1、實驗報告實驗二：IP和TCP數據分組的捕獲和解析ytinrete實驗類別協議分析型實驗內容和實驗目的本次實驗內容：1）捕獲在連接Internet過程中產生的網絡層分組：DHCP分組，ARP分組，IP數據分組，ICMP分組。2）分析各種分組的格式，說明各種分組在建立網絡連接過程中的作用。3）分析IP數據分組分片的結構。通過本次實驗了解計算機上網的工作過程，學習各種網絡層分組的格式及其作用，理解長度大于1500字節IP數據組分片傳輸的結構。4）分析TCP建立連接，拆除連接和數據通信的流程。實驗組人數單人組實驗環境windows7WireShark實驗步驟和實驗結果5.1 捕獲DHCP報文并分析打開

2、軟件，并設置過濾器為udp.port= =68則可捕獲DHCP報文分析DHCP分組格式：OP:若是 client 送給 server 的封包，設為 1 ，反向為 2。HTYPE:硬件類別，Ethernet 為 1。HLEN:硬件地址長度， Ethernet 為 6。HOPS:若封包需經過 router 傳送，每站加 1 ，若在同一網內，為 0。TRANSACTION ID:DHCP REQUEST 時產生的數值，以作 DHCPREPLY 時的依據。SECONDS:Client 端啟動時間（秒）。FLAGS:從 0 到 15 共 16 bits ，最左一 bit 為 1 時表示 server 將

3、以廣播方式傳送封包給 client ，其余尚未使用。Ciaddr:要是 client 端想繼續使用之前取得之 IP 地址，則列于這里。Yiaddr:從 server 送回 client 之 DHCP OFFER 與 DHCPACK封包中，此欄填寫分配給 client 的 IP 地址。Siaddr:若 client 需要透過網絡開機，從 server 送出之 DHCP OFFER、DHCPACK、DHCPNACK封包中，此欄填寫開機程序代碼所在 server 之地址。Giaddr:若需跨網域進行 DHCP 發放，此欄為 relay agent 的地址，否則為 0。Chaddr:Client 之硬

4、件地址。Sname:Server 之名稱字符串，以 0 x00 結尾。File:若 client 需要透過網絡開機，此欄將指出開機程序名稱，稍后以 TFTP 傳送。Options:允許廠商定議選項（Vendor-Specific Area)，以提供更多的設定信息查看DHCP的四次握手獲得IP地址，缺省路由DNS等參數的過程。在DOS窗口執行命令ipconfig/release先釋放已經申請的IP地址。再執行ipconfig/renew。Wireshark捕獲四次握手具體分析分析四次握手的過程：1）第一次握手本地端向網絡以廣播形式發送DHCP discover報文，等待網絡中的DHCP serv

5、er給出回應。由抓包結果可知，discover報文第二層源mac地址為源端口mac，目的mac為廣播地址ff:ff:ff:ff:ff:ff. 。三層源地址為，目的地址為廣播地址55。UDP源端口為68，目的端口為 67。第二次握手當DHCP server接收到本地端發出的discover報文后，它會從那些還沒有租出的地址范圍內，選擇最前面的空置 IP ，連同其它 TCP/IP 設定，響應給本地端一個 DHCP offer 封包。 由于客戶端在開始的時候還沒有 IP 地址，所以在其 DHCP discover 封包內會帶有其 MAC 地址信息，并且有一個 XID 編號來辨別該封包，DHCP 服務

6、器響應的 DHCP offer 封包則會根據這些資料傳遞給要求租約的客戶。根據服務器端的設定，DHCP offer 封包會包含一個租約期限的信息,當本地端到了這個期限,會釋放出IP,再次發送discover報文重新申請。由抓包結果可得：Client IP address =() Your(Client)IPaddress=40(40)：DHCP Server分配給本地端的IP地址 DHCP Message TypeDHCP Offer ：表示這是offer報文Server identifier= ()：DHCP server的 IP地址Ip address lease time=12 hour

