南郵2015IP實(shí)驗(yàn)報(bào)告

1、 通信與信息工程學(xué)院2015 / 2016 學(xué)年第 一 學(xué)期實(shí) 驗(yàn) 報(bào) 告課程名稱： IP網(wǎng)絡(luò)技術(shù)基礎(chǔ)（英） 實(shí)驗(yàn)名稱： 實(shí)驗(yàn)一：實(shí)驗(yàn)工具軟件介紹 實(shí)驗(yàn)二：以太網(wǎng)實(shí)驗(yàn) 實(shí)驗(yàn)三：TCP/IP協(xié)議分析實(shí)驗(yàn) 班 級 學(xué) 號(hào) B13011413 學(xué) 生 姓 名 陳超 指 導(dǎo) 教 師 劉啟發(fā) 實(shí)驗(yàn)一：實(shí)驗(yàn)工具軟件介紹一、 實(shí)驗(yàn)?zāi)康暮鸵螅?、 通過該實(shí)驗(yàn)?zāi)苷莆粘Ｓ镁W(wǎng)絡(luò)工具的使用，為后面的實(shí)驗(yàn)做準(zhǔn)備。2、 能夠利用這些工具了解網(wǎng)絡(luò)的運(yùn)行狀態(tài)。二、 實(shí)驗(yàn)環(huán)境：1、采用方案一進(jìn)行試驗(yàn)，學(xué)生每人微機(jī)一臺(tái)和一個(gè)虛擬機(jī)編號(hào)，安裝光盤中的/book/tools目錄下的虛擬機(jī)和軟件工具，再次利用VMware運(yùn)行光盤系統(tǒng)

2、并按照虛擬機(jī)編號(hào)選擇IP地址，另外教師可利用隨書光盤系統(tǒng)架設(shè)被觀測網(wǎng)絡(luò)（三物理機(jī)或三虛擬機(jī)，使用備用地址）。2、實(shí)驗(yàn)設(shè)計(jì)軟件的列表如下：被動(dòng)式工具：NetXray,Netmonitor,WinPcap/Ethereal,tcpdump主動(dòng)式工具：ping，route, traceroute，nslookup, iperf，SNMP_utils，trapwatcher。綜合工具：solarwinds, IPSwitch。其中tcpdump、ping、route、traceroute、nslookup、SNMP_utils幾個(gè)軟件在隨書光盤系統(tǒng)中已經(jīng)安裝好了，無需額外安裝。請注意NetXray、N

3、etmonitor、solarwinds和IPSwitch有版權(quán)問題。三、 實(shí)驗(yàn)原理：通過被動(dòng)工具，獲得并分析數(shù)據(jù)包；通過主動(dòng)工具發(fā)現(xiàn)網(wǎng)絡(luò)問題(可以手工制造)；通過強(qiáng)大的綜合工具對網(wǎng)絡(luò)進(jìn)行分析。四、 實(shí)驗(yàn)步驟：(包含結(jié)果分析)1、 軟件安裝：安裝各種工具軟件安裝各種供測試的應(yīng)用軟件。2、 實(shí)驗(yàn)環(huán)節(jié)：被動(dòng)工具windows：Ethereal；主動(dòng)工具windows：ping，ipconfig, tracert，iperf，trapwatcher.五、 實(shí)驗(yàn)心得：此次實(shí)驗(yàn)主要是對主動(dòng)及被動(dòng)工具的熟悉與使用，包括工具軟件Ethereal及windows運(yùn)行的各種主動(dòng)工具，利用這些常用的網(wǎng)絡(luò)工具進(jìn)行數(shù)

4、據(jù)包的抓取與分析，從而了解網(wǎng)絡(luò)的運(yùn)行狀態(tài)。通過此次實(shí)驗(yàn)，直觀且深刻地了解到數(shù)據(jù)包的抓取方法與流程，更重要的是熟悉了一系列常用網(wǎng)絡(luò)工具，不僅僅為后續(xù)實(shí)驗(yàn)打下基礎(chǔ)，更是為我們對互聯(lián)網(wǎng)的學(xué)習(xí)提供了很有利的幫助，實(shí)驗(yàn)的內(nèi)容亦結(jié)合課本所學(xué)理論，獲益匪淺。實(shí)驗(yàn)二：以太網(wǎng)實(shí)驗(yàn)一、 實(shí)驗(yàn)?zāi)康暮鸵螅?、通過該實(shí)驗(yàn)?zāi)芗由顚σ蕴W(wǎng)的認(rèn)識(shí)，特別是其封裝格式。2、通過該實(shí)驗(yàn)?zāi)芗由顚RP協(xié)議的認(rèn)識(shí)。二、 實(shí)驗(yàn)環(huán)境：1、準(zhǔn)備用作服務(wù)器的微機(jī)一臺(tái)（使用隨書光盤系統(tǒng)構(gòu)建，手工配置成原網(wǎng)段的IP），學(xué)生每人微機(jī)一臺(tái)，在windows環(huán)境下即可完成本實(shí)驗(yàn)，無需使用VMware。2、軟件：WinPcap，Ethereal。三、

