2022年协议数据包的捕获与分析归纳 .pdf

《2022年协议数据包的捕获与分析归纳 .pdf》由会员分享，可在线阅读，更多相关《2022年协议数据包的捕获与分析归纳 .pdf（18页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、目录一、实习任务 . 2二、协议分析 . 21、捕获 ARP数据包，分析研究之. 错误！未定义书签。2、捕获 ICMP数据包，分析研究之. 错误！未定义书签。3、捕获 TCP数据包并分析. 54、捕获 HTTP数据包并分析. 55、捕获 DNS数据包并分析. 56、捕获 DHCP 数据包并分析. 5三、总结 . 17 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 18 页 - - - - - - - - - 2 一、实习任务1、捕获 APR请求、应答数据包，分析其组成特

2、征；弄清楚 ARP协议的作用，对LAN内、 LAN之间， APR是如何工作的？APR缓冲的内容如何保存与其作用？请求与应答包的区别。2、捕获 ICMP数据包，分析研究之；弄清楚 ICMP数据包的分类、作用，捕捉 Ping 命令数据包，如何构成ICMP协议包， 请示与应答包的区别，怎样传输的。3、捕获 TCP数据包并分析；捕获一对通信的TCP连接、数据传送、释放的整个过程，分析其三次握手连接、四次握手释放的会话过程中每一步通信的参数传送，以及可靠传输的实现。4、捕获 HTTP 、DNS数据包，分析其构成；捕获本机浏览外部某一网站时的DNS 、HTTP数据包，取DNS 、HTTP典型数据包各一个，

3、列出其应用层、传输层、IP 层、数据链路层上各层上数据包相应参数，首部内容，并对感兴趣的部分进行深入分析。5、捕获 DHCP 数据包，分析其构成；本机设置为自动获取IP 地址， 捕获本机的DHCP 数据包， 列出数据包包含的内容，并对其构成进行分析，检查数据包中是否包含本机需要的数据。二、协议分析1、ARP 协议分析（同一捕获方案得到的多个协议可以写在一起）（1）捕获方案利用 Ethereal 网络协议分析软件及PING 命令发送请求可捕捉数据包。（2）捕获数据包与协议分析数据包字段分析：ARP 请求：字段值含义Hardware type 0 x0001 硬件类型Protocol type 0

4、 x0800 协议类型Hardware size 6 硬件地址长度Protocol size 4 协议地址长度Opcode 0 x0001 操作类型Sender MAC address 00:14:2a:69:c7:2c 源 MAC 地址Sender IP address 172.16.56.42 源协议地址Target MAC addess 00:00:00:00:00:00 目的 MAC 地址Target IP addess 172.16.59.217 目的协议地址名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理

5、 - - - - - - - 第 2 页，共 18 页 - - - - - - - - - 3 ARP 答应：（该表格应与截图对应）字段值含义Hardware type 0 x0001 硬件类型Protocol type 0 x0800 协议类型Hardware size 6 硬件地址长度Protocol size 4 协议地址长度Opcode 0 x0002 操作类型Sender MAC address 00:14:2a:6e:4c:2f 源 MAC 地址Sender IP address 172.16.59.217 源协议地址Target MAC addess 00:14:2a:69:c7

6、:2c 目的 MAC 地址Target IP addess 172.16.56.42 目的协议地址名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 18 页 - - - - - - - - - 4 协议分析：（协议的工作过程如何在捕获到的数据包中体现）。如果一个主机的IP 地址和 ARP请求中的目的IP 地址相同 ，该主机会对这个请求数据包做出 ARP应答，将其 MAC 地址发送给请求者。这时，双方主机的ARP缓存中各自会增加一条对方的 IP 地址与 MAC 地址的映射表项

7、，此表会定期刷新，以防止由于主机离线或网卡改变所造成的解析错误。当主机 A在 LAN内向主机 B发送 IP 数据报时，先在其ARP高速缓存内查看有无B的 IP地址。如有，就在其中查出对应的硬件地址，再将硬件地址写入MAC 帧发往次硬件地址。当查不到， （1）ARP进程在本 LAN上广播发送一个ARP请求分组。 （2）本 LAN上所有运行ARP进程的主机都收到此分组。（3）主机 B 在请求分组中见到自己的IP 地址，向A 发送 ARP响应分组，并写入自己的硬件地址。其余主机不理会此分组。（4）主机 A收到 B的 ARP响应分组后，再去ARP高速缓存中写入B的 IP 地址和硬件地址映射。当要解析的

8、地址不在本LAN内时，需将与本LAN相连的路由器的IP 地址解析为硬件地址，将 IP 数据报发送给路由，再由路由找出下一跳的路由硬件地址，再由其转发给目的机器，目的机器按相似的方法回答自己的硬件地址. 主机将已经得得到的地址映射写入ARP 缓存中，而且在超过生存时间之后将该项目删除，以免地址映射过时而出错。ARP的缓存可使网络上短时间内重复询问的ARP广播的数量减少，提高网络利用效率. 请求包和应答包的区别：1、请求包是发送的一个广播分组，本LAN上的所有主机上运行的 ARP 都收此 ARP 请求分组，而应答包是一个单播发送的，只有目的主机才理睬。2、内容不太一样：请求包：我的IP 地址是 X

