實驗二網(wǎng)絡(luò)協(xié)議分析

1、開機(jī)后進(jìn)入windows XP系統(tǒng)指導(dǎo)老師：曹浪財助教：徐朝慶 邱熠龍郵箱：975230721& 實驗結(jié)束后，請班級學(xué)習(xí)委員及時將實驗結(jié)束后，請班級學(xué)習(xí)委員及時將電子版電子版的實的實驗報告收齊，然后打包成驗報告收齊，然后打包成zipzip格式一起提交到郵箱，格式一起提交到郵箱，并注明未提交的同學(xué)名單。并注明未提交的同學(xué)名單。實驗環(huán)境windows XP 系統(tǒng)聯(lián)網(wǎng)計算機(jī)網(wǎng)絡(luò)監(jiān)聽軟件Sniffer 實驗?zāi)康暮鸵笫煜ぞW(wǎng)絡(luò)監(jiān)聽軟件熟悉網(wǎng)絡(luò)監(jiān)聽軟件Sniffer,Sniffer,對截獲的數(shù)據(jù)幀進(jìn)行分對截獲的數(shù)據(jù)幀進(jìn)行分析，驗證析，驗證EthernetV2EthernetV2標(biāo)準(zhǔn)的標(biāo)準(zhǔn)的MACM

2、AC層的幀結(jié)構(gòu)層的幀結(jié)構(gòu)分析分析ARPARP協(xié)議報文首部格式，分析在同一網(wǎng)段和不同協(xié)議報文首部格式，分析在同一網(wǎng)段和不同網(wǎng)段間的解析過程網(wǎng)段間的解析過程分析分析IPv4IPv4的報文結(jié)構(gòu)，給出每一個字段的值的報文結(jié)構(gòu)，給出每一個字段的值掌握常用掌握常用ICMPICMP報文格式及相應(yīng)方式和作用報文格式及相應(yīng)方式和作用掌握掌握TracertTracert命令跟蹤路由技術(shù)命令跟蹤路由技術(shù)掌握掌握TCPTCP連接的建立和釋放過程連接的建立和釋放過程實驗原理 數(shù)據(jù)數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為幀（在網(wǎng)絡(luò)上是以很小的稱為幀（FrameFrame）的單）的單位傳輸?shù)?，幀由幾部分組成，不同的部分執(zhí)行不同的位傳輸?shù)?/p>

3、，幀由幾部分組成，不同的部分執(zhí)行不同的功能。幀通過特定的稱為網(wǎng)絡(luò)驅(qū)動程序的軟件進(jìn)行成功能。幀通過特定的稱為網(wǎng)絡(luò)驅(qū)動程序的軟件進(jìn)行成型，然后通過網(wǎng)卡發(fā)送到網(wǎng)線上，通過網(wǎng)線到達(dá)它們型，然后通過網(wǎng)卡發(fā)送到網(wǎng)線上，通過網(wǎng)線到達(dá)它們的目的機(jī)器，在目的機(jī)器的一端執(zhí)行相反的過程。接的目的機(jī)器，在目的機(jī)器的一端執(zhí)行相反的過程。接收端機(jī)器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)收端機(jī)器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀已到達(dá)，然后對其進(jìn)行存儲。就是在這個傳輸和接幀已到達(dá)，然后對其進(jìn)行存儲。就是在這個傳輸和接收的過程中，嗅探器會帶來安全方面的問題。收的過程中，嗅探器會帶來安全方面的問題。數(shù)據(jù)包“包”(Pack

4、et)是TCP/IP協(xié)議通信傳輸中的數(shù)據(jù)單位，一般也稱“數(shù)據(jù)包”。有人說，局域網(wǎng)中傳輸?shù)牟皇恰皫?Frame)嗎？沒錯，但是TCP/IP協(xié)議是工作在OSI模型第三層(網(wǎng)絡(luò)層)、第四層(傳輸層)上的，而幀是工作在第二層(數(shù)據(jù)鏈路層)。上一層的內(nèi)容由下一層的內(nèi)容來傳輸，所以在局域網(wǎng)中，“包”是包含在“幀”里的。 以太網(wǎng)和IEEE 802封裝以太網(wǎng)是指數(shù)字設(shè)備公司（以太網(wǎng)是指數(shù)字設(shè)備公司（Digital Equipment Corp.Digital Equipment Corp.）、）、英特爾公司和英特爾公司和XeroxXerox公司在公司在19821982年聯(lián)合公布的一個標(biāo)準(zhǔn)。年聯(lián)合公布的一個標(biāo)

