南郵2015IP實(shí)驗(yàn)報(bào)告

1、 通信與信息工程學(xué)院2015 / 2016 學(xué)年第 一 學(xué)期實(shí) 驗(yàn) 報(bào) 告課程名稱(chēng)： IP網(wǎng)絡(luò)技術(shù)基礎(chǔ)（英） 實(shí)驗(yàn)名稱(chēng)： 實(shí)驗(yàn)一：實(shí)驗(yàn)工具軟件介紹 實(shí)驗(yàn)二：以太網(wǎng)實(shí)驗(yàn) 實(shí)驗(yàn)三：TCP/IP協(xié)議分析實(shí)驗(yàn) 班 級(jí) 學(xué) 號(hào) B13011413 學(xué) 生 姓 名 陳超 指 導(dǎo) 教 師 劉啟發(fā) 實(shí)驗(yàn)一：實(shí)驗(yàn)工具軟件介紹一、 實(shí)驗(yàn)?zāi)康暮鸵螅?、 通過(guò)該實(shí)驗(yàn)?zāi)苷莆粘Ｓ镁W(wǎng)絡(luò)工具的使用，為后面的實(shí)驗(yàn)做準(zhǔn)備。2、 能夠利用這些工具了解網(wǎng)絡(luò)的運(yùn)行狀態(tài)。二、 實(shí)驗(yàn)環(huán)境：1、采用方案一進(jìn)行試驗(yàn)，學(xué)生每人微機(jī)一臺(tái)和一個(gè)虛擬機(jī)編號(hào)，安裝光盤(pán)中的/book/tools目錄下的虛擬機(jī)和軟件工具，再次利用VMware運(yùn)行光盤(pán)系統(tǒng)

2、并按照虛擬機(jī)編號(hào)選擇IP地址，另外教師可利用隨書(shū)光盤(pán)系統(tǒng)架設(shè)被觀測(cè)網(wǎng)絡(luò)（三物理機(jī)或三虛擬機(jī)，使用備用地址）。2、實(shí)驗(yàn)設(shè)計(jì)軟件的列表如下：被動(dòng)式工具：NetXray,Netmonitor,WinPcap/Ethereal,tcpdump主動(dòng)式工具：ping，route, traceroute，nslookup, iperf，SNMP_utils，trapwatcher。綜合工具：solarwinds, IPSwitch。其中tcpdump、ping、route、traceroute、nslookup、SNMP_utils幾個(gè)軟件在隨書(shū)光盤(pán)系統(tǒng)中已經(jīng)安裝好了，無(wú)需額外安裝。請(qǐng)注意NetXray、N

3、etmonitor、solarwinds和IPSwitch有版權(quán)問(wèn)題。三、 實(shí)驗(yàn)原理：通過(guò)被動(dòng)工具，獲得并分析數(shù)據(jù)包；通過(guò)主動(dòng)工具發(fā)現(xiàn)網(wǎng)絡(luò)問(wèn)題(可以手工制造)；通過(guò)強(qiáng)大的綜合工具對(duì)網(wǎng)絡(luò)進(jìn)行分析。四、 實(shí)驗(yàn)步驟：(包含結(jié)果分析)1、 軟件安裝：安裝各種工具軟件安裝各種供測(cè)試的應(yīng)用軟件。2、 實(shí)驗(yàn)環(huán)節(jié)：被動(dòng)工具windows：Ethereal；主動(dòng)工具windows：ping，ipconfig, tracert，iperf，trapwatcher.五、 實(shí)驗(yàn)心得：此次實(shí)驗(yàn)主要是對(duì)主動(dòng)及被動(dòng)工具的熟悉與使用，包括工具軟件Ethereal及windows運(yùn)行的各種主動(dòng)工具，利用這些常用的網(wǎng)絡(luò)工具進(jìn)行數(shù)

4、據(jù)包的抓取與分析，從而了解網(wǎng)絡(luò)的運(yùn)行狀態(tài)。通過(guò)此次實(shí)驗(yàn)，直觀且深刻地了解到數(shù)據(jù)包的抓取方法與流程，更重要的是熟悉了一系列常用網(wǎng)絡(luò)工具，不僅僅為后續(xù)實(shí)驗(yàn)打下基礎(chǔ)，更是為我們對(duì)互聯(lián)網(wǎng)的學(xué)習(xí)提供了很有利的幫助，實(shí)驗(yàn)的內(nèi)容亦結(jié)合課本所學(xué)理論，獲益匪淺。實(shí)驗(yàn)二：以太網(wǎng)實(shí)驗(yàn)一、 實(shí)驗(yàn)?zāi)康暮鸵螅?、通過(guò)該實(shí)驗(yàn)?zāi)芗由顚?duì)以太網(wǎng)的認(rèn)識(shí)，特別是其封裝格式。2、通過(guò)該實(shí)驗(yàn)?zāi)芗由顚?duì)ARP協(xié)議的認(rèn)識(shí)。二、 實(shí)驗(yàn)環(huán)境：1、準(zhǔn)備用作服務(wù)器的微機(jī)一臺(tái)（使用隨書(shū)光盤(pán)系統(tǒng)構(gòu)建，手工配置成原網(wǎng)段的IP），學(xué)生每人微機(jī)一臺(tái)，在windows環(huán)境下即可完成本實(shí)驗(yàn)，無(wú)需使用VMware。2、軟件：WinPcap，Ethereal。三、

