1、-WORD格式 -可編輯-實驗二：IP和TCP數據分組的捕獲和解析1. 實驗類別協議分析型2. 實驗內容和實驗目的本次實驗內容：1） 捕獲在連接In ternet過程中產生的網絡層分組：DHCP分組，ARP分 組，IP數據分組，ICMP分組。2）分析各種分組的格式，說明各種分組在建立網絡連接過程中的作用。3）分析IP數據分組分片的結構。通過本次實驗了解計算機上網的工作過程， 學習各種網絡層分組的格式 及其作用，理解長度大于1500字節IP數據組分片傳輸的結構。4）分析TCP建立連接，拆除連接和數據通信的流程。3. 實驗學時4學時。4. 實驗分組單獨完成5.實驗設備環境1臺裝有Win dowsX

2、P操作系統的pc機，要求能夠連接到In ternet，并 安裝WireShark軟件。6.實驗步驟6.1準備工作啟動計算機，連接網絡確保能夠上網，安裝WireShark軟件6.2捕獲DHCP報文并分析DHCPS文格式先介紹一下DHCP勺報文格式，如圖1-WORD格式 -可編輯-OP(1)HtypeHlenHops(-WORD格式 -可編輯-(1) 1)Transaction ID(4)Seconds(2)Flags(2)Ciaddr (4)Yiaddr (4)Siaddr (4)Giaddr (4)Chaddr (16 )Sname (64 )File (128 )Options (varia

3、ble )（圖1 1 DHCPDHCP報文格式）OP:若是client送給server的圭寸包，設為1,反向為2；Htype :硬件類別，ethernet 為 1 ；Hle n：硬件長度，ethernet 為 6；Hops：若數據包需經過router傳送，每站加1，若在同一網內，為0；Transaction ID：事務ID，是個隨機數，用于客戶和服務器之間匹配請求 和相應消息；Seco nds由用戶指定的時間，指開始地址獲取和更新進行后的時間；Flags：從0-15bits，最左一 bit為1時表示server將以廣播方式傳送圭寸包給 clie nt，其余尚未使用；Ciaddr:用戶IP地址；

4、Yiaddr：客戶IP地址；Siaddr：用于bootstrap過程中的IP地址；Giaddr：轉發代理（網關）IP地址；-WORD格式 -可編輯-Clienr IP address: 36 (118-229,161.236)Chaddr： client的硬件地址；Sname可選server的名稱，以0 x00結尾;File：啟動文件名；Optio ns：，廠商標識，可選的參數字段如下圖所示，在 DOS窗口執行命令ipconfig/release 后，已經申請的IP地址被釋放341 40.17164E 36 211.6B.71.5 DHCP

5、342 DHCP Release - Transaction ID Ox81745cO3Frame Ml: 342 b/tes on vire (273bits). M2 bytes captured (2736 bits)ETherner II. Src： Conipaliri_d7：Qia7 (00:26:22了h Hangzhoy_6aieB5 (00:0f:咗：日a：lw:呂門 internet Protocol version 4, Src; 11829.161,236 (36L Dst: 211,68.71,5 (211.66,71,5 uier Data

6、gram Pr macol. 5rc Port: boot pc (68 X Dst Port: boatps (67J sDotstrap ProtocolMessage type: Boot Request COHardware type： EthernetHsrdwa廣e address length； 6Hips: 0Transaction ID： OK81745CO3seconds elapsed: 0Boutp flags: OKOOOO (Lnicast)Your (client) IP address： 0.0-0.0 (0.0,00)Next server IP addres

7、s: ()Relay agent IP address: ()clienrt MAC address: Compalin_d7:0c:a7 (00:26:22:d7:0c:a7) Client hardwire address padding： 000000000DQOOODQQ000 server hoST name not givenBoot file nam電 ng givenMagic cookie: DHCPoption: (t=53,1=1) :HCP Message Tpe = DHCP Release option:

8、(t=54,l=4) DHCP server identifier = Option: (t*61.1*7) Client idarnlfierEnd OptionPadding再執行ipconfig/renew，在WireShark上就看到了 DHCP的四次握手獲得IP地址，缺省路由DNS等參數的過程。-WORD格式 -可編輯-MO 5S. 501702 11自沱加1.俎，129llS,2,161.,23eiOQOO0010DOJO0050DOflO61aos61aos 213O2-A213O2-A 舄&1M2 4-4- - -U3QGAU3QGA 尸o o應o oo

9、dod f f 0000右心C n-n- Q Q Q Q Q Q d d H H 卡 e e 4 4 o o fl fl n n f-f-cAOOCcAOOC f f 90009000 f f f f o o o o o o H H f fOJ 子 D D 口 A A 1n1n4f1dort4f1dort f fIf30AIf30A f f ofof 8 8 A Aoxox d d _u_u d d n n 0 0 尸coco心r. r. 5_r5_r c c o o o o J-fJ-f 2 2 DoDo n n o o Q Q Q Q o o o o rt rt ooooortooooor

10、t 8 8 o o 6 6 o o o o o o o o D D -u-u fl fl rt rt 7 7 On-O7On-O7 A A aocraocr鼻A A ColoColo CACA QDODDQDODD n n 7i7i o o D D 7 7 n n DiiDii9 90TJl-l0TJl-l zizi 6 6 O2-AO2-A 27Bom27BomFYofle Def-aukFrime 66234S byces an wire (27&1 hits), 348 bytes carpiiuredl (27B4- bltaEthernet IIF Sr*C: ciitp 11rt_

11、d7:Oe:! a7 (00:26 i:22 :d7 i&C: i7J p Dt: BrP :ff:Ff :ff:Ff :ff JIrrt*rnEt Prate 匚口 1 V9 am Prpt KI?I VPort:;匚 $日入 &?t Pflrt: boXMJi BOdtEtrap PrgtKlMessage type; Boot Request (1JHardware types CtiherrietHardware address lengths &Hops: QTransacrlon ID： OxZccdSBdOSeconds el -apsedl:右tt Boadzcfli fJeD

12、&emE Gigahit Ethernet Ciriver (M. Pactrts: 3119 Dtsphyed: S Marked. H現在來詳細分析下這四次握手的過程(1)第一次握手：客戶端首先向網絡以廣播形式發送DHCP discover報文，目的是發現網絡中存在的DHCP serve，并請求給出回應。從圖中可以看出 DHCP discover 數據包二層源 mac地址為源端口 mac,目的mac為廣播地址ff:ff:ff:ff:ff:ff. 三 層源地址為0目的地址為廣播地址 55端口 ：源端68, 目的端67。20 53.4 33441 DD0

13、0)5pne;pDHCP DHCPDHCPTrinf n nri IP gxfcedH-Sdu373 DHCP flsqwst - TransactHon ID OxJccdSSdJO32 DHCP ACK- TranacHon ID Ox?CC-ddH)E E 003088 dO 00 00 00 00 HHMEflninrOO-00 00 00.-WORD格式 -可編輯-63B 58.488008 29 118.229.161 a23s& DKP 342 DKP Qffer Transaction ID 0 x2tcd88dD E88;byt

14、EW 口門 日 27&日氣上客：片工42 bytmw 匚(27*6 匕疔些(2)第二次握手：向client端提供IP地址。當DHCP服務器監聽到客戶端發出的 Dhcpdiscover廣播后，它會從那些還沒有租出的地址池內，選擇最前面 的的空置IP，連同其它TCP/IP設定，回應給客戶端一個 DHCPOFFER 圭寸包。由于客戶端在開始的時候還沒有IP位址，所以在其Dhcpdiscover封包內會帶有其 MAC位址信息，并且有一個XID編號來辨別該封包， DHCP服務器回應的Dhcpoffer封包則會根據這些資料傳遞給要求租約 的客戶。根據服務器端的設定，Dhcpoffer封包會包含一個租約期限

