網(wǎng)絡協(xié)議分析實驗總結(jié)

1、實驗一 IP協(xié)議練習一 利用仿真編輯器發(fā)送IP數(shù)據(jù)包描述:收發(fā)IPv4報文,不填上層協(xié)議.問題: 查看捕獲到得報文長度是60，和你編輯的報文長度不同，為什么？最小幀長度為60，當不足60時，在源數(shù)據(jù)尾部添加0補足。 討論，為什么會捕獲到ICMP目的端口不可達差錯報文？差錯報文的類型為協(xié)議不可達，因為上層協(xié)議為0，未定義。 練習二 編輯發(fā)送IPV6數(shù)據(jù)包描述:收發(fā)IPv6報文.問題:比較IPV4頭，IPV6有了那些變化？IPV4的TTL字段在IPV6里對應那個字段？ 比較 IPv4 和 IPv6 的報頭，可以看到以下幾個特點： 字段的數(shù)量從 IPv4 中的 13（包括選項）個，降到了 IPv6

2、中的 8 個； 中間路由器必須處理的字段從 6 個降到了 4 個，這就可以更有效地轉(zhuǎn)發(fā)普通的 IPv6 數(shù)據(jù)包； 很少使用的字段，如支持拆分的字段，以及 IPv4 報頭中的選項，被移到了 IPv6 報頭的擴展報頭中； IPv6 報頭的長度是 IPv4 最小報頭長度（20 字節(jié)）的兩倍，達到 40 字節(jié)。然而，新的 IPv6 報頭中包含的源地址和目的地址的長度，是 IPv4 源地址和目的地址的 4 倍。 對應： 跳限制-這個8位字段代替了IPv4中的TTL字段。 練習三：特殊的IP地址 描述:直接廣播地址包含一個有效的網(wǎng)絡號和一個全“1”的主機號,只有本網(wǎng)絡內(nèi)的主機能夠收到廣播,受限廣播地址是全

3、為1的IP地址; 有限廣播的數(shù)據(jù)包里不包含自己的ip地址，而直接廣播地址里包含自身的ip地址練習四: IP包分段實驗問題:討論，數(shù)據(jù)量為多少時正好分兩片？1480*2=2960 練習五: netstat命令描述: C:netstat s ；查看本機已經(jīng)接收和發(fā)送的IP報文個數(shù)C:netstat s ；查看本機已經(jīng)接收和發(fā)送的IP報文個數(shù)C:netstat e ；觀察以太網(wǎng)統(tǒng)計信息，實驗二 2.1 ARP協(xié)議練習一 維護 ARP 緩存表描述: ：查看ARP緩存 : arp a 手動建立 ARP 表 :arp s IP (如1) MAC（如:00-E0-4D-3D-84-53）

4、 清空 ARP 緩存表：arp d練習二 仿真發(fā)送 ARP 請求報文描述: ARP協(xié)議叫物理解析協(xié)議, 是根據(jù)IP地址獲取物理地址的一個TCP/IP協(xié)議。主機發(fā)送信息時將包含目標IP地址的ARP請求廣播到網(wǎng)絡上的所有主機，并接收返回消息，以此確定目標的物理地址；收到返回消息后將該IP地址和物理地址存入本機ARP緩存中并保留一定時間2.2 ICMPv4協(xié)議練習一 利用仿真編輯器編輯 ICMP 回顯請求報文練習二 仿真發(fā)送 ICMP 時間戳請求報文描述: ICMP封裝在IP報文里面,一個ICMP報文32位,8位類型,八位代碼,16位校驗和2.3 ICMPv6只是把ICMP放在了IPv6數(shù)據(jù)包的載荷

5、中.實驗三 3.1 ARP練習一 發(fā)送 ARP 請求報文（不同網(wǎng)段內(nèi)）描述:在跨越路由器進行通信的時候,發(fā)起通訊的主機發(fā)現(xiàn)目的地址不在同一個網(wǎng)段,會先查詢路由器的地址,于是廣播出ARP請求,路由器的入口網(wǎng)卡發(fā)現(xiàn)有一個ARP請求的目的IP是自己的IP地址,于是回復自己的Mac,得到了Mac,發(fā)起通信的主機將通信內(nèi)容發(fā)送到路由器的入口網(wǎng)卡,并選路到出口網(wǎng)卡,此時出口網(wǎng)卡需要知道目標的Mac,于是廣播出ARP查詢,目標機回復自己的Mac,路由器的出口網(wǎng)卡成功的將信息發(fā)送到目標機器.練習二 ICMP 差錯報文描述:ICMP目的端口不可達/超時/的情況.注意為了模擬目的端口不可達,某主機ping一個不存