5、實(shí)驗(yàn)原理：通過(guò)抓包軟件ethereal獲得一些以太網(wǎng)數(shù)據(jù)包，并對(duì)其進(jìn)行分析，從包的格式來(lái)認(rèn)識(shí)以太網(wǎng)協(xié)議。四、 實(shí)驗(yàn)步驟：(包含結(jié)果分析)1.1軟件安裝安裝WinPcap軟件。安裝Ethereal軟件。在隨書(shū)光盤(pán)系統(tǒng)構(gòu)建的服務(wù)器上打開(kāi)服務(wù)（由老師完成）。2.1 抓MAC包 啟動(dòng)Ethereal軟件。 點(diǎn)擊Capture菜單。 選Start菜單。（注：本彈出窗口里有Filter即過(guò)濾器輸入框，在后面的試驗(yàn)里需要填寫(xiě)過(guò)濾器。）2.1.4 在彈出窗口里點(diǎn)擊OK開(kāi)始抓包（后面將2.1.1至2.1.4合稱(chēng)為開(kāi)始抓包）。2.1.5 在彈出窗口里看到total數(shù)據(jù)發(fā)生變化則點(diǎn)擊Stop，結(jié)束抓包。2.1.6

6、分析所抓的數(shù)據(jù)包。所抓數(shù)據(jù)包截圖如下：2.1.7分析內(nèi)容：1、 數(shù)據(jù)報(bào)里的Destination，Source等字段。2、 不同的MAC包字段不一樣，有Type，Length，Trailer等字段。3 、在第三個(gè)窗口可以看到對(duì)應(yīng)字段的16進(jìn)制數(shù)字以及在整個(gè)包中的位置。圖11.2 數(shù)據(jù)幀、數(shù)據(jù)報(bào)的封裝格式如下圖所示，我們選取2號(hào)幀作為代表分別分析相應(yīng)的數(shù)據(jù)：（1）由上圖總覽，可知數(shù)據(jù)幀的相關(guān)信息：此幀的編號(hào)為2；獲取時(shí)間為0.383444；源地址為；目的地址為；高層協(xié)議為T(mén)CP；包內(nèi)信息概況為：源端口為6950，目標(biāo)端口為1212。（2）物理層的數(shù)據(jù)幀概況：（將部分?jǐn)?shù)據(jù)放大如下圖所示）從上圖中可

7、以看出：2號(hào)幀，線路上有60字節(jié)，實(shí)際捕獲60字節(jié)；捕獲時(shí)間為2015年12月1日15 : 49 : 22，此包與前一捕獲數(shù)據(jù)包的時(shí)間間隔為0.383444000秒，與第一幀的時(shí)間間隔為0.383444000秒；幀號(hào)為2，幀長(zhǎng)為60字節(jié)，捕獲長(zhǎng)度為60字節(jié)，此幀沒(méi)有被標(biāo)記且沒(méi)有被忽略，幀內(nèi)封裝的協(xié)議結(jié)構(gòu)為T(mén)CP數(shù)據(jù)協(xié)議。（3）數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息（將部分?jǐn)?shù)據(jù)放大如下圖所示）從上圖可以看出，此包為以太網(wǎng)協(xié)議版本2，源地址為，其網(wǎng)卡地址為00:22:19:a5:d3:d4；目標(biāo)地址為，網(wǎng)卡地址為c0:3f:d5:b3:89:c9。幀內(nèi)封裝的上層協(xié)議類(lèi)型為IP，十六進(jìn)制代碼為0800。Trai

8、ler為0000000000。（4）互聯(lián)網(wǎng)層IP包頭部信息（將部分?jǐn)?shù)據(jù)放大如下圖所示）從上圖可以看出，互聯(lián)網(wǎng)協(xié)議IPv4，源地址為，目標(biāo)地址為，IP包頭部長(zhǎng)度為20字節(jié)；差分服務(wù)字段為0x00 (DSCP 0x00 : Default; ECN : 0x00)，表示一個(gè)特定的上層協(xié)議所分配的重要級(jí)別，默認(rèn)的DSCP值是0，相當(dāng)于盡力傳送，ECN字段被分為ECN-Capable Transport (ECT) bit和CE bit，ECT bit設(shè)置為“ 0 ”表明該傳輸協(xié)議將忽略ignore CE bit，CE bit將由路由器設(shè)置，設(shè)置為0說(shuō)明對(duì)末端節(jié)點(diǎn)不擠塞；IP包的總長(zhǎng)度為41字節(jié)，標(biāo)志

