要求必须输出以下字段:版本号、总长度、标志位、片偏移、协议、源地址和目的地址。
二、实验环境平台:Windows编程环境:VC 6.0语言:C++三、实验原理3.1 数据报格式以太帧由一个包含三个字段的帧头开始,前两个字段包含了物理地址,各六个字节,头部的第三个字段包含了 16 位的以太帧类型,帧头后面是数据区。
根据帧类型可以判断是哪种数据包,一般常用的有 0X0080(IP 数据包)、0X0806(ARP 请求/应答)和 0X8035(RARP 请求/应答)三种类型。
TCP/IP 协议簇中位于网络层的协议,也是最为核心的协议。
所有的 TCP, UDP, ICMP及 IGMP 数据都以 IP 数据报格式传输。
IP 协议提供了无连接的、不可靠的数据传输服务。
同时IP 协议的一个重要功能是为网络上的包传递提供路由支持。
TCP/IP 协议使用 IP 数据报这个名字来指代一个互联网数据包。
IP 数据报由两部分组成,前面的头部和后面的数据区,头部含有描述该数据报的信息,包括源 IP 地址和目的 IP 地址等。
在 IP 数据报的报头中的众多信息可根据协议类型字段区分出该数据包的类型,常用的有TCP 包、 UDP 包、 ICMP 包等,各格式分别如下所示:IP数据报格式TCP数据报格式ICMP数据报格式数据报格式UDP.3.2 捕获数据包方法目前常用的捕获数据包的方法有原始套接字、LibPcap、WinPcap和JPcap等方法。
本次实验选用套接字方法。
套接字是网络应用编程接口。
应用程序可以使用它进行网络通信而不需要知道底层发生的细节。
有时需要自己生成一些定制的数据包或者功能并希望绕开Socket提供的功能,原始套接字(RawSocket)满足了这样的要求。
原始套接字能够生成自己的数据报文,包括报头和数据报本身的内容。
通过原始套接字,可以更加自如地控制Windows下的多种协议,而且能够对网络底层的传输机制进行控制。
实验五网络层分片实验【实验目的】1、通过IP 协议分析掌握因特网网际协议工作原理;2、理解IP 分片过程及其数据报头的变化;【实验内容】1、捕获IP 报文, 分析IP 数据包报文头格式,。
2、捕获分片的IP 报文,查看其字段的变化规律,掌握IP 数据包分片过程。
【实验原理】每一个数据链路层都会有自己的帧格式,在这个格式中有一个字段是“数据字段最大长度”,当数据包封装成帧时,要求数据包的总长度必须小于这个数据字段的最大长度,这个数据字段最大长度也称为MTU,不同的数据链路层协议均有其不同的MTU值,以太网的MTU值为1500,这意味着,当我们的网络是基于以太网时,IP报文的总长度不可以超过1500字节。
但是IP数据包定义的最大长度为65535,这和数据链路层的MTU值是一个矛盾,当IP数据包封装总长度超过数据链路层MTU值时,就需要对IP包进行分片。
分片后的数据包之所以在到达目的端后能够进行重组,主要得益于IP报头中的3个与分片重组有关的三个字段。
标志:标志字段长度为16比特,这16比特标志位用于标识从源主机发出的数据包,在源主机有一个计数器,当IP协议发送数据包时,将计数器中的数字复制到标识字段中,并把这个计数器的值加1,如此循环往复,从而能够保证每个IP包都具有唯一的标识数,当一个IP包需要进行分片时,就将此标识字段的值复制到所有的分片中,所以,从一个IP包得到的所有分片都具有相同的标志字段。
而目的端则知道具有相同标识字段的IP包需要进行重组。
标识:长度为3比特,第一个比特保留待以后使用,第二位为不分片位,当此值为1时,表示此数据包不可被分片,如果不分片无法经物理网络进行转发,就丢弃数据包,并向源主机发送ICMP差错报文,当此值为0时,侧在需要时将此数据包进71计算机网络协议原理实验教程行分片,第三位是分片末位标识,如果此值为1,表示此分片后还有分片,若此值为0,则表示这已是最后一个分片。
分片偏移:长度为13比特,此字段表示分片在整个IP报中的相对位置,以8字节为度量单位,因为分片偏移字段只有13比特长度,能表示的最大数值为8191。
实验报告实验二:IP和TCP数据分组的捕获和解析ytinrete1.实验类别协议分析型2.实验内容和实验目的本次实验内容:1)捕获在连接Internet过程中产生的网络层分组:DHCP分组,ARP分组,IP数据分组,ICMP分组。