6、在的IP地址,為了模擬超時,向一個跨路由器的目標通信,但是TTL設置為1,路由器會丟棄TTL耗盡的包,因為根本就收不到,所以當然就沒有回復,就會超時試驗3.2 ARP欺騙描述: 1、ARP 高速緩存 ARP 緩存表是記錄 IP 地址和 MAC 地址的映射關(guān)系。ARP 表分為動態(tài)更新和靜態(tài)更新兩種，系統(tǒng)默認動態(tài),更新時間為 120 秒。ARP 表的建立是通過以下兩個途徑： 主動解析：如果一臺計算機想與另一臺不知道 MAC 地址的計算機通信，則該計算機主動發(fā) ARP 請求； 被動解析：如果一臺計算機接收到了一臺計算機的 ARP 請求，則首先在本地建立請求計算機的 IP 地址和 MAC 地址的對應表

7、； ARP 地址欺騙正是利用高速緩存，使高速緩存中存在錯誤的映射關(guān)系，誤導數(shù)據(jù)包發(fā)往錯誤的目的地。 2、ARP 地址欺騙的原理 一般情況下，當系統(tǒng)收到 ARP 請求或應答時，都要把源端的硬件地址和 IP 地址填入 ARP 高速緩存。正是根據(jù)這一性質(zhì)，為 ARP 欺騙提供了條件。 編輯一個 ARP 應答數(shù)據(jù)包，將 ARP 層的源 IP 地址為主機 A 的 IP 地址，將 ARP 層的源 MAC 地址填為主機B 的 MAC 地址，將 MAC 層的源地址填為主機 A 的 MAC 地址，發(fā)送這個數(shù)據(jù)包。當?shù)竭_目的主機時，由于 ARP特性：當系統(tǒng)收到 ARP 請求或應答時，都要把請求端的硬件地址和協(xié)議地

8、址填入 ARP 高速緩存。所以在向 ARP高速緩存中添加表項時，添加的是主機 A 的 IP 地址和主機 B 的 MAC 地址值。當要向主機 A 發(fā)送數(shù)據(jù)包時，要發(fā)送的數(shù)據(jù)包的目的 MAC 地址填入了由高速緩存中提取的地址(主機 B 的 MAC 地址)，這樣，要發(fā)送給主機 A的數(shù)據(jù)包被發(fā)送給了主機 B。實驗 3.3 ICMP Redirect練習一 利用 ICMP 重定向進行信息竊取描述: 主機可能會把某數(shù)據(jù)發(fā)送到一個錯誤的路由。在這種情況下，收到該數(shù)據(jù)的路由器會把數(shù)據(jù)轉(zhuǎn)發(fā)給正確的路由器，同時，它會向主機發(fā)送 ICMP 重定向報文，來改變主機的路由表。給主機來指出存在一個更好的路由。試驗時,主機

9、A給E發(fā)送報文,主機B作為路由器,主機C給A發(fā)送ICMP重定向報文,在網(wǎng)關(guān)地址中添加自己的IP地址,并按照上表填寫ICMP數(shù)據(jù)部分,此時主機A的路由表中出現(xiàn)了主機A到E的一條記錄,網(wǎng)關(guān)是C的IP地址;問題: 說明 ICMP 重定向的意義. 意義：ICMP 重定向使得客戶端管理工作大大減少，使得對于主機的路由功能要求大大降低。而且當路由線路非最優(yōu)化是線路的速度一定有所損失。而有了重定向之后可以很快的修改非最優(yōu)線路提高通信速度。實驗四 UDP練習一 利用仿真編輯器編輯 UDP 數(shù)據(jù)包并發(fā)送描述:UDP和TCP都是傳輸層的協(xié)議,他們被應用層使用,為了實現(xiàn)多路復用和多路分解,應用層使用了端口號,所以U

10、DP中需要填寫源端口和目的端口.問題: 將 UDP 的校驗和填“0”，在捕獲包中查看校驗和是否正確？ 正,UDP沒有糾錯能力,也沒有回執(zhí)機制,所以即使它能夠發(fā)現(xiàn)自身的錯誤,也沒有能力和必要去糾正錯誤練習二 UDP 單播通信描述:使用UDP工具進行通信, 確認UDP沒有確認報文;練習三 利用仿真編輯器編輯 UDP 數(shù)據(jù)包，利用工具接收描述:向目的主機的沒有開放的端口發(fā)送UDP,會產(chǎn)生目的端口不可達的ICMP信息.練習四 UDP 受限廣播通信描述:使用UDP通信工具,在受限廣播地址(全是1)上向發(fā)送UDP廣播,相連的設備無論是否在同一個網(wǎng)段之內(nèi),都能夠收到信息,該報文的目的MAC地址是FFFFFF