9、字段為32964，標(biāo)記字段為0x86c4，沒(méi)有分片（Dont Fragment），分片的偏移量為0，生存期為128，當(dāng)減少為0時(shí)，該數(shù)據(jù)包將被丟棄以保證數(shù)據(jù)包不會(huì)無(wú)限制的循環(huán)，上層協(xié)議為T(mén)CP，報(bào)頭的檢驗(yàn)和顯示為正確correct。（5）TCP協(xié)議信息（將部分?jǐn)?shù)據(jù)放大如下圖所示）從上圖可以看出，用戶(hù)數(shù)據(jù)包協(xié)議的源端口為6950，目標(biāo)端口為1212，序號(hào)為0，ACK序號(hào)為0，首部長(zhǎng)度為20字節(jié)，標(biāo)志字段0x0010，窗口大小65535 ，報(bào)頭的檢驗(yàn)和顯示為正確correct。（6） 對(duì)應(yīng)十六進(jìn)制代碼（將部分?jǐn)?shù)據(jù)放大如下圖所示）2.2 抓ARP包 點(diǎn)擊開(kāi)始菜單里的運(yùn)行。 輸入cmd命令（如果是wi

10、ndwos98則輸入command命令）并運(yùn)行。 輸入arp d *命令并運(yùn)行。（在后面將2.2.1至2.2.3合稱(chēng)為在命令窗運(yùn)行××命令。）運(yùn)行此命令截圖如下： 填寫(xiě)過(guò)濾器 arp and （(dst 本機(jī)IP and src 目的IP) or （src 本機(jī)IP and dst 目的IP) 開(kāi)始抓包（本報(bào)告中目的IP均指服務(wù)器的IP，由老師給出）。 運(yùn)行ping 目的IP，完成后點(diǎn)擊STOP停止抓包。首先我們需要知道本機(jī)的 IP 地址，在命令提示符下輸入 ipconfig命令，運(yùn)行此命令結(jié)果如下：本機(jī)的 IP 地址為 0，子網(wǎng)掩碼為，默認(rèn)網(wǎng)關(guān)為1

11、54。在命令提示符下輸入 ping54，顯示能夠 ping 通，如下圖：回到Ethereal界面，按下stop鍵，抓包如下： 分析所抓的數(shù)據(jù)包。1.能看到本機(jī)IP發(fā)出的ARP請(qǐng)求和目的IP發(fā)出的ARP應(yīng)答。2.注意幀首部，ARP是直接封裝在MAC包中的。3.注意ARP報(bào)文的各個(gè)字段內(nèi)容及意義。如下圖所示，我們選取44號(hào)幀作為代表分別分析相應(yīng)的數(shù)據(jù)：（1）由上圖總覽，可知數(shù)據(jù)幀的相關(guān)信息：此幀的編號(hào)為44； 獲取時(shí)間為0.484173000； 源地址； 目的地址為Broadcast； 高層協(xié)議為ARP； 包內(nèi)信息概況為：誰(shuí)有IP地址為主機(jī)的mac地址

12、的話，請(qǐng)告訴IP地址為的主機(jī)（2）物理層的數(shù)據(jù)幀概況：（將部分?jǐn)?shù)據(jù)放大如下圖所示）從上圖可知，該物理幀為44號(hào)幀，線路上有60字節(jié)，實(shí)際捕獲60字節(jié)，捕獲時(shí)間為2015年12月1日16:54:09，此包與前一捕獲幀的時(shí)間間隔為0.484173000秒，與第一幀的時(shí)間間隔為4.148297000秒，幀號(hào)為44，幀長(zhǎng)為60字節(jié)，捕獲長(zhǎng)度為60字節(jié)，此幀沒(méi)有被標(biāo)記且沒(méi)有被忽略，幀內(nèi)封裝的協(xié)議結(jié)構(gòu)為ARP數(shù)據(jù)協(xié)議，用不同顏色染色標(biāo)記的協(xié)議名為ARP，染色顯示規(guī)則字符串為arp。（3）數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息（將部分?jǐn)?shù)據(jù)放大如下圖所示）從上圖可知，此包為以太網(wǎng)協(xié)議版本2，源地址為，其網(wǎng)卡地址為00:1

