計算機網(wǎng)絡(luò)實驗指導(dǎo)書

計算機網(wǎng)絡(luò)實驗指導(dǎo)書

計算機科學(xué)與應(yīng)用

《計算機網(wǎng)絡(luò)》課程是計算機科學(xué)與技術(shù)專業(yè)的重要專業(yè)課程之一。隨著計

算機網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和在當(dāng)今信息社會中的廣泛應(yīng)用，給《計算機網(wǎng)絡(luò)》課

程的教學(xué)提出了新的更高的要求。

由于計算機網(wǎng)絡(luò)是一門實踐性較強的技術(shù)，課堂教學(xué)應(yīng)該與實踐環(huán)節(jié)緊密結(jié)

合。將《計算機網(wǎng)絡(luò)》課程建設(shè)成國內(nèi)一流的課程，是近期《計算機網(wǎng)絡(luò)》課程

努力的方向。

我校自1986年開始為本科生同學(xué)開設(shè)了《計算機網(wǎng)絡(luò)》課程，當(dāng)時由于設(shè)備

緊張，基本沒有實踐環(huán)節(jié)。1996年，在校領(lǐng)導(dǎo)的大力支持下，我們籌建了《計算

機網(wǎng)絡(luò)》的教學(xué)實驗環(huán)境。這個實驗環(huán)境為同學(xué)提供了基本的網(wǎng)絡(luò)操作和功能，

在當(dāng)時達到了國內(nèi)高等院校和科研機構(gòu)的計算機網(wǎng)絡(luò)基本水平，這個實驗環(huán)境為

我院的《計算機網(wǎng)絡(luò)》課程的教學(xué)作出了巨大的貢獻。2003年，我們又重新改建

了實驗環(huán)境。目前，本實驗室擁有40臺聯(lián)想公司的個人計算機和五臺聯(lián)想、方正

服務(wù)器?，F(xiàn)在的網(wǎng)絡(luò)實驗環(huán)境不遜于國內(nèi)各知名學(xué)府，在這樣良好的硬件環(huán)境下,

我們就在軟件上也力爭達到國先進水平。所以，我們重新編寫了實驗指導(dǎo)書，調(diào)

整了實驗安排，加大了實踐力度。希望同學(xué)們能夠充分利用實驗條件，認真完成

實驗，從實驗中得到應(yīng)有的鍛煉和培養(yǎng)。

希望同學(xué)們在使用本實驗指導(dǎo)書及進行實驗的過程中，能夠幫助我們不斷地

發(fā)現(xiàn)問題，并提出建議，使《計算機網(wǎng)絡(luò)》成為具有國內(nèi)一流水平的課程。本學(xué)

期授課教師為楊松波，此外張學(xué)東、武傳勝、吳建勝等教師也給予了熱情的支持

和幫助。

實驗要求

計算機網(wǎng)絡(luò)是現(xiàn)代信息社會最重要的基礎(chǔ)設(shè)施之一。在過去十兒年里得到了

迅速的發(fā)展和應(yīng)用?！队嬎銠C網(wǎng)絡(luò)》課程實驗的目的是為了使學(xué)生在課程學(xué)習(xí)的

同時，通過在一個計算機網(wǎng)絡(luò)環(huán)境中的實際操作，對現(xiàn)代計算機網(wǎng)絡(luò)的基本功能

有一個初步的了解；通過實現(xiàn)一個傳輸層協(xié)議，掌握計算機網(wǎng)絡(luò)通信協(xié)議的基本

實現(xiàn)技術(shù)；通過鏈路層、網(wǎng)絡(luò)層和傳輸層傳輸過程的分析，加深學(xué)生對網(wǎng)絡(luò)基本

原理和技術(shù)的理解，進而為今后逐步再涉及到難度較大的設(shè)計型和研究型實驗打

下扎實的基礎(chǔ)?？傊?，通過上述實驗環(huán)節(jié)，使學(xué)生加深了解和更好地掌握《計算

機網(wǎng)絡(luò)》課程教學(xué)大綱要求的內(nèi)容。

在《計算機網(wǎng)絡(luò)》的課程實驗過程中，要求學(xué)生做到：

(1)預(yù)習(xí)實驗指導(dǎo)書有關(guān)部分，認真做好實驗內(nèi)容的準備，就實驗可能出現(xiàn)

的情況提前作出思考和分析。

(2)仔細觀察上機和上網(wǎng)操作時出現(xiàn)的各種現(xiàn)象，記錄主要情況，作出必要

說明和分析。

(3)認真書寫實驗報告。實驗報告包括實驗?zāi)康暮鸵?，實驗情況及其分析。

對需編程的實驗，寫出程序設(shè)計說明，給出源程序框圖和清單。

(4)遵守機房紀律，服從輔導(dǎo)教師指揮，愛護實驗設(shè)備。

(5)實驗課程不遲到。如有事不能出席，所缺實驗希望課后能自覺找時間補

上。

實驗的驗收將分為兩個部分。第一部分是上機操作，包括檢查程序運行和即

時提問。第二部分是提交書面的實驗報告。此外，針對以前教學(xué)中出現(xiàn)的問題，

網(wǎng)絡(luò)實驗將采用階段檢查方式，每個實驗都將應(yīng)當(dāng)在規(guī)定的時間內(nèi)完成并檢查通

過，過期視為未完成該實驗，不計成績。以避免期末集中檢查方式產(chǎn)生的諸多不

良問題，希望同學(xué)們抓緊時間，合理安排，認真完成。

實驗準備及簡要上機指導(dǎo)