5、實(shí)驗(yàn)原理：通過抓包軟件ethereal獲得一些以太網(wǎng)數(shù)據(jù)包，并對其進(jìn)行分析，從包的格式來認(rèn)識(shí)以太網(wǎng)協(xié)議。四、 實(shí)驗(yàn)步驟：(包含結(jié)果分析)1.1軟件安裝1.1.1安裝WinPcap軟件。1.1.2安裝Ethereal軟件。1.1.3在隨書光盤系統(tǒng)構(gòu)建的服務(wù)器上打開服務(wù)（由老師完成）。2.1 抓MAC包2.1.1 啟動(dòng)Ethereal軟件。2.1.2 點(diǎn)擊Capture菜單。2.1.3 選Start菜單。（注：本彈出窗口里有Filter即過濾器輸入框，在后面的試驗(yàn)里需要填寫過濾器。）2.1.4 在彈出窗口里點(diǎn)擊OK開始抓包（后面將2.1.1至2.1.4合稱為開始抓包）。2.1.5 在彈出窗口里看到

6、total數(shù)據(jù)發(fā)生變化則點(diǎn)擊Stop，結(jié)束抓包。2.1.6 分析所抓的數(shù)據(jù)包。所抓數(shù)據(jù)包截圖如下：2.1.7分析內(nèi)容：1、 數(shù)據(jù)報(bào)里的Destination，Source等字段。2、 不同的MAC包字段不一樣，有Type，Length，Trailer等字段。3 、在第三個(gè)窗口可以看到對應(yīng)字段的16進(jìn)制數(shù)字以及在整個(gè)包中的位置。圖11.2 數(shù)據(jù)幀、數(shù)據(jù)報(bào)的封裝格式如下圖所示，我們選取2號(hào)幀作為代表分別分析相應(yīng)的數(shù)據(jù)：（1）由上圖總覽，可知數(shù)據(jù)幀的相關(guān)信息：此幀的編號(hào)為2；獲取時(shí)間為0.383444；源地址為40；目的地址為0；高層協(xié)議為TCP；包內(nèi)

7、信息概況為：源端口為6950，目標(biāo)端口為1212。（2）物理層的數(shù)據(jù)幀概況：（將部分?jǐn)?shù)據(jù)放大如下圖所示）從上圖中可以看出：2號(hào)幀，線路上有60字節(jié)，實(shí)際捕獲60字節(jié)；捕獲時(shí)間為2015年12月1日15 : 49 : 22，此包與前一捕獲數(shù)據(jù)包的時(shí)間間隔為0.383444000秒，與第一幀的時(shí)間間隔為0.383444000秒；幀號(hào)為2，幀長為60字節(jié)，捕獲長度為60字節(jié)，此幀沒有被標(biāo)記且沒有被忽略，幀內(nèi)封裝的協(xié)議結(jié)構(gòu)為TCP數(shù)據(jù)協(xié)議。（3）數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息（將部分?jǐn)?shù)據(jù)放大如下圖所示）從上圖可以看出，此包為以太網(wǎng)協(xié)議版本2，源地址為40，其網(wǎng)卡地址為00:22:1

8、9:a5:d3:d4；目標(biāo)地址為0，網(wǎng)卡地址為c0:3f:d5:b3:89:c9。幀內(nèi)封裝的上層協(xié)議類型為IP，十六進(jìn)制代碼為0800。Trailer為0000000000。（4）互聯(lián)網(wǎng)層IP包頭部信息（將部分?jǐn)?shù)據(jù)放大如下圖所示）從上圖可以看出，互聯(lián)網(wǎng)協(xié)議IPv4，源地址為40，目標(biāo)地址為0，IP包頭部長度為20字節(jié)；差分服務(wù)字段為0x00 (DSCP 0x00 : Default; ECN : 0x00)，表示一個(gè)特定的上層協(xié)議所分配的重要級別，默認(rèn)的DSCP值是0，相當(dāng)于盡力傳送，ECN字段被分為ECN-Capable

