網(wǎng)絡(luò)層數(shù)據(jù)分組的捕獲和解析

1、 實(shí)驗(yàn)二：網(wǎng)絡(luò)層數(shù)據(jù)分組的捕獲和解析1. 實(shí)驗(yàn)類別協(xié)議分析型2. 實(shí)驗(yàn)內(nèi)容和實(shí)驗(yàn)?zāi)康谋敬螌?shí)驗(yàn)內(nèi)容：1）捕獲在連接Internet過程中產(chǎn)生的網(wǎng)絡(luò)層分組：DHCP分組，ARP分組，IP數(shù)據(jù)分組，ICMP分組。2）分析各種分組的格式，說明各種分組在建立網(wǎng)絡(luò)連接過程中的作用。3）分析IP數(shù)據(jù)分組分片的結(jié)構(gòu)。通過本次實(shí)驗(yàn)了解計(jì)算機(jī)上網(wǎng)的工作過程，學(xué)習(xí)各種網(wǎng)絡(luò)層分組的格式及其作用，理解長度大于1500字節(jié)IP數(shù)據(jù)組分片傳輸?shù)慕Y(jié)構(gòu)。3. 實(shí)驗(yàn)設(shè)備環(huán)境Windows XP 操作系統(tǒng)的pc機(jī)，連接到Internet，使用WireShark軟件。4. 實(shí)驗(yàn)步驟4.1 準(zhǔn)備工作啟動計(jì)算機(jī)，連接網(wǎng)絡(luò)確保能夠上網(wǎng)。4

2、.2 捕獲和分析網(wǎng)絡(luò)層分組開啟監(jiān)控，連接網(wǎng)絡(luò)。一段時間后查看捕獲的分組。分析各種分組的格式以及在上網(wǎng)過程中所起的作用。4.3-1 發(fā)送ICMP分組，捕獲并分析格式ICMP是（Internet Control Message Protocol）Internet控制報文協(xié)議。它是TCP/IP協(xié)議族的一個子協(xié)議，用于在IP主機(jī)、路由器之間傳遞控制消息。控制消息是指網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。0100為協(xié)議類型：4.0101為首部長度：5*4=20字節(jié)00000000為服務(wù)類型。00000000 001

3、11100 為總長度：60（20個頭部，40個數(shù)據(jù)）00001000 10101101為標(biāo)識：0*08ad（2221）000為標(biāo)志位 MF=0 DF=000000 00000000為片偏移：offest=010000000 為生存時間：12800000001為協(xié)議：ICMP（1）00000000 00000000 為首部校驗(yàn)和：001110110 11100101 100000010 00010110為源地址：01110111 01001011 11010101 00110011為目標(biāo)地址：00001000為ICMP報文的類型：800000000為code：001001100 11001101

4、 為校驗(yàn)和：0x4ccd其后面的32為與ICMP的類型有關(guān)在后面的為數(shù)據(jù)部分。此ICMP為回送請求與回送回答報文4.3-2 發(fā)送ARP分組，捕獲并分析格式ARP，即地址解析協(xié)議，實(shí)現(xiàn)通過IP地址得知其物理地址。在TCP/IP網(wǎng)絡(luò)環(huán)境下，每個主機(jī)都分配了一個32位的IP地址，這種互聯(lián)網(wǎng)地址是在網(wǎng)際范圍標(biāo)識主機(jī)的一種邏輯地址。為了讓報文在物理網(wǎng)路上傳送，必須知道對方目的主機(jī)的物理地址。這樣就存在把IP地址變換成物理地址的地址轉(zhuǎn)換問題。以以太網(wǎng)環(huán)境為例，為了正確地向目的主機(jī)傳送報文，必須把目的主機(jī)的32位IP地址轉(zhuǎn)換成為48位以太網(wǎng)的地址。這就需要在互連層有一組服務(wù)將IP地址轉(zhuǎn)換為相應(yīng)物理地址，這組