網(wǎng)絡(luò)課實驗上機地點安排在計算機學(xué)院網(wǎng)絡(luò)實驗室，環(huán)境為40臺聯(lián)想計算機

和軟件為WINDOWS2000、LINUX9所構(gòu)成的網(wǎng)絡(luò)環(huán)境。

作為基礎(chǔ)，同學(xué)應(yīng)當(dāng)了解WINDOWS2000系統(tǒng)上的基本操作，并學(xué)習(xí)掌握其他有

關(guān)知識，本部分將提供三個方面的基礎(chǔ)知識以方便同學(xué)使用系統(tǒng)進行實驗：上機

基本操作，介紹開機，關(guān)機，登錄，修改密碼等操作；網(wǎng)絡(luò)基本操作，telnet,

ftp；工程文件的基礎(chǔ)知識等。更詳細的內(nèi)容及深入知識同學(xué)可根據(jù)個人需要及興

趣查閱有關(guān)技術(shù)資料。

1上機基本操作

1.1開機與關(guān)機

由于實驗環(huán)境提供給每位同學(xué)的是一臺完整主機，但同學(xué)們的用戶帳號和密碼管

理在服務(wù)器上，而系統(tǒng)啟動是在本機硬盤上，編譯程序時也使用本機資源，由于

操作系統(tǒng)時NDOWS2000的文件系統(tǒng)管理組織方式，對于文件系統(tǒng)的完整性有很高

的要求，非正常關(guān)機會造成文件系統(tǒng)不完整，至使系統(tǒng)下次啟動故障，嚴重時需

要重新安裝系統(tǒng)！因此要求同學(xué)嚴格按照操作規(guī)程進行。如遇特殊情況，可以請

輔導(dǎo)教師或系統(tǒng)管理員協(xié)助解決。

開機與關(guān)機：

開機：打開主機的開關(guān)

關(guān)機：退出應(yīng)用程序，利用WINDOWS的軟關(guān)機關(guān)閉計算機。

網(wǎng)絡(luò)基本操作

telnet和ftp是最簡單也是非常有用的操作，學(xué)會使用telnet的基本操作命令,

能夠從一臺計算機登錄到另一臺計算機，并進行相應(yīng)的操作；學(xué)會使用ftp的基

本命令，進行兩臺計算機之間文件相互傳送。

telnet

telnet的基本步驟如下：

(1)利用所分配的帳號登錄系統(tǒng)

(2)使用telnet和命令登錄到其它主機。

你可以通過下述操作登錄到net34服務(wù)器上

telnetnet34（telnet后為遠程主機名）

（以下是系統(tǒng)顯示，這里只是作一說

Trying...

明，

Connectedtonet34.個別信息可能不同）

Escapecharacter

is

LINUXSystemRelease9.0

Login:（輸入在遠程機器上的帳號，請求登

錄）

Password:

exit退回本機

直接輸入telnet并回車進入telnet》狀態(tài)，再輸入？回車可看到該telnet支持

的全部命令集

ftp

使用ftp命令進行兩臺主機間的文件傳送步驟如下：如果你想與net34進行文件

傳送。

ftpnet34（直接輸入遠程主機名）

Connectedtonet34（以下是系統(tǒng)顯示）

220net34FTPseverLINUXSystemRelease9.0ready.

Name（輸入在遠程機器上的帳

Password:號，請求登錄）

ftp>（進入ftp狀態(tài)）

ftp>quit退出ftp程序在ftp>狀態(tài)下輸入？回車可看到該ftp支持的全部命令

集

5注意事項

帳號和密碼是用戶在系統(tǒng)中的標識和使用憑證，關(guān)系到用戶及系統(tǒng)的安全,

要求同學(xué)維護好自己的帳號和密碼。由于網(wǎng)絡(luò)課提供的是一個實驗環(huán)境，系統(tǒng)對

于同學(xué)的使用限制較為寬松，希望同學(xué)們不要進行危害系統(tǒng)安全和性能的活動。

如果在學(xué)習(xí)和實驗中確有特殊要求，請及時與系統(tǒng)管理員或輔導(dǎo)教師聯(lián)系，實驗

室將盡力為同學(xué)提供條件和方便。

實驗一Windows網(wǎng)絡(luò)配置和TCP/IP協(xié)議配置及診斷

1實驗?zāi)康?/p>

學(xué)習(xí)在Windows系統(tǒng)中進行網(wǎng)絡(luò)配置、用pingipconfig/winipcfg命令工具

來進行網(wǎng)絡(luò)測試、使用tracert路由跟蹤命令、使用netstat、arp、nslookup命

令查看網(wǎng)絡(luò)狀態(tài)。

本實驗在于使學(xué)生更好地理解計算機網(wǎng)絡(luò)設(shè)置的基本操作，掌握計算機網(wǎng)絡(luò)

配置的基本監(jiān)測技術(shù)。

2實驗內(nèi)容

(-)硬件安裝

右擊單擊選項，彈出E童射出i對話框,選中硬件標簽，單擊

按鈕，彈出*?我LU」窗口，查看是否已正確安裝了網(wǎng)卡，如圖2.1所示。若

沒有正確安裝，請重新安裝。

圖1-1

(二)安裝TCP/IP協(xié)議棧

安裝好網(wǎng)卡，請檢查系統(tǒng)是否已自動安裝了TCP/IP協(xié)議棧，步驟如下:

立I

1、打開“控制面板”，雙擊理雷號圖標，再雙擊，地比我圖標，打開本tt讀接狀態(tài)對I話

框，單擊工即"按鈕，彈出.Mfciis本性對話框，檢查是否安裝了TCP/IP協(xié)議，如

圖1-2所示。

圖1-2

2、若還未安裝TCP/IP協(xié)議，則可單擊」上二—1按鈕，在彈出的謂打網(wǎng)婚用時木星I對

話框中選中T1選項,如圖1-3所示。

圖1-3

3、單擊國口按鈕，選擇TCP/IP協(xié)議，單擊—贓—I按鈕進行安裝。

（三）網(wǎng)絡(luò)設(shè)置（輸入的參數(shù)網(wǎng)絡(luò)設(shè)置）

1、打開“控制面板”，雙擊兩潸號圖標，再雙擊*相圖標，打開對話框,

單擊_酗2T按鈕，彈出本電理鬟KS對話框,選中Ixtemet帆OCT/H)選項,單擊

黑惶QJ1按鈕，彈出Internet身說(TCP/IP)一收對話框,如圖1-4所示。

圖1-4

2、選中G使用下面的ir地址電單選框，輸入網(wǎng)絡(luò)中心分配的IP地址和子網(wǎng)掩碼；選

中6所下面的眥服務(wù)圈地址1：單選框，輸入DNS的IP地址。如圖1-5所示。

圖1-5

3、單擊一叫⑦」按鈕，彈出1加1ICP/IP跖1對話框，選中ME標簽，在此時的唯后錨中

文本框中輸入：,如圖1-6所示。

圖1-6

4、單擊匚衩~1按鈕,結(jié)束網(wǎng)絡(luò)設(shè)置。

（四）TCP/IP的診斷

1、使用Ping工具測試本機TCP/IP協(xié)議的工作情況，記錄下相關(guān)信息。

2、使用IPconfig工具測試本機TCP/IP網(wǎng)絡(luò)配置，記錄下相關(guān)信息（適用于

WindowsXP操作系統(tǒng)）。

3、使用Tracert工具測試本機到www.sohu.com所經(jīng)過的路由數(shù)，記錄下相

關(guān)信息。

4、使用Netstat工具，記錄下相關(guān)信息。

5、使用Arp工具，記錄下相關(guān)信息。

6、使用Nslookup工具，記錄下相關(guān)信息。

參考：常用主機網(wǎng)絡(luò)命令

注意：Ping、Tracert和netstat命令只有在安裝了TCP/IP協(xié)議之后才能使用

1.網(wǎng)絡(luò)連通測試命令Ping

Ping命令的格式：

Ping[-t][-a][-ncount][-1size][-f][-iTTL][-vTOS][-rcount]

[-scount][[-jhost-list]）[-khost-list]][-wtimeout]destination-list

destination-list是目的計算機的地址；

T：不斷向指定的計算機發(fā)送報文；（按Ctrl+Break可以查看統(tǒng)計信息或繼續(xù)

運行，直到用戶按Ctrl+C鍵中斷）

-a：將IP地址解析為計算機名；

-ncount：發(fā)送由count指定數(shù)量的回應(yīng)報文；

-1size：發(fā)送由size指定數(shù)據(jù)大小的回應(yīng)報文。

練習(xí)1Ping263的主頁地址。

在MS-DOS方式下輸入C:\>pingwww.263.net。

Ping命令的兒點說明：

用來對TCP/IP網(wǎng)絡(luò)進行診斷。

(1)向目的計算機發(fā)送一個報文，讓它將這個報文返送回來，如果返回的報文和

發(fā)送的報文一-致，那就是說你的Ping命令成功了。如果在指定時間內(nèi)沒有收到應(yīng)

答報文，則Ping就認為該計算機不可達,然后顯示"Requesttimeout”信息。

(2)通過對Ping的數(shù)據(jù)進行分析，就能判斷出計算機是否開著，網(wǎng)絡(luò)是否存在

配置、物理故障，或者這個報文從發(fā)送到返回需要多少時間。

(3)使用Ping實用程序測試計算機名和IP地址，如果能夠成功校驗IP地址卻

不能成功校驗計算機名，則說明名稱解析存在問題。

(4)報文返回時間越短，Requesttimeout出現(xiàn)的次數(shù)越少，則意味著與此計算

機的連接穩(wěn)定和速度快。

2.路由分析診斷程序Tracert

Tracert命令可以用來跟蹤一個報文從一臺計算機到另一臺計算機所走的路

徑。

練習(xí)：使用Tracert命令想知道你在上網(wǎng)時如何從你的計算機走到263主頁的

方法：在MS-DOS方式下，輸入命令Tracertwww.263.net并回車。

C:\>tracert

Tracingrouteto[219.239.95.131]

overamaximumof30hops:

1<10ms<10ms<10ms

2<10ms<10ms<10ms202.195.240.254

3<10ms<10ms<10ms210.29.33.9

15190ms170ms180ms211.100.24.4

16100ms111ms120ms211.100.31.131

Tracecomplete.

Tracert命令的兒點說明：

(1)“10ms”是向經(jīng)過的第一個計算機(202.195.243.1)發(fā)送報文的往返

時間，單位為毫秒。

(2)由于每個報文每次往返時間不一樣，Tracert將顯示三次往返時間

(3)在時間信息之后，是計算機的名稱信息，是便于人們閱讀的域名格式，

也有IP地址格式。它可以讓你知道，你的計算機與目的計算機在網(wǎng)絡(luò)上

距離有多遠，要經(jīng)過幾步才能到達。

3.Ipconfig

作用：(1)顯示網(wǎng)絡(luò)適配器的物理地址、主機的IP地址、子網(wǎng)掩碼以及

默認網(wǎng)關(guān)等；

(2)查看主機的相關(guān)信息如：主機名、DNS服務(wù)器、節(jié)點類型等。

其中網(wǎng)絡(luò)適配器的物理地址在檢測網(wǎng)絡(luò)錯誤時非常有用。

練習(xí)1：在DOS方式下直接鍵入ipconfig/all

獲得IP配置的所有屬性。

練習(xí)2：在命令提示符下鍵入ipconfig/?

