計算機網(wǎng)絡實驗二協(xié)議數(shù)據(jù)的捕獲和解析班級：2013211306姓名：黃明學號：2013211330日期：2015年6月18日實驗二：協(xié)議數(shù)據(jù)的捕獲和解析1.實驗類別協(xié)議分析驗證型2.實驗內(nèi)容和實驗目的本次實驗主要包含下列內(nèi)容：1）使用Wireshark軟件捕獲在使用ping命令時產(chǎn)生的ICMP消息；2）分析網(wǎng)絡層IP包頭格式，理解各字段的作用，對于分段和校驗和進行驗證；3）使用Wireshark軟件捕獲在使用ARP消息，分析其消息格式，理解其工作原理；4）使用Wireshark捕獲DHCP消息，分析其消息序列，理解DHCP的功能和操作原理；5）使用Wireshark捕獲TCP消息，分析TCP報文段頭格式，理解連接建立和釋放的原理，差錯控制原理、序號和窗口管理的原理。通過本實驗學生可以深入理解分層體系結(jié)構，理解和掌握TCP/IP協(xié)議棧的代表協(xié)議——IP、TCP、UDP、ICMP、ARP和DHCP協(xié)議的要點。3.實驗組人數(shù)每組1人，獨立完成數(shù)據(jù)捕獲工作、進行分析并撰寫實驗報告。4.實驗設備環(huán)境1臺裝有MSWindows系列操作系統(tǒng)的計算機，要求能夠連接到Internet，并安裝Wireshark軟件。實驗步驟5.1準備工作1.下載Wireshark軟件并了解其功能和使用方法。2.確保計算機已經(jīng)連接到網(wǎng)絡。3.啟動Wireshark1，設置捕獲接口（Interface）為本機網(wǎng)卡，選中混雜模式（promiscuousmode）捕獲選項，設置合適的捕獲過濾器（CaptureFilter）：對于ping命令，設置過濾器為icmp對于DHCP消息，設置過濾器為udpport67對于ARP消息，設置過濾器為arp對于通過網(wǎng)頁瀏覽應用來捕獲TCP消息，設置過濾器為tcpport804.開始捕獲。5.2數(shù)據(jù)捕獲5.2.1捕獲ICMP協(xié)議數(shù)據(jù)1.運行ping命令（例如：c>ping），遠程主機地址可以是本機地址、網(wǎng)關路由器地址，也可以是域名（如）。將捕獲到的數(shù)據(jù)保存為文件。2.使用Windows中ping命令的-l選項（例如：c>ping-l8000），制作大于8000字節(jié)的IP包并發(fā)送，捕獲后分析其分段傳輸?shù)陌Y(jié)構。5.2.2捕獲DHCP協(xié)議數(shù)據(jù)1.使用ipconfig命令釋放計算機的IP地址（c>ipconfig-release）；2.使用ipconfig命令重新申請IP地址（c>ipconfig-renew）。此時wireshark窗口中可以捕獲到完整的DHCP地址分配的流程，將捕獲到的數(shù)據(jù)保存為文件。5.2.3捕獲ARP協(xié)議數(shù)據(jù)采用與7.2.2相同的方法釋放IP地址并重新申請，在wireshark窗口中可以捕獲到ARP請求和響應消息，保存為文件。5.2.4捕獲TCP協(xié)議數(shù)據(jù)打開瀏覽器，輸入一個頁面內(nèi)容較簡單的網(wǎng)頁的URL，如；網(wǎng)頁全部顯示后關閉瀏覽器。5.3協(xié)議分析運行Wireshark軟件，打開所捕獲的數(shù)據(jù)文件，完成下列分析工作：1.IP包頭分析：對于采用ping命令-l選項捕獲的ICMP消息，對承載ICMP消息的IP包進行分析，記錄包頭各字段的值，對照講義和教材分析各字段的功能，并對于校驗和和分段進行驗證；2.ICMP消息分析：記錄并分析ICMP消息中分析各字段的功能；3.DHCP消息分析：針對一次地址分配過程（TransactionID相同的4個消息），分析其通信過程，畫出地址分配的消息序列圖，并記錄采用DHCP協(xié)議配置的各個參數(shù)。4.ARP消息分析：對照講義理解ARP的操作過程，記錄并分析消息中各字段的功能。5.TCP報頭及消息分析：針對TCP連接建立、連接釋放、數(shù)據(jù)和應答報文段，對照講義和教材分析各字段的功能；針對一次完整的TCP通信過程，畫出消息序列圖，應包含連接建立、數(shù)據(jù)傳送和連接釋放階段。上述分析工作應在實驗報告中進行詳細描述，具體要求參見第9節(jié)。5.4撰寫實驗報告按第9節(jié)的要求撰寫實驗報告，對于捕獲到的數(shù)據(jù)進行認真分析，歸納各協(xié)議的工作原理和實現(xiàn)要點。