2)分析各种分组的格式,说明各种分组在建立网络连接过程中的作用。
3)分析IP数据分组分片的结构。
通过本次实验了解计算机上网的工作过程,学习各种网络层分组的格式及其作用,理解长度大于1500字节IP数据组分片传输的结构。
4)分析TCP建立连接,拆除连接和数据通信的流程。
3.实验组人数单人组4.实验环境windows7WireShark5.实验步骤和实验结果5.1 捕获DHCP报文并分析打开软件,并设置过滤器为udp.port= =68则可捕获DHCP报文分析DHCP分组格式:OP:若是client 送给server 的封包,设为1 ,反向为2。
HTYPE:硬件类别,Ethernet 为1。
HLEN:硬件地址长度,Ethernet 为6。
HOPS:若封包需经过router 传送,每站加1 ,若在同一网内,为0。
TRANSACTION ID:DHCP REQUEST 时产生的数值,以作DHCPREPL Y 时的依据。
SECONDS:Client 端启动时间(秒)。
FLAGS:从0 到15 共16 bits ,最左一bit 为1 时表示server 将以广播方式传送封包给client ,其余尚未使用。
Ciaddr:要是client 端想继续使用之前取得之IP 地址,则列于这里。
Yiaddr:从server 送回client 之DHCP OFFER 与DHCPACK封包中,此栏填写分配给client 的IP 地址。
Siaddr:若client 需要透过网络开机,从server 送出之DHCP OFFER、DHCPACK、DHCPNACK封包中,此栏填写开机程序代码所在server 之地址。
LAB-1:IEEE802标准和以太网数据链路层协议分析一.实验目的1.掌握以太网的报文格式2.掌握MAC地址、MAC广播地址的作用3.理解数据链路层协议的工作机制,掌握数据链路层帧(Ethernet II)的报文格式4.掌握网络协议编辑器软件(科来数据包生成器)的使用方法5.熟练掌握网络协议分析软件(WIRESHARK)的使用方法二.实验内容与步骤1.捕获真实的MAC帧●主机A、B作为一组,主机B启动协议分析软件,并设置只提取ICMP协议数据包的捕获过滤条件,主机A PING主机B,检查主机B捕获的数据包,并分析记录MAC帧格式●记录实验结果2.理解MAC地址的作用●主机A、B、C、D作为一组,主机A PING 主机C,主机B、D启动协议分析软件,并设置只提取源MAC地址为主机A的数据包捕获过滤条件,检查主机A所发送的ICMP数据帧,并分析该帧的内容。
●记录实验结果3.编辑并发送MAC广播帧●主机A、B、C、D作为一组,主机D启动协议编辑器,并编辑一个MAC帧(目标MAC: FFFFFFFFFFFF,源MAC: 主机D的MAC地址,协议类型或数据长度:大于0X600,数据字段:编辑长度在46-1500字节之间的数据),主机A、B、C启动协议分析软件,并设置只提取源MAC地址为主机D的数据包捕获过滤条件,主机D发送已编辑好的MAC帧,主机A、B、C捕获和检查是否有主机D所发送的MAC数据帧,并分析该帧的内容。
●记录实验结果三.实验结果分析与思考1. 在实验步骤2中,为什么有的主机会收到ICMP数据包而有的主机收不到?2. 在实验步骤3中,简述FFFFFFFFFFFF作为目标MAC地址的作用,主机A、B、C是否均可以收到主机D的广播帧?3. 结合实验结果,说明MAC广播帧的作用范围?四.实验报告1.按上述实验步骤与内容撰写实验报告(抄袭他人实验结果,双方均不计成绩)2.要求说明实验时间、地点及同级成员名单。
信息与通信工程学院网络管理实验报告专业信息工程班级姓名曹爽学号实验三计算机与网络资源的探测和扫描一、实验目的熟悉Sniffer界面并掌握Sniffer工具的使用方法,学习Sniffer监控网络的模式,实现网络性能监控、节点状态查看,掌握Sniffer数据包过滤的基本设置方法。
实现广播风暴的监控,HTTP、SNMP等协议数据包的捕获,以理解TCP/IP协议族中多种协议的数据结构、会话连接建立和终止的过程、TCP序号、应答序号的变化规律。
并且,通过实验了解HTTP等协议明文传输的特性,以建立安全意识,防止HTTP等协议由于传输明文密码造成的泄密。