5、協(xié)議就是ARP協(xié)議。ARP包：本機(jī)希望知道ip為主機(jī)的物理地址， 如果本機(jī)的ARP緩存表中沒有目標(biāo)IP地址，那么本機(jī)將會發(fā)送一個廣播本機(jī)MAC地址是“00：26：18：fd：f8：12”，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問：“我是，我的硬件地址是"00：26：18：fd：f8：12".請問IP地址為的MAC地址是什么？”網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢問，只有目標(biāo)主機(jī)接收到這個幀時，才向本機(jī)做出這樣的回應(yīng)：的MAC地址是xx-xx-xx-xx-xx-xx”。這樣，本機(jī)就知道了目標(biāo)主機(jī)的MAC地址，它就可以向目標(biāo)主機(jī)發(fā)送信息了。還同時都更新了自己（本機(jī)與目標(biāo)的）的ARP

6、緩存表（因?yàn)楸緳C(jī)在詢問的時候把自己的IP和MAC地址一起告訴了目標(biāo)主機(jī)），下次本機(jī)再向目標(biāo)主機(jī)或者目標(biāo)主機(jī)向本機(jī)發(fā)送信息時，直接從各自的ARP緩存表里查找就可以了。4.3-3 發(fā)送DHCP分組，捕獲并分析格式DHCP動態(tài)主機(jī)設(shè)置協(xié)議（Dynamic Host Configuration Protocol）是一個局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作，主要有兩個用途：給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)供應(yīng)商自動分配IP地址給用戶給內(nèi)部網(wǎng)絡(luò)管理員作為對所有計(jì)算機(jī)作中央管理的手段。首先 釋放當(dāng)前的IP地址，然后再重新獲取IP地址。然后向網(wǎng)絡(luò)發(fā)出一個 DHCP DISCOVER 封包。封包的來源地址會為 .0 ，而目

7、的地址則為 255.255.255.255 ，然后再附上 DHCP discover 的信息，向網(wǎng)絡(luò)進(jìn)行廣播。當(dāng) DHCP 服務(wù)器監(jiān)聽到客戶端發(fā)出的 DHCP discover 廣播后，它會從那些還沒有租出的地址范圍內(nèi)，選擇最前面的空置 IP ，連同其它 TCP/IP 設(shè)定，響應(yīng)給客戶端一個 DHCP OFFER 封包。 由于客戶端在開始的時候還沒有 IP 地址，所以在其 DHCP discover 封包內(nèi)會帶有其 MAC 地址信息，并且有一個 XID 編號來辨別該封包，DHCP 服務(wù)器響應(yīng)的 DHCP offer 封包則會根據(jù)這些資料傳遞給要求租約的客戶。根據(jù)服務(wù)器端的設(shè)定，DHCP off

8、er 封包會包含一個租約期限的信息。如果客戶端收到網(wǎng)絡(luò)上多臺 DHCP 服務(wù)器的響應(yīng)，只會挑選其中一個 DHCP offer 而已(通常是最先抵達(dá)的那個)，并且會向網(wǎng)絡(luò)發(fā)送一個DHCP request廣播封包，告訴所有 DHCP 服務(wù)器它將指定接受哪一臺服務(wù)器提供的 IP 地址。 同時，客戶端還會向網(wǎng)絡(luò)發(fā)送一個 ARP 封包，查詢網(wǎng)絡(luò)上面有沒有其它機(jī)器使用該 IP 地址；如果發(fā)現(xiàn)該 IP 已經(jīng)被占用，客戶端則會送出一個 DHCPDECLIENT 封包給 DHCP 服務(wù)器，拒絕接受其 DHCP offer ，并重新發(fā)送 DHCP discover 信息。當(dāng) DHCP 服務(wù)器接收到客戶端的 DHC

9、P request 之后，會向客戶端發(fā)出一個DHCPACK 響應(yīng)，以確認(rèn) IP 租約的正式生效，也就結(jié)束了一個完整的 DHCP 工作過程。若一直得不到響應(yīng)的情況下，客戶端一共會有四次 DHCP discover 廣播(包括第一次在內(nèi))，除了第一次會等待 1 秒之外，其余三次的等待時間分別是 9、13、16 秒。如果都沒有得到 DHCP 服務(wù)器的響應(yīng)，客戶端則會顯示錯誤信息，宣告 DHCP discover 的失敗。之后，基于使用者的選擇，系統(tǒng)會繼續(xù)在 5 分鐘之后再重復(fù)一次 DHCP discover 的過程。4.3-2 發(fā)送IP數(shù)據(jù)分組，捕獲并分析格式IP數(shù)據(jù)分組：發(fā)送一個8000字節(jié)的包通

