IP和TCP數(shù)據(jù)分組的捕獲和解析

1、實驗二：ip和tcp數(shù)據(jù)分組的捕獲和解析1.實驗類別協(xié)議分析型2.實驗內容和實驗目的本次實驗內容：1）捕獲在連接internet過程中產(chǎn)生的網(wǎng)絡層分組：dhcp分組，arp分組，ip數(shù)據(jù)分組，icmp分組。2）分析各種分組的格式，說明各種分組在建立網(wǎng)絡連接過程中的作用。3）分析ip數(shù)據(jù)分組分片的結構。通過本次實驗了解計算機上網(wǎng)的工作過程，學習各種網(wǎng)絡層分組的格式及其作用，理解長度大于1500字節(jié)ip數(shù)據(jù)組分片傳輸?shù)慕Y構。4）分析tcp建立連接，拆除連接和數(shù)據(jù)通信的流程。3.實驗學時4學時。4.實驗分組單獨完成。5.實驗設備環(huán)境1臺裝有windows xp 操作系統(tǒng)的pc機，要求能夠連接到int

2、ernet，并安裝wireshark軟件。6.實驗步驟6.1準備工作啟動計算機，連接網(wǎng)絡確保能夠上網(wǎng)，安裝wireshark軟件。6.2 捕獲dhcp報文并分析dhcp報文格式先介紹一下dhcp的報文格式，如圖1op(1)htype(1)hlen(1)hops(1)transaction id(4)seconds(2)flags(2)ciaddr（4）yiaddr（4）siaddr（4）giaddr（4）chaddr（16）sname（64）file（128）options（variable）（圖1 dhcp報文格式）op：若是client送給server的封包，設為1，反向為2；htype：

3、硬件類別，ethernet為1；hlen：硬件長度，ethernet為6；hops：若數(shù)據(jù)包需經(jīng)過router傳送，每站加1，若在同一網(wǎng)內，為0；transaction id：事務id，是個隨機數(shù)，用于客戶和服務器之間匹配請求和相應消息；seconds：由用戶指定的時間，指開始地址獲取和更新進行后的時間；flags：從0-15bits，最左一bit為1時表示server將以廣播方式傳送封包給 client，其余尚未使用；ciaddr：用戶ip地址；yiaddr：客戶ip地址；siaddr：用于bootstrap過程中的ip地址；giaddr：轉發(fā)代理（網(wǎng)關）ip地址；chaddr：client

4、的硬件地址；sname：可選server的名稱，以0x00結尾；file：啟動文件名；options：，廠商標識，可選的參數(shù)字段如下圖所示，在dos窗口執(zhí)行命令ipconfig/release后，已經(jīng)申請的ip地址被釋放。再執(zhí)行ipconfig/renew，在wireshark上就看到了dhcp的四次握手獲得ip地址，缺省路由dns等參數(shù)的過程?，F(xiàn)在來詳細分析下這四次握手的過程。（1）第一次握手：客戶端首先向網(wǎng)絡以廣播形式發(fā)送dhcp discover報文，目的是發(fā)現(xiàn)網(wǎng)絡中存在的dhcp server，并請求給出回應。從圖中可以看出dhcp discover數(shù)據(jù)包二層源mac地址為源端口mac

5、，目的mac為廣播地址ff:ff:ff:ff:ff:ff. 三層源地址為。目的地址為廣播地址55。端口 ：源端68，目的端 67。（2） 第二次握手：向client端提供ip地址。當 dhcp服務器監(jiān)聽到客戶端發(fā)出的 dhcpdiscover 廣播后，它會從那些還沒有租出的地址池內，選擇最前面的的空置 ip ，連同其它 tcp/ip 設定，回應給客戶端一個 dhcpoffer 封包。由于客戶端在開始的時候還沒有 ip 位址，所以在其 dhcpdiscover 封包內會帶有其 mac 位址信息，并且有一個 xid 編號來辨別該封包，dhcp服務器回應的 d

6、hcpoffer 封包則會根據(jù)這些資料傳遞給要求租約的客戶。根據(jù)服務器端的設定，dhcpoffer 封包會包含一個租約期限的信息,當客戶端到了這個期限,會釋放出ip,進行相同步驟的再次申請.在dhcp offer包中我們可以獲得以下的信息:信息類型為應答廣播信息,客戶端ip地址為.通過dhcp discover請求申請后,服務器端分配的ip地址為36dhcp服務器的 ip地址為.租約時間為4個小時.client ip address =()表示客戶機還沒有使用該地址your(client)ipaddres

7、s=36(36)表示dhcp server分配給該客戶機的ip地址 next server ip address它標示了客戶機下一次發(fā)出dhcp request報文時，哪個dhcp server會發(fā)出回應dhcp message typedhcp offer表示這是一個對dhcp discover的回應報文subnet mask=28表示分配的ip地址子網(wǎng)掩碼為16位ip address lease time=4 hour 表示租期是4小時server identifier=表示服務器的 ip地

8、址為router=29表示它的路由網(wǎng)關是29domain name=""表示域名所有發(fā)送dhcp offer信息包的服務器將保留它們提供的一個ip地址。在該地址不再保留之前，該地址不能分配給其他的客戶。(3) 第三次握手：用戶發(fā)送dhcp request報文,客戶以廣播的方式發(fā)送dhcp request信息包作為響應。注意其中的dhcp message type一項中typerequest表示這是一個請求報文。 （4）第四次握手：第四階段dhcp server回應dhcp ack報文, 該信息包是以單

