2022年北邮计算机网络实验网络层数据分组捕获 .pdf

计算机网络课程设计实验二：网络层数据分组的捕获和解析1、 实验类别协议分析型2、 实验内容和实验目的本次实验内容：1） 捕获在连接Internet 过程中产生的网络层分组：DHCP 分组， ARP 分组， IP 数据分组， ICMP 分组。2） 分析各种分组的格式，说明各种分组在建立网络连接过程中的作用。3） 分析 IP 数据分组分片的结构实验目的：通过本次实验了解计算机上网的工作过程，学习各种网络层分组的格式及其作用，理解长度大于 1500 字节 IP 数据组分片传输的结构。4）分析 TCP 建立连接，拆除连接和数据通信的流程。3、 实验学时4 学时4、 实验组人数1 人5、 实验设备环境1 台装有 Windows XP 操作系统的pc 机，能够连接到Internet，并安装WireShark 软件。6、 学习难点重点分析网络层分组的格式，掌握各种分组在网络通信中的应用，了解整个上网的工作过程。发送 ICMP 分组， 并分析其结构和功能。制作长度大于1500 字节的 IP 数据分组，发送并分析其分片传输的过程。7、 实验步骤1、启动计算机，连接网络确保能够上网，安装WireShark 软件。2、第一步：开启WirkShark 监控，设置捕获过滤器，仅捕获UDP 报文Capture =Interfrace=选中所用网卡=点击 Start第二步：设置WirkShark 显示过滤器，在工作画面Filter设置 udp.port=68,这样在捕获的报文中，仅显示UDP 端口号 68 的报文（ DHCP 报文）第三步： 在 DOS 窗口执行命令ipconfig/release先释放已经申请的IP 地址， 再执行 ipconfig/renew，就可以在 WireShark 上看到 DHCP 的四次握手获得IP 地址，缺省路由DNS 等参数的过程。第四步：重新设置WireShark 的捕获选项和显示选项（这些选项的设置方法可以参照软件自带手册） 。执行一个ping 命令，观察ARP 和 PING 命令的执行过程。关于捕获过滤器的手册：Help=Contents， 找到 4.9 节： Filtering while capturing 关于显示过滤器的手册：Help=Contents，找到 6.3 节：Filtering packets while viewing 3、分析数据分组的分片传输过程名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 17 页 - - - - - - - - - 制作大于 8000 字节的 IP 数据分组并发送，捕获后分析其分片传输的分组结构。使用 Windows 中 ping命令的 -l 选项，例如：ping -l 8000 192.168.0.1 4、分析 TCP 通信过程WireShark 的 Filter 项 填为 tcp.port=21 ( 仅观察 FTP 的 TCP 通信， FTP 端口号为21)。捕获所有下面通信过程的TCP 报文进行分析。1) 观察 TCP 建立连接的三次握手和粗暴方式拆除连接的流程。执行命令 ftp 连接建立后直接按下Ctrl-C 中止程序运行。2) 观察 TCP 建立连接的三次握手，数据通信和优雅方式拆除连接的流程。执行命令 ftp 用户名输入anonymous 口令输入 ab执行成功后输入命令bye 3) (选作 )执行下面的操作，观察TCP 连接断开的流程与2）有何区别。执行命令 ftp 用户名输入anonymous 口令输入 ab执行成功后输入命令bye8、 实验分析捕获ICMP 协议数据1. 运行 ping 命令（例如： c ping 192.168.0.1 ） ，远程主机地址可以是本机地址、网关路由器地址，也可以是域名（如 ） 。将捕获到的数据保存为文件。2. 使用 Windows 中ping 命令的 -l 选项（例如： cping -l 8000 192.168.0.1 ） ，制作大于 8000 字节的 IP 包并发送，捕获后分析其分段传输的包结构。捕获 DHCP 协议数据1. 使用 ipconfig 命令释放计算机的IP 地址（ cipconfig -release ） ；2. 使用 ipconfig 命令重新申请IP 地址（ cipconfig -renew ） 。此时wireshark 窗口中可以捕获到完整的DHCP 地址分配的流程， 将捕获到的数据保存为文件。捕获 ARP 协议数据采用与 捕获 DHCP 协议数据 相同的方法释放IP 地址并重新申请，在wireshark 窗口中可以捕获到 ARP 请求和响应消息，保存为文件。捕获 TCP 协议数据打开浏览器，输入一个页面内容较简单网页URL ，如 ；网页全部显示后关闭浏览器。