7、 表示租期是12小時Subnet Mask=28 ：子網掩碼Domain Name= : 域名Router=29(29) :路由網關第三次握手本地端向網絡以廣播形式發送request報文作為響應，告訴所有 DHCP 服務器它將指定接受哪一臺服務器提供的 IP 地址。由抓包結果可看出這是一個request報文，IP為我們剛剛申請的IP：40。第四次握手網絡中的DHCP server接收到本地端發送的request之后，向本地端以單播方式回應DHCP ack報文，確認IP租約生效，整個過程結束由抓包結果可以看出，這是一個ACK報文，內容類似于DHCP offer。四次握手用簡圖可表示為：DHCP分

8、組在建立網絡連接中用于給內部網絡或網絡服務供應商自動分配IP地址，給用戶或者內部網絡管理員作為對所有計算機作中央管理的手段。5.2 觀察ARP和PING命令的執行過程Arp分組格式為：開始測試arp分組，在命令行中輸入 Ping 可見給29發送了4個數據包都得到了回復。從抓包結果看首先以廣播的形式發出了一個長度為42的報文，內容是請求29的mac地址，請求告知40。然后接收到一個長度為60的回復報文，頭6個字節是本地的mac地址接著的6個字節就是對方的mac地址，這樣我們就知道了對方地址。加進緩存表。DHCP分組在建立網絡連接中用于獲取目標主機的mac地址。在以太網協議中規定，同一局域網中的一

9、臺主機要和另一臺主機迚行直接通信，必須要知道目標主機的MAC地址。而在TCP/IP協議棧中，網絡層和傳輸層只關心目標主機的IP地址。這就導致在以太網中使用IP協議時，數據鏈路層的以太網協議接到上層IP協議提供的數據中，只包含目的主機的IP地址。于是需要一種方法，根據目的主機的IP地址，獲得其MAC地址。這就是ARP協議要做的事情。所謂地址解析（address resolution）就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。5.3 IP數據分組分組格式實驗結果：字段 報文 解釋 版本Version: 4版本為IPv4首部長度 Header length: 20 bytes首部長

10、20字節 服務類型 Differentiated services codepoint:default正常時延、正常吞吐量、正常可靠性 總長度 Total length : 1454數據分組長1454字節 標識 Identification : 0 x709b(28827)標識為 28827 標志 Flags: 0 x00DF=0；MF=0； 片偏移 Fragment offset:0偏移量為0 生存周期 Time to live:47每跳生存時間為47秒 協議 Protocol: TCP(6)使用TCP協議 首部校驗和 Header checksum:0 x4036correctIP頭部校驗

11、和為0 x4036，校驗正確源地址 源地址： 目標地址目標地址：5.4 ICMP分組分組格式：實驗結果:字段 報文 解釋類型 Type :0echo響應 代碼 Code: 0echo響應校驗和 Checksum:0 x5543校驗和為0 x5543校驗正確 標識符Identifier(BE):1 Identifier(LE):256標識符序列號Sequence number(BE):24Sequence number(LE):6144序列號ICMP是（Internet Control Message Protocol）Internet控制報文協議。它是TCP/IP協議族的一個子協議，用于在IP

12、主機、路由器之間傳遞控制消息。控制消息是指網絡通不通、主機是否可達、路由是否可用等網絡本身的消息。這些控制消息雖然并不傳輸用戶數據，但是對于用戶數據的傳遞起著重要的作用。5.5 分析IP數據分組的分片傳輸過程ping -l 8000 則捕捉到如下所示：可見，整個8000的包被分成6個包，下面一一分析：第一個字段 報文 解釋 版本Version: 4版本為IPv4首部長度 Header length: 20 bytes首部長20字節 服務類型 Differentiated services codepoint:0 x00正常時延、正常吞吐量、正常可靠性 總長度 Total length : 15

13、00數據分組長1500字節 標識 Identification : 0 x02f5(757)標識為 757 標志 Flags: 0 x01DF=0；MF=1(還有幀)； 片偏移 Fragment offset:0偏移量為0 生存周期 Time to live:64每跳生存時間為64秒 協議 Protocol: ICMP(1)使用ICMP協議 首部校驗和 Header checksum:0 xc46bcorrectIP頭部校驗和為0 xc46b，校驗正確源地址 Source:源地址：目標地址Destination:目標地址：數據段Data (1480 bytes)數據段長度為 1480字節第二個