實驗步驟和實驗結(jié)果6.1：IP協(xié)議分析分組格式：實驗結(jié)果：1)采用ping命令-l選項捕獲的TCP消息字段報文（16進制）內(nèi)容包頭長度45包頭長度20字節(jié)服務類型00正常時延、吞吐量、可靠性總長度0028數(shù)據(jù)分組長40字節(jié)標識9d9d標識為40349標志40MF=0,DF=1，允許分片.片偏移4000片偏移量為0生存周期33生存周期為51秒?yún)f(xié)議06使用TCP協(xié)議首部校驗和36b7IP頭部校驗和為36b7源地址da1e67ed源地址：37目標地址0ace26a2目標地址：622)校驗原理及分析：檢驗和算法可以分成兩步來實現(xiàn)。首先在發(fā)送端，有以下三步：1.把即將發(fā)送的IP頭部中的檢驗和設置為0，然后以16位為一個間隔，將IP頭部分成許多個16位的字段；2.將第1步獲得的所有字段進行二進制相加求和；3.把最終結(jié)果取反，就得到檢驗和，再將該值填充到IP頭部。其次在接收端，也有相應的三步：1.把接收到的IP頭部分成16位一個間隔的字段集合；2.所有字段進行二進制相加求和；3.將最終結(jié)果取反，判斷該結(jié)果是否為0，若為0，則說明檢驗和正確，若不為0，則協(xié)議棧會丟掉這個包。計算：4500+0028+9d9d+4000+3306+36b7+da1e+67ed+0ace+26da=2fffd;2fffd+0002=2ffff;取反碼得到0，校驗正確。3）IP包分段原理:首先同一個數(shù)據(jù)報的所有分段包含同樣的Identification（標識）值，同時每一個分段使用DF、MF和offset來表示該分段的信息。1.DF代表不分段(Don’tFragment)，它讓路由器不要分割該數(shù)據(jù)報，因為目標主機無法將分片重組回原來的數(shù)據(jù)報，而數(shù)據(jù)報在分段后，此位置0；2.MF表示更多的分段(MoreFragment)，除了最后一個分段以外其他所有的分段必須設置這一位，將其置1，最后一個分段置0；3.Fragmentoffset分段偏移域指明了該分段在當前數(shù)據(jù)報中的什么位置上。除了一個數(shù)據(jù)包的最后一個分段以外，其他所有的分段必須是8字節(jié)的倍數(shù)，這里8字節(jié)是基本分段單位。由截獲的數(shù)據(jù)報來看，一共六段，除第一段offset為0外，其他各段偏移量為1480的倍數(shù)，也即前邊每一段數(shù)據(jù)報(除包頭)的長度，1480也為8的倍數(shù)，由此指明了各段在當前數(shù)據(jù)包中的位置。同時，除最后一段MF為0外，其他各段MF為1，表明各段不是一個完整的數(shù)據(jù)報，而是分割之后形成的分段。6.1ICMP分組分組格式：0001020304050607080910111213141516171819202122232425262728293031ip頭部（20字節(jié)）類型（0、8）代碼（0）校驗和標識符序列號選項（若有）實驗結(jié)果：ICMP功能：ICMP是（InternetControlMessageProtocol)Internet控制器報文協(xié)議。他是TCP/IP協(xié)議族的一個子協(xié)議，用于在IP主機、路由器之間傳遞控制消息。對IP報文傳輸時出現(xiàn)的差錯、擁塞、路由改變、以及路由器或主機信息的獲取等情況，向源端主機提交報告，由源主機采取相應措施，改進傳輸質(zhì)量。各字段功能：字段報文解釋類型Type：0Echo響應代碼Code：0Echo響應校驗和checksum：0xf3cb校驗和為0xf3cb校驗正確標識符Identifier（BE）：1Identifier（LE）：256標識符序列號Sequencenumber(BE):41Sequencenumber(LE):10496序列號DCHP協(xié)議分析分組格式：實驗結(jié)果：各字段功能OP:若是client送給server的封包，設為1，反向為2。HTYPE:硬件類別，Ethernet為1。HLEN:硬件地址長度，Ethernet為6。HOPS:若封包需經(jīng)過router傳送，每站加1，若在同一內(nèi)，為0。TRANSACTIONID:DHCPREQUEST時產(chǎn)生的數(shù)值，以作DHCPREPLY時的依據(jù)。SECONDS:Client端啟動時間（秒）。FLAGS:從0到15共16bits，最左一bit為1時表示server將以廣播方式傳送封包給client，其余尚未使用。