5、準(zhǔn)。它是當(dāng)今它是當(dāng)今TCP/IPTCP/IP采用的主要局域網(wǎng)技術(shù)。它采用采用的主要局域網(wǎng)技術(shù)。它采用CSMA/CDCSMA/CD（帶沖突檢測的載波偵聽多路接入）的媒體介入方法。它（帶沖突檢測的載波偵聽多路接入）的媒體介入方法。它的速度是的速度是10Mb/s10Mb/s，地址是，地址是48bit48bit。IEEEIEEE（電子電氣工程師協(xié)會）（電子電氣工程師協(xié)會）802802委員會公布了一個稍有委員會公布了一個稍有不同的標(biāo)準(zhǔn)集，其中不同的標(biāo)準(zhǔn)集，其中802.3802.3針對整個針對整個CSMA/CDCSMA/CD網(wǎng)絡(luò)，網(wǎng)絡(luò)，802.4802.4針對令牌總線網(wǎng)絡(luò)，針對令牌總線網(wǎng)絡(luò)，802.580

6、2.5針對令牌環(huán)網(wǎng)絡(luò)。這三者的共針對令牌環(huán)網(wǎng)絡(luò)。這三者的共同特性由同特性由802.2802.2標(biāo)準(zhǔn)來定義，那就是標(biāo)準(zhǔn)來定義，那就是802802網(wǎng)絡(luò)共有的邏輯鏈網(wǎng)絡(luò)共有的邏輯鏈路控制（路控制（LLCLLC）。不幸的是，）。不幸的是，802.2802.2和和802.3802.3定義了一個與定義了一個與以太網(wǎng)不同的幀格式。以太網(wǎng)不同的幀格式。 常用的以太網(wǎng)常用的以太網(wǎng)MACMAC幀格式有兩種標(biāo)準(zhǔn)，一種是幀格式有兩種標(biāo)準(zhǔn)，一種是Ethernet V2Ethernet V2標(biāo)準(zhǔn)，另一種是標(biāo)準(zhǔn)，另一種是802.3802.3標(biāo)準(zhǔn)。這里只介標(biāo)準(zhǔn)。這里只介紹常用的以太網(wǎng)紹常用的以太網(wǎng)V2V2的的MACMAC幀格

7、式。幀格式。 以太網(wǎng)的以太網(wǎng)的MACMAC幀比較簡單，有五個字段組成。前幀比較簡單，有五個字段組成。前兩個字段分別為兩個字段分別為6 6字節(jié)長的目的地址和源地址字段。字節(jié)長的目的地址和源地址字段。第三個字段是第三個字段是2 2字節(jié)的類型字段，用來標(biāo)志上一層使字節(jié)的類型字段，用來標(biāo)志上一層使用的是什么協(xié)議，以便把收到的用的是什么協(xié)議，以便把收到的MACMAC幀數(shù)據(jù)上交給上幀數(shù)據(jù)上交給上一層的協(xié)議。例如，當(dāng)類型字段的值是一層的協(xié)議。例如，當(dāng)類型字段的值是0X08000X0800時，就時，就表示上層使用的是表示上層使用的是IPIP數(shù)據(jù)報。第四個字段是數(shù)據(jù)字段，數(shù)據(jù)報。第四個字段是數(shù)據(jù)字段，其長度在其

8、長度在46-150046-1500字節(jié)之間。最后一個字段是字節(jié)之間。最后一個字段是4 4字節(jié)的字節(jié)的幀檢驗序列幀檢驗序列FCSFCS（使用（使用CRCCRC檢驗）。檢驗）。8.2 鏈路層數(shù)據(jù)幀分析實驗步驟：實驗步驟：1 1、【開始開始】 【SnifferSniffer軟件軟件】 打開打開“當(dāng)前設(shè)置窗口當(dāng)前設(shè)置窗口” 選選定網(wǎng)絡(luò)適配器定網(wǎng)絡(luò)適配器 進(jìn)入主界面進(jìn)入主界面2.2.選取選取CaptureStartCaptureStart菜單項，開始截取報文菜單項，開始截取報文3.3.【開始開始】 “cmdcmd” 彈出彈出“命令提示符命令提示符”窗口窗口 鍵入鍵入“ping ping XXX.XXX.

9、XXX.XXXXXX.XXX.XXX.XXX” 選擇選擇SnifferSniffer的的“capture capture ”stop and displaystop and display顯示截獲的數(shù)據(jù)報文結(jié)果顯示截獲的數(shù)據(jù)報文結(jié)果 選擇選擇“DecodeDecode”選項卡查看報文解碼選項卡查看報文解碼其中其中XXX.XXX.XXX.XXXXXX.XXX.XXX.XXX表示同網(wǎng)段的計算機(jī)表示同網(wǎng)段的計算機(jī)IPIP地址地址4、下圖是下圖是SnifferSniffer捕獲的報文解碼，在數(shù)據(jù)鏈路層捕獲的報文解碼，在數(shù)據(jù)鏈路層（DLCDLC）和源）和源MACMAC地址后緊跟著地址后緊跟著0800,0