15、的信 息，當客戶端到了這個期限，會釋放出IP進行相同步驟的再次申請 Ethernei: HI. src: Hangzhou_6aila：85 (00:Of;e2 :6asle:B5jDsn : cortipalrn_d7i0c:a7 (002Ss22:dT：Qc; sestlnatiorii： ccmpalin_d7:0c:a7 C00:26:22:d7：.0c：a7) Source: HangzliDU_6a:lezSS (00:Of :e2:6a:lez85)Type IP (0 x00005imc&rnet Prcto匚version 4a Src:(115,Dst:User Datag

16、ram Protocol? Src Porti baotps (67J t Dst Port z bootpc (6B) 山 oaoTsirap protocolMessage type: Boot ReplyHardware type: EthernetHardware address lengrh: 5Hgps; 1Transaction I&z 0 x2ccdSBdXseconds0Bootp flags: OxQQOO Curlcast)Client IP addressi (0u0.0.0)rour (client) IP address: 3

17、6 (118.229.1&1.23Mert server IP address: 0, 0. Or0 CO-0,0, 0)Relay agent IP address: 118.229ul61a12& (118.229-161.129) 匚 11 ent HA.C address : comp a 11 nd? i： 0c: a? (00s2S：22 :d7：0c:a7) client hardware address padding： OOOOOOOQOOOOOOOOOOUO Server hast name not given BOOT file name nut glven-Magic

18、cookie: DKP Option: (t=53.25S. 255.12S option: Ct15fI 1-11) Domalni Name ,i-bupT. educn,e Opxion: (t=331-4) Router Oprtion: (t=41 =8) Damain Marne ServerEnd optionPadding在DHCP offer包中我們可以獲得以下的信息：信息類型為應答廣播信 息,客戶端IP地址為.通過DHCP discover請求申請后，服務器端分 配的IP地址為36DHCP服務器的IP地址為. 租

19、約時間為4個小時.Clie nt IP address =()表示客戶機還沒有使用該地址Your(Clie nt)IPaddress=36(36)表示DHCP Server分配給該客戶機的IP地址n ext Server IP address它標示了客戶機下一次發出 DHCP Request報文時，哪個DHCP Server會發出回應DHCP Message Type= DHCP Offer 表示這是一個對 DHCP Discover 的回應報文-WORD格式 -可編輯-689689 58/10844158/108

20、441 0 0 0.0,00.0,0 255.255,255,255255.255,255,255 DHCPDHCP 373373 DHDPDHDP RequestRequest - - TrAnsactiofiTrAnsactiofi IDID 0 x2cc(i8RdD0 x2cc(i8RdD Frame 689: 373 bytes on wire (29 bits) 373 bytes captured (298J bits)商ver host name not givenoption: Ct-53p1=1JOption: (t=6L, 1=7 option； fr-50,1-43 op

21、ticn: Ct-54p 1=43option: (t=L2,l-15 Hast Name = PC-200911301537Sub net Mask=28 表示分配的IP地址子網掩碼為 16 位Ip address lease time=4 hour 表示租期是 4 小時Server identifier= 表示服務器的 IP 地址為 Router=29 表示它的路由網關是 29Domain Name=表示域名所有發送DHCP Offer信息包的服務器將保留它們提供的一個

22、IP地址。 在該地址不再保留之前，該地址不能分配給其他的客戶。(3)第三次握手：用戶發送DHCP request報文，客戶以廣播的方式發送 DHCP Request信息包作為響應。注意其中的 DHCP Message Type一項中 type= Request表示這是一個請求報文。7 Etliernet Iirrc: Conipalin_d7:Oc:a7 C0C|：26:22:d7:0c?a7J Dst: Broadcast (ff:ff :ffiff:ff:ff) Desrinarion： Broadcast ftf;f:ff：ff:ff：ff)source: Compalln_d7:0c:

23、a? (00:26:22:d7:0c:a7)Type: IP CDxOSCO)internet prorocol version 4, Src： O.0,0,o Co. 0,0.0 C-st:為九255.2巧，25$ (255.255 + 255. J55) user Datagram rotocDl( src Port: bootpccst Port: bootps (67)Bootstrap ProtocolMessage Type： SOOT Requesi (1)Hmrckar日 type: EthernetHardware address length: & Hops: 0Trans

24、action ID： 0 x2ccd88d0 seconds elapsed: DSDDtp flags： QxOOOQ (ucasi：) client IP address: 0,0.0.0 (0.0.0,0)Your (client) IP address: D.0.0.0 (0.0.0.D)Next server IP address: QdQ.Q (Q+C.0.0)Relay agent IP address: 0,0.0.0 ()Client MAC address: Compalln_d7:0c:a7 C00：26:22:d7:Oc:a7)Client hardwar

25、e address padding： OOCOOOODOOOOOOOOOOOOBoot fi1e name not given Magic cookie： DUCPDHCP Message Type = DHCP Request client identifierRequested IP Address - LIS.?29.161.&DHCP Server Idenfifier = option: (x-8Li 1-19) client Fully Qualified Dana-inOption: Ct-60p1=90 vendor cl ass identifier =

26、 M5FT 5.0 opilori： (t =55,1-11) Parameter Request L乜toption:仕4 右1 萄 Vendor -Specific inform ar ionEnd option-WORD格式 -可編輯-(4)第四次握手:第四階段DHCP server回應DHCP ACK報文，該信息包是以單播的方式發送 的。當服務器接收到 DHCP Request信息包時，它以一個DHCP Acknowledge 信息作為響應，其內容同 DHCPOFFER類似。在該報文中可以獲得以下信息:DHCP服務器端給出了 domainname= e”表示服務器的域名為 ”。現在觀察

27、ARP和PING命令的執行過程我們向40發送ping請求，發送的數據大小為32字節。默認情況下，只發送四個數據包此時得到對方的4次回應。在給 40發送4 4個數據包的過程當中，返回了4 4個，這4848個數據包當中返回速度最快為1ms1ms，最慢為7ms7ms，平均速度為 2ms2ms。-WORD格式 -可編輯-Reply fron 40： Replv fron 118.229.161,140：Replr from 118.229-161,140：Reply fion 40：bytes-32

28、 tine-VRS TTL=64 bi/tes=32 tine =lns TTL=64 btes=32 tine=lns TTL=64 l) )ytes=32 tine =1 ms TTL=64Ping statistics for 118.229 .l&l .140：Packets: Sent - 4, Received 4, Lost 0 ,Approximate round trip tines in dkilli-seconds:Min imun = Iras, Maximum - 7RS # Average - 2ms3：Docunents and Settings Ml dmini

29、stratorF面看看ARP的執行過程:以太網目的 堆址史太網循屮.% 迄 A1F地址自標I? 地址6bv陽62221 1i6649S21-7在以尢兩上使用時ARPifi求雎冋答的格式上圖表示的是apr的格式先發送一個請求包：licrosoft Windows XP5.1.26003CO 版權所有 1985-2001 Microsoft Corp.J：xDocuments and SettingsAdninistratorpin 118_229_161_140Pinging 40 uitli 32 bytes of data：thar_trMt he r-壯 osx

30、ethostap.EihflLiLrp sia廠 譴件 瓷申円 *rjird t/LR FiiRDEfn-TER) 廠 廊儀 芒盡h ar Jrg確件地對杞址，畑 悔訶赳爪扎賀衛matn*r h*adr)l：；tARP74thr_*rpARpn aiptadr )-WORD格式 -可編輯-整 個報文 長度為 4 2 字節，who has 40?tell 36即將本機的信息以及想要連接的ip進行廣播。頭6個字節 是以太網目的地址ff ff ff ff ff ff這是一個廣播地址，全網下的所有終端都能接受到。Sender mac add發送者的m

