實驗二：網(wǎng)絡(luò)協(xié)議分析

實驗二：網(wǎng)絡(luò)協(xié)議分析開機后進入windowsXP系統(tǒng)指導(dǎo)老師：曹浪財

助教：徐朝慶邱熠龍

郵箱：975230721&

實驗結(jié)束后，請班級學(xué)習(xí)委員及時將電子版的實驗報告收齊，然后打包成zip格式一起提交到郵箱，并注明未提交的同學(xué)名單。實驗環(huán)境

windowsXP系統(tǒng)聯(lián)網(wǎng)計算機

網(wǎng)絡(luò)監(jiān)聽軟件Sniffer

實驗?zāi)康暮鸵笫煜ぞW(wǎng)絡(luò)監(jiān)聽軟件Sniffer,對截獲的數(shù)據(jù)幀進行分析，驗證EthernetV2標準的MAC層的幀結(jié)構(gòu)分析ARP協(xié)議報文首部格式，分析在同一網(wǎng)段和不同網(wǎng)段間的解析過程分析IPv4的報文結(jié)構(gòu)，給出每一個字段的值掌握常用ICMP報文格式及相應(yīng)方式和作用掌握Tracert命令跟蹤路由技術(shù)掌握TCP連接的建立和釋放過程實驗原理數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為幀（Frame）的單位傳輸?shù)?，幀由幾部分組成，不同的部分執(zhí)行不同的功能。幀通過特定的稱為網(wǎng)絡(luò)驅(qū)動程序的軟件進行成型，然后通過網(wǎng)卡發(fā)送到網(wǎng)線上，通過網(wǎng)線到達它們的目的機器，在目的機器的一端執(zhí)行相反的過程。接收端機器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀已到達，然后對其進行存儲。就是在這個傳輸和接收的過程中，嗅探器會帶來安全方面的問題。數(shù)據(jù)包“包”(Packet)是TCP/IP協(xié)議通信傳輸中的數(shù)據(jù)單位，一般也稱“數(shù)據(jù)包”。有人說，局域網(wǎng)中傳輸?shù)牟皇恰皫?Frame)嗎？沒錯，但是TCP/IP協(xié)議是工作在OSI模型第三層(網(wǎng)絡(luò)層)、第四層(傳輸層)上的，而幀是工作在第二層(數(shù)據(jù)鏈路層)。上一層的內(nèi)容由下一層的內(nèi)容來傳輸，所以在局域網(wǎng)中，“包”是包含在“幀”里的。以太網(wǎng)和IEEE802封裝以太網(wǎng)是指數(shù)字設(shè)備公司（DigitalEquipmentCorp.）、英特爾公司和Xerox公司在1982年聯(lián)合公布的一個標準。它是當今TCP/IP采用的主要局域網(wǎng)技術(shù)。它采用CSMA/CD（帶沖突檢測的載波偵聽多路接入）的媒體介入方法。它的速度是10Mb/s，地址是48bit。IEEE（電子電氣工程師協(xié)會）802委員會公布了一個稍有不同的標準集，其中802.3針對整個CSMA/CD網(wǎng)絡(luò)，802.4針對令牌總線網(wǎng)絡(luò)，802.5針對令牌環(huán)網(wǎng)絡(luò)。這三者的共同特性由802.2標準來定義，那就是802網(wǎng)絡(luò)共有的邏輯鏈路控制（LLC）。不幸的是，802.2和802.3定義了一個與以太網(wǎng)不同的幀格式。常用的以太網(wǎng)MAC幀格式有兩種標準，一種是EthernetV2標準，另一種是802.3標準。這里只介紹常用的以太網(wǎng)V2的MAC幀格式。