Ciaddr:要是client端想繼續(xù)使用之前取得之IP地址，則列于這里。Yiaddr:從server送回client之DHCPOFFER與DHCPACK封包中，此欄填寫分配給client的IP地址。Siaddr:若client需要透過網(wǎng)絡開機，從server送出之DHCPOFFER、DHCPACK、DHCPNACK封包中，此欄填寫開機程序代碼所在server之地址。Giaddr:若需跨網(wǎng)域進行DHCP發(fā)放，此欄為relayagent的地址，否則為0。Chaddr:Client之硬件地址。Sname:Server之名稱字符串，以0x00結(jié)尾。File:若client需要透過網(wǎng)絡開機，此欄將指出開機程序名稱，稍后以TFTP傳送。Options:允許廠商定議選項（Vendor-SpecificArea)，以提供更多的設定信息查看DHCP的四次握手獲得IP地址，缺省路由DNS等參數(shù)的過程。在DOS窗口執(zhí)行命令ipconfig/release先釋放已經(jīng)申請的IP地址。2）DHCP服務器發(fā)送DHCPACK分配給客戶一個IP地址用戶收到DHCPoffer，并發(fā)送一個DHCPrequest來申請租用時間DHCP廣播發(fā)送DHCPoffer用戶申請發(fā)送DHCPdiscoverDHCP服務器發(fā)送DHCPACK分配給客戶一個IP地址用戶收到DHCPoffer，并發(fā)送一個DHCPrequest來申請租用時間DHCP廣播發(fā)送DHCPoffer用戶申請發(fā)送DHCPdiscover1.執(zhí)行ipconfig/renew更新所有適配器，由于本地主機沒有被分配到IP地址，并且也不知道DHCP服務器的地址，所以發(fā)送DHCPDiscover報文時，源地址為，目的地址為55。本地網(wǎng)絡上的所有主機都能收到DHCPDiscover報文。2.只有DHCP服務器收到這個DHCP，Discover報文后，向網(wǎng)絡廣播DHCPOffer報文作為回復。3.本地主機（）收到DHCPOffer報文后，向DHCP服務器發(fā)送DHCPRequest報文4．DHCP（）服務器收到DHCPRequest報文后，回復DHCPACK報文，給本地主機分配一個IP地址。本地主機就得到了一個臨時IP地址（0）。至此四次握手完成。在我捕獲到的消息中，DHCPsever由路由器充當，無DHCPrelay,因為在同一網(wǎng)段內(nèi)。ARP協(xié)議分析ARP分組格式：實驗結(jié)果：本地局域網(wǎng)內(nèi)的主機用廣播的方式發(fā)送ARP報文，來獲取彼此的硬件地址。ARP基本功能：在以太網(wǎng)協(xié)議中規(guī)定，同一局域網(wǎng)中的一臺主機要和另一臺主機迚行直接通信，必須要知道目標主機的MAC地址。而在TCP/IP協(xié)議棧中，網(wǎng)絡層和傳輸層只關心目標主機的IP地址。這就導致在以太網(wǎng)中使用IP協(xié)議時，數(shù)據(jù)鏈路層的以太網(wǎng)協(xié)議接到上層IP協(xié)議提供的數(shù)據(jù)中，只包含目的主機的IP地址。于是需要一種方法，根據(jù)目的主機的IP地址，獲得其MAC地址。這就是ARP協(xié)議要做的事情。所謂地址解析（addressresolution）就是主機在發(fā)送幀前將目標IP地址轉(zhuǎn)換成目標MAC地址的過程。ARP報文的格式：①硬件類型：指明硬件的類型，以太網(wǎng)是1。②協(xié)議類型：指明發(fā)送者映射到數(shù)據(jù)鏈路標識的網(wǎng)絡層協(xié)議的類型；IP對應0x0800。③硬件地址長度：也就是MAC地址的長度，單位是字節(jié)，這里是6。④協(xié)議地址長度：網(wǎng)絡層地址的長度，即IP地址長度，單位是字節(jié)。⑤操作：指明是ARP請求、還是ARP應答。TCP協(xié)議分析1）TCP報文段的首部各字段的功能，以表格的方式總結(jié)每個字段的名字、長度和功能。源端口和目的端口域標明了一個連接的兩個端點(16位)+(16位)序列號發(fā)送TCP包的序列(32位)確認號指定下一個期望的字節(jié)(32位)TCP頭長度指明在頭部TCP頭部包含多少個32位的字（4位）+后邊的（6位保留位）+（6位標志域）URG用來指示出緊急數(shù)據(jù)在當前數(shù)據(jù)段中的位置ACK表示是否包含確認信息PUSH表示這是帶有PUSH標志的數(shù)據(jù)RST被用于重置一個已經(jīng)混亂的連接SYN被用于建立連接的過程FIN被用于釋放一個連接窗口大小表示接收方的窗口大小(16位)校驗和提供額外可靠性（16位）緊急指針16位，指向后面是優(yōu)先數(shù)據(jù)的字節(jié)，在URG標志設置了時才有效可選項：長度不定，但長度必須以字節(jié)。