31、ac地址ip地址以及想要獲得 的ip地址都廣播出去。接下來分析是應答的數據包。應答包長度為60個字節頭6個字節是本地的 mac地址接著的6個字節就是對方的mac地址，這樣我們就知道了對方地址。 加進緩存表。1479 31,937121Hangzhau_6a：le:35BroadcastWPW who hit97?Tfill 291504 32.197095Hang2hauL6a：l：a5BroadcastARP60 who has.118a 220.1&1Tfll 2?1561別站弱94Co(Tipalln=d7 泊

32、Broadcast.ARPA2. who has40?Tell 3615B2 34,365861Asu5tekc_73：7d：79匚 ompaUn_d7:0M：:a7jy?p60 118,229.161,140 is at 00:26:18:731565 3O6BD26AsusT：ekc_b2：ef :19BroadcasrARP&o who hai、i _118.220. l&l-131?S H 1+ -1 F 耳Tell 11S.229.161.17BT -4 -4ft 峠嚴申 T 亂zrame 153?; 50M 訕苗(4 hits),

33、 b/tej mpturEd (4?Q fcHtJ CrhBrner ire: JtsustekC_T3：(00:26:1E:73:7d:T0X Mt: CompalIn_(i7:&c:a? CDa；26r22:d7:0c:a7) DestiniTiCanpillrijcl7：Oc:a7:d7:dc:a7)Source： ASUEtBkJTS汗d：了9 (tn：26：l：7：7(l：79)Type： ARPTr 護 I er: OOODOOOaOOaOOODOODaOOaOOOOOODOOOOOOOj Address Resolutlan prorocfil (reply)Hardwarery

34、pe:Ethernet(1)pratncoltype：TP(0*0300)Hardwareslie:6PratncolSIZE:4Opcode; reply is graiuiious: FilseSender MAC address: A5U5tekC_73：7d：79 (OD:26:19:73:7d:79)sender IP address：229-161.ido (11乩229.161.14。larger MAC address: CMpalln_d7:dc:a? (OD：26:22;(J7:Oc:a7)Target IP address： 11 躬前9,161.2恥(118.225,1

35、61.236)OMDM ae 22 d7 QXKi 碑q2Bl血 11. icl6415K0519 HE. 2.1. HE192.1. P.l1FM1皿15&T3S,D51Z73 11 B,2?9,ll5i361W,M,D.1IM1514JPi4巧14訃井津 Mint諫M4】J hi16to JS.051J11lft2.W-4TPM+16U 3X0513J2 UD.2allJ2G192.1-.1皿PIbtQ 花師g刃 10.0.11.?Ug.?2.1fl.2J6】OP阡wgneMEd IP prDTQwl (prcKD-la* 5山 卅吧 ID-Pa) PeisMfbled Jn *1K1 F

36、Fagngrrred IP protocol F臼perrtEd IP prptgwl Frignirrtfltl TP prrtgrol rrdHntfld TP prutacpl(prffiM-3* /弘卅皿瞅(pa”TC QaCl. off-M-40,(prero-IDff QMQI, ff-5920.【DHEL：i PessHbled *1W1 W-17EL) Rei55-wbled In #1W1 TD-1M) Dliuwblfd In *1601 IQ-17M-) RBaSHbltd In MfiOl15? ifinM7nB in.n. 11.? 11 B.?W. 1 fii .?

37、ifi TCMP TH Timp-tn-IIVP ewrAPilPd (Tinw ! Ilw PMTAPdPtl in trarKit) l Frame 1522: 70 bytes on wire (560 bits), 70 bytes captured (560 bits)6.3 分析數據分組的分片傳輸過程制作大于8000字節的IP數據分組并發送，捕獲后分析其分片傳輸 的分組結構。使用 Win dows 中 pi ng 命令的-l 選項，pi ng -l 8000 執行之后我們捕獲了 4個數據包：（默認情況下，只發送四個數據包）彈世憐 轉a： uacs 鬧噸誕怦仙腳

38、9 tt M固訶常語召+ * * J2 glS 戰巴國甘寸 Lpwm “ ONT從4 4個分組中隨便選取一個進行詳細的分析:J Etherner n, 5rc: Hangihju_tiile：B5曲；萌：睨；$3：1；85英 OST： CQmpalln_jd7：0c;a7 W聞：魂：滬；膽：Mj Destination:匚aTipalin_17:Oc:a7 (00:2fi:22:d7:0c:a7Source: Hing2hau_6a:la:05 (00:0f:e2:6iLie:05)T沖E: IP C0D800)j Internet Prorocal Version 4, Src: 10.0.