9、 Transport (ECT) bit和CE bit，ECT bit設(shè)置為“ 0 ”表明該傳輸協(xié)議將忽略ignore CE bit，CE bit將由路由器設(shè)置，設(shè)置為0說明對末端節(jié)點(diǎn)不擠塞；IP包的總長度為41字節(jié)，標(biāo)志字段為32964，標(biāo)記字段為0x86c4，沒有分片（Dont Fragment），分片的偏移量為0，生存期為128，當(dāng)減少為0時(shí)，該數(shù)據(jù)包將被丟棄以保證數(shù)據(jù)包不會(huì)無限制的循環(huán)，上層協(xié)議為TCP，報(bào)頭的檢驗(yàn)和顯示為正確correct。（5）TCP協(xié)議信息（將部分?jǐn)?shù)據(jù)放大如下圖所示）從上圖可以看出，用戶數(shù)據(jù)包協(xié)議的源端口為6950，目標(biāo)端口為1212，序號(hào)為0，ACK序號(hào)為0，首

10、部長度為20字節(jié)，標(biāo)志字段0x0010，窗口大小65535 ，報(bào)頭的檢驗(yàn)和顯示為正確correct。（6） 對應(yīng)十六進(jìn)制代碼（將部分?jǐn)?shù)據(jù)放大如下圖所示）2.2 抓ARP包2.2.1 點(diǎn)擊開始菜單里的運(yùn)行。2.2.2 輸入cmd命令（如果是windwos98則輸入command命令）并運(yùn)行。2.2.3 輸入arp d *命令并運(yùn)行。（在后面將2.2.1至2.2.3合稱為在命令窗運(yùn)行××命令。）運(yùn)行此命令截圖如下：2.2.4 填寫過濾器 arp and （(dst 本機(jī)IP and src 目的IP) or （src 本機(jī)IP and dst 目的IP) 開始抓包（本報(bào)告中目的

11、IP均指服務(wù)器的IP，由老師給出）。2.2.5 運(yùn)行ping 目的IP，完成后點(diǎn)擊STOP停止抓包。首先我們需要知道本機(jī)的 IP 地址，在命令提示符下輸入 ipconfig命令，運(yùn)行此命令結(jié)果如下：本機(jī)的 IP 地址為 0，子網(wǎng)掩碼為 ，默認(rèn)網(wǎng)關(guān)為54。在命令提示符下輸入 ping54，顯示能夠 ping 通，如下圖：回到Ethereal界面，按下stop鍵，抓包如下：2.2.6 分析所抓的數(shù)據(jù)包。1.能看到本機(jī)IP發(fā)出的ARP請求和目的IP發(fā)出的ARP應(yīng)答。2.注意幀首部，ARP是直接封裝在MA

12、C包中的。3.注意ARP報(bào)文的各個(gè)字段內(nèi)容及意義。如下圖所示，我們選取44號(hào)幀作為代表分別分析相應(yīng)的數(shù)據(jù)：（1）由上圖總覽，可知數(shù)據(jù)幀的相關(guān)信息：此幀的編號(hào)為44； 獲取時(shí)間為0.484173000； 源地址2； 目的地址為Broadcast； 高層協(xié)議為ARP； 包內(nèi)信息概況為：誰有IP地址為54主機(jī)的mac地址的話，請告訴IP地址為2的主機(jī)（2）物理層的數(shù)據(jù)幀概況：（將部分?jǐn)?shù)據(jù)放大如下圖所示）從上圖可知，該物理幀為44號(hào)幀，線路上有60字節(jié)，實(shí)際捕獲60字節(jié)，捕獲時(shí)間為2015年12月1日16:54:09，此包與前一捕

13、獲幀的時(shí)間間隔為0.484173000秒，與第一幀的時(shí)間間隔為4.148297000秒，幀號(hào)為44，幀長為60字節(jié)，捕獲長度為60字節(jié)，此幀沒有被標(biāo)記且沒有被忽略，幀內(nèi)封裝的協(xié)議結(jié)構(gòu)為ARP數(shù)據(jù)協(xié)議，用不同顏色染色標(biāo)記的協(xié)議名為ARP，染色顯示規(guī)則字符串為arp。（3）數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息（將部分?jǐn)?shù)據(jù)放大如下圖所示）從上圖可知，此包為以太網(wǎng)協(xié)議版本2，源地址為2，其網(wǎng)卡地址為00:10:5c:cc:58:a0；目標(biāo)地址為廣播地址，其網(wǎng)卡地址為ff : ff : ff : ff : ff : ff。幀內(nèi)封裝的上層協(xié)議類型為ARP，十六進(jìn)制代碼為0806。（4）ARP