二、实验要求1、使用Sniffer Pro监视本地网内的主机间通信、协议分布和主机通信流量统计。
2、设置Sniffer监控过滤器,过滤ARP协议包。
3、使用Sniffer Pro来检测广播风暴和它的来源,设置广播流量过滤器,捕获HTTP 等协议数据包并进行分析。
三、实验工具Sniffer Portable。
四、实验步骤1.熟悉Sniffer Portable并监控网络性能启动之前需要选择监控的网卡,如下图所示。
启动程序后,主界面如下图所示。
第一个仪表盘显示传输数据时所占用的端口带宽与端口能够处理的最大带宽值的百分比;第二个仪表盘显示当前数据包的传输速度;第三个仪表盘显示当前数据包传输过程中的出错率。
也可以选择表格的形式读取仪表盘中的数据,如下图所示。
除了使用仪表盘表示网络的当前状况外,还可以使用其他几种模式来查看网络当前运营的状态。
第一种是主机列表模式,选择“Host Table”,显示如下图,可以从中看出与当前主机相连接的信息。
在选择了IP标签之后,就可以看到与本机相连的所有IP地址及信息。
主机列表也有饼状图、柱状图等显示模式,如下图所示。
第二种模式是矩阵模式,选择“Matrix”可显示下图。
从图中可以看出各个IP互联的情况。
矩阵分布还有大纲列表的查看方式,如下图所示。
淮海工学院计算机工程学院实验报告书课程名:《计算机网络》题目:实验三网络数据包的捕获与分析班级:学号:姓名:实验三网络数据包的捕获与分析一、实验目的和要求通过本次实验,了解协议编辑器及协议分析器的作用,并能通过对网络层协议数据包的编辑、发送、捕获、分析,掌握数据封装的格式和方法,能对捕获的数据包分析其数据链路层和网络层的首部。
二、实验内容1、利用协议编辑器编辑ARP协议数据包,并使用协议分析器捕获并分析之;2、利用协议编辑器编辑ICMP协议数据包,并使用协议分析器捕获并分析之;三、主要实验仪器及材料装有Windows 2003系统的计算机,局域网,协议编辑器软件和协议分析器软件。
四、实验步骤(需要抓图说明实验过程)(一)ARP协议数据包的编辑与捕获1、打开协议编辑器,编辑ARP协议数据包(先扫描主机,然后按需要设置协议类型(数据链路层首部)、源MAC地址、源IP地址、目的IP地址,并校验数据是否正确)2、打开协议分析器。
设置过滤条件,开启捕获报文。
3、返回协议编辑器发送一定数量的数据包;4、在协议分析其中停止捕获报文,并查看所捕获的报文。
(二)ICMP协议数据包的编辑与捕获1、打开协议编辑器,编辑ICMP协议数据包(先扫描主机,然后按需要设置协议类型(数据链路层首部和网络层首部分别设置)、源MAC地址、源IP地址、目的IP 地址、目的MAC地址,ICMP首部校验和、总长度,IP首部校验和,并校验数据是否正确)2、打开协议分析器。
设置过滤条件,开启捕获报文。
3、返回协议编辑器发送一定数量的数据包;4、在协议分析其中停止捕获报文,并查看所捕获的报文。
五、实验结果分析分别对ARP协议和ICMP协议所编辑的数据包和所捕获的数据包进行分析。
要求:对捕获的报文分析其数据链路层首部和网络层首部内容,并与所编辑的报文做比较。
六、实验小结。
实验报告图1-1type of service字段表示服务器类型,优先权为普通优先级,延迟要求、通信量要求和可靠性要求均为普通值,如图1-2所示:图1-3Identification字段用来表示16位标识,即序列号,序列号为图1-4字段表示标志,如图1-5所示:图1-6Time to live字段用来表示生存时间,值为56senconds/hops图1-7字段用来识别IP数据包中的上层协议类型,值为6,即图1-9address标识该数据包的源发送者,IP地址为222.187.223.42图1-10Destination address标识数据包的最终目的IP地址,为172.18.58.116所示:图2-1.1Protocol type标识使用的高层协议,值为0800,即IP协议,如图图2-1.2图2-1.3Length of protocol address指定高层协议地址的长度,值为所示:图2-1.4Opcode 1字段表示这个是ARP请求报文,如图2-1.5所示:图2-1.6Sender’s protocol