39、11.2 (), Dst: 11S.225.161.236 (11S.229.161.236) version: 4 Header length: 20 bytesfferentlaed services Field: OxQO (C5CP Q如0： Ceful：; KN; OKOO： NOT-CT (NCI ECN-capable Tran沖ortj) Total Length: 56 idanilficatlDn： Oxb3e6 (4C054) Flags: 0 x00 Frignent offset: Q Time IO Hv&: 252 Protocol: :CMP

40、(1) Header checksum: oxddoa correct Source: 10.&.11.2 (Destination: USH229.161.236 018229.la.236)j internet Corrtrnl Message ProtocDlType: 11 Crlttie-to-livecode: 0 CTIIHE to live & fLp (SYT SeqO Win-65535 Len=“.Kh.erner II, arc: Compal I n_d7: oc:a? (DO: 2: 2 2 s d7: &c: a?). DST: Hangzhou

41、_6a.: le: a 5 00 ： of: e?: 6a i la: B5 ) internet protocol verslDin J1, src: UBa 2291俎2H (11822?,.:16123：右) DST: 2G2了 (20238 97.197) j Transmission 匸口ntrol Ptnto匚Sfc PDrti netvlew-aix-6 (1666)5 Dst Port: ftp (21)K Seq： 0, Len: Source port: netview-an x-6 (1666)Destination port: ftp ?1)Stream Index:

42、49Sequence nutiber: 0 (relative sequence nimber)Heider Jangth: 32 byres000 B.U J a=ReservEd: Ncrt seta0* + *J a , a=Nonces Nat set0 0二Congestion Window Reduced (CWR): Not sex弋1 MECNEcho: NOT 5&T1.1Po.！.urgent: Nat sei0i. i.AcknawledgamenT: Not seiu ii E b亠lm push； wot set 亠亠.0=Reset: Nat setI- = syn

43、:,.0 - Fin: Not setwindow size valuer 65535calcullaied window size: 553 5 cihecksinQxbffs valIdalcn disabled opt Ionsi (12 byres)Source port:源端口號為 1666Destination port:目的端口號為 FTP 的 21 端口Sequenee number:相對確認號為0Header length:首部長度為32字節Flag:標志位（0 x02）.只設置了 SYN也就是位同步標志，表示請求 建立連接。Windows size value: 窗口大小為

44、 65535.Cheeksu m校驗和是正確的。Options:選項是12字節可以看到是我（客戶）向目標地址（服務器）發出的第一次握手, seq=0, SYN=1。服務器可以知道我的聯機請求。第二次握手:服務器在收到請求后，發回確認（SYN+AQK-WORD格式 -可編輯-WlJllfifi? 202.30*7_197 110.2M.1&1TCP fifi ftp HF恂SnWTM-B GNP AF1C Sf；q = D Ack = l Vrfiil = 14fiDni.rame 4390: 66 hyces oni wire (52B b1rs)ip66 byres caprureiErhe

45、rneiL II,Src: Hang2hoLii_6ale85 COD tOf ie2 E6a Lie IBS) CST :mternex： Prot 口 弋口1 version 4 src： 2D2. 38. 97.197 C202u36u97ul97), D 丐 t： 11BB Z29.161u 236 (113-229 工61.23$)J Transmi ssi on Control Prutctcol 9 Src Port E ftp Cl Ost Port: netvi ew-ais-ft (16645a SEqs Q、 Ack: 1E Len; 0 Source pcirt ； f