10、過6片就行分組傳輸。供1500個字節(jié) id為0x3a51(14929)標(biāo)志位為001：最低位為MF=1：后面還有分片 中間位為DF=0：允許分片在后面包含源地址 與目標(biāo)地址。（前面已有分析，此處不再復(fù)述）IP協(xié)議頭部后面是傳輸層的數(shù)據(jù)包含頭部和數(shù)據(jù)部分，在此不再分析。數(shù)據(jù)的長度為1472.然后分析第二片可以得出，offset=1480，是因?yàn)榍耙黄瑥膫鬏攲拥玫搅?480的數(shù)據(jù)加上20個字節(jié)的頭部信息最后在網(wǎng)絡(luò)層形成了1500字節(jié)的包，然后此處的1480是傳輸層數(shù)據(jù)的斷點(diǎn)?？梢缘贸鰋ffset=1480*(N-1) N為第幾片。因?yàn)楹竺孢€有片 所以MF=1 DF=0。同理分析 2 3 4 5 片

11、都具有相同數(shù)據(jù)。來分析下最后一片：可以看出MF=0 DF=0。說明這是最后一個分片。而且只有628個字節(jié)的長度，表示所剩的數(shù)據(jù)的全部。加上前面五個片的數(shù)據(jù)共有8000字節(jié)。然后分析下一數(shù)據(jù)包 可以得出其中的標(biāo)識發(fā)生了變化，來與前一個數(shù)據(jù)包加以區(qū)別。其他的頭部部分與前面ICMP協(xié)議的時候相同。5. 實(shí)驗(yàn)心得通過此次實(shí)驗(yàn)，對于各個協(xié)議有了很深的了解，尤其是對于網(wǎng)絡(luò)層上的幾個協(xié)議，如DHCP分組，ARP分組，IP數(shù)據(jù)分組，ICMP分組。對于每種分組的詳細(xì)分析，已經(jīng)對幾個分組的內(nèi)部結(jié)構(gòu)與原理有了一定程度的認(rèn)知，把課堂上講到的知識應(yīng)用于實(shí)踐之中。在此次實(shí)驗(yàn)中同樣遇到了很多的問題，先是wireshark軟

12、件的使用，由于是初次使用，很多指令與方法都不能很多的了解，但是通過實(shí)驗(yàn)指導(dǎo)書與軟件自帶的指導(dǎo)手冊，對于軟件的使用方法及軟件的作用有了一定的了解。還有就是對于抓包，剛開始比較亂，不能對抓包這個概念有很好的理解，但是漸漸的分析了一些包之后，發(fā)現(xiàn)了其中的結(jié)構(gòu)組成及內(nèi)在的作用，還是發(fā)現(xiàn)學(xué)習(xí)了很多。而且能將課堂上講的協(xié)議在實(shí)踐中很好的體現(xiàn)出來，還是收益匪淺的。接著就是對于抓包的分析過程，發(fā)現(xiàn)在ip協(xié)議頭部的前面還有很多的數(shù)據(jù)，剛開始的時候誤認(rèn)為ip協(xié)議的頭部。發(fā)現(xiàn)不合理，然后通過軟件的自帶的分析，發(fā)現(xiàn)不是ip協(xié)議的頭部，個人認(rèn)為可能是在數(shù)據(jù)鏈路層上頭部包括本機(jī)的mac地址與對方的mac地址。而且在此次實(shí)驗(yàn)的抓包中發(fā)現(xiàn)了一些現(xiàn)象，例如你在進(jìn)行語音或許視頻的通信，在抓包的過程中UDP包就顯的尤其的多，可以得出視頻與語音通信采用的是不可靠連接的服務(wù)。在去掉了ip協(xié)議的頭部之后后面跟著的是傳輸層上的數(shù)