2022年IP和TCP数据分组捕获和解析 .pdf

《2022年IP和TCP数据分组捕获和解析 .pdf》由会员分享，可在线阅读，更多相关《2022年IP和TCP数据分组捕获和解析 .pdf（17页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、-WORD 格式 - 可编辑 - - 实验二： IP 和 TCP数据分组的捕获和解析1. 实验类别协议分析型2. 实验内容和实验目的本次实验内容：1）捕获在连接 Internet过程中产生的网络层分组： DHCP 分组，ARP分组，IP 数据分组， ICMP分组。2）分析各种分组的格式，说明各种分组在建立网络连接过程中的作用。3）分析 IP 数据分组分片的结构。通过本次实验了解计算机上网的工作过程，学习各种网络层分组的格式及其作用，理解长度大于1500字节 IP 数据组分片传输的结构。4）分析 TCP建立连接，拆除连接和数据通信的流程。3. 实验学时4 学时。4. 实验分组单独完成。5. 实验

2、设备环境1 台装有 Windows XP 操作系统的 pc 机，要求能够连接到Internet，并安装 WireShark 软件。6. 实验步骤6.1 准备工作启动计算机，连接网络确保能够上网，安装WireShark 软件。6.2 捕获 DHCP 报文并分析DHCP 报文格式先介绍一下 DHCP 的报文格式，如图 1OP(1)HtypeHlenHops(名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 17 页 - - - - - - - - - -WORD 格式 - 可编

3、辑 - - (1)(1)1)Transaction ID(4)Seconds(2)Flags(2)Ciaddr （4）Yiaddr （4）Siaddr （4 ）Giaddr （4）Chaddr （16 ）Sname （64 ）File （128 ）Options（variable）（图 1 DHCP 报文格式）OP：若是 client 送给 server的封包，设为 1，反向为 2；Htype：硬件类别， ethernet为1；Hlen：硬件长度， ethernet为6；Hops：若数据包需经过 router 传送，每站加 1，若在同一网内，为 0；Transaction ID：事务 ID，是

4、个随机数，用于客户和服务器之间匹配请求和相应消息；Seconds ：由用户指定的时间，指开始地址获取和更新进行后的时间；Flags：从0-15bits，最左一 bit 为1时表示 server将以广播方式传送封包给client，其余尚未使用；Ciaddr：用户 IP 地址；Yiaddr：客户 IP 地址；Siaddr：用于 bootstrap过程中的 IP 地址；Giaddr：转发代理（网关） IP 地址；名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 17 页 - -

5、- - - - - - - -WORD 格式 - 可编辑 - - Chaddr：client 的硬件地址；Sname ：可选 server的名称，以 0 x00结尾；File：启动文件名；Options： ，厂商标识，可选的参数字段如下图所示，在DOS窗口执行命令ipconfig/release后，已经申请的IP 地址被释放。再执行 ipconfig/renew，在 WireShark 上就看到了 DHCP 的四次握手获得 IP 地址，缺省路由DNS 等参数的过程。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 -

6、 - - - - - - 第 3 页，共 17 页 - - - - - - - - - -WORD 格式 - 可编辑 - - 现在来详细分析下这四次握手的过程。（1）第一次握手：客户端首先向网络以广播形式发送DHCP discover 报文，目的是发现网络中存在的 DHCP server ，并请求给出回应。从图中可以看出DHCP discover数据包二层源 mac地址为源端口 mac， 目的 mac为广播地址 ff:ff:ff:ff:ff:ff. 三层源地址为 0.0.0.0。目的地址为广播地址255.255.255.255 。端口 ：源端 68，目的端 67。名师资料总结 - - -精品资

7、料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 17 页 - - - - - - - - - -WORD 格式 - 可编辑 - - （2）第二次握手：向 client 端提供IP 地址。当DHCP 服务器监听到客户端发出的Dhcpdiscover 广播后，它会从那些还没有租出的地址池内，选择最前面的的空置IP ， 连同其它TCP/IP 设定， 回应给客户端一个DHCPOFFER 封包。 由于客户端在开始的时候还没有IP 位址， 所以在其Dhcpdiscover 封包内会带有其MAC 位址信息，并且有一