如果沒有選項就表示這個一字節(jié)的域等于0。數(shù)據(jù)的開始處偏移量能夠被32整除，一般額外的零以保證TCP頭是32位的整數(shù)倍。針對連接建立消息和連接釋放消息，分析相應標志位和序號的作用，參照講義中的示例畫出連接建立和連接釋放過程的消息序列圖，在圖上標出對應的標志位和序號。建立連接:在TCP/IP協(xié)議中，TCP協(xié)議提供可靠的連接服務，采用三次握手建立一個連接。第一次握手：建立連接時，客戶端發(fā)送syn包(syn=j)到服務器，并進入SYN_SEND狀態(tài)，等待服務器確認；第二次握手：服務器收到syn包，必須確認客戶的SYN（ack=j+1），同時自己也發(fā)送一個SYN包（syn=k），即SYN+ACK包，此時服務器進入SYN_RECV狀態(tài)；第三次握手：客戶端收到服務器的SYN＋ACK包，向服務器發(fā)送確認包ACK(ack=k+1)，此包發(fā)送完畢，客戶端和服務器進入ESTABLISHED狀態(tài)，完成三次握手。完成三次握手，客戶端與服務器開始傳送數(shù)據(jù)釋放連接:雖然TCP連接是全雙工的，但可將其視為一對單工連接，每個連接單獨釋放，兩個單工之間獨立。步驟:客戶端1發(fā)送一個FIN，用來關閉1到2的數(shù)據(jù)發(fā)送服務器2收到這個FIN，它發(fā)回一個ACK，確認序號為收到的序號+1，和SYN一樣，一個FIN將占用一個序號服務器2關閉與客戶端1的連接，發(fā)送一個FIN給客戶端1客戶端1發(fā)回ACK報文確認，并將確認信號設置為收到序號+1ack=x+1ack=yack=x+1ack=y3）針對TCP的數(shù)據(jù)傳輸過程中的數(shù)據(jù)報文段和應答報文段，分析發(fā)送序號、應答序號、應答標志位、窗口大小、數(shù)據(jù)長度、MSS等字段的作用，參照講義中的示例畫出數(shù)據(jù)傳輸過程的消息序列圖，其中應包括數(shù)據(jù)校驗錯和數(shù)據(jù)丟失導致的數(shù)據(jù)重傳情形，在圖上應標出對應的序號、標志位和窗口大小。每個TCP報文頭部都包含源端口號（sourceport）和目的端口號（destinationport），用于標識和區(qū)分源端設備和目的端設備的應用進程。在TCP/IP協(xié)議棧中，源端口號和目的端口號分別與源IP地址和目的IP地址組成套接字（socket），唯一的確定一條TCP連接。序列號（Sequencenumber）字段用來標識TCP源端設備向目的端設備發(fā)送的字節(jié)流，它表示在這個報文段中的第一個數(shù)據(jù)字節(jié)。如果將字節(jié)流看作在兩個應用程序間的單向流動，則TCP用序列號對每個字節(jié)進行計數(shù)。序列號是一個32bits的數(shù)。既然每個傳輸?shù)淖止?jié)都被計數(shù)，確認序號（Acknowledgementnumber，32bits）包含發(fā)送確認的一端所期望接收到的下一個序號。因此，確認序號應該是上次已成功收到的數(shù)據(jù)字節(jié)序列號加1。TCP的流量控制由連接的每一端通過聲明的窗口大?。╳indowssize）來提供。窗口大小用數(shù)據(jù)包來表示，例如Windowssize=3,表示一次可以發(fā)送三個數(shù)據(jù)包。窗口大小起始于確認字段指明的值，是一個16bits字段。窗口大小可以調(diào)節(jié)。校驗和（checksum）字段用于校驗TCP報頭部分和數(shù)據(jù)部分的正確性。最常見的可選字段是MSS（MaximumSegmentSize，最大報文大?。?。MSS指明本端所能夠接收的最大長度的報文段。當一個TCP連接建立時，連接的雙方都要通告各自的MSS協(xié)商可以傳輸?shù)淖畲髨笪拈L度。我們常見的MSS有1024（以太網(wǎng)可達1460字節(jié)）字節(jié)。對照教材6-33圖，理解TCP狀態(tài)轉(zhuǎn)換的過程，按照你所捕獲的消息，畫出Client側(cè)的狀態(tài)轉(zhuǎn)換圖，并進行解釋。Closed-returntofirststepTimedwaitHostconnectClos