14、字段 報文 解釋 版本Version: 4版本為IPv4首部長度 Header length: 20 bytes首部長20字節 服務類型 Differentiated services codepoint:0 x00正常時延、正常吞吐量、正常可靠性 總長度 Total length : 1500數據分組長1500字節 標識 Identification : 0 x02f5(757)標識為 757 標志 Flags: 0 x01DF=0；MF=1(還有幀)； 片偏移 Fragment offset:1480偏移量為1480 生存周期 Time to live:64每跳生存時間為64秒 協議 Pr

15、otocol: ICMP(6)使用ICMP協議 首部校驗和 Header checksum:0 xc3b2correctIP頭部校驗和為0 xc3b2，校驗正確源地址 Source:源地址：目標地址Destination:目標地址：數據段Data (1480 bytes)數據段長度為 1480字節第三個字段 報文 解釋 版本Version: 4版本為IPv4首部長度 Header length: 20 bytes首部長20字節 服務類型 Differentiated services codepoint:0 x00正常時延、正常吞吐量、正常可靠性 總長度 Total length : 1500

16、數據分組長1500字節 標識 Identification : 0 x02f5(757)標識為 757 標志 Flags: 0 x01DF=0；MF=1(還有幀)； 片偏移 Fragment offset:2960偏移量為2960生存周期 Time to live:64每跳生存時間為64秒 協議 Protocol: ICMP(6)使用ICMP協議 首部校驗和 Header checksum:0 xc2f9correctIP頭部校驗和為0 xc2f9，校驗正確源地址 Source:源地址：目標地址Destination:目標地址：數據段Data (1480 bytes)數據段長度為 1480字節

17、第四個字段 報文 解釋 版本Version: 4版本為IPv4首部長度 Header length: 20 bytes首部長20字節 服務類型 Differentiated services codepoint:0 x00正常時延、正常吞吐量、正常可靠性 總長度 Total length : 1500數據分組長1500字節 標識 Identification : 0 x02f5(757)標識為 757 標志 Flags: 0 x01DF=0；MF=1(還有幀)； 片偏移 Fragment offset:4440偏移量為4440生存周期 Time to live:64每跳生存時間為64秒 協議

18、Protocol: ICMP(6)使用ICMP協議 首部校驗和 Header checksum:0 xc240correctIP頭部校驗和為0 xc240，校驗正確源地址 Source:源地址：目標地址Destination:目標地址：數據段Data (1480 bytes)數據段長度為 1480字節第五個字段 報文 解釋 版本Version: 4版本為IPv4首部長度 Header length: 20 bytes首部長20字節 服務類型 Differentiated services codepoint:0 x00正常時延、正常吞吐量、正常可靠性 總長度 Total length : 15

19、00數據分組長1500字節 標識 Identification : 0 x02f5(757)標識為 757 標志 Flags: 0 x01DF=0；MF=1(還有幀)； 片偏移 Fragment offset:5920偏移量為5920生存周期 Time to live:64每跳生存時間為64秒 協議 Protocol: ICMP(6)使用ICMP協議 首部校驗和 Header checksum:0 x187correctIP頭部校驗和為0 xc187，校驗正確源地址 Source:源地址：目標地址Destination:目標地址：數據段Data (1480 bytes)數據段長度為 1480字

20、節第六個字段 報文 解釋 版本Version: 4版本為IPv4首部長度 Header length: 20 bytes首部長20字節 服務類型 Differentiated services codepoint:0 x00正常時延、正常吞吐量、正常可靠性 總長度 Total length : 628數據分組長628字節 標識 Identification : 0 x02f5(757)標識為 757 標志 Flags: 0 x00DF=0；MF=0(接下來沒有幀了)； 片偏移 Fragment offset:7400偏移量為7400生存周期 Time to live:64每跳生存時間為64秒