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 17 页 - - - - - - - - - 9、实验结果1） 捕获 DHCP 分组Encode 分析如下：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 17 页 - - - - - - - - - 由捕获的数据包可见，其 IP 头部的目的域地址为ff ff ff ff ，即表明该包围一个广播包，同时可以看到其源地址为00 00 00 00 。根据 DHCP 的数据包部分的译码输出，我们可以得到Boot Record type 域为 1（表明是申请IP 地址），以及硬件地址类型和硬件地址长度等等信息，并且最终申请的IP 地址为 59.64.192.184。之后可以看到网关会发来一个 DHCP ACK 数据包， 用来确认 IP 地址的分配 （由于版面所限，未添加相应截图）2） 捕获 IP 数据分组：IP 分组格式为：分析 IP 数据分组：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 17 页 - - - - - - - - - 其相应的分析如下表字段报文（ 16 进制）内容报头长度45 报头长 20 字节服务类型00 正常时延，正常吞吐量，正常可靠性总长度00 30 分组长度48 字节标识8a 83 标识为 35459 标志40 DF=1，MF=0 ，不允许分片偏移值00 偏移量为0 生存周期6e 每跳生存周期为110s 协议06 携带的数据来自TCP 协议头部校验和89 11 头部校验和为8911 源地址7d 26 80 9c 源地址为125.38.128.156 目的地址3b 40 c0 30 目的地址为59.64.192.48 3） 分析整个上网的工作过程，需要收发什么分组？每个分组的内容是什么？首先通过广播的方式向默认的网关（我这里是59.64.192.1）发送一个DHCP REQUEST 报文，以申请获得动态的IP 地址，里面包括的内容如实验结果1 示网关受到报文后，会回送一个DHCP ACK 报文，以告诉申请方已经将IP 地址分配过去，本次实验分配的地址是59.64.192.48 之后本机还要广播自己的地址映射关系，用ARP 数据报。其形式是这样的：本机发送 ARP 请求查找它自己的IP 地址，这样就会使每台主机在ARP 缓存中加入一个映射表象，即让其他主机知道了当前本机的地址，相应的数据报如下图示名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 17 页 - - - - - - - - - DHCP REQUEST 数据报DHCP ACK 数据报名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 17 页 - - - - - - - - - ARP 数据报4） 捕获 ICMP分组：分组一相应 ICMP 译码输出名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 17 页 - - - - - - - - - 分析 ICMP 分组：此 ICMP 报文是差错报文，报告差错为终点不可达中的端口不可达。通过 ping 命令产生ICMP 报文二相应的 ICMP 译码输出分析 ICMP 分组：此 ICMP 为用来判断指定目标是否可达以及是否活着的报文，是ping 命令中常用的5） 制作一个8000 字节的 IP 数据分组，发送后捕获分析。由于分组长度大于1500 字节，因此需要分片传输。按照2）中的方法分析所有分片的结构。IP 分组一字段报文（ 16 进制）内容类型03 终点不可达代码03 端口不可达校 验 和bf 73 头部校验和为bf 73 字段报文（ 16 进制）内容类型08 问一台机器是否仍处于活动状态代码00 校 验 和19 5c 头部校验和为195c 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 17 页 - - - - - - - - - 其相应的分析如下表字段报文（ 16 进制）内容报头长度45 报头长 20 字节服务类型00 正常时延，正常吞吐量，正常可靠性总长度05 dc 分组长度1500 字节标识0b 6e 标识为 2926 标志20 DF=0，MF=1 ，允许分片 ,当前片不是最后片偏移值00 偏移量为0 生存周期80 每跳生存周期为128s 协议01 携带的数据来自ICMP 协议头部校验和A9 F7 头部校验和为A9 F7 源地址3b 40 c0 b8 源地址为59.64.192.184 目的地址d3 5e 90 64 目的地址为211.94.144.100 IP 分组二名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 17 