9、X ，硬件地址是YY ，我想知道IP 地址为 ZZ 主机的硬件地址。而发送包：我的IP 地址是 ZZ，硬件地址是WW 。2、捕获 ICMP 数据包，分析研究之ICMP 数据包的分类ICMP 协议数据包对IP 分组在传送时出现的异常情况进行报告，对IP 报文传输时出现的差错、拥塞、路由改变、以及路由器或主机信息的获取等情况，向源端主机提交报告，由源主机采取相应措施，改进传输质量。ICMP 协议包构成： ICMP 的前 8 字节是：报文类型1 字节、代码1 字节、校验和2 字节，选项部分4 字节。 ICMP报文分为两大类差错报告报文与询问报文，差错报文共有五种、询问报文有两种ICMP 请求包名师资

10、料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 18 页 - - - - - - - - - 5 字段值含义Type 8 类型Code 0 代码Checksum 0 x365c 校验和Identifier 0200 鉴别Sequence number 0 x1500 序列号ICMP 答应包：字段值含义Type 0 类型Code 0 代码Checksum 0 x3e5c 校验和Identifier 0200 鉴别Sequence number 0 x1500 序列号请求和应答数据

11、包的区别是在于类型，请求包为Type8，而应答包为Type0。ICMP 与 IP协议同处于TCP/IP 模型的网际层 ， 但 ICMP 报文是封装在IP 数据报的数据部分进行传输的。3、捕获 TCP 数据包并分析TCP 建立连接第一次握手名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 18 页 - - - - - - - - - 6 第二次握手第三次握手TCP数据包分析：（本地主机A：172.16.56.42；目的主机B ： 210.38.137.119）第一次握手：本地

12、主机A向目的主机B发送连接请求。第二次握手 ：目的主机B确认本地主机A的连接请求 - 建立正向连接， 同时发出对B的反向连接请求。第三次握手：本地主机A响应目的主机B的连接请求建立反向连接。TCP连接过程主要信息记录表步骤源端口目的端口类型方向主要参数205180SYNABSeq=0,MSS=1460, win=0,len=0802051SYN,ACKBASeq=0,ACK=1,win=5840,MSS=1460205180ACKABSeq=1,ACK=1,win=65535,len=0名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - -

13、 - 名师精心整理 - - - - - - - 第 6 页，共 18 页 - - - - - - - - - 7 TCP 释放链接第一次步第二次步第三步名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 18 页 - - - - - - - - - 8 第四步分析 TCP释放过程，与连接过程相似，需要经过四个步骤：第一步： B对 A发出释放请求结束本次数据传送；第二步： A确认 B释放反向连接；第三步 : A 对 B发出释放请求；第四步 : B 确认 A的请求，释放正向连接.

14、 TCP 释放过程主要信息记录表步骤源端口目的端口类型方向主要参数1802051FIN,ACKBAseq=658,ACK=386, win=6912len=02205180ACKABseq=386,ACK=659,win=64878, len=03205180FIN,ACKABseq=386,ACK=659,win=64878,len=04802051ACKBAseq=659,ACK=387,win=6912,len=04、捕获 HTTP 数据包并分析HTTP协议是 WWW浏览器与 WWW服务器之间进行交互通信的协议，客户机利用HTTP协议向服务器请求所需资源，服务器利用HTTP协议将指定资源

15、递交给客户，这种传输是一个完整的过程， 成功则全部传送，中间出现错则取消前面的传送将这种交互传送看作是一个事务，成功则全部完成，否则事务撤销，这就是面向事务的概念。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 18 页 - - - - - - - - - 9 HTTP 请求报文HTTP 响应报文名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 18

16、页 - - - - - - - - - 10 链路层HTTP链路层分析字段值含义Source 00:14:2a:69:c7:2c 源地址Destination 00:19:c6:04:3d:81 目的地址Type 0 x0800 类型网际层HTTP网际层分析字段值含义Version 4 版本Header length 20 首部长度Differentiated Services Field 0 x00 区分服务Total length 396 总长度Identification 0 x8036 标识Fragment offset 0 标志Time to live 64 生存时间Protocol

17、 0 x06 使用协议Header checksum 0 x01f3 首部校验和Source 172.16.56.42 源地址Destination 121.14.89.250 目的地址名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 18 页 - - - - - - - - - 11 运输层HTTP 运输层分析字段值含义Source port 1684 运输层源端口Destination port 80 目的端口Sequence number 1 序号Next sequ

18、ence number 357 下次序号Acknowledgement number 1 确认号Header length 20 bytes 头长度Flags 0 x0018 标志Window size 65535 窗口Checksum 0 x5fb0 校验和应用层HTTP 应用层分析应用层对多行 首部字段 ， 状态 值的逐行说明包括主机名、选用语言、连接状态等。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 18 页 - - - - - - - - - 12 5、捕获