21、協議 Protocol: ICMP(6)使用ICMP協議 首部校驗和 Header checksum:0 xe436correctIP頭部校驗和為0 xe436，校驗正確源地址 Source:源地址：目標地址Destination:目標地址：數據段Data (608 bytes)數據段長度為 608字節由此可看出分段方式為 8000=14805+608-8(多余的8字節為控制信息)5.6 分析TCP建立連接，拆除連接和數據通信的流程WireShark的Filter項 填為tcp.port=21 (僅觀察FTP的TCP通信，FTP端口號為21)。捕獲所有下面通信過程的TCP報文進行分析。1) 觀

22、察TCP建立連接的三次握手和粗暴方式拆除連接的流程。執行命令連接建立后直接按下Ctrl-C中止程序運行。實驗結果：三次握手：可以看出，本地端第一次握手：字段 報文 解釋 源端口Source port: 59518源端口：59518目的端口 Destination port: ftp (21)目的端口：21 （FTP）序列 Sequence number: 0 (relative sequence number)相對序列為0首部長度 header length :32 bytes首部長度 32 字節標志位Flags: 0 x002 (SYN)標志位只設置SYN，請求建立連接窗口大小Window

23、size value : 8192窗口大小：8192 校驗Checksum: 0 x84b7校驗和為： 0 x84b7選項 Options: (12 bytes)選項是：12字節可以看出本地端發出第一次握手，sequence=0，請求鏈接SNY=1。第二次握手字段 報文 解釋 源端口Source port: ftp (21)源端口：21 (FTP)目的端口 Destination port:59518目的端口：59518序列 Sequence number: 1 (relative sequence number)相對序列為1首部長度 header length :32 bytes首部長度 3

24、2 字節標志位Flags: 0 x012 (SYN, ACK)標志位設置SYN，ACK表示確認鏈接窗口大小Window size value : 14600窗口大小：14600校驗Checksum: 0 xaf6a校驗和為： 0 xaf6a選項 Options: (12 bytes)選項是：12字節可以看出對方已經確認連接請求ACK=1。第三次握手字段 報文 解釋 源端口Source port: 59518源端口：59518目的端口 Destination port: ftp (21)目的端口：21 （FTP）序列 Sequence number: 1 (relative sequence n

25、umber)相對序列為1首部長度 header length :32 bytes首部長度 32 字節標志位Flags: 0 x010 (ACK)標志位只設置ACK，確認連接窗口大小Window size value : 2048窗口大小：2048 校驗Checksum: 0 x2145校驗和為： 0 x2145選項 Options: (12 bytes)選項是：12字節本地端向目標發送確認信號ACK=1，連接建立。粗暴方式拆除連接：用戶直接與服務器斷開連接。2) 觀察TCP建立連接的三次握手，數據通信和優雅方式拆除連接的流程。執行命令用戶名輸入anonymous口令輸入ab執行成功后輸入命令b

26、ye鏈接建立與前次相同，這里不再重復，重點研究優雅方式拆除連接的流程。四次握手拆除鏈接：我們向目標地址發出quit請求。第一次握手字段 報文 解釋 源端口Source port: ftp (21)源端口：21 (FTP)目的端口 Destination port:60014目的端口：60014序列 Sequence number: 248 (relative sequence number)相對序列為248首部長度 header length :20 bytes首部長度 20 字節標志位Flags: 0 x011 (FIN,ACK)標志位設置FIN,ACK，回應quit請求窗口大小Window

27、 size value : 115窗口大小：115校驗Checksum: 0 x79dd校驗和為： 0 x79dd目標給本地端發送確認quit請求的回答FIN=1, ACK=1。第二次握手字段 報文 解釋 源端口Source port: 60014 源端口：60014 目的端口 Destination port:ftp (21)目的端口：21 (FTP)序列 Sequence number: 33 (relative sequence number)相對序列為33首部長度 header length :20 bytes首部長度 20 字節標志位Flags: 0 x010 (ACK)標志位設置ACK，回應窗口大小Window size value : 1989窗口大小：1989校驗Checksum: 0 x729a校驗和為：0 x729a本地端向目標端發送確認信息ACK=1。第三次握手字段 報文 解釋 源端口Source port: 6001