以太網(wǎng)的MAC幀比較簡單，有五個字段組成。前兩個字段分別為6字節(jié)長的目的地址和源地址字段。第三個字段是2字節(jié)的類型字段，用來標志上一層使用的是什么協(xié)議，以便把收到的MAC幀數(shù)據(jù)上交給上一層的協(xié)議。例如，當類型字段的值是0X0800時，就表示上層使用的是IP數(shù)據(jù)報。第四個字段是數(shù)據(jù)字段，其長度在46-1500字節(jié)之間。最后一個字段是4字節(jié)的幀檢驗序列FCS（使用CRC檢驗）。8.2鏈路層數(shù)據(jù)幀分析實驗步驟：1、【開始】>【Sniffer軟件】>打開“當前設(shè)置窗口”>選中網(wǎng)絡(luò)適配器>確定2.Sniffer>Monitor>DefineFilter>在Address選項卡下的Address下拉選擇IP>Station1中填入本機IP，Station2中輸入Any>選取Capture>Start菜單項，等待截取報3.【開始】>“cmd”>彈出“命令提示符”窗口>鍵入“pingXXX.XXX.XXX.XXX”>選擇Sniffer的“capture”>stopanddisplay>顯示截獲的數(shù)據(jù)報文結(jié)果>選擇“Decode”選項卡查看報文解碼其中XXX.XXX.XXX.XXX表示同網(wǎng)段的計算機IP地址4、下圖是Sniffer捕獲的報文解碼，在數(shù)據(jù)鏈路層（DLC）和源MAC地址后緊跟著0800,代表該幀數(shù)據(jù)部分封裝的是IP報文，由于0800大于05FF，所以它是EthernetV2幀。提示：選中摘要（summary）框的“ICMPEcho”報文項查看。8.3ARP地址解析協(xié)議ARP協(xié)議是“AddressResolutionProtocol”（地址解析協(xié)議）的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實際傳輸?shù)氖恰皫?，幀里面是有目標主機的MAC地址的。在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。所謂“地址解析”就是主機在發(fā)送幀前將目標IP地址轉(zhuǎn)換成目標MAC地址的過程。ARP協(xié)議的基本功能就是通過目標設(shè)備的IP地址，查詢目標設(shè)備的MAC地址，以保證通信的順利進行。用于以太網(wǎng)的ARP請求或者應(yīng)答分組格式ARP報文的格式：

①硬件類型：指明硬件的類型，以太網(wǎng)是1。

②協(xié)議類型：指明發(fā)送者映射到數(shù)據(jù)鏈路標識的網(wǎng)絡(luò)層協(xié)議的類型；IP對應(yīng)0x0800，ARP對應(yīng)的是0x0806。

③硬件地址長度：也就是MAC地址的長度，單位是字節(jié)，這里是6。

④協(xié)議地址長度：網(wǎng)絡(luò)層地址的長度，即IP地址長度，單位是字節(jié)，這里為4。

⑤操作：指明是ARP請求還是ARP應(yīng)答。實驗原理：使用網(wǎng)絡(luò)的應(yīng)用程序是采用邏輯地址（如IP地址）進行通訊的，而實際的物理網(wǎng)絡(luò)必須使用物理地址（如MAC地址）進行數(shù)據(jù)傳輸。所以需要建立邏輯地址與物理地址的映射關(guān)系（地址解析），高層應(yīng)用的報文才可以用底層物理網(wǎng)絡(luò)傳輸出去。ARP協(xié)議就是將IP地址解析成物理地址的地址解析協(xié)議。1、同網(wǎng)段的ARP解析過程

主機與處在同一網(wǎng)段的另一主機進行通信時，首先去緩存中查找目的主機的IP-MAC對應(yīng)項；如果找到，就將報文用找到的物理地址直接發(fā)送出去；如果找不到，源主機就直接向網(wǎng)絡(luò)發(fā)送ARP請求報文，在同一網(wǎng)段的目的主機會對此請求報文做出應(yīng)答。2、不同網(wǎng)段的ARP解析過程