address标识发送该ARP包的主机的172.18.58.116,如图2-1.7所示:图2-1.7图2-1.8Target protocol address标识ARP报文的目的端的IP图2-1.9应答包分析图2-2.2Target protocol address标识ARP报文的目的端的IP 172.18.58.116,如图2-2.3所示:图2-2.3图3-1.1字段标识代码,值为0,如图3-1.2所示:图3-1.2字段标识整个数据包的校验和,值为0E5C,如图图3-1.4Sequence number字段用于判断回应应答数据包,值为15616图3-1.6应答分析字段标识类型,值为0,如图3-2.1所示:图3-2.1。
实验五网络层分片实验【实验目的】1、通过IP 协议分析掌握因特网网际协议工作原理;2、理解IP 分片过程及其数据报头的变化;【实验内容】1、捕获IP 报文, 分析IP 数据包报文头格式,。
2、捕获分片的I P报文,查看其字段的变化规律,掌握IP 数据包分片过程。
【实验原理】每一个数据链路层都会有自己的帧格式,在这个格式中有一个字段是“数据字段最大长度”,当数据包封装成帧时,要求数据包的总长度必须小于这个数据字段的最大长度,这个数据字段最大长度也称为MTU,不同的数据链路层协议均有其不同的M TU值,以太网的MT U值为1500,这意味着,当我们的网络是基于以太网时,IP报文的总长度不可以超过1500字节。
但是IP 数据包定义的最大长度为65535,这和数据链路层的MTU值是一个矛盾,当IP 数据包封装总长度超过数据链路层MTU值时,就需要对IP包进行分片。
分片后的数据包之所以在到达目的端后能够进行重组,主要得益于I P报头中的3个与分片重组有关的三个字段。
标志:标志字段长度为16比特,这16比特标志位用于标识从源主机发出的数据包,在源主机有一个计数器,当IP协议发送数据包时,将计数器中的数字复制到标识字段中,并把这个计数器的值加1,如此循环往复,从而能够保证每个IP包都具有唯一的标识数,当一个IP包需要进行分片时,就将此标识字段的值复制到所有的分片中,所以,从一个IP包得到的所有分片都具有相同的标志字段。
而目的端则知道具有相同标识字段的I P包需要进行重组。
标识:长度为3比特,第一个比特保留待以后使用,第二位为不分片位,当此值为1时,表示此数据包不可被分片,如果不分片无法经物理网络进行转发,就丢弃数据包,并向源主机发送ICMP差错报文,当此值为0时,侧在需要时将此数据包进71计算机网络协议原理实验教程行分片,第三位是分片末位标识,如果此值为1,表示此分片后还有分片,若此值为0,则表示这已是最后一个分片。
淮海工学院计算机工程学院实验报告书课程名:《计算机网络》题目:应用层数据报捕获和分析班级:Z计121学号:2014140093姓名:薛慧君1.目的与要求熟悉网络数据包捕获与分析工具SNIFFER的操作和使用方法,掌握数据包捕获和分析的基本过程;掌握协议过滤器的设定方法,能够捕获并分析常见的网络层和运输层数据包。
2.实验内容(1)运行SNIFFER软件并设定过滤器,将捕获数据包的范围缩小为常见的协议;(2)开始捕获数据包,同时制造特定协议的数据;(3)对捕获的数据包进行分析,解析出常见的网络层和运输层数据包的格式,重点要求解析出DNS、FTP、Telnet的数据包。
3.实验步骤①打开Sniffer Pro程序后,选择Capture(捕获)—Start(开始),或者使用F10键,或者是工具栏上的开始箭头。
②一小段时间过后,再次进入Capture(捕获)菜单,然后选择Stop(停止)或者按下F10键,还可以使用工具栏。
③还可以按F9键来执行“停止并显示”的功能,或者可以进入Capture(捕获)菜单,选择“停止并显示”。
④停止捕获后,在对话框最下角增加了一组窗口卷标,包括高级、解码、矩阵、主机表单、协议分布和统计信息。
⑤选择解码卷标,可以看到Sniffer Pro缓冲器中的所有实际“数据”。
分析该卷标结构及其内容。
具体结构:分割为上中下三个相连接的窗口,分别用于显示不同信息内容;内容:1)最上面得窗口显示的是捕获各帧的数量和主要信息(包括帧编号,帧状态,源地址与目的地址,摘要等信息);2)中间的窗口显示的是所选取帧的协议信息(DLC,IP,UDP及TCP协议等的协议内容);3)最下面得窗口显示的是帧中协议各项内容对应的位置和机器码(默认以ASCII码显示)。