13、0:5c:cc:58:a0；目標(biāo)地址為廣播地址，其網(wǎng)卡地址為ff : ff : ff : ff : ff : ff。幀內(nèi)封裝的上層協(xié)議類(lèi)型為ARP，十六進(jìn)制代碼為0806。（4）ARP請(qǐng)求報(bào)文信息（將部分?jǐn)?shù)據(jù)放大如下圖所示） 由上圖可知，ARP硬件類(lèi)型是以太網(wǎng)(0x0001)，硬件地址長(zhǎng)度是6個(gè)字節(jié)；協(xié)議類(lèi)型是IP協(xié)議，協(xié)議地址長(zhǎng)度是4個(gè)字節(jié)；操作類(lèi)型是0x0001(ARP請(qǐng)求)；發(fā)送方的硬件地址是（c0:3f:d5:b3:98:20），發(fā)送方的協(xié)議地址是（），目的硬件地址是00 : 00 : 00_00 : 00 : 00(00 : 00 : 00 : 00 : 00 : 00)，目的協(xié)議地

14、址是（）。（5） 對(duì)應(yīng)十六進(jìn)制代碼（將部分?jǐn)?shù)據(jù)放大如下圖所示）三、 實(shí)驗(yàn)心得：此次實(shí)驗(yàn)的內(nèi)容主要是運(yùn)用實(shí)驗(yàn)一中所熟練使用的常用網(wǎng)絡(luò)工具進(jìn)行數(shù)據(jù)包的抓取與分析，與計(jì)算機(jī)網(wǎng)絡(luò)理論課息息相關(guān)，通過(guò)Ethereal軟件對(duì)數(shù)據(jù)包的捕獲與我們通過(guò)數(shù)據(jù)包對(duì)其格式的分析與研究，更加直觀且清晰地了解到網(wǎng)絡(luò)傳輸協(xié)議的分層與格式要求，是對(duì)所學(xué)知識(shí)的極大鞏固與深化。實(shí)驗(yàn)三：TCP/IP協(xié)議分析實(shí)驗(yàn)一、 實(shí)驗(yàn)?zāi)康暮鸵螅?. 通過(guò)該實(shí)驗(yàn)?zāi)芗由顚?duì)TCP/IP協(xié)議的認(rèn)識(shí)，特別是其封裝格式。2. 通過(guò)該實(shí)驗(yàn)?zāi)芗由顚?duì)ICMP協(xié)議的認(rèn)識(shí)。4. 通過(guò)該實(shí)驗(yàn)?zāi)芗由顚?duì)TCP協(xié)議的認(rèn)識(shí)。5. 通過(guò)該實(shí)驗(yàn)?zāi)芗由顚?duì)UDP協(xié)議的認(rèn)識(shí)。6. 通

15、過(guò)該實(shí)驗(yàn)?zāi)芗由顚?duì)應(yīng)用層協(xié)議Http、Ftp、Telnet等的認(rèn)識(shí)。二、 實(shí)驗(yàn)環(huán)境：1. 用作服務(wù)器的微機(jī)一臺(tái)（使用隨書(shū)光盤(pán)系統(tǒng)構(gòu)建，手工配置成原網(wǎng)絡(luò)的IP），學(xué)生每人微機(jī)一臺(tái)，在windows環(huán)境下即可完成本實(shí)驗(yàn)，無(wú)需使用VMware。2. 軟件：WinPcap，Ethereal，QQ。三、 實(shí)驗(yàn)原理：通過(guò)抓包軟件ethereal獲得一些數(shù)據(jù)包，并對(duì)其進(jìn)行分析，從包的格式來(lái)認(rèn)識(shí)TCP/IP協(xié)議。本實(shí)驗(yàn)抓取的數(shù)據(jù)包包括對(duì)應(yīng)于Http、Telnet、Ftp、TCP、UDP、IP、ARP協(xié)議的數(shù)據(jù)包以及MAC包。四、 實(shí)驗(yàn)步驟：(包含結(jié)果分析)1、 軟件安裝1.1 安裝WinPcap軟件。1.2 安

16、裝Ethereal軟件。1.3 在隨書(shū)光盤(pán)系統(tǒng)構(gòu)建的服務(wù)器上打開(kāi)Http、Telnet、Ftp等服務(wù)，安裝并使用QQ。2、 實(shí)驗(yàn)環(huán)節(jié)2.1 抓IP包 填寫(xiě)過(guò)濾器 IP；開(kāi)始抓包。 運(yùn)行ping 目的IP命令，完成后點(diǎn)STOP停止抓包。命令：ping 40 ，顯示能夠ping通。 分析所抓的數(shù)據(jù)包。 分析內(nèi)容：IP包中的各個(gè)字段。圖11.3 IP數(shù)據(jù)報(bào)的數(shù)據(jù)格式 16位標(biāo)識(shí)用來(lái)標(biāo)識(shí)惟一的IP包，每發(fā)一個(gè)，該值加1。 當(dāng)把一個(gè)IP包分片時(shí)，就可以用3位標(biāo)志和13位片偏移重組。各個(gè)片的16位標(biāo)識(shí)是一樣的。如下圖所示，我們選取1號(hào)幀作為代表分別分析相應(yīng)的數(shù)據(jù)：（1）由上圖總覽，

