1、TCPIP實(shí)驗(yàn)指導(dǎo)書信息科學(xué)與工程學(xué)院2011目錄實(shí)驗(yàn)一Wirechark使用3實(shí)驗(yàn)二 HTTP協(xié)議分析21實(shí)驗(yàn)三 FTP協(xié)議分析24實(shí)驗(yàn)四 DNS實(shí)驗(yàn)28實(shí)驗(yàn)五 TCP協(xié)議分析33實(shí)驗(yàn)六 IP協(xié)議實(shí)驗(yàn)36實(shí)驗(yàn)七 ICMPv4協(xié)議分析38實(shí)驗(yàn)八 ARP協(xié)議分析39實(shí)驗(yàn)一Wirechark使用一、實(shí)驗(yàn)?zāi)康?、學(xué)習(xí)使用Wireshark協(xié)議分析工具進(jìn)行數(shù)據(jù)報(bào)的抓取、過濾。2、對(duì)報(bào)文進(jìn)行分析二、實(shí)驗(yàn)內(nèi)容在成功運(yùn)行Wireshark之后，我們就可以進(jìn)入下一步，更進(jìn)一步了解這個(gè)強(qiáng)大的工具。下面是一張地址為的計(jì)算機(jī)正在訪問“”網(wǎng)站時(shí)的截圖。1.MENUS（

2、菜單）程序上方的8個(gè)菜單項(xiàng)用于對(duì)Wireshark進(jìn)行配置：- File（文件）- Edit （編輯）- View（查看）- Go （轉(zhuǎn)到）- Capture（捕獲）- Analyze（分析）- Statistics （統(tǒng)計(jì)）- Help （幫助）打開或保存捕獲的信息。查找或標(biāo)記封包。進(jìn)行全局設(shè)置。設(shè)置Wireshark的視圖。跳轉(zhuǎn)到捕獲的數(shù)據(jù)。設(shè)置捕捉過濾器并開始捕捉。設(shè)置分析選項(xiàng)。查看Wireshark的統(tǒng)計(jì)信息。查看本地或者在線支持。2.SHORTCUTS（快捷方式）在菜單下面，是一些常用的快捷按鈕。您可以將鼠標(biāo)指針移動(dòng)到某個(gè)圖標(biāo)上以獲得其功能說明。3.DISPLAY FILTER（顯示

3、過濾器）顯示過濾器用于查找捕捉記錄中的內(nèi)容。請(qǐng)不要將捕捉過濾器和顯示過濾器的概念相混淆。請(qǐng)參考Wireshark過濾器中的詳細(xì)內(nèi)容。4.PACKET LIST PANE（封包列表）封包列表中顯示所有已經(jīng)捕獲的封包。在這里您可以看到發(fā)送或接收方的MAC/IP地址，TCP/UDP端口號(hào)，協(xié)議或者封包的內(nèi)容。如果捕獲的是一個(gè)OSI layer 2的封包，您在Source（來源）和Destination（目的地）列中看到的將是MAC地址，當(dāng)然，此時(shí)Port（端口）列將會(huì)為空。如果捕獲的是一個(gè)OSI layer 3或者更高層的封包，您在Source（來源）和Destination（目的地）列中看到的將是

4、IP地址。Port（端口）列僅會(huì)在這個(gè)封包屬于第4或者更高層時(shí)才會(huì)顯示。您可以在這里添加/刪除列或者改變各列的顏色：Edit menu - Preferences5.PACKET DETAILS PANE（封包詳細(xì)信息）這里顯示的是在封包列表中被選中項(xiàng)目的詳細(xì)信息。信息按照不同的OSI layer進(jìn)行了分組，您可以展開每個(gè)項(xiàng)目查看。下面截圖中展開的是HTTP信息。6.DISSECTOR PANE（16進(jìn)制數(shù)據(jù)）“解析器”在Wireshark中也被叫做“16進(jìn)制數(shù)據(jù)查看面板”。這里顯示的內(nèi)容與“封包詳細(xì)信息”中相同，只是改為以16進(jìn)制的格式表述。在上面的例子里，我們?cè)凇胺獍敿?xì)信息”中選擇查看T