页 - - - - - - - - - 其相应的分析如下表字段报文（ 16 进制）内容报头长度45 报头长 20 字节服务类型00 正常时延，正常吞吐量，正常可靠性总长度05 dc 分组长度1500 字节标识0b 6e 标识为 2926 标志20 DF=0，MF=1 ，允许分片 ,当前片不是最后片偏移值20 B9 偏移量为1480 生存周期80 每跳生存周期为128s 协议01 携带的数据来自ICMP 协议头部校验和A9 3E 头部校验和为A9 3E 源地址3b 40 c0 b8 源地址为59.64.192.184 目的地址d3 5e 90 64 目的地址为211.94.144.100 IP 分组三名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 17 页 - - - - - - - - - 其相应的分析如下表字段报文（ 16 进制）内容报头长度45 报头长 20 字节服务类型00 正常时延，正常吞吐量，正常可靠性总长度05 dc 分组长度1500 字节标识0b 6e 标识为 2926 标志2X DF=0，MF=1 ，允许分片 ,当前片不是最后片偏移值21 72 偏移量为2960 生存周期80 每跳生存周期为128s 协议01 携带的数据来自ICMP 协议头部校验和A8 85 头部校验和为A8 85 源地址3b 40 c0 b8 源地址为59.64.192.184 目的地址d3 5e 90 64 目的地址为211.94.144.100 IP 分组四名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 17 页 - - - - - - - - - 其相应的分析如下表字段报文（ 16 进制）内容报头长度45 报头长 20 字节服务类型00 正常时延，正常吞吐量，正常可靠性总长度05 dc 分组长度1500 字节标识0b 6e 标识为 2926 标志2X DF=0，MF=1 ，允许分片 ,当前片不是最后片偏移值22 2b 偏移量为4440 生存周期80 每跳生存周期为128s 协议01 携带的数据来自ICMP 协议头部校验和A7 CC 头部校验和为A7 CC 源地址3b 40 c0 b8 源地址为59.64.192.184 目的地址d3 5e 90 64 目的地址为211.94.144.100 IP 分组五名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 17 页 - - - - - - - - - 其相应的分析如下表字段报文（ 16 进制）内容报头长度45 报头长 20 字节服务类型00 正常时延，正常吞吐量，正常可靠性总长度05 dc 分组长度1500 字节标识0b 6e 标识为 2926 标志2X DF=0，MF=1 ，允许分片 ,当前片不是最后片偏移值22 e4 偏移量为5920 生存周期80 每跳生存周期为128s 协议01 携带的数据来自ICMP 协议头部校验和A7 13 头部校验和为A7 13 源地址3b 40 c0 b8 源地址为59.64.192.184 目的地址d3 5e 90 64 目的地址为211.94.144.100 IP 分组六名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 17 页 - - - - - - - - - 其相应的分析如下表字段报文（ 16 进制）内容报头长度45 报头长 20 字节服务类型00 正常时延，正常吞吐量，正常可靠性总长度02 74 分组长度628 字节标识0b 6e 标识为 2926 标志03 DF=0，MF=0 ，允许分片 ,当前片是最后片偏移值03 9d 偏移量为7400 生存周期80 每跳生存周期为128s 协议01 携带的数据来自ICMP 协议头部校验和C9 C2 头部校验和为C9 C2 源地址3b 40 c0 b8 源地址为59.64.192.184 目的地址d3 5e 90 64 目的地址为211.94.144.100 上述便是将一个8000 字节的分组划分为六个分片的情形，我们不妨加以计算5 个长度为1500 字节的 IP 分组，每个分组的净荷域=1500-20=1480 ，第一个分组为表明是 ICMP 分组，又加了8 个字节的长度，故前五个分组组装起来为1480*5-8=7392 。加上最后一个分片，其总长度为7392+628=8000Byte ，证明结果是正确的。6） TCP 协议分析名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 17 页 - - - - - - - - - 建立连接 :在 TCP/IP 协议中， TCP 协议提供可靠的连接服务，采用三次握手建立一个连接。