10、800,代表該幀數(shù)據(jù)部代表該幀數(shù)據(jù)部分封裝的是分封裝的是IPIP報文，由于報文，由于08000800大于大于05FF05FF，所以它是，所以它是EthernetV2EthernetV2幀。提示：選中摘要（幀。提示：選中摘要（summarysummary）框的）框的“ICMP EchoICMP Echo”報文項查看。報文項查看。8.3 ARP地址解析協(xié)議 ARP ARP協(xié)議是協(xié)議是“Address Resolution Protocol”Address Resolution Protocol”（地（地址解析協(xié)議）的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實際傳輸?shù)氖侵方馕鰠f(xié)議）的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實際傳輸

11、的是“幀幀”，幀里面是有目標(biāo)主機(jī)的，幀里面是有目標(biāo)主機(jī)的MACMAC地址的。在以太網(wǎng)中，地址的。在以太網(wǎng)中，一個主機(jī)要和另一個主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)一個主機(jī)要和另一個主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的主機(jī)的MACMAC地址。但這個目標(biāo)地址。但這個目標(biāo)MACMAC地址是如何獲得的呢？它地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。所謂就是通過地址解析協(xié)議獲得的。所謂“地址解析地址解析”就是主就是主機(jī)在發(fā)送幀前將目標(biāo)機(jī)在發(fā)送幀前將目標(biāo)IPIP地址轉(zhuǎn)換成目標(biāo)地址轉(zhuǎn)換成目標(biāo)MACMAC地址的過程。地址的過程。ARPARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的協(xié)議的基本功能就是通過目標(biāo)設(shè)備的

12、IPIP地址，查詢目地址，查詢目標(biāo)設(shè)備的標(biāo)設(shè)備的MACMAC地址，以保證通信的順利進(jìn)行。地址，以保證通信的順利進(jìn)行。 用于以太網(wǎng)的ARP請求或者應(yīng)答分組格式ARPARP報文的格式：報文的格式：硬件類型：指明硬件的類型，以太網(wǎng)是硬件類型：指明硬件的類型，以太網(wǎng)是1 1。協(xié)議類型：指明發(fā)送者映射到數(shù)據(jù)鏈路標(biāo)識的網(wǎng)絡(luò)層協(xié)協(xié)議類型：指明發(fā)送者映射到數(shù)據(jù)鏈路標(biāo)識的網(wǎng)絡(luò)層協(xié)議的類型；議的類型；IPIP對應(yīng)對應(yīng)0 x08000 x0800，ARPARP對應(yīng)的是對應(yīng)的是0 x08060 x0806。硬件地址長度：也就是硬件地址長度：也就是MACMAC地址的長度，單位是字節(jié)，地址的長度，單位是字節(jié)，這里是這里是

13、6 6。協(xié)議地址長度：網(wǎng)絡(luò)層地址的長度，即協(xié)議地址長度：網(wǎng)絡(luò)層地址的長度，即IPIP地址長度，單地址長度，單位是字節(jié)，這里為位是字節(jié)，這里為4 4。操作：指明是操作：指明是ARPARP請求還是請求還是ARPARP應(yīng)答。應(yīng)答。實驗原理：使用網(wǎng)絡(luò)的應(yīng)用程序是采用邏輯地址（如實驗原理：使用網(wǎng)絡(luò)的應(yīng)用程序是采用邏輯地址（如IP地址）進(jìn)行通訊的，而實際的物理網(wǎng)絡(luò)必須使用物理地址）進(jìn)行通訊的，而實際的物理網(wǎng)絡(luò)必須使用物理地址（如地址（如MAC地址）進(jìn)行數(shù)據(jù)傳輸。所以需要建立邏地址）進(jìn)行數(shù)據(jù)傳輸。所以需要建立邏輯地址與物理地址的映射關(guān)系（地址解析），高層應(yīng)輯地址與物理地址的映射關(guān)系（地址解析），高層應(yīng)用的報

14、文才可以用底層物理網(wǎng)絡(luò)傳輸出去。用的報文才可以用底層物理網(wǎng)絡(luò)傳輸出去。ARP協(xié)議協(xié)議就是將就是將IP地址解析成物理地址的地址解析協(xié)議。地址解析成物理地址的地址解析協(xié)議。1、同網(wǎng)段的、同網(wǎng)段的ARP解析過程解析過程 主機(jī)與處在同一網(wǎng)段的另一主機(jī)進(jìn)行通信時，首先主機(jī)與處在同一網(wǎng)段的另一主機(jī)進(jìn)行通信時，首先去緩存中查找目的主機(jī)的去緩存中查找目的主機(jī)的IP-MAC對應(yīng)項；如果找到，對應(yīng)項；如果找到，就將報文用找到的物理地址直接發(fā)送出去；如果找不就將報文用找到的物理地址直接發(fā)送出去；如果找不到，源主機(jī)就直接向網(wǎng)絡(luò)發(fā)送到，源主機(jī)就直接向網(wǎng)絡(luò)發(fā)送ARP請求報文，在同一請求報文，在同一網(wǎng)段的目的主機(jī)會對此請求