4. 测试数据与实验结果实验1捕获DNS协议数据包(1)设定过滤器,将捕获数据包的范围缩小为DNS协议;(2)ping ,接着用浏览器打开新网站,捕获数据包。
协议数据的捕获和解析实验报告目录一、实验内容和实验环境描述(1)实验内容和目的(2)实验环境二、实验步骤三、IP 协议分析(1)分析IP数据分组(2)头部校验和分析四、ICMP 协议分析五、DHCP 协议分析六、ARP 协议分析七、IP包分片分析八、实验所遇问题解决和心得体会一、实验内容和实验环境描述(1)实验内容和目的1、使用 Wireshark 软件捕获在使用 ping 命令时产生的 ICMP 消息;2、分析网络层 IP 包头格式,理解各字段的作用,对于分段和校验和进行验证;3、使用 Wireshark 软件捕获在使用 ARP 消息,分析其消息格式,理解其工作原理;4、使用 Wireshark 捕获 DHCP 消息,分析其消息序列,理解 DHCP 的功能和操作原理。
通过本实验学生可以深入理解分层体系结构,理解和掌握 TCP/IP 协议栈的代表协议——IP、UDP、ICMP、ARP 和 DHCP 协议的要点。
(2)实验环境1 台装有 MS Windows 系列操作系统的计算机,要求能够连接到 Internet,并安装浏览器软件和Wireshark 软件。
二、实验步骤准备工作1. 下载 Wireshark 软件并了解其功能和使用方法。
2. 确保计算机已经连接到网络。
3. 启动Wireshark对于 ping 命令,设置过滤器为 icmp ,设置捕获接口(Interface)为本机网卡,选中混杂模式(promiscuous mode)捕获选项,设置合适的捕获过滤器(Capture Filter):对于 ping 命令,设置过滤器为 icmp对于 DHCP 消息,设置过滤器为 udp port 67对于 ARP 消息,设置过滤器为 arp4. 开始捕获。
数据捕获捕获 ICMP 协议数据1. 运行 ping 命令(例如:c> ping 192.168.0.1),远程主机地址可以是本机地址、网关路由器地址,也可以是域名(如 )。
【关键字】实验信息与通信工程学院网络管理实验报告专业:班级:姓名:学号:实验一基于Windows 平台的基本网络测试工具实验一、实验目的本实验的主要目的是熟练掌握操作系统自带的基本网络测试工具,包括状态监视、流量监视和路由监视。
熟练掌握Windows操作系统自带的基本网络测试工具,包括IP地址查询、MAC地址解析、网络状态测试、网络安全测试等工具。
二、实验内容1、Windows NT(2000)环境下网络状态监视工具的使用,包括Ipconfig、ping;2、Windows NT(2000)环境下网络流量监视工具的使用,包括ping;3、Windows NT(2000)环境下网络路由监视工具的使用,包括netstat、arp、traceroute/tracert。
三、实验环境Microsoft Windows XP操作系统四、实验步骤1.测试并总结ipconfig、arp、ping、tracert、netstat的作用。
ipconfig显示所有当前的TCP/IP网络配置值、动态主机配置协议(DHCP)和域名系统(DNS)设置。
使用不带参数的ipconfig,将只显示简单的IP配置信息,包括IP 地址、子网掩码、默认网关。
ARP协议即地址解析协议,是TCP/IP协议族中的一个重要协议,用来确定对应IP地址的物理地址,即MAC地址。
用arp命令可以查看本地计算机或另一台计算机的ARP高速缓存中的当前内容,以及用来将IP地址和网卡MAC地址进行绑定等。
ping命令是网络中广泛应用的命令,在网络不通或传输不稳定时,管理员都会使用ping 命令测试网络的连通性。
Ping命令内置于Windows系统的TCP/P协议中,它使ICMP会送请求与会送应答报文。
通过ping可以获得每个数据包的发送和接收的往返时间,并报告无响应数据包的百分比,对确定网络是否正确连接、网络连接的状况非常有用。
(1)tracert 命令用来显示数据包到达目标主机所经过的路径,当网络出现故障时,可以用来确定出现故障的具体位置,找出在经过哪个路由时出现了问题,从而使网络管理人员缩小排查范围。