主機與處在不同網(wǎng)段的主機進行通信時，數(shù)據(jù)要想發(fā)送給默認網(wǎng)關(guān)，然后由它轉(zhuǎn)發(fā)出去。源主機首先去緩存中查找默認網(wǎng)關(guān)的IP-MAC對應(yīng)項；如果找到，源主機就把報文發(fā)送給它的默認網(wǎng)關(guān)；如果找不到，源主機就會發(fā)送ARP請求報文，從默認網(wǎng)關(guān)的ARP應(yīng)答報文中獲得默認網(wǎng)關(guān)的IP-MAC對應(yīng)項。實驗步驟：1、運行Sniffer軟件2、選取“Monitor”>DefineFilter>彈出對話框>在“Address”中選擇“Hardware”>在“Station1”處鍵入本機的MAC地址>“Station2”處填入“Any”3、同網(wǎng)段ARP的解析：“Capture”>”Start”>在命令提示符窗口鍵入arp–d>arp–a>pingXXX.XXX.XXX.XXX>“Capture”>>“StopandDisplay”>分析報文提示：在“summary”欄選中“ARP”報文同網(wǎng)段的請求和應(yīng)答報文如下截圖：2、不同網(wǎng)段的解析：前面步驟同1，在DOS窗口輸入：ping3>stopanddisplay截獲報文并顯示。不同網(wǎng)段的ARP請求和應(yīng)答報文分析不同網(wǎng)段的報文填入下表字段項ARP請求報文ARP應(yīng)答報文DestinationSourceSenderMACAddressSenderIPAddressTargetMACAddressTargetIPAddress

8.4IPv4協(xié)議分析

IP數(shù)據(jù)報首部的固定部分中的各字段8.4IPv4協(xié)議分析分析IPv4的報頭結(jié)構(gòu)，給出每個字段的值；實驗步驟：運行Sniffer>>capture>>start>>在DOS窗口中輸入>>ping3>>stopanddisplay>>選擇Decode選項>>分析截獲的報文填入表格字段報文信息字段報文信息版本片偏移首部長度生存周期服務(wù)類型協(xié)議總長度校驗和標識源地址標志目的地址8.5ICMP協(xié)議分析和路由跟蹤實驗要求：1、理解ICMP協(xié)議與IP協(xié)議的封裝關(guān)系2、掌握常用的ICMP報文格式及響應(yīng)方式和作用3、理解路由跟蹤過程4、掌握tracert命令跟蹤路由技術(shù)ICMP協(xié)議：為了處理當數(shù)據(jù)包經(jīng)過多個網(wǎng)絡(luò)傳輸后可能出現(xiàn)的故障，在IP層引入子協(xié)議ICMP。當遇到IP數(shù)據(jù)包無法訪問目標等情況時，路由器自動發(fā)送ICMP報文，向源主機報錯。ICMP報文的封裝ICMP有兩種報文：差錯報文和查詢報文。