第一次握手：建立连接时，客户端发送 syn 包(syn=j)到服务器，并进入 SYN_SEND 状态，等待服务器确认；第二次握手：服务器收到 syn 包，必须确认客户的 SYN （ack=j+1 ） ，同时自己也发送一个 SYN 包 （syn=k） ， 即 SYN+ACK 包，此时服务器进入 SYN_RECV 状态； 第三次握手：客户端收到服务器的 SYNACK 包，向服务器发送确认包 ACK(ack=k+1) ，此包发送完毕，客户端和服务器进入 ESTABLISHED 状态，完成三次握手。完成三次握手，客户端与服务器开始传送数据释放连接 : 虽然 TCP 连接是全双工的，但可将其视为一对单工连接，每个连接单独释放，两个单工之间独立。步骤 : （1）客户端 1发送一个 FIN，用来关闭 1到2的数据发送（2）服务器 2收到这个 FIN，它发回一个 ACK ，确认序号为收到的序号+1，和SYN 一样，一个FIN 将占用一个序号（3）服务器 2关闭与客户端 1的连接，发送一个FIN给客户端 1 （4）客户端 1发回 ACK 报文确认，并将确认信号设置为收到序号+1 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 17 页 - - - - - - - - - 每个 TCP 报文头部都包含源端口号（source port）和目的端口号（destination port） ，用于标识和区分源端设备和目的端设备的应用进程。在TCP/IP 协议栈中，源端口号和目的端口号分别与源IP 地址和目的IP 地址组成套接字（socket） ，唯一的确定一条TCP 连接。序列号（ Sequence number）字段用来标识TCP 源端设备向目的端设备发送的字节流，它表示在这个报文段中的第一个数据字节。如果将字节流看作在两个应用程序间的单向流动，则 TCP 用序列号对每个字节进行计数。序列号是一个32bits 的数。既然每个传输的字节都被计数，确认序号（Acknowledgement number，32bits）包含发送确认的一端所期望接收到的下一个序号。因此，确认序号应该是上次已成功收到的数据字节序列号加1。TCP 的流量控制由连接的每一端通过声明的窗口大小（windows size ）来提供。窗口大小用数据包来表示，例如Windows size=3, 表示一次可以发送三个数据包。窗口大小起始于确认字段指明的值，是一个16bits 字段。窗口大小可以调节。校验和（ checksum）字段用于校验TCP 报头部分和数据部分的正确性。最常见的可选字段是MSS（Maximum Segment Size ，最大报文大小） 。MSS 指明本端所能够接收的最大长度的报文段。当一个TCP 连接建立时，连接的双方都要通告各自的MSS协商可以传输的最大报文长度。我们常见的MSS 有 1024（以太网可达1460 字节）字节。2） 对照教材6-33 图，理解 TCP 状态转换的过程，按照你所捕获的消息，画出Client 侧的状态转换图，并进行解释。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 17 页 - - - - - - - - - 当客户机器上的一个应用程序发出CONNECT 请求的时候，本地的TCP创建一条连接记录，并将它标记为SYN SENT状态，然后发送一个SYN 数据段。当 SYN+ACK 到达时候，三步握手完成，连接建立开始发送和接收数据。当应用结束时，发出CLOSE 原语，从而使本地的TCp实体发送一个FIN 数据段，并等待相应 ACK ，当 ACK 到达时，发生一次状态迁移，切换到FIN WAIT 2 ，而且连接的一个方向现在被关闭。当另一方也关闭的时候，一个FIN数据段会到来，然后它被确认。现在双方都已经关闭了， 但是TCP要等待一段最大的分组生存期的时间，以确保该链接的所有分组都已经消失了，以防万一发生确认被丢失的情形。当定时器到期之后，TCP删除该链接记录。当客户完成的时候，它执行 CLOSE,从而导致发送一个FIN到达服务器。 然后，服务器接到信号，当它也执行CLOSE 的时候， TCP实体给客户发送一个FIN数据段。当客户的确认回来的时候，服务器释放该链接，并且删除相应的链接记录。9、 实验结论和实验心得通过本次实验，我对IP 数据包的组成有了更加深刻地认识，对数据包在数据链路层，网络层，传输层传递过程中帧头信息的变化有了更加深刻的理解，数据链路层加DLC 头，网络层加IP 头，同时每一层还有相应的协议（ICMP ，DHCP，ARP ） ，对应相应的数据包。不过总体上来说， 这次实验进行的还是较为顺利的，花费时间最多的部分是实验报告的书写及相关结果的截图上。总体来说比较顺利的完成了本次实验。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 17 页 - - - - - - - - -