还剩7页未读,继续阅读
文本内容:
实验二协议分析软件基础(实验指导)
一、实验目的
1.掌握如何利用协议分析工具分析IP数据报报文格式,体会数据报发送、转发的过程在学习的过程中可以直观地看到数据的具体传输过程通过分析截获TCP报文首部信息,理解首部中的序号、确认号等字段是TCP可靠连接的基础通过分析TCP连接的三次握手建立和释放过程,理解TCP连接建立和释放机制.进一步熟悉Wireshark软件的使用方法;2.利用Wireshark(Ethereal)抓包;3.对抓取到的包进行分析,通过分析巩固对EthernetII封包、ARP分组及IP、ICMP数据包的认识
二、实验内容和要求
1.学习协议分析工具Wireshark(Ethereal)的基本使用方法;
2.利用Wireshark(Ethereal)进行IP数据报报文的抓取;
3.对抓取到的数据报文进行分析,体会数据报发送、转发的过程
三、实验主要仪器设备和材料PC机,Windows;Wireshark软件
四、实验方法、步骤及结果测试1.ping命令网络数据包的跟踪 1)首先运行Wireshark(Ethereal),在菜单Capture下点击Interfaces,选取要抓包的网卡,这里选取地址为
192.
168.
111.124的这个网卡抓取数据包,如图
1.1图
1.1选择抓取数据包网卡 2)之后在主操作系统中命令行界面使用pingwww.
163.com的命令,来ping163的网站如图
1.2所示;图
1.2Ping网易的网站地址 3)如图
1.3所示,Wireshark抓取了很多的网络数据包,从图
1.3可见包括SSDP广播包、ARP、DNS、ICMP等类型的数据包图
1.3Wireshark抓取到的网络数据包 4在刚才的Ping命令中主要包含了两种数据包DNS、ICMP,为了分析刚才的ping命令,我们需要进一步对数据包进行过滤处理,以确定该命令所产生的具体的网络数据包,并对这些数据包进行进一步的分析我们可以在图
1.4所示的椭圆标记的输入框中输入合适的过滤条件就可以准确地将特定的网络数据包过滤出来,图
1.4所过滤出来的就是,刚才Ping命令所产生的2个DNS数据包和8个ICMP数据包图
1.4过滤Wireshark所抓的网络数据包2ARP报文分析 如图
1.3,从Wireshark的第11栏中,我们看到这是个ARP解析的广播包,由于这个版本的Wireshark(Ethereal)使用的是EthernetII来解码的,我们先看看EthernetII的封装格式如下图
1.5图
1.5以太网封包格式 注意这个和
802.3是有区别的,
802.3的封包格式如图
1.6图
1.
6802.3封包格式 尽管EthernetII和
802.3的封包格式不同,但Wireshark(Ethereal)在解码时,都是从“类型”字段来判断一个包是IP数据报还是ARP请求/应答或RARP请求/应答 从EthernetII知道了是ARP解析以后,我们来看看Wireshark(Ethereal)是如何判断是ARP请求呢还是应答的我们先复习一下以太网的ARP请求和应答的分组格式,如图
1.7图
1.7分组格式从上图中我们了解到判断一个ARP分组是ARP请求还是应答的字段是“op”,当其值为0×0001时是请求,为0×0002时是应答如图
1.
8、
1.9图
1.8ARP请求图
1.9ARP应答 3.ICMP报文分析 如图
1.10所示的报文是一个有Ping命令产生ICMP报文图
1.10ICMPping包 同样,我们先复习一下IP包的封包格式,如图
1.11图
1.11IP封包格式 关于IP封包各字段的内容及意义,这里就不再详述了,可以参见三卷本的TCP/IP, 我们主要看看TTL,从图
1.12和
1.13的比较来看,图
1.12中的TTL是128,而图
1.13中的TTL却是64,什么原因呢? 原来图
1.12中的主机是Windows2000,而
1.13中的主机是Linux,看来不同操作系统的TTL是不同的图
1.12Windows主机的TTL图
1.13Linux主机的TTL 好了我们来看看ICMP报文吧,先看看它的封包格式,如图
1.14图
1.14ICMP封包类型 关于ICMP的“类型”和“代码”字段,这里有一个表,如图
1.15 图
1.15ICMP报文类型 ICMP报文,我们主要对照图
1.15来分析抓包的情况,如图
1.16所示类型值为8,所以为Ping的请求报文;如图
1.17所示类型值为0,所以为Ping的应答报文; 图
1.16ping请求图
1.16ping应答 。