獲得ipconfig的使用幫助

4.Netstat

作用：顯示協(xié)議統(tǒng)計和當(dāng)前的TCP/IP網(wǎng)絡(luò)連接。

練習(xí)1：怎樣知道自己的計算機是否被開了“后門”？

netstat-a

練習(xí)2：怎樣知道連接到我的計算機的IP地址？

netstat-n

參數(shù)-n告訴netstat不解析對方計算機的NetBios名.

作用：列舉出來當(dāng)前和你連接的所有計算機。

練習(xí)3:列出詳細網(wǎng)絡(luò)資料以供研究。

netstat-s-e

默認情況下，顯示TCP、UDP、ICMP和IP的統(tǒng)計。比如你接受

了多少數(shù)據(jù)包，多少字節(jié)，有多少TCP端口打開，有多少UDP端口打開。

netstat命令的兒點說明：

(1)網(wǎng)絡(luò)檢測工具。顯示出你的計算機當(dāng)前所開放的所有端口，其中包括

TCP端口和UDP端口。你經(jīng)常的使用它，以此來查看計算機的系統(tǒng)服務(wù)

是否正常，是否被“黑客”留下后門，木馬等。

是一種實時入侵檢測工具。參數(shù)-a會顯示出當(dāng)前計算機有什么人的IP正連接

著你的服務(wù)器。

3實驗性質(zhì)

驗證性實驗

4實驗步驟和注意事項

實驗按下述步驟進行：

1.熟悉WINDOWSNT環(huán)境;

2.設(shè)置網(wǎng)絡(luò)配置；

3.測試配置的網(wǎng)絡(luò)。

實驗二IP數(shù)據(jù)報和TCP報文傳輸分析

1實驗?zāi)康?/p>

掌握如何利用協(xié)議分析工具分析IP數(shù)據(jù)報報文格式，體會數(shù)據(jù)報發(fā)送、轉(zhuǎn)發(fā)

的過程。同時通過分析截獲TCP報文首部信息，理解首部中的序號、確認號等字段

是TCP可靠連接的基礎(chǔ)。通過分析TCP連接的三次握手建立和釋放過程，理解TCP連

接建立和釋放機制。

2實驗內(nèi)容

1、測試例子：將1號機計算機中的一個文件通過FTP下載到208號機中。

2、IRIS的設(shè)置。

由于IRIS具有網(wǎng)絡(luò)監(jiān)聽的功能，如果網(wǎng)絡(luò)環(huán)境中還有其它的機器將抓很多別

的數(shù)據(jù)包，這樣為學(xué)習(xí)帶來諸多不便，為了清楚地看清楚上述例子的傳輸過程首

先將IRIS設(shè)置為只抓208號機和1號機之間的數(shù)據(jù)包。設(shè)置過程如下：

1）用熱鍵CTRL+B彈出如圖所示的地址表，在表中填寫機器的IP地址，為了

對抓的包看得更清楚不要添主機的名字（name）,設(shè)置好后關(guān)閉此窗口。

圖2-1

2）用熱鍵CTRL+E彈出如圖所示過濾設(shè)置，選擇左欄“IPaddress”，右欄

按下圖將addressbook中的地址拽到下面，設(shè)置好后確定，這樣就這抓這兩臺計

算機之間的包。

ditfillervetting%

?HardwarofilterIPaddress

?Leywr2.3

RThishost(1921681132081

Word?田依IBroadcast/Mullicast

*MACaddrefe；El廊IAddressBookIttclude

*IIPaddress婆(192168.113.2080rExclude

*Ports物192168113.IO

?Advanced

NoAddcejis1Dlt.Address2X

11?-111.0，192.168.113.1X

2X

3X

4X

5X

6X

|確定1取消|J8Z用3|明助]

圖2-2

3、抓包

按下IRIS工具欄中開始按鈕。在瀏覽器中輸入：FTP:〃192.168.113.1,找

到要下載的文件，鼠標右鍵該文件，在彈出的菜單中選擇“復(fù)制到文件夾”開始

下載，下載完后在IRIS工具欄中按按鈕停止抓包。下面我們將詳細分析這個過

程。

說明：為了能抓到ARP協(xié)議的包，在WINDOWS2000中運行arp-d清除arp

緩存。

用iris捕獲的包來分析一下TCP/IP的工作過程，為了更清晰的解釋數(shù)據(jù)傳

送的過程，我們按傳輸?shù)牟煌A段抓了四組數(shù)據(jù)，分別是1查找服務(wù)器、2建立連

接、3數(shù)據(jù)傳輸和4終止連接（實驗二完成第一組數(shù)據(jù)的分析）。每組數(shù)據(jù)，按下

面三步進行解釋：

顯示數(shù)據(jù)包

解釋該數(shù)據(jù)包

按層分析該包的頭信息

4、查找服務(wù)器抓包分析

1）下圖顯示的是1、2行的數(shù)據(jù)

VoTIA?(hnMACdmFFwScclMdrIFwcM。IF4?nhr?QStQK

:.???&m-Rtqucr「「F”-mW,---一

216859377OQ9O27P6545300-50JC.22:C7B!城也?熱ply192168113.1192.169113.208———一

圖2-3

2)解釋數(shù)據(jù)包

這兩行數(shù)據(jù)就是查找服務(wù)器及服務(wù)器應(yīng)答的過程。

在第1行中，源端主機的MAC地址是00:50:FC:22:C7:BEo目的端主機的MAC

地址是FF:FF:FF:FF:FF:FF,這個地址是十六進制表示的，F(xiàn)換算為二進制就是

1111,全1的地址就是廣播地址。所謂廣播就是向本網(wǎng)上的每臺網(wǎng)絡(luò)設(shè)備發(fā)送信

息，電纜上的每個以太網(wǎng)接口都要接收這個數(shù)據(jù)幀并對它進行處理，這一行反映

的是步驟5)的內(nèi)容，ARP發(fā)送一份稱作ARP請求的以太網(wǎng)數(shù)據(jù)幀給以太網(wǎng)上的每

個主機。網(wǎng)內(nèi)的每個網(wǎng)卡都接到這樣的信息“誰是192.168.113.1的IP地址的擁

有者，請將你的硬件地址告訴我”。

第2行反映的是步驟6)的內(nèi)容。在同一個以太網(wǎng)中的每臺機器都會"接收”