14、請求報(bào)文信息（將部分?jǐn)?shù)據(jù)放大如下圖所示） 由上圖可知，ARP硬件類型是以太網(wǎng)(0x0001)，硬件地址長度是6個(gè)字節(jié)；協(xié)議類型是IP協(xié)議，協(xié)議地址長度是4個(gè)字節(jié)；操作類型是0x0001(ARP請求)；發(fā)送方的硬件地址是2（c0:3f:d5:b3:98:20），發(fā)送方的協(xié)議地址是2（2），目的硬件地址是00 : 00 : 00_00 : 00 : 00(00 : 00 : 00 : 00 : 00 : 00)，目的協(xié)議地址是54（54）。（5） 對應(yīng)十六進(jìn)制代碼（將部分?jǐn)?shù)據(jù)放大

15、如下圖所示）三、 實(shí)驗(yàn)心得：此次實(shí)驗(yàn)的內(nèi)容主要是運(yùn)用實(shí)驗(yàn)一中所熟練使用的常用網(wǎng)絡(luò)工具進(jìn)行數(shù)據(jù)包的抓取與分析，與計(jì)算機(jī)網(wǎng)絡(luò)理論課息息相關(guān)，通過Ethereal軟件對數(shù)據(jù)包的捕獲與我們通過數(shù)據(jù)包對其格式的分析與研究，更加直觀且清晰地了解到網(wǎng)絡(luò)傳輸協(xié)議的分層與格式要求，是對所學(xué)知識(shí)的極大鞏固與深化。實(shí)驗(yàn)三：TCP/IP協(xié)議分析實(shí)驗(yàn)一、 實(shí)驗(yàn)?zāi)康暮鸵螅?. 通過該實(shí)驗(yàn)?zāi)芗由顚CP/IP協(xié)議的認(rèn)識(shí)，特別是其封裝格式。2. 通過該實(shí)驗(yàn)?zāi)芗由顚CMP協(xié)議的認(rèn)識(shí)。4. 通過該實(shí)驗(yàn)?zāi)芗由顚CP協(xié)議的認(rèn)識(shí)。5. 通過該實(shí)驗(yàn)?zāi)芗由顚DP協(xié)議的認(rèn)識(shí)。6. 通過該實(shí)驗(yàn)?zāi)芗由顚?yīng)用層協(xié)議Http、Ftp、Tel

16、net等的認(rèn)識(shí)。二、 實(shí)驗(yàn)環(huán)境：1. 用作服務(wù)器的微機(jī)一臺(tái)（使用隨書光盤系統(tǒng)構(gòu)建，手工配置成原網(wǎng)絡(luò)的IP），學(xué)生每人微機(jī)一臺(tái)，在windows環(huán)境下即可完成本實(shí)驗(yàn)，無需使用VMware。2. 軟件：WinPcap，Ethereal，QQ。三、 實(shí)驗(yàn)原理：通過抓包軟件ethereal獲得一些數(shù)據(jù)包，并對其進(jìn)行分析，從包的格式來認(rèn)識(shí)TCP/IP協(xié)議。本實(shí)驗(yàn)抓取的數(shù)據(jù)包包括對應(yīng)于Http、Telnet、Ftp、TCP、UDP、IP、ARP協(xié)議的數(shù)據(jù)包以及MAC包。四、 實(shí)驗(yàn)步驟：(包含結(jié)果分析)1、 軟件安裝1.1 安裝WinPcap軟件。1.2 安裝Ethereal軟件。1.3 在隨書光盤系統(tǒng)構(gòu)建

17、的服務(wù)器上打開Http、Telnet、Ftp等服務(wù)，安裝并使用QQ。2、 實(shí)驗(yàn)環(huán)節(jié)2.1 抓IP包2.1.1 填寫過濾器 IP；開始抓包。2.1.2 運(yùn)行ping 目的IP命令，完成后點(diǎn)STOP停止抓包。命令：ping 40 ，顯示能夠ping通。2.1.3 分析所抓的數(shù)據(jù)包。2.1.4 分析內(nèi)容：IP包中的各個(gè)字段。圖11.3 IP數(shù)據(jù)報(bào)的數(shù)據(jù)格式 16位標(biāo)識(shí)用來標(biāo)識(shí)惟一的IP包，每發(fā)一個(gè)，該值加1。 當(dāng)把一個(gè)IP包分片時(shí)，就可以用3位標(biāo)志和13位片偏移重組。各個(gè)片的16位標(biāo)識(shí)是一樣的。如下圖所示，我們選取1號(hào)幀作為代表分別分析相應(yīng)的數(shù)據(jù)：（1）由上圖總覽，可知數(shù)據(jù)幀