15、報文做出應(yīng)答。網(wǎng)段的目的主機(jī)會對此請求報文做出應(yīng)答。2、不同網(wǎng)段的、不同網(wǎng)段的ARP解析過程解析過程 主機(jī)與處在不同網(wǎng)段的主機(jī)進(jìn)行通信時，數(shù)據(jù)要想發(fā)主機(jī)與處在不同網(wǎng)段的主機(jī)進(jìn)行通信時，數(shù)據(jù)要想發(fā)送給默認(rèn)網(wǎng)關(guān)，然后由它轉(zhuǎn)發(fā)出去。源主機(jī)首先去緩存中送給默認(rèn)網(wǎng)關(guān)，然后由它轉(zhuǎn)發(fā)出去。源主機(jī)首先去緩存中查找默認(rèn)網(wǎng)關(guān)的查找默認(rèn)網(wǎng)關(guān)的IP-MAC對應(yīng)項；如果找到，源對應(yīng)項；如果找到，源主機(jī)就把主機(jī)就把報文發(fā)送給它的默認(rèn)網(wǎng)關(guān)；如果找不到，源主機(jī)就會發(fā)送報文發(fā)送給它的默認(rèn)網(wǎng)關(guān)；如果找不到，源主機(jī)就會發(fā)送ARPARP請求報文，從默認(rèn)網(wǎng)關(guān)的請求報文，從默認(rèn)網(wǎng)關(guān)的ARPARP應(yīng)答報文中獲得默認(rèn)網(wǎng)關(guān)應(yīng)答報文中獲得默認(rèn)網(wǎng)

16、關(guān)的的IP-MACIP-MAC對應(yīng)項。對應(yīng)項。實驗步驟：實驗步驟：1 1、運行、運行SnifferSniffer軟件軟件2 2、選取、選取“MonitorMonitor”Define Filter Define Filter 彈出對話框彈出對話框 在在“AddressAddress”中選擇中選擇“HardwareHardware” 在在“Station1Station1”處鍵入處鍵入本機(jī)的本機(jī)的MACMAC地址地址 “Station2Station2”處填入處填入“AnyAny”3 3、同網(wǎng)段、同網(wǎng)段ARPARP的解析：的解析：“CaptureCapture”Start”Start”在在“DO

17、SDOS”窗口鍵入窗口鍵入arparp d darparp aping XXX.XXX.XXX.XXX aping XXX.XXX.XXX.XXX”Capture”Capture”“Stop and DisplayStop and Display” 分析報文分析報文提示：在提示：在“summarysummary”欄選中欄選中“ARPARP”報文報文2 2、不同網(wǎng)段的解析：前面步驟同、不同網(wǎng)段的解析：前面步驟同1 1，在，在DOSDOS窗口輸入：窗口輸入：ping 3stop and displayping 3stop and display截獲報文并顯示

18、。截獲報文并顯示。同網(wǎng)段的請求和應(yīng)答報文如下截圖：同網(wǎng)段的請求和應(yīng)答報文如下截圖：不同網(wǎng)段的不同網(wǎng)段的ARPARP請求和應(yīng)答報文請求和應(yīng)答報文分析不同網(wǎng)段的報文填入下表字段項字段項ARP請求報文請求報文ARP應(yīng)答報文應(yīng)答報文DestinationSourceSender MAC AddressSender IP Address Target MAC AddressTarget IP Address8.4 IPv4協(xié)議分析IP數(shù)據(jù)報首部的固定部分中的各字段數(shù)據(jù)報首部的固定部分中的各字段分析分析IPv4IPv4的報頭結(jié)構(gòu)，給出每個字段的值；的報頭結(jié)構(gòu)，給出每個字段的值；實驗步驟：運行實驗步驟：運行

19、SniffercapturestartSniffercapturestart在在DOSDOS窗口窗口中輸入中輸入ping 3stop and displayping 3stop and display選擇選擇DecodeDecode選項選項分析截獲的報文填入表格分析截獲的報文填入表格字段字段報文信息報文信息字段字段報文信息報文信息版本片偏移首部長度生存周期服務(wù)類型協(xié)議總長度校驗和標(biāo)識源地址標(biāo)志目的地址8.5 ICMP協(xié)議分析和路由跟蹤實驗要求：實驗要求：1 1、理解、理解ICMPICMP協(xié)議與協(xié)議與IPIP協(xié)議的封裝關(guān)系協(xié)議的封裝關(guān)系2 2、掌握常用的、