.. 实验二:网络层数据分组的捕获和解析1. 实验类别协议分析型2. 实验容和实验目的本次实验容:1)捕获在连接Internet过程中产生的网络层分组:DHCP分组,ARP分组,IP数据分组,ICMP 分组。
2)分析各种分组的格式,说明各种分组在建立网络连接过程中的作用。
3)分析IP数据分组分片的结构。
通过本次实验了解计算机上网的工作过程,学习各种网络层分组的格式及其作用,理解长度大于1500字节IP数据组分片传输的结构。
3. 实验设备环境Windows XP 操作系统的pc机,连接到Internet,使用WireShark软件。
4. 实验步骤4.1 准备工作启动计算机,连接网络确保能够上网。
4.2 捕获和分析网络层分组开启监控,连接网络。
一段时间后查看捕获的分组。
分析各种分组的格式以及在上网过程中所起的作用。
4.3-1 发送ICMP分组,捕获并分析格式ICMP是(Internet Control Message Protocol)Internet控制报文协议。
它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。
控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。
这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。
0100为协议类型:4.0101为首部长度:5*4=20字节00000000为服务类型。
00000000 00111100 为总长度:60(20个头部,40个数据)00001000 10101101为标识:0*08ad(2221)000为标志位MF=0 DF=000000 00000000为片偏移:offest=010000000 为生存时间:12800000001为协议:ICMP(1)00000000 00000000 为首部校验和:001110110 11100101 100000010 00010110为源地址:128.229.130.2201110111 01001011 11010101 00110011为目标地址:119.75.213.5100001000为ICMP报文的类型:800000000为code:001001100 11001101 为校验和:0x4ccd其后面的32为与ICMP的类型有关在后面的为数据部分。
计算机网络课程设计实验二:网络层数据分组的捕获和解析1、实验类别协议分析型2、实验内容和实验目的本次实验内容:1)捕获在连接Internet过程中产生的网络层分组:DHCP分组,ARP分组,IP数据分组,ICMP分组。
2)分析各种分组的格式,说明各种分组在建立网络连接过程中的作用。
3)分析IP数据分组分片的结构实验目的:通过本次实验了解计算机上网的工作过程,学习各种网络层分组的格式及其作用,理解长度大于1500字节IP数据组分片传输的结构。
4)分析TCP建立连接,拆除连接和数据通信的流程。
3、实验学时4学时4、实验组人数1人5、实验设备环境1台装有Windows XP操作系统的pc机,能够连接到Internet,并安装WireShark 软件。
6、学习难点重点分析网络层分组的格式,掌握各种分组在网络通信中的应用,了解整个上网的工作过程。
发送ICMP分组,并分析其结构和功能。
制作长度大于1500字节的IP数据分组,发送并分析其分片传输的过程。
7、实验步骤1、启动计算机,连接网络确保能够上网,安装WireShark软件。
2、第一步:开启WirkShark监控,设置捕获过滤器,仅捕获UDP报文Capture ==>Interfrace==>选中所用网卡==>点击Start第二步:设置WirkShark显示过滤器,在工作画面Filter设置udp.port==68,这样在捕获的报文中,仅显示UDP端口号68的报文(DHCP报文)第三步:在DOS窗口执行命令ipconfig/release先释放已经申请的IP地址,再执行ipconfig/renew,就可以在WireShark上看到DHCP的四次握手获得IP地址,缺省路由DNS等参数的过程。
第四步:重新设置WireShark的捕获选项和显示选项(这些选项的设置方法可以参照软件自带手册)。