到這個報文，但正常狀態(tài)下除了1號機外其他主機應(yīng)該會忽略這個報文，而1號

的主機的ARP層收到這份廣播報文后，識別出這是發(fā)送端在尋問它的IP地址，于

是發(fā)送一個ARP應(yīng)答。告知自己的IP地址和MAC地址。第2行可以清楚的看出1

號回答的信息—自己的MAC地址00:90:27:F6:54:53o

這兩行反映的是數(shù)據(jù)鏈路層之間一問一答的通信過程。

3)頭信息分析

下圖左欄所示，第1數(shù)據(jù)包包含了兩個頭信息：以太網(wǎng)(Ethernet)和ARP。

[Capture1

-?X幅，Trti械mm毗觸:drt班R??hotcd岫坳P(guān)”

-」函加砧■...................RZILMIIU08112.1（411）,1，一J

Jhfidcr（t枇metII）2I6：S:...處旬工吊伙案8:如林：1口優(yōu)W卿占附192168.1112慢他.他秋

g懺仟印肝勝Ibo3d:^l3M...00處附玄《興00蜀2,傳時3IP沖》即I9LMIIU0版MIHJ

H5cir（e.0O：5O：Fu^C7<416您…00旬劉剛Mi5300:50;K:&C7;fiEIPTO>FTP192168.H3,1置Ml丘期

■1ype:08*06AP；

5M...0D5）代2口需690力擇曲S3IP辦,mW附113輜吃圈」1"

-JARPheader

f.1帥…的她27:他弘￡00坳電出:。收P存）m陽闡1閨慢」自出燃

J獨犬郴?1也協(xié)國［［眥］）

716:8:...0050Kl22￡7tt的如刀用X；53IPQ）HP191168413,2061^.168113.1

■即衲.姻偶“岫叫

a心勿》伴陰幻①：釉KZSWIP◎，即⑶電mi幅圈in*

41砂MMrtWPiddr惚“卜網(wǎng)

9僦:“，8:50三龍。優(yōu)IB曲磬比察:53P◎》即1921684112（6132166.1B.I

*Lghdphtol&twM雁

??機cIMHBH>IIMht

?OpeHboK他的腳P?蜂M21___________________________________________________11

g%的!配曲網(wǎng)時即；的□比

R）如口otool小輜”就）他11）旗口0日”

1

N1?惻Iwilwr甜?①瞅00;也（01X1GOODrtttntrnrrcon:::n?Mui........>,..…

MWMpotocd如毋?陽I&II3J00100￡OGLeM匚、」CJ?：■*:：■srei:H：1H............小…小

?Objtoh/FepaddngD02D?比；呢Mt?u1''1Al-'：.............q,

圖2-4

下表2-1是以太網(wǎng)的頭信息，括號內(nèi)的數(shù)均為該字段所占字節(jié)數(shù)，以太網(wǎng)報

頭中的前兩個字段是以太網(wǎng)的源地址和目的地址。目的地址為全1的特殊地址是

廣播地址。電纜上的所有以太網(wǎng)接口都要接收廣播的數(shù)據(jù)幀。兩個字節(jié)長的以太

網(wǎng)幀類型表示后面數(shù)據(jù)的類型。對于ARP請求或應(yīng)答來說，該字段的值為0806。

第2行中可以看到，盡管ARP請求是廣播的，但是ARP應(yīng)答的目的地址卻是1

號機的(0050FC22C7BE)。ARP應(yīng)答是直接送到請求端主機的。

表2T以太網(wǎng)頭信息

行她同目硼H6)如煙謝1世(6)麒(2)

1FFFFFFFFFFFF8soFC2^C7BE第06

28SQFCJ2G7BE89QXFGS4S30806

下表2-2是ARP協(xié)議的頭信息。硬件類型字段表示硬件地址的類型。它的值

為1即表示以太網(wǎng)地址。協(xié)議類型字段表示要映射的協(xié)議地址類型。它的值為0800

即表示IP地址。它的值與包含IP數(shù)據(jù)報的以太網(wǎng)數(shù)據(jù)幀中的類型字段的值相同。

接下來的兩個1字節(jié)的字段，硬件地址長度和協(xié)議地址長度分別指出硬件地址和

協(xié)議地址的長度，以字節(jié)為單位。對于以太網(wǎng)上IP地址的ARP請求或應(yīng)答來說，

它們的值分別為6和4。Op即操作(Operation),1是ARP請求、2是ARP應(yīng)答、

3是RARP請求和4為RARP應(yīng)答，第二行中該字段值為2表示應(yīng)答。接下來的四個

字段是發(fā)送端的硬件地址、發(fā)送端的IP地址、目的端的硬件地址和目的端IP地

址。注意，這里有一些重復(fù)信息：在以太網(wǎng)的數(shù)據(jù)幀報頭中和ARP請求數(shù)據(jù)幀中

都有發(fā)送端的硬件地址。對于一個ARP請求來說，除目的端硬件地址外的所有其

他的字段都有填充值。

表2-2的第2行為應(yīng)答，當(dāng)系統(tǒng)收到一份目的端為本機的ARP請求報文后，

它就把硬件地址填進去，然后用兩個目的端地址分別替換兩個發(fā)送端地址，并把

操作字段置為2,最后把它發(fā)送回去。

表2-2ARP協(xié)議頭信息

協(xié)議地址Op窗群歸同目的湫血

行

(2)(2)KKC1)(2)tt（6）(4)