差錯報文用于當路由器或主機在處理數(shù)據(jù)過程出現(xiàn)問題時，向源主機進行報告；

查詢報文用于幫助網(wǎng)絡(luò)管理員從一個網(wǎng)絡(luò)設(shè)備上得到特定的信息，例如某個主機是否可達，中間經(jīng)過哪些路由器等。ICMP報文都是封裝在IP報文中傳輸?shù)?。ICMP報文還分為很多類，簡明的報文類型如下表所示。種類類型報文差錯報告報文3目的端不可達4源端抑制11超時12參數(shù)問題5改變路由查詢報文8或0回送請求或應(yīng)答13或14時間戮請求或應(yīng)答17或18地址掩碼請求或回答10或19路由器查詢和通告Tracert工作原理Tracert(跟蹤路由)是路由跟蹤實用程序，用于確定IP數(shù)據(jù)報文訪問目標所采取的路徑。Tracert命令用IP數(shù)據(jù)報文中的生存時間(TTL)字段和ICMP報告的錯誤消息來確定從源主機到網(wǎng)絡(luò)其他主機的路由。源主機的Tracert程序向目標端發(fā)送ICMP請求，并將封裝ICMP請求數(shù)據(jù)包的IP分組報頭中的TTL值置1,。此ICMP數(shù)據(jù)包在到達第一個路由器時，IP報頭中的TTL減1變?yōu)?，根據(jù)規(guī)定路由器會丟棄TTL為0的IP分組，并同時向發(fā)送端發(fā)送ICMP超時消息。源主機從收到的超時消息中，記錄并顯示發(fā)回超時信息的路由器的IP地址，以及IP分組從源主機的第一個路由器之間的往返時間；然后Tracert程序繼續(xù)向目標端發(fā)送ICMP請求數(shù)據(jù)包，但IP分組報頭的TTL加1置為2,。這個ICMP請求數(shù)據(jù)包在向目標端前進的路途上到達第二個路由器后，TTL的值減為0；第二個路由器同樣的向發(fā)送端發(fā)送ICMP超時報文。源主機就獲得了路途上第二路由器的IP地址以及往返時間。以此類推，直到有一個ICMP請求數(shù)據(jù)包到達目的端。這樣源主機就可以根據(jù)各路由器回復(fù)的ICMP超時報文來確定達到目的端的路徑上所有的路由器IP地址與通訊往返時間。利用Tracert可以測試從源端到目的端的路徑需要通過哪些節(jié)點，同時了解通訊路徑中哪個節(jié)點存在故障。實驗步驟：1、捕獲并分析ICMP超時報文運行Sniffer>>Capture>>start>>在DOS窗口鍵入3>>stopanddisplay>>截獲并顯示報文>>在報文顯示列表找到超時報文(Timeexceeded，ICMP報文中Type=11)>>報文信息填入表格類型代碼校驗和數(shù)據(jù)2、捕獲分析回送請求和應(yīng)會送答ICMP報文使用剛剛截獲的報文，在報文顯示列表找到ICMPEcho和ICMPEchoreply報文，并將相應(yīng)的信息填入表格類型代碼校驗和標示符序列號EchorequestEchoreply3、用Tracert跟蹤路由運行Sniffer>>capture>>start>>在DOS窗口輸入tracert–d4>>stopanddisplay>>截獲并顯示報文>>分析tracert命令的工作過程下圖報文是本地主機發(fā)往遠端主機的ICMP報文。其中IP報頭的TTL值為1，即Tracert發(fā)送的第一個ICMP報文，ICMP代碼為8（ICMP請求報文）。ICMP請求報文下圖報文是從源主機發(fā)往遠端主機的分組經(jīng)過第一個路由器，由于TTL(timetolive)從1減為0，路由器發(fā)送超時報文給源主機，ICMP超時報文的類型為11。大家可以在列表中找到有源主機發(fā)出的TTL(timetolive)為2、3、4等的ICMP請求報文，同樣可以找到途中各路由器發(fā)回給源主機的超時報文，最后IP分組的TTL遞增到足夠大時，源主機的tracert程序發(fā)送的ICMP請求報文終于到達目的主機。此時目的主機向源主機發(fā)送ICMP應(yīng)答報文，而不是超時報文，路由跟蹤過程到此結(jié)束。回答問題：1、tracert程序每次回發(fā)送幾個TTL相同的ICMP請求報文？2、路由跟蹤過程中，中間節(jié)點(路由器)返回的ICMP報文和目的端返回的ICMP報文有什么區(qū)別？最后目的主機向源主機發(fā)送ICMP應(yīng)答報文8.6TCP傳輸控制協(xié)議分析實驗要求：掌握TCP協(xié)議的形式；掌握TCP連接的簡歷和釋放過程；掌握TCP數(shù)據(jù)傳輸編號與確認的過程；實驗原理：TCP是一種面向連接的、可靠的、基于字節(jié)流的通信協(xié)議。實驗條件：XP或win7聯(lián)網(wǎng)計算機，Sniffer軟件，F(xiàn)TP服務(wù)器TCP：傳輸控制協(xié)議TCP是一種可靠的、面向連接的字節(jié)流服務(wù)。源主機在傳送數(shù)據(jù)前需要先和目標主機建立連接。然后，在此連接上，被編號的數(shù)據(jù)段按序收發(fā)。同時，要求對每個數(shù)據(jù)段進行確認，保證了可靠性。如果在指定的時間內(nèi)沒有收到目標主機對所發(fā)數(shù)據(jù)段的確認，源主機將再次發(fā)送該數(shù)據(jù)段。TCP包首部●源、目標端口號字段：占16比特。TCP協(xié)議通過使用"端口"來標識源端和目標端的應(yīng)用進程。端口號可以使用0到65535之間的任何數(shù)字。在收到服務(wù)請求時，操作系統(tǒng)動態(tài)地為客戶端的應(yīng)用程序分配端口號。在服務(wù)器端，每種服務(wù)在"眾所周知的端口"（Well-KnowPort）為用戶提供服務(wù)。