19、 DNS 数据包并分析链路层DNS 链路层分析字段值含义Source 00:14:2a:69:c7:2c 源地址Destination 00:19:c6:04:3d:81 目的地址Type 0 x0800 类型网际层DNS 网际层分析字段值含义Version 4 版本Header length 20 首部长度Differentiated Services Field 0 x00 区分服务Total length 58 总长度Identification 0 x8032 标识Fragment offset 0 标志Time to live 64 生存时间Protocol 0 x11 使用协议He

20、ader checksum 0 xcb8f 首部校验和Source 172.16.56.42 源地址Destination 202.96.128.86 目的地址名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 18 页 - - - - - - - - - 13 运输层DNS 运输层分析字段值含义Source port 51306 运输层源端口Destination port 53 目的端口Length 38 长度Checksum 0 x5fa0 校验和应用层DNS 应用层

21、分析字段值含义Transaction ID 0 x644e 交易 ID Flags 0 x0100 等级Type A 类型名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 18 页 - - - - - - - - - 14 6、捕获 DHCP 数据包并分析DHCP discover报文字段值含义Message type 1 操作码Hardware type Ethernet 硬件类型Hardware address length 6 硬件地址长度Hops 0 跳数Tran

22、saction ID 0 xa301eb21 事务标识Seconds elapsed 0 秒数Client IP address 0.0.0.0 客户 IP Your IP address 0.0.0.0 你的主机IP 地址Next server IP address 0.0.0.0 下一个服务器的IP 地址Relay agent IP address 0.0.0.0 中介代理的IP 地址Client MAC address 00:14:2a:69:c7:2c 客户 MAC 地址DHCP message type DHCP Discover DHCP 消息类型名师资料总结 - - -精品资料欢

23、迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 18 页 - - - - - - - - - 15 DHCP offer 报文字段值含义Message type 2 操作码Hardware type Ethernet 硬件类型Hardware address length 6 硬件地址长度Hops 0 跳数Transaction ID 0 xa301eb21 事务标识Seconds elapsed 0 秒数Client IP address 0.0.0.0 客户 IP Your IP address 1

24、72.16.56.42 你的主机IP 地址Next server IP address 0.0.0.0 下一个服务器的IP 地址Relay agent IP address 172.16.56.1 中介代理的IP 地址Client MAC address 00:14:2a:69:c7:2c 客户 MAC 地址DHCP message type DHCP offer DHCP 消息类型Server identifier 172.16.56.1 供应商标识符Subnet mask 255.255.255.0 子网掩码router 172.16.56.1 路由IP address lease tim

25、e 12 hours IP 地址的租用时间名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 18 页 - - - - - - - - - 16 DHCP request报文字段值含义Message type 1 操作码Hardware type Ethernet 硬件类型Hardware address length 6 硬件地址长度Hops 0 跳数Transaction ID 0 xa301eb21 事务标识Seconds elapsed 0 秒数Client IP

26、address 0.0.0.0 客户 IP Your IP address 0.0.0.0 你的主机IP 地址Next server IP address 0.0.0.0 下一个服务器的IP 地址Relay agent IP address 0.0.0.0 中介代理的IP 地址Client MAC address 00:14:2a:69:c7:2c 客户 MAC 地址DHCP message type DHCP Request DHCP 消息类型名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - -

27、 - 第 16 页，共 18 页 - - - - - - - - - 17 DHCP ack 报文字段值含义Message type 2 操作码Hardware type Ethernet 硬件类型Hardware address length 6 硬件地址长度Hops 0 跳数Transaction ID 0 xa301eb21 事务标识Seconds elapsed 0 秒数Client IP address 0.0.0.0 客户 IP Your IP address 0.0.0.0 你的主机IP 地址Next server IP address 0.0.0.0 下一个服务器的IP 地址R

28、elay agent IP address 0.0.0.0 中介代理的IP 地址Client MAC address 00:14:2a:69:c7:2c 客户 MAC 地址DHCP message type DHCP ACK DHCP 消息类型Server identifier 172.16.56.1 供应商标识符Subnet mask 255.255.255.0 子网掩码router 172.16.56.1 路由IP address lease time 12 hours IP 地址的租用时间名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - -

29、 - - - 名师精心整理 - - - - - - - 第 17 页，共 18 页 - - - - - - - - - 18 三、总结通过计算机网络课程的学习， 我基本掌握了计算机网络的基础理论知识，但是对于计算机网络的理解不够深入。通过本次实习， 让我对网络协议数据包的分析, 掌握在 TCP/IP 模型中, 各个层次上网络PDU 的实际组成，深入理解网络协议的组成，对网络中传送数据的过程有更深入的认识，同时培养我一定的自学能力和独立分析问题、解决问题的能力，是我收获巨大。参考文献计算机网络（第五版），谢希仁编著，电子工业出版社计算机网络（第4 版）， Andrew著，潘爱民译，清华大学出版社名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 18 页 - - - - - - - - -