11、-FFFFFF.練習五 UDP 直接廣播通信描述:使用UDP工具,在直接廣播地址上(網(wǎng)絡號+255)上發(fā)送廣播,只有同一個網(wǎng)段的設備能夠接收到, 該報文的目的MAC地址是FFFFFF-FFFFFF.問題: 說明受限廣播和直接廣播的區(qū)別？ 直接廣播地址包括一個有效網(wǎng)絡號和一個全 1 的廣播號，主機可能還不知道他所在網(wǎng)絡的網(wǎng)絡掩碼，路由器可能對該種數(shù)據(jù)報進行轉(zhuǎn)發(fā)。 受限廣播地址是一個 32 位全為 1 的 IP 地址，在任何情況下這樣的數(shù)據(jù)包僅出現(xiàn)在本地網(wǎng)絡中，路由器不對該種數(shù)據(jù)報進行轉(zhuǎn)發(fā)。 練習六 利用仿真編輯器編輯 IPV6 的 UDP 數(shù)據(jù)包并發(fā)送描述:在UDP上,IPv4和IPv6沒有區(qū)別

12、練習七 運行 netstat 命令描述: netstat 命令是用于顯示網(wǎng)絡使用協(xié)議的統(tǒng)計； netstat s ；顯示每個協(xié)議的使用狀態(tài)， netstat a ；顯示主機正在使用的端口號實驗五 TCP練習一 觀察 TCP 協(xié)議的連接和釋放過程描述:問題: ：TCP 連接建立時，前兩個報文的 TCP 層首部有一個“maximum segment size”字段，它的值是多少？怎樣得出的？ 最大字段長度為 1460，該字段長度通常受該計算機連接的網(wǎng)絡的數(shù)據(jù)鏈路層的最大傳送單元限制。1460=1500-20(IP 首部)-20(TCP 首部) 練習二 利用仿真編輯器編輯并發(fā)送 TCP 數(shù)據(jù)包描述:

13、使用仿真編輯器手動實現(xiàn)TCP的三次握手連線和四次握手拆線過程.練習三 TCP 的重傳機制描述:接收端開啟過濾軟件,阻斷TCP通信,TCP會進行重傳,在這個例子中,重傳了五次實驗六 6.1 DNS練習一 nslookup 工具的使用描述: nslookup 命令是查詢域名對應 IP 的工具,其用法是：nslookup 域名,運行結(jié)果: Server: ( JServer.NetLab ); Address:( 53 ); Name: ( host34.NetLab); Address:( 4 );反向查詢某個IP的域名: nslookup 172.16.0

14、.253運行結(jié)果Server: ( JServer.NetLab )； Address:( 53 )； Name: (JServer.NetLab )； Address:( 53 )；練習二 仿真編輯 DNS 查詢報文（正向解析）描述:這里最重要的東西是DNS的報文格式和”域名循環(huán)體”的問題.圖片是域名循環(huán)體.練習三 仿真編輯 DNS 查詢報文（反向解析）練習四 ipconfig 命令描述: ipconfig/displaydns ；顯示本機緩沖區(qū)中 DNS 解析的內(nèi)容； ipconfig/flushdns ；清空本機 DNS 緩沖區(qū)中的內(nèi)容；注意DNS

15、緩存是有生存周期的.實驗 6.2 UDP 端口掃描練習一 UDP 端口掃描描述: 向目標端口發(fā)送一個 UDP 協(xié)議分組。 如果目標端口以“ICMP port unreachable”消息響應，那么說明該端口是關(guān)閉的； 反之，如果沒有收 到“ICMP port unreachable”響應消息，則端口是打開的.實驗 6.3 TCP 端口掃描1、TCP SYN 掃描 這種方法是向目標端口發(fā)送一個 SYN 分組（packet），如果目標端口返回 SYN/ACK 標志，那么可以肯定該端口處于檢聽狀態(tài);否則返回的是 RST/ACK 標志。 3、TCP FIN 掃描 這種方法是向目標端口發(fā)送一個 FIN

16、分組。 按 RFC793 的規(guī)定，對于所有關(guān)閉的端口，目標系統(tǒng)應該返回一個 RST（復位）標志。 這種方法通常用在基于 UNIX 的 TCP/IP 協(xié)議堆棧，有的時候有可能 SYN 掃描都不夠秘密。 一些防火墻和包過濾器會對一些指定的端口進行監(jiān)視，有的程序能檢測到這些掃描.相反，F(xiàn)IN 數(shù)據(jù)包可能會沒有任何麻煩的通過。這種掃描方法的思想是關(guān)閉的端口會用適當?shù)?RST 來回復 FIN 數(shù)據(jù) 包。另一方面,打開的端口會忽略對 FIN 數(shù)據(jù)包的回復。這種方法和系統(tǒng)的實現(xiàn)有一定的關(guān)系，Windows 系統(tǒng)不管端口是否打開，都回復 RST， 否則就是其他的操作系統(tǒng),這樣，這種掃描方法就不適用了。 實驗七