8、个XID 编号来辨别该封包，DHCP 服务器回应的Dhcpoffer 封包则会根据这些资料传递给要求租约的客户。根据服务器端的设定， Dhcpoffer 封包会包含一个租约期限的信息,当客户端到了这个期限 ,会释放出 IP,进行相同步骤的再次申请. 在 DHCP offer包中我们可以获得以下的信息:信息类型为应答广播信息,客户端 IP 地址为 0.0.0.0.通过 DHCP discover 请求申请后 ,服务器端分配的 IP 地址为 118.229.161.236DHCP服务器的IP 地址为 211. 68. 71. 5.租约时间为 4 个小时 . Client IP address =0

9、.0.0.0(0.0.0.0)表示客户机还没有使用该地址Your(Client)IPaddress=118.229.162.236(118.229.162.236)表 示DHCP Server分配给该客户机的IP 地址next Server IP address它标示了客户机下一次发出DHCP Request报文时，哪个 DHCP Server会发出回应DHCP Message Type DHCP Offer 表示这是一个对DHCP Discover的回应报文名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -

10、- - - - - 第 5 页，共 17 页 - - - - - - - - - -WORD 格式 - 可编辑 - - Subnet Mask=255.255.255.128表示分配的IP 地址子网掩码为16位Ip address lease time=4 hour 表示租期是 4 小时Server identifier=211.68.71.5表 示 服 务 器 的IP地 址 为211.68.71.5 Router=118.229.161.129表示它的路由网关是118.229.161.129 Domain Name= 表示域名所有发送 DHCP Offer 信息包的服务器将保留它们提供的一个

11、IP 地址。在该地址不再保留之前，该地址不能分配给其他的客户。(3)第三次握手：用户发送 DHCP request报文,客户以广播的方式发送DHCP Request信息包作为响应。注意其中的DHCP Message Type一项中typeRequest表示这是一个请求报文。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 17 页 - - - - - - - - - -WORD 格式 - 可编辑 - - （4）第四次握手：第四阶段 DHCP server回应 DHCP AC

12、K 报文, 该信息包是以单播的方式发送的。当服务器接收到 DHCP Request信息包时，它以一个 DHCP Acknowledge信息作为响应，其内容同DHCPOFFER 类似。在该报文中可以获得以下信息:DHCP 服务器端给出了 domain name= ” e” 表示服务器的域名为 ” ” 。现在观察 ARP 和 PING 命令的执行过程。我们向 118.229.161.140发送 ping 请求，发送的数据大小为32字节。默认情况下，只发送四个数据包此时得到对方的4 次回应。在给118.229.161.140发送 4 个数据包的过程当中，返回了4 个，这 48 个数据包当中返回速度最

13、快为1ms ，最慢为 7ms ，平均速度为2ms 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 17 页 - - - - - - - - - -WORD 格式 - 可编辑 - - 下面看看的执行过程：上图表示的是 apr 的格式。先发送一个请求包：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 17 页 - - - - - - - - - -WO

14、RD 格式 - 可编辑 - - 整 个 报 文 长 度 为 字 节 ， who has 118.229.161.140?tell 118.229.161.236, 即将本机的信息以及想要连接的ip 进行广播。头 6 个字节是以太网目的地址 ff ff ff ff ff ff 这是一个广播地址，全网下的所有终端都能接受到。 Sender mac add 发送者的 mac地址 ip 地址以及想要获得的 ip 地址都广播出去。接下来分析是应答的数据包。 应答包长度为 60个字节头 6个字节是本地的mac地址接着的 6个字节就是对方的mac地址，这样我们就知道了对方地址。加进缓存表。名师资料总结 -

15、- -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 17 页 - - - - - - - - - -WORD 格式 - 可编辑 - - 6.3 分析数据分组的分片传输过程制作大于 8000 字节的 IP 数据分组并发送，捕获后分析其分片传输的分组结构。使用 Windows中 ping 命令的 -l 选项， ping -l 8000 192.168.0.1 执行之后我们捕获了4 个数据包：（默认情况下，只发送四个数据包）从 4 个分组中随便选取一个进行详细的分析：名师资料总结 - - -精品资料

16、欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 17 页 - - - - - - - - - -WORD 格式 - 可编辑 - - Version ：版本的信息是 IPv4。所有的设备必要运行相同版本的IP 协议，否则设备将会拒绝接收数据包。长度为4 个字节。Header length IP：报头长度为 20 字节Total length ：总长度，表示整个数据包的长度。包括数据和报头。从该值中减去 Header length值的长度，得到的就是数据有效负荷的长度。在我们分析的这个数据包中，总长度为5