20、掌握常用的ICMPICMP報文格式及響應(yīng)方式和作用報文格式及響應(yīng)方式和作用3 3、理解路由跟蹤過程、理解路由跟蹤過程4 4、掌握、掌握TracertTracert命令跟蹤路由技術(shù)命令跟蹤路由技術(shù) ICMP ICMP協(xié)議：為了處理當(dāng)數(shù)據(jù)包經(jīng)過多個網(wǎng)絡(luò)傳輸后可協(xié)議：為了處理當(dāng)數(shù)據(jù)包經(jīng)過多個網(wǎng)絡(luò)傳輸后可能出現(xiàn)的故障，在能出現(xiàn)的故障，在IPIP層引入子協(xié)議層引入子協(xié)議ICMPICMP。當(dāng)遇到。當(dāng)遇到IPIP數(shù)數(shù)據(jù)包無法訪問目標(biāo)等情況時，路由器自動發(fā)送據(jù)包無法訪問目標(biāo)等情況時，路由器自動發(fā)送ICMPICMP報報文，向源主機(jī)報錯。文，向源主機(jī)報錯。nICMPICMP報文的封裝報文的封裝 ICMP ICMP

21、有兩種報文：差錯報文和查詢報文。差錯報文用有兩種報文：差錯報文和查詢報文。差錯報文用于當(dāng)路由器或主機(jī)在處理數(shù)據(jù)過程出現(xiàn)問題時，向源于當(dāng)路由器或主機(jī)在處理數(shù)據(jù)過程出現(xiàn)問題時，向源主機(jī)進(jìn)行報告；查詢報文用于幫助網(wǎng)絡(luò)管理員從一個主機(jī)進(jìn)行報告；查詢報文用于幫助網(wǎng)絡(luò)管理員從一個網(wǎng)絡(luò)設(shè)備上得到特定的信息，例如某個主機(jī)是否可達(dá)，網(wǎng)絡(luò)設(shè)備上得到特定的信息，例如某個主機(jī)是否可達(dá)，中間經(jīng)過哪些路由器等。中間經(jīng)過哪些路由器等。ICMPICMP報文都是封裝在報文都是封裝在IPIP報文報文中傳輸?shù)?。中傳輸?shù)?。ICMPICMP報文還分為很多類，簡明的報文類型報文還分為很多類，簡明的報文類型如下表所示。如下表所示。種類種類

22、類型類型報文報文差錯報告報文差錯報告報文3 3目的端不可達(dá)目的端不可達(dá)4 4源端抑制源端抑制1111超時超時1212參數(shù)問題參數(shù)問題5 5改變路由改變路由查詢報文查詢報文8 8或或0 0回送請求或應(yīng)答回送請求或應(yīng)答1313或或1414時間戮請求或應(yīng)答時間戮請求或應(yīng)答1717或或1818地址掩碼請求或回答地址掩碼請求或回答1010或或1919路由器查詢和通告路由器查詢和通告nTracertTracert 工作原理工作原理 TracertTracert( (跟蹤路由跟蹤路由) )是路由跟蹤實用程序，用于確定是路由跟蹤實用程序，用于確定IPIP數(shù)據(jù)報文訪問目標(biāo)所采取的路徑。數(shù)據(jù)報文訪問目標(biāo)所采取的路

23、徑。TracertTracert命令用命令用IPIP數(shù)據(jù)數(shù)據(jù)報文中的生存時間報文中的生存時間(TTL)(TTL)字段和字段和ICMPICMP報告的錯誤消息來確報告的錯誤消息來確定從源主機(jī)到網(wǎng)絡(luò)其他主機(jī)的路由定從源主機(jī)到網(wǎng)絡(luò)其他主機(jī)的路由。 源主機(jī)的源主機(jī)的TracertTracert程序向目標(biāo)端發(fā)送程序向目標(biāo)端發(fā)送ICMPICMP請求，并將封請求，并將封裝裝ICMPICMP請求數(shù)據(jù)包的請求數(shù)據(jù)包的IPIP分組報頭中的分組報頭中的TTLTTL值置值置1,1,。此。此ICMPICMP數(shù)據(jù)包在到達(dá)第一個路由器時，數(shù)據(jù)包在到達(dá)第一個路由器時，IPIP報頭中的報頭中的TTLTTL減減1 1變?yōu)樽優(yōu)? 0