17、可知數(shù)據(jù)幀的相關(guān)信息：此幀的編號(hào)為1； 獲取時(shí)間為0.000000000； 源地址； 目的地址為； 高層協(xié)議為IP； （2）物理層的數(shù)據(jù)幀概況（將部分?jǐn)?shù)據(jù)放大如下圖所示）從圖中可以看出：1號(hào)幀，線路上有55字節(jié)，實(shí)際捕獲55字節(jié)，捕獲時(shí)間為2015年12月8日15 : 56 : 23，此包與前一捕獲幀的時(shí)間間隔為0.000000000秒，與第一幀的時(shí)間間隔為0.000000000秒，此幀沒(méi)有被標(biāo)記且沒(méi)有被忽略，幀內(nèi)封裝的協(xié)議結(jié)構(gòu)為IP數(shù)據(jù)協(xié)議，用不同顏色染色標(biāo)記的協(xié)議名為IP，染色顯示規(guī)則字符串為ip。（3） 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息（將部分?jǐn)?shù)據(jù)放大如下圖所示）從上圖可知，此包為以太網(wǎng)協(xié)議版

18、本2，源地址為c0:3f:d5:b3:96:c5，目標(biāo)地址為00:22:19:a5:d3:d4，幀內(nèi)封裝的上層協(xié)議類(lèi)型為IP，十六進(jìn)制代碼為0800。 （4）互聯(lián)網(wǎng)層IP包頭部信息（將部分?jǐn)?shù)據(jù)放大如下圖所示）由上圖，互聯(lián)網(wǎng)協(xié)議IPv4，源地址為4，目標(biāo)地址為40，IP包頭部長(zhǎng)度為20字節(jié)，差分服務(wù)字段為0x00 (DSCP 0x00 : Default; ECN : 0x00)，表示一個(gè)特定的上層協(xié)議所分配的重要級(jí)別，默認(rèn)的DSCP值是0，相當(dāng)于盡力傳送，ECN字段被分為ECN-Capable Transport (ECT) bit和CE bit

19、，ECT bit設(shè)置為“ 0 ”表明該傳輸協(xié)議將忽略ignore CE bit，CE bit將由路由器設(shè)置，設(shè)置為0說(shuō)明對(duì)末端節(jié)點(diǎn)不擠塞，IP包的總長(zhǎng)度為41字節(jié)，標(biāo)志字段為11302，標(biāo)記字段為0x2c26，沒(méi)有分片，分片的偏移量為0，生存期為64，當(dāng)減少為0時(shí)，該數(shù)據(jù)包將被丟棄以保證數(shù)據(jù)包不會(huì)無(wú)限制的循環(huán)，上層協(xié)議為IP，報(bào)頭的檢驗(yàn)和顯示為正確correct。（5）對(duì)應(yīng)十六進(jìn)制代碼（將部分?jǐn)?shù)據(jù)放大如下圖所示）2.2 抓ICMP包 填寫(xiě)過(guò)濾器ICMP and (dst 本機(jī)IP and src 目的IP) or (src 本機(jī)IP and dst 目的IP)，開(kāi)始抓包。 運(yùn)行 tracert

20、目的IP2 命令，完成后停止抓包。運(yùn)行命令截取如下：所抓數(shù)據(jù)包截取如下： 分析所抓的數(shù)據(jù)包。 分析內(nèi)容： 1.ICMP報(bào)文是封裝在IP報(bào)文內(nèi)的。 2.第一個(gè)抓包能得到TTL過(guò)期（類(lèi)型11）的報(bào)文。 3. 第二個(gè)抓包能得到ICMP請(qǐng)求（類(lèi)型8）和ICMP應(yīng)答（類(lèi)型0）的報(bào)文。代碼端均為0。 4.注意以上報(bào)文的對(duì)應(yīng)字段。5. 請(qǐng)求和應(yīng)答緊跟的是16位標(biāo)識(shí)符、16位序號(hào)、可選數(shù)據(jù)部分。 6. TTL過(guò)期報(bào)文的類(lèi)型是11，代碼字段為 0，緊跟的是32為全0、IP首部IP數(shù)據(jù)部分。圖11.4 ICMP報(bào)文的數(shù)據(jù)格式 如下圖所示，我們選取435號(hào)幀作為代表分別分析相應(yīng)的數(shù)據(jù)：（1）由上圖總覽，可知數(shù)據(jù)幀的