18、的相關(guān)信息：此幀的編號(hào)為1； 獲取時(shí)間為0.000000000； 源地址4； 目的地址為40； 高層協(xié)議為IP； （2）物理層的數(shù)據(jù)幀概況（將部分?jǐn)?shù)據(jù)放大如下圖所示）從圖中可以看出：1號(hào)幀，線路上有55字節(jié)，實(shí)際捕獲55字節(jié)，捕獲時(shí)間為2015年12月8日15 : 56 : 23，此包與前一捕獲幀的時(shí)間間隔為0.000000000秒，與第一幀的時(shí)間間隔為0.000000000秒，此幀沒有被標(biāo)記且沒有被忽略，幀內(nèi)封裝的協(xié)議結(jié)構(gòu)為IP數(shù)據(jù)協(xié)議，用不同顏色染色標(biāo)記的協(xié)議名為IP，染色顯示規(guī)則字符串為ip。（3） 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息（將部分?jǐn)?shù)據(jù)放

19、大如下圖所示）從上圖可知，此包為以太網(wǎng)協(xié)議版本2，源地址為c0:3f:d5:b3:96:c5，目標(biāo)地址為00:22:19:a5:d3:d4，幀內(nèi)封裝的上層協(xié)議類型為IP，十六進(jìn)制代碼為0800。 （4）互聯(lián)網(wǎng)層IP包頭部信息（將部分?jǐn)?shù)據(jù)放大如下圖所示）由上圖，互聯(lián)網(wǎng)協(xié)議IPv4，源地址為4，目標(biāo)地址為40，IP包頭部長度為20字節(jié)，差分服務(wù)字段為0x00 (DSCP 0x00 : Default; ECN : 0x00)，表示一個(gè)特定的上層協(xié)議所分配的重要級別，默認(rèn)的DSCP值是0，相當(dāng)于盡力傳送，ECN字段被分為ECN-Capable Tran

20、sport (ECT) bit和CE bit，ECT bit設(shè)置為“ 0 ”表明該傳輸協(xié)議將忽略ignore CE bit，CE bit將由路由器設(shè)置，設(shè)置為0說明對末端節(jié)點(diǎn)不擠塞，IP包的總長度為41字節(jié)，標(biāo)志字段為11302，標(biāo)記字段為0x2c26，沒有分片，分片的偏移量為0，生存期為64，當(dāng)減少為0時(shí)，該數(shù)據(jù)包將被丟棄以保證數(shù)據(jù)包不會(huì)無限制的循環(huán)，上層協(xié)議為IP，報(bào)頭的檢驗(yàn)和顯示為正確correct。（5）對應(yīng)十六進(jìn)制代碼（將部分?jǐn)?shù)據(jù)放大如下圖所示）2.2 抓ICMP包2.2.1 填寫過濾器ICMP and (dst 本機(jī)IP and src 目的IP) or (src 本機(jī)IP and

21、 dst 目的IP)，開始抓包。2.2.2 運(yùn)行 tracert目的IP2 命令，完成后停止抓包。運(yùn)行命令截取如下：所抓數(shù)據(jù)包截取如下：2.2.3 分析所抓的數(shù)據(jù)包。2.2.4 分析內(nèi)容： 1.ICMP報(bào)文是封裝在IP報(bào)文內(nèi)的。 2.第一個(gè)抓包能得到TTL過期（類型11）的報(bào)文。 3. 第二個(gè)抓包能得到ICMP請求（類型8）和ICMP應(yīng)答（類型0）的報(bào)文。代碼端均為0。 4.注意以上報(bào)文的對應(yīng)字段。5. 請求和應(yīng)答緊跟的是16位標(biāo)識(shí)符、16位序號(hào)、可選數(shù)據(jù)部分。 6. TTL過期報(bào)文的類型是11，代碼字段為 0，緊跟的是32為全0、IP首部IP數(shù)據(jù)部分。圖11.4 ICMP報(bào)文的數(shù)據(jù)格式 如下