●順序號字段：占32比特。用來標識從TCP源端向TCP目標端發(fā)送的數(shù)據(jù)字節(jié)流，它表示在這個報文段中的第一個數(shù)據(jù)字節(jié)。

●確認號字段：占32比特。只有ACK標志為1時，確認號字段才有效。它包含目標端所期望收到源端的下一個數(shù)據(jù)字節(jié)。

●頭部長度字段：占4比特。給出頭部占32比特的數(shù)目。沒有任何選項字段的TCP頭部長度為20字節(jié)；最多可以有60字節(jié)的TCP頭部。

●標志位字段（U、A、P、R、S、F）：占6比特。各比特的含義如下：

◆URG：緊急指針（urgentpointer）有效。

◆ACK：確認序號有效。

◆PSH：接收方應(yīng)該盡快將這個報文段交給應(yīng)用層。

◆RST：重建連接。

◆SYN：發(fā)起一個連接。

◆FIN：釋放一個連接。

●窗口大小字段：占16比特。此字段用來進行流量控制。單位為字節(jié)數(shù)，這個值是本機期望一次接收的字節(jié)數(shù)。

●TCP校驗和字段：占16比特。對整個TCP報文段，即TCP頭部和TCP數(shù)據(jù)進行校驗和計算，并由目標端進行驗證。

●緊急指針字段：占16比特。它是一個偏移量，和序號字段中的值相加表示緊急數(shù)據(jù)最后一個字節(jié)的序號。

●選項字段：占32比特?？赡馨?窗口擴大因子"、"時間戳"等選項。

(1)TCP協(xié)議的報文分析FTP是常用的應(yīng)用層協(xié)議，其使用TCP的控制和數(shù)據(jù)連接。在FTP客戶端，使用Sniffer捕獲由FTP命令產(chǎn)生的TCP數(shù)據(jù)包。為了產(chǎn)生數(shù)據(jù)源，本實驗在DOS命令行中輸入ftp登陸命令(本例為5),而后進入FTP的某一目錄下載一個文本文件，最后退出服務(wù)器。

實驗步驟：

運行Sniffer>>Monitor>>DefineFliter>>選取Address選項卡>>在Address下拉列表選擇IP>>在Station1和Station2下面分別填入本機IP和FTP服務(wù)器IP地址>>Capture>>start>>在DOS窗口輸入ftp5>>輸入用戶名和密碼，都為116>>“gettext.txt”>>“quit”>>Sniffer軟件的Capture>>StopandDisplay>>截獲并顯示報文提示：輸入密碼后是默認不顯示的，直接按回車(2)TCP連接建立過程根據(jù)FTP和TCP協(xié)議，抓取到前面的三個報文，是TCP連接的三次握手過程。下圖是FTP客戶端(本機)向FTP服務(wù)器發(fā)送第一次握手信號；控制位的同步SYN=1，表示發(fā)出連接請求。下圖表示FTP服務(wù)器向FTP客戶端發(fā)送第二次握手信號，控制位里面有確認位和同部位(SYN=1,ACK=1)。下圖為FTP客戶端向FTP服務(wù)器發(fā)送第三次握手信號；控制位里面只有確認位ACK=1。經(jīng)過三次握手后，F(xiàn)TP客戶端與FTP服務(wù)器建立起連接，就可以下載文件了。

根據(jù)TCP協(xié)議建立過程的三個報文，填寫下表。字段名稱第一條報文第二條報文第三條報文序號SequenceNumberAcknowledgmentNumberACKSYNTCP連接終止建立連接需要三次握手，而終止一個連接要經(jīng)過4次握手TCP連接釋放過程TCP連接釋放使用了四次握手，通訊