21、相關(guān)信息：此幀的編號(hào)為435； 獲取時(shí)間為14.148271； 源地址； 目的地址為； 高層協(xié)議為ICMP； （2）物理層的數(shù)據(jù)幀概況：1號(hào)幀，線路上有106字節(jié)，實(shí)際捕獲106字節(jié)，捕獲時(shí)間為2015年12月8日14 : 13 : 23，此包與前一捕獲幀的時(shí)間間隔為14.148271000秒，與第一幀的時(shí)間間隔為14.148271000秒，此幀沒(méi)有被標(biāo)記且沒(méi)有被忽略，幀內(nèi)封裝的協(xié)議結(jié)構(gòu)為ICMP數(shù)據(jù)協(xié)議，用不同顏色染色標(biāo)記的協(xié)議名為ICMP，染色顯示規(guī)則字符串為icmp。（3） 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息：此包為以太網(wǎng)協(xié)議版本2，源地址為00 : 10 : 5c : cc : 3c : 12

22、，目標(biāo)地址為00 : 10 : 5c : cc : 52 : 07，幀內(nèi)封裝的上層協(xié)議類(lèi)型為ICMP，十六進(jìn)制代碼為0800。 （4）互聯(lián)網(wǎng)層IP包頭部信息（將部分?jǐn)?shù)據(jù)放大如下圖所示）由上圖，互聯(lián)網(wǎng)協(xié)議IPv4，源地址為4，目標(biāo)地址為4，IP包頭部長(zhǎng)度為20字節(jié)，差分服務(wù)字段為0x00 (DSCP 0x00 : Default; ECN : 0x00)，表示一個(gè)特定的上層協(xié)議所分配的重要級(jí)別，默認(rèn)的DSCP值是0，相當(dāng)于盡力傳送，ECN字段被分為ECN-Capable Transport (ECT) bit和CE bit，ECT bit設(shè)置為“

23、0 ”表明該傳輸協(xié)議將忽略ignore CE bit，CE bit將由路由器設(shè)置，設(shè)置為0說(shuō)明對(duì)末端節(jié)點(diǎn)不擠塞，IP包的總長(zhǎng)度為92字節(jié)，標(biāo)志字段為19445，標(biāo)記字段為0x4bf5，沒(méi)有分片，分片的偏移量為0，生存期為1，當(dāng)減少為0時(shí)，該數(shù)據(jù)包將被丟棄以保證數(shù)據(jù)包不會(huì)無(wú)限制的循環(huán)，上層協(xié)議為ICMP，報(bào)頭的檢驗(yàn)和顯示為正確correct。（5）對(duì)應(yīng)十六進(jìn)制代碼（將部分?jǐn)?shù)據(jù)放大如下圖所示）（6）第二個(gè)抓包能得到ICMP請(qǐng)求（類(lèi)型8）和ICMP應(yīng)答（類(lèi)型0）的報(bào)文。ICMP報(bào)文字段信息分析（將部分?jǐn)?shù)據(jù)放大如下圖所示）所抓類(lèi)型8截取如下：從上圖可知，數(shù)據(jù)包類(lèi)型為8，表示ICMP回應(yīng)請(qǐng)求報(bào)文，代碼段

24、為0，檢驗(yàn)和顯示為正確correct，數(shù)據(jù)部分共64字節(jié)。所抓類(lèi)型0截取如下：從上圖可知，數(shù)據(jù)包類(lèi)型為0，表示ICMP回應(yīng)應(yīng)答報(bào)文，代碼段為0，檢驗(yàn)和顯示為正確correct，數(shù)據(jù)部分共64字節(jié)。2.3 抓TCP包 填寫(xiě)過(guò)濾器 tcp and (dst 本機(jī)IP and src 目的IP) or (src 本機(jī)IP and dst 目的IP)，開(kāi)始抓包。 運(yùn)行 telnet 目的IP命令，登陸telnet后退出，完成后點(diǎn)STOP停止抓包。 分析所抓的數(shù)據(jù)包。所抓數(shù)據(jù)包截取如下： 分析內(nèi)容： 1. TCP報(bào)文是封裝在IP報(bào)文內(nèi)部。2.TCP報(bào)文的各個(gè)字段。圖11.5 TCP分組的封裝格式 3TC

25、P建立一個(gè)連接采用3次握手機(jī)制，注意這3個(gè)TCP包的發(fā)送序列號(hào)和接收序列號(hào)字段。 4 . TCP關(guān)閉一個(gè)連接采用4次握手機(jī)制，注意這4個(gè)TCP包的發(fā)送序列號(hào)和接收序列號(hào)字段。圖10.6 TCP的握手過(guò)程如下圖所示，我們選取147號(hào)幀作為代表分別分析相應(yīng)的數(shù)據(jù)：（1）由上圖總覽，可知數(shù)據(jù)幀的相關(guān)信息：此幀的編號(hào)為147； 源地址為； 目的地址為； 高層協(xié)議為T(mén)CP； （2）物理層的數(shù)據(jù)幀概況：該幀147號(hào)幀，線路上有66字節(jié)，實(shí)際捕獲66字節(jié)，此幀沒(méi)有被標(biāo)記且沒(méi)有被忽略，幀內(nèi)封裝的協(xié)議結(jié)構(gòu)為T(mén)CP數(shù)據(jù)協(xié)議，用不同顏色染色標(biāo)記的協(xié)議名為T(mén)CP，染色顯示規(guī)則字符串為tcp。（3） 數(shù)據(jù)鏈路層以太網(wǎng)幀