46、tp (21)Destination portnetvlew-lx- (1656)si首*m Indix 0sequence nutiber: D (rElat:1iVE seqLiencB number JAckriDwledgefflenT number : 1 (rel ar1 ve ack nutiber)Header 1 engths 32 byr-eseMRe*servedl; Mot set.F.Nonce； r*ot setcwgesxlcin wi ridow Reduced (cwR)i-CL -EciN-Etho! hior &er4 t k j_ 1. j j匚Urge

47、nt . NOT set-丄 =Ack now! edgement: F. SeT a i*H li 0Push: Nut SEt ME 6Reet: h*ot set4 II- F I-丄f w rL 10 C心Flm HOT stxurl 仃dew si zevalue:14i00Calculated vrlndowsize- 14&0QJ Checksun! Qx373 validati an disabledGo口d Checlcsum: False Bad Checksum FalseOfrt(12 byt4K SEQ/ACK imlyslisT卜d豈 勺豈 an 創匚H： T：口

48、th芒SELjniE!仃I 1門 尸廣呂咁占：粵孑日The RTT ro ACK rhe segment was: 0.00349000 secondsSource port:源端口號（服務器）為FTP的21 Desti nation port: 目的端口為（客戶端）1666 Sequenee number:相對確認號為0Ack num=1:對所接受的段的確認Header length:首部長度為32字節Flag:標志位（0 x02）.Flag中，SYN認可連接。ACKACK表示對所接受的段的確認。Windows size value: 窗口大小為 65535.Checksu m校驗和是正確的

49、。Options:選項是12字節第三次握手:客戶向服務器發出的確認段。再向服務器發出第三次握手，可以看到 ACK=1，seq=1，ack=1工r-WORD格式 -可編輯-Destinatlon port； ftp (215Stream indexi 4SSequence ntrnberT 1 Crelative sequence nunberl) Ack nowll edgement ninber s 1 rel ative ack nunber 11 engthr 20 bytes 0 x10Header Flags: 000 BuOu u = u .0.- h h i. 0 -vail u

50、e J ndowReserved: Not setNonces Mot setCongestion Windew Reduced CcwR): Net set ECN-Echo: Not setUrgent: Not setAcknowledgement: SetPushi Not setReset 2 hJcrt setSynj Mot setFinj Mot sex65 535size 65535wi ndow si zeCalculatedvrlnduw size scall!ng factor J 1z CheckELMii 0 x44dB val 1 dax 1 on di sabl

51、 edGood CheckSLIHI FalssSad Check sun False J 雪EQ/ACK analysis!TFdw Is mri ACK 匸口 工卜舊 EEqmEnr I門 千匸-彳犧衛：The RTT to ACK xhe semeriT was 0.000040000 secondsDD00 0010DD2D003 D1351 101.036712 36 97 TCP 5J nrlViCW-alwE flp AKj 8(%)= 1 Aik= 1 Win=65535 Lvn.Frame 4391: 54 bytes on v

52、ire C432 bits3f 54 bytes captured C432 bits)Ethernet II. Src; CompalIn_d70c; a? 00;22;d7; 0c;P Dst; Hangzhou_6aile; 85 COD;Of;e2;6a;le; 85internet Protocol Version 4, 5rc; 118. 229.161236 CHS-229B161BDst 202.3S. 97.197 C202.3S. 97.1973沖 Transmi ssi on Control Protocol f Src Port; netvi ew-ai K-6 C16

53、665 f Dst Port: fp 匸2丄)F Seq; lh Ack: 1(. Len; 0 Source portr netvievr-aiK- C1S665Source port:源端口號為 1666Destination port:目的端口號為 FTP 的 21 端口Seque nee number:相對確認號為1Header length:首部長度為32字節Flag:標志位(0 x02).只設置了 ACK,表示已建立連接Windows size value: 窗口大小為 65535.Cheeksu m校驗和是正確的。Options:選項是12字節粗暴方式拆除連接：用戶直接與服務器斷