24、，根據(jù)規(guī)定路由器會丟棄根據(jù)規(guī)定路由器會丟棄TTLTTL為為0 0的的IPIP分組，并同時向發(fā)送端分組，并同時向發(fā)送端發(fā)送發(fā)送ICMPICMP超時消息。源主機(jī)從收到的超時消息中，記錄并超時消息。源主機(jī)從收到的超時消息中，記錄并顯示發(fā)回超時信息的路由器的顯示發(fā)回超時信息的路由器的IPIP地址，以及地址，以及IPIP分組從源主分組從源主機(jī)的第一個路由器之間的往返時間；然后機(jī)的第一個路由器之間的往返時間；然后TracertTracert程序繼程序繼續(xù)向目標(biāo)端發(fā)送續(xù)向目標(biāo)端發(fā)送ICMPICMP請求數(shù)據(jù)包，但請求數(shù)據(jù)包，但I(xiàn)PIP分組報頭的分組報頭的TTLTTL加加1 1置為置為2,2,。這個。這個ICM

25、PICMP請求數(shù)據(jù)包在向目標(biāo)端前進(jìn)的路途上到請求數(shù)據(jù)包在向目標(biāo)端前進(jìn)的路途上到達(dá)第二個路由器后，達(dá)第二個路由器后，TTLTTL的值減為的值減為0 0；第二個路由器同樣的；第二個路由器同樣的向發(fā)送端發(fā)送向發(fā)送端發(fā)送ICMPICMP超時報文。源主機(jī)就獲得了路途上第二超時報文。源主機(jī)就獲得了路途上第二 路由器的路由器的IPIP地址以及往返時間。以此類推，直到有一地址以及往返時間。以此類推，直到有一個個ICMPICMP請求數(shù)據(jù)包到達(dá)目的端。這樣源主機(jī)就可以根請求數(shù)據(jù)包到達(dá)目的端。這樣源主機(jī)就可以根據(jù)各路由器回復(fù)的據(jù)各路由器回復(fù)的ICMPICMP超時報文來確定達(dá)到目的端的超時報文來確定達(dá)到目的端的路徑上

26、所有的路由器路徑上所有的路由器IPIP地址與通訊往返時間。地址與通訊往返時間。n利用利用TracertTracert可以測試從源端到目的端的路徑需要通可以測試從源端到目的端的路徑需要通過哪些節(jié)點，同時了解通訊路徑中哪個節(jié)點存在故障。過哪些節(jié)點，同時了解通訊路徑中哪個節(jié)點存在故障。實驗步驟：實驗步驟：1 1、捕獲并分析、捕獲并分析ICMPICMP超時報文超時報文運行運行SnifferCapturestartSnifferCapturestart在在DOSDOS窗口窗口鍵入鍵入33stop and display stop and display 截獲并顯示

27、報文截獲并顯示報文在報文顯示列表找到超時報文在報文顯示列表找到超時報文(Time exceeded(Time exceeded，ICMPICMP報文中報文中Type=11)Type=11)報文信息填入表格報文信息填入表格類型類型代碼代碼校驗和校驗和數(shù)據(jù)數(shù)據(jù)2 2、捕獲分析回送請求和應(yīng)答、捕獲分析回送請求和應(yīng)答ICMPICMP報文報文使用剛剛截獲的報文，在報文顯示列表找到使用剛剛截獲的報文，在報文顯示列表找到ICMP EchoICMP Echo和和ICMP Echo replyICMP Echo reply報文，并將相應(yīng)的信息填入表格報文，并將相應(yīng)的信息填入表格類型類型代碼代碼校驗和校驗和標(biāo)示符

28、標(biāo)示符序列號序列號Echo request Echo reply3 3、用、用TracertTracert 跟蹤路由跟蹤路由運行運行SniffercapturestartSniffercapturestart在在DOSDOS窗口輸入窗口輸入TracertTracert d 4stop and display d 4stop and display截獲截獲并顯示報文并顯示報文分析分析TracertTracert命令的工作過程命令的工作過程下圖報文是本地主機(jī)發(fā)往遠(yuǎn)端主機(jī)的下圖報文是本地主機(jī)發(fā)往遠(yuǎn)端主機(jī)的ICMPICMP報文。其中報文。其中IPIP報頭的報頭的

29、TTLTTL值為值為1 1，即，即TracertTracert發(fā)送的第一個發(fā)送的第一個ICMPICMP報文，報文，ICMPICMP代碼為代碼為8 8（ICMPICMP請求報文）。請求報文）。下圖報文是從源主機(jī)發(fā)往遠(yuǎn)端主機(jī)的分組經(jīng)過第一個路下圖報文是從源主機(jī)發(fā)往遠(yuǎn)端主機(jī)的分組經(jīng)過第一個路由器，由于由器，由于TTLTTL從從1 1減為減為0 0，路由器發(fā)送超時報文給源，路由器發(fā)送超時報文給源主機(jī)，主機(jī)，ICMPICMP超時報文的類型為超時報文的類型為1111。大家可以在列表中找到有源主機(jī)發(fā)出的大家可以在列表中找到有源主機(jī)發(fā)出的TTLTTL為為2 2、3 3、4 4等等的的ICMPICMP請求報文，