9、播的方式發(fā)送的。當服務器接收到dhcp request信息包時，它以一個dhcp acknowledge信息作為響應，其內容同dhcpoffer類似。在該報文中可以獲得以下信息:dhcp服務器端給出了domain name=”e”表示服務器的域名為”?，F(xiàn)在觀察arp和ping命令的執(zhí)行過程。我們向40發(fā)送ping請求，發(fā)送的數(shù)據(jù)大小為32字節(jié)。默認情況下，只發(fā)送四個數(shù)據(jù)包 此時得到對方的4次回應。在給40發(fā)送4個數(shù)據(jù)包的過程當中，返回了4個，這48個數(shù)據(jù)包當中返回速度最快為1ms，最慢為7ms，平均速度為2ms 。下面看看的執(zhí)行過程： 上圖表

10、示的是apr的格式。先發(fā)送一個請求包：整個報文長度為字節(jié)，"who has 40?tell 36",即將本機的信息以及想要連接的ip進行廣播。頭6個字節(jié)是以太網(wǎng)目的地址 ff ff ff ff ff ff 這是一個廣播地址，全網(wǎng)下的所有終端都能接受到。sender mac add 發(fā)送者的mac地址ip地址以及想要獲得的ip地址都廣播出去。接下來分析是應答的數(shù)據(jù)包。應答包長度為60個字節(jié)頭6個字節(jié)是本地的mac地址接著的6個字節(jié)就是對方的mac地址，這樣我們就知道了對方地址。加進緩存表。6.3分析數(shù)據(jù)分組的分片傳輸過程制作

11、大于8000字節(jié)的ip數(shù)據(jù)分組并發(fā)送，捕獲后分析其分片傳輸?shù)姆纸M結構。使用windows中ping命令的-l選項，ping -l 8000 執(zhí)行之后我們捕獲了4個數(shù)據(jù)包：（默認情況下，只發(fā)送四個數(shù)據(jù)包）從4個分組中隨便選取一個進行詳細的分析：version：版本的信息是ipv4。所有的設備必要運行相同版本的ip協(xié)議，否則設備將會拒絕接收數(shù)據(jù)包。長度為4個字節(jié)。header length ip：報頭長度為20字節(jié) total length：總長度，表示整個數(shù)據(jù)包的長度。包括數(shù)據(jù)和報頭。從該值中減去header length值的長度，得到的就是數(shù)據(jù)有效負荷的長度。

12、在我們分析的這個數(shù)據(jù)包中，總長度為56.identification：表示當前的數(shù)據(jù)包。在我們分析的這個數(shù)據(jù)包中,為0xb3e6（46054）fragment offset：重組分片為0。time to live：存活時間。計數(shù)器會按一定增量逐漸減少為0.當?shù)?時，該數(shù)據(jù)包將被丟棄。protocol：icmp協(xié)議接收。header checksum（報頭的校驗和）：報頭正確（correct）source：發(fā)送設備的ip地址為36。destination：接收設備的ip地址為。6.4分析tcp通信過程wireshark的filter項 填為tcp.

13、port=21 (僅觀察ftp的tcp通信，ftp端口號為21)。捕獲所有下面通信過程的tcp報文進行分析。（1）觀察tcp建立連接的三次握手和粗暴方式拆除連接的流程。執(zhí)行命令ftp 連接建立后直接按下ctrl-c中止程序運行?？梢钥闯?，我的ip地址為36,目的ip地址為97.現(xiàn)在來詳細分析一下這3次握手過程。第一次握手：source port:源端口號為1666destination port:目的端口號為ftp的21端口sequence number:相對確認號為0header length:首部長度為32字節(jié)flag:標志位（0x02）.只

14、設置了syn，也就是位同步標志,表示請求建立連接。windows size value:窗口大小為65535.checksum;校驗和是正確的。options:選項是12字節(jié)可以看到是我（客戶）向目標地址（服務器）發(fā)出的第一次握手，seq=0，syn=1。服務器可以知道我的聯(lián)機請求。 第二次握手：服務器在收到請求后，發(fā)回確認（syn+ack）。source port:源端口號（服務器）為ftp的21destination port:目的端口為（客戶端）1666sequence number:相對確認號為0ack num=1:對所接受的段的確認header length:首部長度為32字節(jié)fla

15、g:標志位（0x02）.flag中，syn:認可連接。ack表示對所接受的段的確認。windows size value:窗口大小為65535.checksum;校驗和是正確的。options:選項是12字節(jié)第三次握手：客戶向服務器發(fā)出的確認段。再向服務器發(fā)出第三次握手，可以看到ack=1，seq=1，ack=1。source port:源端口號為1666destination port:目的端口號為ftp的21端口sequence number:相對確認號為1header length:首部長度為32字節(jié)flag:標志位（0x02）.只設置了ack，表示已建立連接。windows size value:窗口大小為65535.checksum;校驗和是正確的。options:選項是12字節(jié)粗暴方式拆除連接：用戶直接與服務器斷開連接。（2） 觀察tcp建立連接的三次握手，數(shù)據(jù)通信和優(yōu)雅方式拆除連接的流程。執(zhí)行命令ftp 用戶名輸入anonymous口令輸入ab執(zhí)行成功后輸入命令byetcp三次握