26、頭部信息：此包為以太網(wǎng)協(xié)議版本2，源地址為c0:3f:d5:b3:96:c5，目標(biāo)地址為00:00:5e:00:01:01，幀內(nèi)封裝的上層協(xié)議類(lèi)型為T(mén)CP，十六進(jìn)制代碼為0800。 （4）互聯(lián)網(wǎng)層IP包頭部信息：互聯(lián)網(wǎng)協(xié)議IPv4，源地址為，目標(biāo)地址為，IP包頭部長(zhǎng)度為20字節(jié)；差分服務(wù)字段為0x00 (DSCP 0x00 : Default; ECN : 0x00)，表示一個(gè)特定的上層協(xié)議所分配的重要級(jí)別，默認(rèn)的DSCP值是0，相當(dāng)于盡力傳送，ECN字段被分為ECN-Capable Transport (ECT) bit和CE bit，ECT bit設(shè)置為“ 0 ”表明該傳輸協(xié)議將忽略ign

27、ore CE bit，CE bit將由路由器設(shè)置，設(shè)置為0說(shuō)明對(duì)末端節(jié)點(diǎn)不擠塞；IP包的總長(zhǎng)度為41字節(jié)，標(biāo)志字段為32964，標(biāo)記字段為0x86c4，沒(méi)有分片（Dont Fragment），分片的偏移量為0，生存期為128，當(dāng)減少為0時(shí)，該數(shù)據(jù)包將被丟棄以保證數(shù)據(jù)包不會(huì)無(wú)限制的循環(huán)，上層協(xié)議為T(mén)CP，報(bào)頭的檢驗(yàn)和顯示為正確correct。（5）傳輸協(xié)議信息報(bào)文（將部分?jǐn)?shù)據(jù)放大如下圖所示）此幀源端口4844，目的端口80，序號(hào)為0，首部長(zhǎng)度32字節(jié)，窗口大小65535，校驗(yàn)和為正確correct，12字節(jié)選項(xiàng)字段。（6）對(duì)應(yīng)十六進(jìn)制代碼（將部分?jǐn)?shù)據(jù)放大如下圖所示）（7）TCP建立一個(gè)連接采用3

28、次握手機(jī)制，注意這3個(gè)TCP包的發(fā)送序列號(hào)和接收序列號(hào)字段。（相應(yīng)過(guò)程截取如下）第一步，向發(fā)起連接請(qǐng)求，發(fā)送一個(gè)SYN段，源端口為6950，目的端口為1394，通告自己的初始序號(hào)（ISN，由協(xié)議棧 隨機(jī)產(chǎn)生的一個(gè)32位數(shù)），設(shè)置確認(rèn)序號(hào)為0(因?yàn)檫€沒(méi)有收到過(guò)對(duì)端的數(shù)據(jù))，通告自己的滑動(dòng)窗口大小為65535，窗口擴(kuò)大因子為2(在首部選項(xiàng)中)，通告最大報(bào)文段長(zhǎng)度為1460(本地局域網(wǎng))；第二步，收到請(qǐng)求包，檢查標(biāo)志位，發(fā)現(xiàn)SYN=1，認(rèn)為這是一個(gè)初始化連接的請(qǐng)求，回應(yīng)這個(gè)SYN，同時(shí)也發(fā)送自己的SYN段(即 ACK,SYN同時(shí)置位)。因?yàn)镾YN本身要占用一個(gè)序號(hào)（還有標(biāo)志FIN也要占用一個(gè)序號(hào)）。

29、所以，確認(rèn)序號(hào)設(shè)置為的ISN加1 (即期望收到來(lái)自的下一個(gè)包的第一個(gè)序號(hào)為0x8c6c。同時(shí)也要通告自己的初始序號(hào)，滑動(dòng)窗口大小，窗口擴(kuò)大因子，最大報(bào)文段長(zhǎng)度等第三步，對(duì)來(lái)自的SYN段進(jìn)行確認(rèn)，至此，TCP三次握手協(xié)議完成，連接建立，在4收 到SYN段時(shí)，將自己對(duì)應(yīng)的socket的狀態(tài)由TCP_SYN_SENT改為T(mén)CP_ESTABLISHED，進(jìn)入連接建立狀態(tài)。2.4 抓UDP包 填寫(xiě)過(guò)濾器 udp and (dst or src 目的IP),開(kāi)始抓包。 啟動(dòng)QQ，并發(fā)送消息，完成后停止抓包。 分析所抓