30、同樣可以找到途中各路由器發(fā)回給請求報文，同樣可以找到途中各路由器發(fā)回給源主機(jī)的超時報文，最后源主機(jī)的超時報文，最后IPIP分組的分組的TTLTTL遞增到足夠大遞增到足夠大時，源主機(jī)的時，源主機(jī)的TracertTracert程序發(fā)送的程序發(fā)送的ICMPICMP請求報文終于請求報文終于到達(dá)目的主機(jī)。此時目的主機(jī)向源主機(jī)發(fā)送到達(dá)目的主機(jī)。此時目的主機(jī)向源主機(jī)發(fā)送ICMPICMP應(yīng)答應(yīng)答報文，而不是超時報文，路由跟蹤過程到此結(jié)束。報文，而不是超時報文，路由跟蹤過程到此結(jié)束?；卮饐栴}：回答問題：1 1、TracertTracert程序每次回發(fā)送幾個程序每次回發(fā)送幾個TTLTTL相同的相同的ICMPICM

31、P請求報請求報文？文？2 2、路由跟蹤過程中，中間節(jié)點、路由跟蹤過程中，中間節(jié)點( (路由器路由器) )返回的返回的ICMPICMP報報文和目的端返回的文和目的端返回的ICMPICMP報文有什么區(qū)別？報文有什么區(qū)別？8.6 TCP傳輸控制協(xié)議分析實驗要求：實驗要求：掌握掌握TCPTCP協(xié)議的形式；協(xié)議的形式；掌握掌握TCPTCP連接的簡歷和釋放過程；連接的簡歷和釋放過程；掌握掌握TCPTCP數(shù)據(jù)傳輸編號與確認(rèn)的過程；數(shù)據(jù)傳輸編號與確認(rèn)的過程；實驗原理：實驗原理：TCPTCP是一種面向連接的、可靠的、基于字是一種面向連接的、可靠的、基于字節(jié)流的通信協(xié)議。節(jié)流的通信協(xié)議。實驗條件：實驗條件：XPX

32、P或或win7win7聯(lián)網(wǎng)計算機(jī)，聯(lián)網(wǎng)計算機(jī)，SnifferSniffer軟件，軟件，F(xiàn)TPFTP服務(wù)器服務(wù)器TCP：傳輸控制協(xié)議TCP是一種可靠的、面向連接的字節(jié)流服務(wù)。源主機(jī)在傳送數(shù)據(jù)前需要先和目標(biāo)主機(jī)建立連接。然后，在此連接上，被編號的數(shù)據(jù)段按序收發(fā)。同時，要求對每個數(shù)據(jù)段進(jìn)行確認(rèn)，保證了可靠性。如果在指定的時間內(nèi)沒有收到目標(biāo)主機(jī)對所發(fā)數(shù)據(jù)段的確認(rèn)，源主機(jī)將再次發(fā)送該數(shù)據(jù)段。 TCP包首部源、目標(biāo)端口號字段：占16比特。TCP協(xié)議通過使用端口來標(biāo)識源端和目標(biāo)端的應(yīng)用進(jìn)程。端口號可以使用0到65535之間的任何數(shù)字。在收到服務(wù)請求時，操作系統(tǒng)動態(tài)地為客戶端的應(yīng)用程序分配端口號。在服務(wù)器端，

33、每種服務(wù)在眾所周知的端口（Well-Know Port）為用戶提供服務(wù)。順序號字段：占32比特。用來標(biāo)識從TCP源端向TCP目標(biāo)端發(fā)送的數(shù)據(jù)字節(jié)流，它表示在這個報文段中的第一個數(shù)據(jù)字節(jié)。確認(rèn)號字段：占32比特。只有ACK標(biāo)志為1時，確認(rèn)號字段才有效。它包含目標(biāo)端所期望收到源端的下一個數(shù)據(jù)字節(jié)。頭部長度字段：占4比特。給出頭部占32比特的數(shù)目。沒有任何選項字段的TCP頭部長度為20字節(jié)；最多可以有60字節(jié)的TCP頭部。標(biāo)志位字段（U、A、P、R、S、F）：占6比特。各比特的含義如下：URG：緊急指針（urgent pointer）有效。ACK：確認(rèn)序號有效。PSH：接收方應(yīng)該盡快將這個報文段交給