22、圖所示，我們選取435號(hào)幀作為代表分別分析相應(yīng)的數(shù)據(jù)：（1）由上圖總覽，可知數(shù)據(jù)幀的相關(guān)信息：此幀的編號(hào)為435； 獲取時(shí)間為14.148271； 源地址4； 目的地址為4； 高層協(xié)議為ICMP； （2）物理層的數(shù)據(jù)幀概況：1號(hào)幀，線路上有106字節(jié)，實(shí)際捕獲106字節(jié)，捕獲時(shí)間為2015年12月8日14 : 13 : 23，此包與前一捕獲幀的時(shí)間間隔為14.148271000秒，與第一幀的時(shí)間間隔為14.148271000秒，此幀沒有被標(biāo)記且沒有被忽略，幀內(nèi)封裝的協(xié)議結(jié)構(gòu)為ICMP數(shù)據(jù)協(xié)議，用不同顏色染色標(biāo)記的協(xié)議名為ICMP，染色顯示規(guī)則字符

23、串為icmp。（3） 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息：此包為以太網(wǎng)協(xié)議版本2，源地址為00 : 10 : 5c : cc : 3c : 12，目標(biāo)地址為00 : 10 : 5c : cc : 52 : 07，幀內(nèi)封裝的上層協(xié)議類型為ICMP，十六進(jìn)制代碼為0800。 （4）互聯(lián)網(wǎng)層IP包頭部信息（將部分?jǐn)?shù)據(jù)放大如下圖所示）由上圖，互聯(lián)網(wǎng)協(xié)議IPv4，源地址為4，目標(biāo)地址為4，IP包頭部長度為20字節(jié)，差分服務(wù)字段為0x00 (DSCP 0x00 : Default; ECN : 0x00)，表示一個(gè)特定的上層協(xié)議所分配的重要級別，默認(rèn)的DSCP值是0

24、，相當(dāng)于盡力傳送，ECN字段被分為ECN-Capable Transport (ECT) bit和CE bit，ECT bit設(shè)置為“ 0 ”表明該傳輸協(xié)議將忽略ignore CE bit，CE bit將由路由器設(shè)置，設(shè)置為0說明對末端節(jié)點(diǎn)不擠塞，IP包的總長度為92字節(jié)，標(biāo)志字段為19445，標(biāo)記字段為0x4bf5，沒有分片，分片的偏移量為0，生存期為1，當(dāng)減少為0時(shí)，該數(shù)據(jù)包將被丟棄以保證數(shù)據(jù)包不會(huì)無限制的循環(huán)，上層協(xié)議為ICMP，報(bào)頭的檢驗(yàn)和顯示為正確correct。（5）對應(yīng)十六進(jìn)制代碼（將部分?jǐn)?shù)據(jù)放大如下圖所示）（6）第二個(gè)抓包能得到ICMP請求（類型8）和ICMP應(yīng)答（類型0）的報(bào)

25、文。ICMP報(bào)文字段信息分析（將部分?jǐn)?shù)據(jù)放大如下圖所示）所抓類型8截取如下：從上圖可知，數(shù)據(jù)包類型為8，表示ICMP回應(yīng)請求報(bào)文，代碼段為0，檢驗(yàn)和顯示為正確correct，數(shù)據(jù)部分共64字節(jié)。所抓類型0截取如下：從上圖可知，數(shù)據(jù)包類型為0，表示ICMP回應(yīng)應(yīng)答報(bào)文，代碼段為0，檢驗(yàn)和顯示為正確correct，數(shù)據(jù)部分共64字節(jié)。2.3 抓TCP包2.3.1 填寫過濾器 tcp and (dst 本機(jī)IP and src 目的IP) or (src 本機(jī)IP and dst 目的IP)，開始抓包。2.3.2 運(yùn)行 telnet 目的IP命令，登陸telnet后退出，完成后點(diǎn)STOP停止抓包。2

26、.3.3 分析所抓的數(shù)據(jù)包。所抓數(shù)據(jù)包截取如下：2.3.4 分析內(nèi)容： 1. TCP報(bào)文是封裝在IP報(bào)文內(nèi)部。2.TCP報(bào)文的各個(gè)字段。圖11.5 TCP分組的封裝格式 3TCP建立一個(gè)連接采用3次握手機(jī)制，注意這3個(gè)TCP包的發(fā)送序列號(hào)和接收序列號(hào)字段。 4 . TCP關(guān)閉一個(gè)連接采用4次握手機(jī)制，注意這4個(gè)TCP包的發(fā)送序列號(hào)和接收序列號(hào)字段。圖10.6 TCP的握手過程如下圖所示，我們選取147號(hào)幀作為代表分別分析相應(yīng)的數(shù)據(jù)：（1）由上圖總覽，可知數(shù)據(jù)幀的相關(guān)信息：此幀的編號(hào)為147； 源地址為4； 目的地址為18； 高層協(xié)議為TCP； （