17、6. Identification： 表示当前的数据包。 在我们分析的这个数据包中, 为 0 xb3e6（46054）Fragment offset：重组分片为 0。Time to live ：存活时间。计数器会按一定增量逐渐减少为0. 当到 0 时，该数据包将被丢弃。Protocol ：ICMP协议接收。Header checksum（报头的校验和）：报头正确（ correct ）Source：发送设备的 IP 地址为 118.229.161.236 。Destination：接收设备的 IP 地址为 192.168.0.1 。6.4 分析 TCP通信过程WireShark 的 Filter

18、 项 填为 tcp.port=21 (仅观察 FTP的 TCP 通信，FTP端口号为 21)。捕获所有下面通信过程的TCP报文进行分析。（1）观察 TCP 建立连接的三次握手和粗暴方式拆除连接的流程。执行命令 ftp 连接建立后直接按下Ctrl-C 中止程序运行。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 17 页 - - - - - - - - - -WORD 格式 - 可编辑 - - 可 以 看 出 ， 我 的 ip地 址 为 118.220.161.236,目

19、 的ip 地 址 为202.38.97.197. 现在来详细分析一下这3 次握手过程。第一次握手：Source port:源端口号为 1666 Destination port:目的端口号为 FTP的 21 端口Sequence number:相对确认号为 0 Header length:首部长度为 32 字节Flag: 标志位（ 0 x02）. 只设置了 SYN ，也就是位同步标志 , 表示请求建立连接。 Windows size value:窗口大小为 65535. Checksum; 校验和是正确的。Options: 选项是 12 字节可以看到是我（客户）向目标地址（服务器）发出的第一次

20、握手，seq=0，SYN=1。服务器可以知道我的联机请求。第二次握手：服务器在收到请求后，发回确认（SYN+ACK） 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 17 页 - - - - - - - - - -WORD 格式 - 可编辑 - - Source port:源端口号（服务器）为FTP的 21 Destination port:目的端口为（客户端） 1666 Sequence number:相对确认号为 0 Ack num=1:对所接受的段的确认Head

21、er length:首部长度为 32 字节Flag: 标志位（ 0 x02）. Flag 中，SYN:认可连接。ACK 表示对所接受的段的确认。Windows size value:窗口大小为 65535. Checksum; 校验和是正确的。Options: 选项是 12 字节第三次握手：客户向服务器发出的确认段。再向服务器发出第三次握手，可以看到ACK=1，seq=1，ack=1。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 17 页 - - - - - - -

22、- - -WORD 格式 - 可编辑 - - Source port:源端口号为 1666 Destination port:目的端口号为 FTP的 21 端口Sequence number:相对确认号为 1 Header length:首部长度为 32 字节Flag: 标 志 位 （ 0 x02 ） . 只 设 置 了ACK ， 表 示 已 建 立 连 接 。Windows size value:窗口大小为 65535. Checksum; 校验和是正确的。Options: 选项是 12 字节粗暴方式拆除连接：用户直接与服务器断开连接。（2）观察 TCP 建立连接的三次握手， 数据通信和优雅

23、方式拆除连接的流程。执行命令 ftp 用户名输入 anonymous 口令输入 ab执行成功后输入命令bye 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 17 页 - - - - - - - - - -WORD 格式 - 可编辑 - - TCP 三次握手见（ 1）的描述，在这里就不再重复讨论了。在三次握手建立好建立起连接后， 以优雅方式拆除连接。 TCP 采用四次握手的方式拆除连接。首先我们向服务器发送一个QUIT 请求，然后开始4 次握手。第一次握手：释放请求名师

24、资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 17 页 - - - - - - - - - -WORD 格式 - 可编辑 - - 服务器发送一个FIN=1 的分组作为对 quit 请求的回应。第二次握手：得到回复，并且半关闭TCP 连接。本机对服务器发来的FIN 进行确认，并回复ACK 。第三次握手：发拆除请求名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 17 页 - - - - - - - - - -WORD 格式 - 可编辑 - - 我们向服务器发出拆除的请求。FIN=1. 第四次握手：确认，到此拆除完成服务器反馈一个ACK ，表示连接已经被拆除。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 17 页 - - - - - - - - -