34、應(yīng)用層。RST：重建連接。SYN：發(fā)起一個連接。FIN：釋放一個連接。窗口大小字段：占16比特。此字段用來進(jìn)行流量控制。單位為字節(jié)數(shù)，這個值是本機(jī)期望一次接收的字節(jié)數(shù)。TCP校驗和字段：占16比特。對整個TCP報文段，即TCP頭部和TCP數(shù)據(jù)進(jìn)行校驗和計算，并由目標(biāo)端進(jìn)行驗證。緊急指針字段：占16比特。它是一個偏移量，和序號字段中的值相加表示緊急數(shù)據(jù)最后一個字節(jié)的序號。選項字段：占32比特。可能包括窗口擴(kuò)大因子、時間戳等選項。 ( (1)TCP1)TCP協(xié)議的報文分析協(xié)議的報文分析 FTP FTP是常用的應(yīng)用層協(xié)議，其使用是常用的應(yīng)用層協(xié)議，其使用TCPTCP的控制和數(shù)據(jù)連接。的控制和數(shù)據(jù)連接

35、。在在FTPFTP客戶端，使用客戶端，使用SnifferSniffer捕獲由捕獲由FTPFTP命令產(chǎn)生的命令產(chǎn)生的TCPTCP數(shù)據(jù)包。數(shù)據(jù)包。為了產(chǎn)生數(shù)據(jù)源，本實驗在為了產(chǎn)生數(shù)據(jù)源，本實驗在DOSDOS命令行中輸入命令行中輸入ftpftp登陸命令登陸命令( (本例本例為為55),),而后進(jìn)入而后進(jìn)入FTPFTP的某一目錄下載一個文本的某一目錄下載一個文本文件，最后退出服務(wù)器。文件，最后退出服務(wù)器。 實驗步驟：實驗步驟： 運行運行SnifferSnifferMonitorDefine MonitorDefine FliterFliter

36、選選取取AddressAddress選選項卡項卡在在AddressAddress下拉列表選擇下拉列表選擇IPIP在在Station1Station1和和Station2Station2下面下面分別填入本機(jī)分別填入本機(jī)IPIP和和FTPFTP服務(wù)器服務(wù)器IPIP地址地址Capture Capture startstart在在DOSDOS窗口輸入窗口輸入ftp 5ftp 5輸入用戶名和密碼，都為輸入用戶名和密碼，都為116116get get text.txt text.txt quitSnifferquitSniffer軟件軟件Capture Stop C

37、apture Stop and Display and Display 截獲并顯示報文截獲并顯示報文 提示：輸入密碼后是默認(rèn)不顯示的，直接按回車提示：輸入密碼后是默認(rèn)不顯示的，直接按回車(2)TCP(2)TCP連接建立過程連接建立過程 根據(jù)根據(jù)FTPFTP和和TCPTCP協(xié)議，抓取到前面的三個報文，是協(xié)議，抓取到前面的三個報文，是TCPTCP連接的三次握手過程。下圖是連接的三次握手過程。下圖是FTPFTP客戶端客戶端( (本機(jī)本機(jī)) )向向FTPFTP服服務(wù)器發(fā)送第一次握手信號；控制位的同步務(wù)器發(fā)送第一次握手信號；控制位的同步SYN=1SYN=1，表示，表示發(fā)出連接請求。發(fā)出連接請求。 下圖表

38、示下圖表示FTPFTP服務(wù)器向服務(wù)器向FTPFTP客戶端發(fā)送第二次握手信號，客戶端發(fā)送第二次握手信號，控制位里面有確認(rèn)位和同部位控制位里面有確認(rèn)位和同部位(SYN=1,ACK=1)(SYN=1,ACK=1)。 下圖為下圖為FTPFTP客戶端向客戶端向FTPFTP服務(wù)器發(fā)送第三次握手信號；服務(wù)器發(fā)送第三次握手信號； 控制位里面只有確認(rèn)位控制位里面只有確認(rèn)位ACK=1ACK=1。 經(jīng)過三次握手后，經(jīng)過三次握手后，F(xiàn)TPFTP客戶端與客戶端與FTPFTP服務(wù)器建立起連接，服務(wù)器建立起連接，就可以下載文件了。就可以下載文件了。 根據(jù)根據(jù)TCPTCP協(xié)議建立過程的三個報文，填寫下表。協(xié)議建立過程的三個報文，填寫下表。字段名稱字段名稱第一條報文第一條報文第二條報文第二條報文第三條報文第三條報文序號Sequence NumberAcknowledgment NumberACKSYNTCP連接終止建立連接需要三次握手，而終止一個連接要經(jīng)過4次握手TCPTCP連接釋放過程連接釋放過程 TCP TCP連接釋放使用了四次握手，通訊雙方都可以啟連接釋放使用了四次握手，通訊雙方都可以啟動終止程序，一個典型的釋放過程需要每個終端都提動終止程序，一個典型的釋放過程需要每個終端都提供一對供一對FINF