17、 7.1 FTP 協(xié)議練習一 FTP描述: 注意事項:FTP登錄的時候,可以捕獲到用戶名和密碼的明文,USER 是用戶名命令,PASS 是密碼命令,LIST 是dir的命令,問題: FTP 服務器是如何知道用戶的數(shù)據(jù)端口？ 客戶端通過 PORT 命令告知服務器: PORT 172,16,0,16,5,101,端口是：5*256+101=138121 端口和 20 端口分別傳輸什么內(nèi)容？ 21 端口傳輸控制信息，20 端口傳輸數(shù)據(jù),數(shù)據(jù)傳輸結(jié)束后,20 端口關(guān)閉，21 端口未關(guān)閉,發(fā)送quit命令之后,兩個端口都關(guān)閉.練習二 使用瀏覽器登入 FTP描述:控制臺登錄和瀏覽器登錄是不一樣的,使用瀏覽

18、器登錄,會啟動被動模式.問題: FTP 服務器用哪個端口傳輸數(shù)據(jù)，數(shù)據(jù)連接是誰發(fā)起的連接？FTP 服務器用 8361 接口傳輸數(shù)據(jù)，數(shù)據(jù)連接是客戶端主動發(fā)起（即此時使用的是 PASV 模式） 用戶是如何知道服務器的數(shù)據(jù)端口？ 服務器對客戶端的 PASV 命令返回應答：227 Entering Passive Mode(172,16,0,253,32,169)，告知客戶端服務器端已經(jīng)打開了 8361（32*256+169=8361）端口作為數(shù)據(jù)端口。練習三 在窗口模式下，上傳/下傳數(shù)據(jù)文件實驗 7.2 HTTP練習一 主頁訪問描述:注意HTTP協(xié)議的所有東西都封裝在TCP中問題: 使用了 HTT

19、P 協(xié)議的哪種方法（命令）讀取網(wǎng)頁文件？網(wǎng)頁的文件名什么？ GET 方法，網(wǎng)頁文件名：/experiment/練習二 頁面提交描述: 頁面提交就是提交表單問題: 提交信息的過程使用了 HTTP 協(xié)議的哪種方法？ POST 方法 傳輸密碼是明文還是密文？粘貼含有用戶名和密碼的捕獲包。 明文 每次 HTTP 命令都是單獨連接完成的（一次一個連接），這樣有什么好處？ 因為 HTTP 是無狀態(tài)協(xié)議，短連接（一次一個連接）實現(xiàn)、管理起來比較簡單，存在的連接都是有用連接，不需要額外的的控制手段實驗 7.3 DHCPDHCP 工作原理 發(fā)現(xiàn)階段：DHCP 客戶機以廣播方式發(fā)送 DHCP discover 報

20、文來尋找 DHCP 服務器。 提供階段：DHCP 服務器在網(wǎng)絡中接收到 DHCP discover 報文后會做出響應，它從尚未出租的 IP 地址中挑選一個分配給 DHCP 客戶機，向 DHCP 客戶機發(fā)送一個包含出租的 IP 地址和其他設置的 DHCP offer 報文。 選擇階段：如果有多臺 DHCP 服務器向 DHCP 客戶機發(fā)來的 DHCP offer 提供報文，則 DHCP 客戶機只接受第一個收到的 DHCP offer 提供報文，然后它就以廣播方式回答一個 DHCP request 請求報文，該報文中包含向它所選定的 DHCP 服務器請求 IP 地址的內(nèi)容。 確認階段：DHCP 服務器收到 DHCP 客戶機回答的 DHCP request 請求報文之后，它便向 DHCP 客戶機發(fā)送一個包含它所提供的 IP 地址和其他設置的 DHCP ack 確認報文，告訴 DHCP 客戶機可以使用它所提供的 IP 地址。 重新登錄：以后 DHCP 客戶機每次重新登錄網(wǎng)絡時，就不需要再發(fā)送 DHCP discover 發(fā)現(xiàn)報文了， 而是直接發(fā)送包含前一次所分配的 IP 地址的 DHCP request 請求報文。 更新租約：DHCP 服務器向 DHCP 客戶機出租的 IP 地址一般都有