执行一个ping命令,观察ARP和PING命令的执行过程。
关于捕获过滤器的手册:Help==>Contents,找到4.9节:Filtering while capturing 关于显示过滤器的手册:Help==>Contents,找到6.3节:Filtering packets whileviewing3、分析数据分组的分片传输过程制作大于8000字节的IP数据分组并发送,捕获后分析其分片传输的分组结构。
使用Windows中ping命令的-l选项,例如:ping -l 8000 192.168.0.14、分析TCP通信过程WireShark的Filter项填为tcp.port==21 (仅观察FTP的TCP通信,FTP端口号为21)。
捕获所有下面通信过程的TCP报文进行分析。
1) 观察TCP建立连接的三次握手和粗暴方式拆除连接的流程。
执行命令ftp 连接建立后直接按下Ctrl-C中止程序运行。
2) 观察TCP建立连接的三次握手,数据通信和优雅方式拆除连接的流程。
执行命令ftp 用户名输入anonymous口令输入a@b执行成功后输入命令bye3) (选作)执行下面的操作,观察TCP连接断开的流程与2)有何区别。
执行命令ftp 用户名输入anonymous口令输入a@b执行成功后输入命令bye8、实验分析捕获ICMP 协议数据1. 运行ping 命令(例如:c> ping 192.168.0.1),远程主机地址可以是本机地址、网关路由器地址,也可以是域名(如)。
将捕获到的数据保存为文件。
2. 使用Windows 中ping 命令的-l 选项(例如:c>ping -l 8000 192.168.0.1),制作大于8000 字节的IP 包并发送,捕获后分析其分段传输的包结构。
捕获 DHCP 协议数据1. 使用ipconfig 命令释放计算机的IP 地址(c>ipconfig -release);2. 使用ipconfig 命令重新申请IP 地址(c>ipconfig -renew)。
此时wireshark 窗口中可以捕获到完整的DHCP 地址分配的流程,将捕获到的数据保存为文件。
捕获 ARP 协议数据采用与捕获 DHCP 协议数据相同的方法释放IP 地址并重新申请,在wireshark 窗口中可以捕获到ARP 请求和响应消息,保存为文件。
捕获 TCP 协议数据打开浏览器,输入一个页面内容较简单网页URL,如;网页全部显示后关闭浏览器。
9、实验结果1)捕获DHCP分组Encode分析如下:由捕获的数据包可见,其IP头部的目的域地址为ff ff ff ff,即表明该包围一个广播包,同时可以看到其源地址为00 00 00 00。
根据DHCP的数据包部分的译码输出,我们可以得到Boot Record type域为1(表明是申请IP地址),以及硬件地址类型和硬件地址长度等等信息,并且最终申请的IP地址为59.64.192.184。
之后可以看到网关会发来一个DHCP ACK数据包,用来确认IP地址的分配(由于版面所限,未添加相应截图)2)捕获IP数据分组:IP分组格式为:分析IP数据分组:3)分析整个上网的工作过程,需要收发什么分组?每个分组的内容是什么?首先通过广播的方式向默认的网关(我这里是59.64.192.1)发送一个DHCP REQUEST报文,以申请获得动态的IP地址,里面包括的内容如实验结果1示网关受到报文后,会回送一个DHCP ACK报文,以告诉申请方已经将IP地址分配过去,本次实验分配的地址是59.64.192.48之后本机还要广播自己的地址映射关系,用ARP数据报。
其形式是这样的:本机发送ARP请求查找它自己的IP地址,这样就会使每台主机在ARP缓存中加入一个映射表象,即让其他主机知道了当前本机的地址,相应的数据报如下图示DHCP REQUEST 数据报DHCP ACK数据报ARP数据报4)捕获ICMP分组:分组一相应ICMP译码输出分析ICMP分组:此ICMP报文是差错报文,报告差错为终点不可达中的端口不可达。
通过ping命令产生ICMP报文二相应的ICMP译码输出分析ICMP分组:5)制作一个8000字节的IP数据分组,发送后捕获分析。
由于分组长度大于1500字节,因此需要分片传输。
按照2)中的方法分析所有分片的结构。