1000106000688800SOFC22C7BE.COAS7'Q0000000000000C0A87>a*

28a0600OS0Q0200fid27F6S4S3C0A87<0'00SOFC22C7EEC0A87IDO

1、建立連接

1）下圖顯示的是3-5行的數(shù)據(jù)

檄蛇呦Ff?t他Put坳P(guān)M附RMM5EQSe*

j?5ofoac?小呼IVlltl.llWiuite.nnm21MW0&

，MO卿黯葡fIP像原閭IK.ItllUN4解IWIO愉）a

516:假用awo雌㈱pIC.W.II3JW峽懈4H4I0M21

圖2-5

2）解釋數(shù)據(jù)包

這三行數(shù)據(jù)是兩機建立連接的過程。

這三行的核心意思就是TCP協(xié)議的三次握手。TCP的數(shù)據(jù)包是靠IP協(xié)議來傳輸

的。但IP協(xié)議是只管把數(shù)據(jù)送到出去，但不能保證IP數(shù)據(jù)報能成功地到達目的地,

保證數(shù)據(jù)的可靠傳輸是靠TCP協(xié)議來完成的。當(dāng)接收端收到來自發(fā)送端的信息時，

接受端詳發(fā)送短發(fā)送一條應(yīng)答信息，意思是：“我已收到你的信息了?！钡谌M

數(shù)據(jù)將能看到這個過程。TCP是一個面向連接的協(xié)議。無論哪一方向另一方發(fā)送數(shù)

據(jù)之前，都必須先在雙方之間建立一條連接。建立連接的過程就是三次握手的過

程。

這個過程就像要我找到了張三向他借兒本書，第一步：我說：“你好，我是

擔(dān)子”，第二步：張三說：“你好，我是張三”，第三步：我說：“我找你借兒

本書?！边@樣通過問答就確認對方身份，建立了聯(lián)系。

下面來分析一下此例的三次握手過程。

1）請求端208號機發(fā)送一個初始序號（SEQ）987694419給1號機。

2）服務(wù)器1號機收到這個序號后，將此序號加1值為987694419作為應(yīng)答信號

(ACK),同時隨機產(chǎn)生一個初始序號(SEQ)1773195208,這兩個信號同時發(fā)回

到請求端208號機，意思為：“消息已收到，讓我們的數(shù)據(jù)流以1773195208這個數(shù)

開始?！?/p>

3)請求端208號機收到后將確認序號設(shè)置為服務(wù)器的初始序號(SEQ)

1773195208加1為1773195209作為應(yīng)答信號。

以上三步完成了三次握手，雙方建立了一?條通道，接下來就可以進行數(shù)據(jù)傳

輸了。

下面分析TCP頭信息就可以看出，在握手過程中TCP頭部的相關(guān)字段也發(fā)生了

變化。

3)頭信息分析

如圖2-5所示，第3數(shù)據(jù)包包含了三頭信息：以太網(wǎng)(Ethernet)和IP和TCP。

頭信息少了ARP多了IP、TCP,下面的過程也沒有ARP的參與，可以這樣理解,

在局域網(wǎng)內(nèi)，ARP負責(zé)的是在眾多聯(lián)網(wǎng)的計算機中找到需要找的計算機，找到工作

就完成了。

以太網(wǎng)的頭信息與第1、2行不同的是幀類型為0800,指明該幀類型為IP。

PedMtecodwEthunxnu)MAd加h?neProtocdIPKt

-鉗ucture1161859157700:50亢;》C7;BE千芹仟阡仟阡APPARP-Mk..W2.168.in.2O5?

」MMbeader(EthernetU)216正涉卯00例圻比酗530O:S0：Ft：^C7：KAfiPA?P?火時192468.113.1

>出8：陟中00：物￡&。能00刖力氣期的爐igm19ItU.n320e

丹如te:00;50fC22iC7:8E416:859:37700?：27?：54:53OaSOK;22:€7BtPicp->np

?Type.08*00DcPIP5OOWfCZZEEmo：27施刈時P【牛)FTR192466.113.208

6⑻時先切00i他27光:判5300;50：FC22:CBEIPTO>HP19Z468.I111

?VersonT

716^:59:40700150：FCI22^7:K0O:90:Z7f6：54:53IPTCP->HPt9Mcd.ll3.2Q6

?Hsddet?5(20bytes)

l$：8;5M700仞;27桿：；8FTP

?0Tyroofsetvw00Wi0FC^2:GKIP1^4(8.113.1

⑹8&?700i0:FC：a：C7；eE00的力求6：知53IPKMHP191168.I13.20B

?Tot^llen^h=48§

nnec.dmMM.crcrorm?e、rm?fKISO“，?/

?IdectRobor*-80!II

?0時

?H&gmentoffset?0|DaB；

?TinetoMe?126hc(?(second)|oo6(Tm跖;*^M為訓(xùn)加如舞物烈嶙麗

??6ICP[rt4MpatControlProtocol]pOlQ0030032140008006,381CUAfi1100d)AB.0.10.Cq

XHeedw-OJI93W(Coned)pO2D7101042800153ADF0553000000007002q...T..S...

45omfe[192,156.|I3.2M)boao40009A6D0000020405M010104020...........