30、的UDP數(shù)據(jù)包。所抓數(shù)據(jù)包如下：如上圖所示，我們選取69號(hào)幀作為代表分別分析相應(yīng)的數(shù)據(jù)：（1）由上圖總覽，可知數(shù)據(jù)幀的相關(guān)信息：此幀的編號(hào)為69； 源地址為； 目的地址為； 高層協(xié)議為UDP； （2）物理層的數(shù)據(jù)幀概況：該幀69號(hào)幀，線路上有89字節(jié)，實(shí)際捕獲89字節(jié)，此幀沒(méi)有被標(biāo)記且沒(méi)有被忽略，幀內(nèi)封裝的協(xié)議結(jié)構(gòu)為UDP數(shù)據(jù)協(xié)議，用不同顏色染色標(biāo)記的協(xié)議名為UDP，染色顯示規(guī)則字符串為udp。（3） 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息：此包為以太網(wǎng)協(xié)議版本2，源地址為c0:3f:d5:b3:96:c5，目標(biāo)地址為00:00:5e:00:01:01，幀內(nèi)封裝的上層協(xié)議類(lèi)型為UDP，十六進(jìn)制代碼為080

31、0。 （4）互聯(lián)網(wǎng)層IP包頭部信息：互聯(lián)網(wǎng)協(xié)議IPv4，源地址為，目標(biāo)地址為73，efault; ECN : 0x00)，表示一個(gè)特定的上層協(xié)議所分配的重要級(jí)別，默認(rèn)的DSCP值是0，相當(dāng)于盡力傳送，ECN字段被分為ECN-Capable Transport (ECT) bit和CE bit，ECT bit設(shè)置為“ 0 ”表明該傳輸協(xié)議將忽略ignore CE bit，CE bit將由路由器設(shè)置，設(shè)置為0說(shuō)明對(duì)末端節(jié)點(diǎn)不擠塞；沒(méi)有分片（Dont Fragment），分片的偏移量為0，生存期為128，當(dāng)減少為0時(shí)，該數(shù)據(jù)包將被丟棄以保證數(shù)據(jù)包不會(huì)無(wú)限制的循環(huán)，上層協(xié)議為U

32、DP，報(bào)頭的檢驗(yàn)和顯示為正確correct。（5）傳輸協(xié)議信息報(bào)文（將部分?jǐn)?shù)據(jù)放大如下圖所示）此幀源端口4007，目的端口8000，長(zhǎng)度55字節(jié)，校驗(yàn)和為正確correct，數(shù)據(jù)字段共47字節(jié)。（6）對(duì)應(yīng)十六進(jìn)制代碼（將部分?jǐn)?shù)據(jù)放大如下圖所示）2.5 抓Http包 填寫(xiě)過(guò)濾器 tcp and (dst 本機(jī)IP and src 目的IP) or (src 本機(jī)IP and dst 目的IP),開(kāi)始抓包。 在IE里打開(kāi)一個(gè)網(wǎng)頁(yè)，或輸入目的IP打開(kāi)服務(wù)器提供的網(wǎng)頁(yè)。完成后停止抓包。 分析所抓的數(shù)據(jù)包。所抓數(shù)據(jù)包如下：如上圖所示，我們選取49號(hào)幀作為代表分別分析相應(yīng)的數(shù)據(jù)：（1）由上圖總覽，可知數(shù)據(jù)

33、幀的相關(guān)信息：此幀的編號(hào)為49； 源地址為； ； 高層協(xié)議為HTTP； （2）物理層的數(shù)據(jù)幀概況：該幀49號(hào)幀，線路上有446字節(jié)，實(shí)際捕獲446字節(jié)，此幀沒(méi)有被標(biāo)記且沒(méi)有被忽略，幀內(nèi)封裝的協(xié)議結(jié)構(gòu)為HTTP數(shù)據(jù)協(xié)議，用不同顏色染色標(biāo)記的協(xié)議名為HTTP，染色顯示規(guī)則字符串為http。（3） 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息：此包為以太網(wǎng)協(xié)議版本2，源地址為c0:3f:d5:b3:96:c5，目標(biāo)地址為00:00:5e:00:01:01，幀內(nèi)封裝的上層協(xié)議類(lèi)型為HTTP，十六進(jìn)制代碼為0800。 （4）互聯(lián)網(wǎng)層IP包頭部信息：互聯(lián)網(wǎng)協(xié)議IPv4，源地址為，目標(biāo)地址為，efault; ECN : 0x00)，表示一個(gè)特定的上層協(xié)議所分配的重要級(jí)別，默認(rèn)的DSCP值是0，相當(dāng)于盡力傳送