54、開連接。(2)觀察TCP建立連接的三次握手，數據通信和優雅方式拆除連接的流程 執行命令 ftp .en用戶名輸入anonymous口令輸入ab執行成功后輸入命令bye_b_b 6 6 d d2 2 0 0 9 92 2 5 5 6 6 4 4 ELEL 0 0 4 4 fBfB5f5f5 5 2 2 LlflLlfl 貉s s7 7 0 0 3 3 dosdos7 7 5 5 R-R- a a e e 1 1D D 7b7bCJCJ 3 3 4 4 c c 5 5DBalBdDBalBd0 0 2 2 1 1-c -a-WORD格式 -可編輯-TCP三次握手見（1）的描述

55、，在這里就不再重復討論了。在三次握手建立好建立起連接后，以優雅方式拆除連接。TCP采用四次握手的方式拆除連接。首先我們向服務器發送一個 QUIT請求，然后開始4次握手。Bro*dcwn NetXtreme oabrt Ethernet Drlv&r (Mtarnsofts Pidket Schedulefji Wesfriark L.&.4 (5N Rev 35941 from /trunfe-.“！ LdfcS Rapture 加 dh1罐 tbstcs retefhen Lccte Intwnak HelpPiter:二| EgesacTL. OEATTireSourceC*Mfanjti

56、ani2OZ .307,197PTtAood Length nfoTCP2163 50-635211 202 . Ifi. S7157ZJ69 50-635551 11B.229-11.236110. 22.161,296右 dt苫 于上口 FM胡門E5535 LmnD ki!S14用66 ftp j dt& 5N, AZK seq-0 Ack -1n-14 600 Li2472 50.63901411B.229.1&1.23620Z.30.97.197TCP54 drs :- rp ACK 5ec=l Ack-63 Wi n = &54 73 Len-02B94 6J. 63600 11B.

57、229-16123697FTP70 RfiqueST : USER aridrlTn口Ui2895 60.65SQM203.30.97197118. 229.1U-.233TCP的 ftp dts ACK 5eq63 Ack17 WlnB-14624 LenlS511S.22.161,236鷲比北沖兀JTCP54 di *. ： ftp ACK ssq-17 nqk令7 wnrk-53236 30.97.197FTP可4 kc: PA55 iSd3113 6石.0L6B86202.3B.97.197ll&.229-Lei.23HFTPS3 FCP previous set

58、ienx losi Responset 230- tAilG ,6UM3LUdM.i凰沁弭沁、IB,fty,14TTCPa 1TCP Dup ACKdts Ftp ACK Seq-i? 3120 66.016963Z02.3E.97.197HE 2J9-161.236FTPf2P Out-Of-Order ftesp口門sm: 230-3121 5百.016933202.ia.97197116. 2 79.：LEl.：2d石FTP60 R&sporia-et 230-3122隔D1柄922Q230PW.197116.3-11.234FTPResporise： 23d- Only downloa

59、ding ipermitted3123 66. QI 700511B.229U161.2362O2.3B.97U197T亡P54 drs ftp A二c；. -ec-27 ACk-172 rtln-6536 Lens3124 6$B 0170172*0-2. 3e,ft7P17fl A.,2Tf.FTPTCP PrffWiqus 卩電護105t P.flpgn5#； 230 -*、3125 66-01702B11B.229-1&1.236202.36.97.-197TCP66 ITtZP Dup .4K： 31Z3+1 cks fx卩胚燈 5eq27 3126 66.0L7Q35202.3S.

60、 97.19736FTP60 TUP our-iDf-order Response: 230-3127 64. ftp ACKJ seq-?7 Aek-234 ww-65302 Len-3 J 61 73-M1357.IB. 229Plf-l.Z3j52.3S.57.197FTP&Q Request: ：362 73.U44153202.3B. 97.197L1B.2Z9-I61.23b1匚 F*60 ir匚F* previous se-neinT losil frp drs FIN *沖3 73-04419-120J, 387.197TCP備TCP Dup ACK