IP分组一IP分组二其相应的分析如下表IP分组三其相应的分析如下表IP分组四其相应的分析如下表IP分组五IP分组六上述便是将一个8000字节的分组划分为六个分片的情形,我们不妨加以计算5个长度为1500字节的IP分组,每个分组的净荷域=1500-20=1480,第一个分组为表明是ICMP分组,又加了8个字节的长度,故前五个分组组装起来为1480*5-8=7392。
加上最后一个分片,其总长度为7392+628=8000Byte,证明结果是正确的。
6)TCP协议分析建立连接:在 TCP/IP 协议中,TCP 协议提供可靠的连接服务,采用三次握手建立一个连接。
第一次握手:建立连接时,客户端发送 syn 包(syn=j)到服务器,并进入 SYN_SEND 状态,等待服务器确认;第二次握手:服务器收到 syn 包,必须确认客户的 SYN(ack=j+1),同时自己也发送一个 SYN 包(syn=k),即 SYN+ACK 包,此时服务器进入 SYN_RECV 状态;第三次握手:客户端收到服务器的 SYN+ACK 包,向服务器发送确认包 ACK(ack=k+1),此包发送完毕,客户端和服务器进入 ESTABLISHED 状态,完成三次握手。
完成三次握手,客户端与服务器开始传送数据释放连接:虽然TCP连接是全双工的,但可将其视为一对单工连接,每个连接单独释放,两个单工之间独立。
步骤:(1)客户端1发送一个FIN,用来关闭1到2的数据发送(2)服务器2收到这个FIN,它发回一个ACK,确认序号为收到的序号+1,和SYN一样,一个FIN将占用一个序号(3)服务器2关闭与客户端1的连接,发送一个FIN给客户端1(4)客户端1发回ACK报文确认,并将确认信号设置为收到序号+1每个TCP报文头部都包含源端口号(source port)和目的端口号(destination port),用于标识和区分源端设备和目的端设备的应用进程。
在TCP/IP协议栈中,源端口号和目的端口号分别与源IP地址和目的IP地址组成套接字(socket),唯一的确定一条TCP连接。
序列号(Sequence number)字段用来标识TCP源端设备向目的端设备发送的字节流,它表示在这个报文段中的第一个数据字节。
如果将字节流看作在两个应用程序间的单向流动,则TCP用序列号对每个字节进行计数。
序列号是一个32bits的数。
既然每个传输的字节都被计数,确认序号(Acknowledgement number,32bits)包含发送确认的一端所期望接收到的下一个序号。
因此,确认序号应该是上次已成功收到的数据字节序列号加1。
TCP的流量控制由连接的每一端通过声明的窗口大小(windows size)来提供。
窗口大小用数据包来表示,例如Windows size=3, 表示一次可以发送三个数据包。
窗口大小起始于确认字段指明的值,是一个16bits字段。
窗口大小可以调节。
校验和(checksum)字段用于校验TCP报头部分和数据部分的正确性。
最常见的可选字段是MSS(Maximum Segment Size,最大报文大小)。
MSS指明本端所能够接收的最大长度的报文段。
当一个TCP连接建立时,连接的双方都要通告各自的MSS 协商可以传输的最大报文长度。
我们常见的MSS有1024(以太网可达1460字节)字节。
2)对照教材6-33 图,理解TCP 状态转换的过程,按照你所捕获的消息,画出Client 侧的状态转换图,并进行解释。
当客户机器上的一个应用程序发出CONNECT请求的时候,本地的TCP创建一条连接记录,并将它标记为SYN SENT状态,然后发送一个SYN数据段。
当SYN+ACK到达时候,三步握手完成,连接建立开始发送和接收数据。
当应用结束时,发出CLOSE原语,从而使本地的TCp实体发送一个FIN数据段,并等待相应ACK,当ACK到达时,发生一次状态迁移,切换到FIN WAIT 2,而且连接的一个方向现在被关闭。
当另一方也关闭的时候,一个FIN数据段会到来,然后它被确认。
现在双方都已经关闭了,但是TCP要等待一段最大的分组生存期的时间,以确保该链接的所有分组都已经消失了,以防万一发生确认被丢失的情形。
当定时器到期之后,TCP删除该链接记录。
当客户完成的时候,它执行CLOSE,从而导致发送一个FIN到达服务器。