?印中mj=None

<JTCPteadcf

圖2-6

IP協(xié)議頭信息

IP是TCP/IP協(xié)議族中最為核心的協(xié)議。從圖2-6可以看出所有的TCP、UDP、

ICMP及IGMP數(shù)據(jù)都以IP數(shù)據(jù)報格式傳輸?shù)?，有個形象的比喻IP協(xié)議就像運貨的

卡車，將一車車的貨物運向目的地。主要的貨物就是TCP或UDP分配給它的。需

要特別指出的是IP提供不可靠、無連接的數(shù)據(jù)報傳送，也就是說IP僅提供最好

的傳輸服務(wù)但不保證IP數(shù)據(jù)報能成功地到達目的地?？吹竭@你會不會擔(dān)心你的

E_MAIL會不會送到朋友那，其實不用擔(dān)心，上文提過保證數(shù)據(jù)正確到達目的地是

TCP的工作，稍后我們將詳細解釋。

如表2-3是IP協(xié)議的頭信息。

表2-3IP數(shù)據(jù)報格式及首部中的各字段

32位

4位版本4位首部長度8位服務(wù)類型aos）16位總長度序節(jié)數(shù)）

16位標識3位標志13位片偏移20

8位生存時間（TTL）8位協(xié)議16位首部檢驗和字

32位源IP地址節(jié)

32位目的中地址

選項0口果有）

數(shù)據(jù)

圖2-6中所宣布分4500—7101為IP的頭信息。這些數(shù)是十六進制表示的。一

個數(shù)占4位，

例如:4的二進制是0100

4位版本：表示目前的協(xié)議版本號，數(shù)值是4表示版本為4,因此IP有時也稱作

IPv4；

4位首部長度：頭部的是長度，它的單位是32位（4個字節(jié)），數(shù)值為5表示IP頭

部長度為20字節(jié)。

8位服務(wù)類型（T0S）：00,這個8位字段由3位的優(yōu)先權(quán)子字段，現(xiàn)在已經(jīng)被忽略,

4位的TOS子字段以及1位的未用字段（現(xiàn)在為0）構(gòu)成。4位的TOS子字段包含:

最小延時、最大吞吐量、最高可靠性以及最小費用構(gòu)成，這四個1位最多只能有

一個為1,本例中都為0,表示是一般服務(wù)。

16位總長度（字節(jié)數(shù)）：總長度字段是指整個IP數(shù)據(jù)報的長度，以字節(jié)為單位。數(shù)

值為0030,換算為十進制為48字節(jié)，48字節(jié)=20字節(jié)的IP頭+28字節(jié)的TCP

頭，這個數(shù)據(jù)報只是傳送的控制信息，還沒有傳送真正的數(shù)據(jù)，所以目前看到的

總長度就是報頭的長度。

16位標識：標識字段唯一地標識主機發(fā)送的每一份數(shù)據(jù)報。通常每發(fā)送一份報文

它的值就會加1,第3行為數(shù)值為3021,第5行為3022,第7行為3023。分

片時涉及到標志字段和片偏移字段，本文不討論這兩個字段。

8位生存時間（TTL）：TTL（time-to-live）生存時間字段設(shè)置了數(shù)據(jù)報可以經(jīng)過

的最多路由器數(shù)。它指定了數(shù)據(jù)報的生存時間。ttl的初始值由源主機設(shè)置，一旦

經(jīng)過一個處理它的路由器，它的值就減去lo可根據(jù)TTL值判斷服務(wù)器是什么系統(tǒng)

和經(jīng)過的路由器。本例為80,換算成十進制為128,WINDOWS操作系統(tǒng)TTL初始值

一般為128,UNIX操作系統(tǒng)初始值為255,本例表示兩個機器在同一網(wǎng)段且操作系

統(tǒng)為WINDOWSo

8位協(xié)議：表示協(xié)議類型，6表示傳輸層是TCP協(xié)議。

16位首部檢驗和：當(dāng)收到一份IP數(shù)據(jù)報后，同樣對首部中每個16位進行二進

制反碼的求和。由于接收方在計算過程中包含了發(fā)送方存在首部中的檢驗和，因

此，如果首部在傳輸過程中沒有發(fā)生任何差錯，那么接收方計算的結(jié)果應(yīng)該為全lo

如果結(jié)果不是全1,即檢驗和錯誤，那么IP就丟棄收到的數(shù)據(jù)報。但是不生成差

錯報文，由上層去發(fā)現(xiàn)丟失的數(shù)據(jù)報并進行重傳。

32位源IP地址和32位目的IP地址：實際這是IP協(xié)議中核心的部分，但介紹這

方面的文章非常多，本文搭建的又是一個最簡單的網(wǎng)絡(luò)結(jié)構(gòu)，不涉及路由，本文

對此只做簡單介紹，相關(guān)知識請參閱其它文章。32位的IP地址由一個網(wǎng)絡(luò)ID和

一個主機ID組成。本例源IP地址為COA871DO,轉(zhuǎn)換為十進制為:192.168.113.208;

目的IP地址為COA87101,轉(zhuǎn)換為十進制為：192.168.113.10網(wǎng)絡(luò)地址為

192.168.113,主機地址分別為1和208,它們的網(wǎng)絡(luò)地址是相同的所以在一個網(wǎng)

段內(nèi)，這樣數(shù)據(jù)在傳送過程中可直接到達。

如表3-1是TCP協(xié)議的頭信息。

表2-4TCP包首部

32立

16位源端口號16位目的端口號

32位序號

32位確認序號

UAPRSF

4位首部

保留（6位）RCSSYI16位窗口大小

長度

GKXTNI

16位檢驗和16位緊急指針

選項

數(shù)據(jù)