27、2）物理層的數(shù)據(jù)幀概況：該幀147號(hào)幀，線路上有66字節(jié)，實(shí)際捕獲66字節(jié)，此幀沒有被標(biāo)記且沒有被忽略，幀內(nèi)封裝的協(xié)議結(jié)構(gòu)為TCP數(shù)據(jù)協(xié)議，用不同顏色染色標(biāo)記的協(xié)議名為TCP，染色顯示規(guī)則字符串為tcp。（3） 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息：此包為以太網(wǎng)協(xié)議版本2，源地址為c0:3f:d5:b3:96:c5，目標(biāo)地址為00:00:5e:00:01:01，幀內(nèi)封裝的上層協(xié)議類型為TCP，十六進(jìn)制代碼為0800。 （4）互聯(lián)網(wǎng)層IP包頭部信息：互聯(lián)網(wǎng)協(xié)議IPv4，源地址為4，目標(biāo)地址為18，IP包頭部長度為20字節(jié)；差分服務(wù)字段為0x00 (DSCP

28、0x00 : Default; ECN : 0x00)，表示一個(gè)特定的上層協(xié)議所分配的重要級別，默認(rèn)的DSCP值是0，相當(dāng)于盡力傳送，ECN字段被分為ECN-Capable Transport (ECT) bit和CE bit，ECT bit設(shè)置為“ 0 ”表明該傳輸協(xié)議將忽略ignore CE bit，CE bit將由路由器設(shè)置，設(shè)置為0說明對末端節(jié)點(diǎn)不擠塞；IP包的總長度為41字節(jié)，標(biāo)志字段為32964，標(biāo)記字段為0x86c4，沒有分片（Dont Fragment），分片的偏移量為0，生存期為128，當(dāng)減少為0時(shí)，該數(shù)據(jù)包將被丟棄以保證數(shù)據(jù)包不會(huì)無限制的循環(huán)，上層協(xié)議為TCP，報(bào)頭的檢驗(yàn)和

29、顯示為正確correct。（5）傳輸協(xié)議信息報(bào)文（將部分?jǐn)?shù)據(jù)放大如下圖所示）此幀源端口4844，目的端口80，序號(hào)為0，首部長度32字節(jié)，窗口大小65535，校驗(yàn)和為正確correct，12字節(jié)選項(xiàng)字段。（6）對應(yīng)十六進(jìn)制代碼（將部分?jǐn)?shù)據(jù)放大如下圖所示）（7）TCP建立一個(gè)連接采用3次握手機(jī)制，注意這3個(gè)TCP包的發(fā)送序列號(hào)和接收序列號(hào)字段。（相應(yīng)過程截取如下）第一步，4向40發(fā)起連接請求，發(fā)送一個(gè)SYN段，源端口為6950，目的端口為1394，通告自己的初始序號(hào)（ISN，由協(xié)議棧 隨機(jī)產(chǎn)生的一個(gè)32位數(shù)），設(shè)置確認(rèn)序號(hào)為0(因?yàn)檫€沒有收到過對端

30、的數(shù)據(jù))，通告自己的滑動(dòng)窗口大小為65535，窗口擴(kuò)大因子為2(在首部選項(xiàng)中)，通告最大報(bào)文段長度為1460(本地局域網(wǎng))；第二步，40收到請求包，檢查標(biāo)志位，發(fā)現(xiàn)SYN=1，認(rèn)為這是一個(gè)初始化連接的請求，回應(yīng)這個(gè)SYN，同時(shí)也發(fā)送自己的SYN段(即 ACK,SYN同時(shí)置位)。因?yàn)镾YN本身要占用一個(gè)序號(hào)（還有標(biāo)志FIN也要占用一個(gè)序號(hào)）。所以，確認(rèn)序號(hào)設(shè)置為的ISN加1 (即期望收到來自的下一個(gè)包的第一個(gè)序號(hào)為0x8c6c。同時(shí)也要通告自己的初始序號(hào)，滑動(dòng)窗口大小，窗口擴(kuò)大因子，最大報(bào)文段長度等第三步，

31、4對來自40的SYN段進(jìn)行確認(rèn)，至此，TCP三次握手協(xié)議完成，連接建立，在4收 到SYN段時(shí)，將自己對應(yīng)的socket的狀態(tài)由TCP_SYN_SENT改為TCP_ESTABLISHED，進(jìn)入連接建立狀態(tài)。2.4 抓UDP包2.4.1 填寫過濾器 udp and (dst or src 目的IP),開始抓包。2.4.2 啟動(dòng)QQ，并發(fā)送消息，完成后停止抓包。2.4.3 分析所抓的UDP數(shù)據(jù)包。所抓數(shù)據(jù)包如下：如上圖所示，我們選取69號(hào)幀作為代表分別分析相應(yīng)的數(shù)據(jù)：（1）由上圖總覽，可知數(shù)據(jù)幀的相關(guān)信息：此幀的編號(hào)為69； 源

32、地址為4； 目的地址為73； 高層協(xié)議為UDP； （2）物理層的數(shù)據(jù)幀概況：該幀69號(hào)幀，線路上有89字節(jié)，實(shí)際捕獲89字節(jié)，此幀沒有被標(biāo)記且沒有被忽略，幀內(nèi)封裝的協(xié)議結(jié)構(gòu)為UDP數(shù)據(jù)協(xié)議，用不同顏色染色標(biāo)記的協(xié)議名為UDP，染色顯示規(guī)則字符串為udp。（3） 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息：此包為以太網(wǎng)協(xié)議版本2，源地址為c0:3f:d5:b3:96:c5，目標(biāo)地址為00:00:5e:00:01:01，幀內(nèi)封裝的上層協(xié)議類型為UDP，十六進(jìn)制代碼為0800。 （4）互聯(lián)網(wǎng)層IP包頭部信息：互聯(lián)網(wǎng)協(xié)議IPv4，源地址為4，目標(biāo)

33、地址為73，efault; ECN : 0x00)，表示一個(gè)特定的上層協(xié)議所分配的重要級別，默認(rèn)的DSCP值是0，相當(dāng)于盡力傳送，ECN字段被分為ECN-Capable Transport (ECT) bit和CE bit，ECT bit設(shè)置為“ 0 ”表明該傳輸協(xié)議將忽略ignore CE bit，CE bit將由路由器設(shè)置，設(shè)置為0說明對末端節(jié)點(diǎn)不擠塞；沒有分片（Dont Fragment），分片的偏移量為0，生存期為128，當(dāng)減少為0時(shí)，該數(shù)據(jù)包將被丟棄以保證數(shù)據(jù)包不會(huì)無限制的循環(huán)，上層協(xié)議為UDP，報(bào)頭的檢驗(yàn)和顯示為正確correct。（5）傳輸協(xié)議信息報(bào)文（將

34、部分?jǐn)?shù)據(jù)放大如下圖所示）此幀源端口4007，目的端口8000，長度55字節(jié)，校驗(yàn)和為正確correct，數(shù)據(jù)字段共47字節(jié)。（6）對應(yīng)十六進(jìn)制代碼（將部分?jǐn)?shù)據(jù)放大如下圖所示）2.5 抓Http包2.5.1 填寫過濾器 tcp and (dst 本機(jī)IP and src 目的IP) or (src 本機(jī)IP and dst 目的IP),開始抓包。2.5.2 在IE里打開一個(gè)網(wǎng)頁，或輸入目的IP打開服務(wù)器提供的網(wǎng)頁。完成后停止抓包。2.5.3 分析所抓的數(shù)據(jù)包。所抓數(shù)據(jù)包如下：如上圖所示，我們選取49號(hào)幀作為代表分別分析相應(yīng)的數(shù)據(jù)：（1）由上圖總覽，可知數(shù)據(jù)幀的相關(guān)信息：此幀的編號(hào)為49； 源地址

35、為4； 目的地址為 30； 高層協(xié)議為HTTP； （2）物理層的數(shù)據(jù)幀概況：該幀49號(hào)幀，線路上有446字節(jié)，實(shí)際捕獲446字節(jié)，此幀沒有被標(biāo)記且沒有被忽略，幀內(nèi)封裝的協(xié)議結(jié)構(gòu)為HTTP數(shù)據(jù)協(xié)議，用不同顏色染色標(biāo)記的協(xié)議名為HTTP，染色顯示規(guī)則字符串為http。（3） 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息：此包為以太網(wǎng)協(xié)議版本2，源地址為c0:3f:d5:b3:96:c5，目標(biāo)地址為00:00:5e:00:01:01，幀內(nèi)封裝的上層協(xié)議類型為HTTP，十六進(jìn)制代碼為0800。 （4）互聯(lián)網(wǎng)層IP包頭部信息：互聯(lián)網(wǎng)協(xié)議IPv4，源地址為4，目標(biāo)地址為30，efault; ECN : 0x00)，表