第三行TCP的頭信息是：042800153ADF055300000000700240009A

8D0000020405B401010402

端口號：常說FTP占21端口、HTTP占80端口、TELNET占23端口等，這里指的

端口就是TCP或UDP的端口，端口就像通道兩端的門一樣，當(dāng)兩機進行通訊時門

必須是打開的。源端口和目的端口各占16位，2的16次方等于65536,這就是每

臺電腦與其它電腦聯(lián)系所能開的“門”。一般作為服務(wù)一方每項服務(wù)的端口號是

固定的。本例目的端口號為0015,換算成十進制為21,這正是FTP的默認端口，

需要指出的是這是FTP的控制端口，數(shù)據(jù)傳送時用另一端口，第三組的分析能看

到這一點?？蛻舳伺c服務(wù)器聯(lián)系時隨機開一個大于1024的端口，本例為0428,

換算成十進制為1064。你的電腦中了木馬也會開一個服務(wù)端口。觀察端口非常重

要，不但能看出本機提供的正常服務(wù)，還能看出不正常的連接。Windows察看端口

的命令時netstato

32位序號：也稱為順序號（SequenceNumber）,簡寫為SEQ,從上面三次握手的

分析可以看出，當(dāng)一方要與另一方聯(lián)系時就發(fā)送一個初始序號給對方，意思是：

“讓我們建立聯(lián)系吧？"，服務(wù)方收到后要發(fā)個獨立的序號給發(fā)送方，意思是“消

息收到，數(shù)據(jù)流將以這個數(shù)開始?！庇纱丝煽闯?，TCP連接完全是雙向的，即雙方

的數(shù)據(jù)流可同時傳輸。在傳輸過程中雙方數(shù)據(jù)是獨立的，因此每個TCP連接必須

有兩個順序號分別對應(yīng)不同方向的數(shù)據(jù)流。

32位確認序號：也稱為應(yīng)答號（AcknowledgmentNumber）,簡寫為ACK。在握手

階段，確認序號將發(fā)送方的序號加1作為回答，在數(shù)據(jù)傳輸階段，確認序號將發(fā)

送方的序號加發(fā)送的數(shù)據(jù)大小作為回答，表示確實收到這些數(shù)據(jù)。在第三組的分

析中將看到這一過程。

4位首部長度：。這個字段占4位，它的單位時32位（4個字節(jié)）。本例值為7,

TCP的頭長度為28字節(jié)，等于正常的長度2。字節(jié)加上可選項8個字節(jié)。，TCP

的頭長度最長可為60字節(jié)（二進制1111換算為十進制為15,15*4字節(jié)=60字節(jié)）。

6個標志位。

URG緊急指針，告訴接收TCP模塊緊要指針域指著緊要數(shù)據(jù)

ACK置1時表示確認號（為合法，為0的時候表示數(shù)據(jù)段不包含確認信息，確認

號被忽略。

PSH置1時請求的數(shù)據(jù)段在接收方得到后就可直接送到應(yīng)用程序，而不必等到緩

沖區(qū)滿時才傳送。

RST置1時重建連接。如果接收到RST位時候，通常發(fā)生了某些錯誤。

SYN置1時用來發(fā)起一個連接。

FIN置1時表示發(fā)端完成發(fā)送任務(wù)。用來釋放連接，表明發(fā)送方已經(jīng)沒有數(shù)據(jù)發(fā)

送了。

下面的3個圖分別為3-5行TCP協(xié)議的頭信息，這三行是三次握手的過程，如圖

2-7請求端208號機發(fā)送一個初始序號(SEQ)987694419給1號機。標志位SYN

置為lo

如圖2-8服務(wù)器1號機收到這個序號后，將應(yīng)答信號(ACK)和隨機產(chǎn)生一個初始

序號(SEQ)1773195208發(fā)回到請求端208號機，因為有應(yīng)答信號和初始序號，所

以標志位ACK和SYN都置為1。

如圖2-9請求端208號機收到1號機的信號后，發(fā)回信息給1號機。標志位ACK

置為1,其它標志為都為0。注意此時SYN值為0,SYN是標示發(fā)起連接的，上兩

部連接已經(jīng)完成。

16位窗口大?。篢CP的流量控制由連接的每一端通過聲明的窗口大小來提供。窗

口大小為字節(jié)數(shù)，起始于確認序號字段指明的值，這個值是接收端正期望接收的

字節(jié)。窗口大小是一個16字節(jié)字段，因而窗口大小最大為65535字節(jié)。

16位檢驗和：檢驗和覆蓋了整個的TCP報文段：TCP首部和TCP數(shù)據(jù)。這是一個

強制性的字段，一定是由發(fā)端計算和存儲，并由收端進行驗證。

16位緊急指針：只有當(dāng)URG標志置1時緊急指針才有效。緊急指針是一個正的

偏移量，和序號字段中的值相加表示緊急數(shù)據(jù)最后一個字節(jié)的序號。

選項：圖2-7和圖2-8有8個字節(jié)選項，圖2-9沒有選項。最常見的可選字段是

最長報文大小，又稱為MSS(MaximumSegmentSize)?每個連接方通常都在握手

的第一步中指明這個選項。它指明本端所能接收的最大長度的報文段。圖2-7可

以看出208號機可以接受的最大字節(jié)數(shù)為1460字節(jié)，1460也是以太網(wǎng)默認的大小，

在第三組的數(shù)據(jù)分析中可以看到數(shù)據(jù)傳送正是以1460字節(jié)傳送的。

」PtcketstmcturtLjF*ck*titructur*

用」?機(EthernetII)史口■/header(EthernetII)

Q：nIPv4baaJar七_JIPv4header口Packetstructure

BjTCPkead?r三LJTCFheader+leader(EthernetR)

?Sowport=10M?Score*port=21FTP￡□IPT4header

?D?sbnaUoa