5、CP端口（80），其對(duì)應(yīng)的16進(jìn)制數(shù)據(jù)將自動(dòng)顯示在下面的面板中（0050）。7.MISCELLANOUS（雜項(xiàng)）在程序的最下端，您可以獲得如下信息：- - 正在進(jìn)行捕捉的網(wǎng)絡(luò)設(shè)備。- 捕捉是否已經(jīng)開始或已經(jīng)停止。- 捕捉結(jié)果的保存位置。- 已捕捉的數(shù)據(jù)量。- 已捕捉封包的數(shù)量。(P)- 顯示的封包數(shù)量。(D) (經(jīng)過顯示過濾器過濾后仍然顯示的封包)- 被標(biāo)記的封包數(shù)量。(M)使用Wireshark時(shí)最常見的問題，是當(dāng)您使用默認(rèn)設(shè)置時(shí)，會(huì)得到大量冗余信息，以至于很難找到自己需要的部分。這就是為什么過濾器會(huì)如此重要。它們可以幫助我們?cè)邶嬰s的結(jié)果中迅速找到我們需要的信息。捕捉過濾器：用于決定將什么樣

6、的信息記錄在捕捉結(jié)果中。需要在開始捕捉前設(shè)置。顯示過濾器：在捕捉結(jié)果中進(jìn)行詳細(xì)查找。他們可以在得到捕捉結(jié)果后隨意修改。那么我應(yīng)該使用哪一種過濾器呢？兩種過濾器的目的是不同的。捕捉過濾器是數(shù)據(jù)經(jīng)過的第一層過濾器，它用于控制捕捉數(shù)據(jù)的數(shù)量，以避免產(chǎn)生過大的日志文件。顯示過濾器是一種更為強(qiáng)大（復(fù)雜）的過濾器。它允許您在日志文件中迅速準(zhǔn)確地找到所需要的記錄。兩種過濾器使用的語法是完全不同的。我們將在接下來的幾頁中對(duì)它們進(jìn)行介紹： 1.捕捉過濾器 2.顯示過濾器1. 捕捉過濾器捕捉過濾器的語法與其它使用Lipcap（Linux）或者Winpcap（Windows）庫開發(fā)的軟件一樣，比如著名的TCPdum

7、p。捕捉過濾器必須在開始捕捉前設(shè)置完畢，這一點(diǎn)跟顯示過濾器是不同的。設(shè)置捕捉過濾器的步驟是：- 選擇 capture - options。- 填寫capture filter欄或者點(diǎn)擊capture filter按鈕為您的過濾器起一個(gè)名字并保存，以便在今后的捕捉中繼續(xù)使用這個(gè)過濾器。- 點(diǎn)擊開始（Start）進(jìn)行捕捉。語法：ProtocolDirectionHost(s)ValueLogical OperationsOther expression例子：tcpdst80andtcp dst 3128Protocol（協(xié)議）:可能的值: ether, fddi,

8、 ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.如果沒有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議。Direction（方向）:可能的值: src, dst, src and dst, src or dst如果沒有特別指明來源或目的地，則默認(rèn)使用 src or dst 作為關(guān)鍵字。例如，host 與src or dst host 是一樣的。Host(s):可能的值： net, port, host, portrange.如果沒有指定此值，則默認(rèn)使用host關(guān)鍵字。例如，src 10.1.1

9、.1與src host 相同。Logical Operations（邏輯運(yùn)算）:可能的值：not, and, or.否(not)具有最高的優(yōu)先級(jí)?；?or)和與(and)具有相同的優(yōu)先級(jí)，運(yùn)算時(shí)從左至右進(jìn)行。例如，not tcp port 3128 and tcp port 23與(not tcp port 3128) and tcp port 23相同。not tcp port 3128 and tcp port 23與not (tcp port 3128 and tcp port 23)不同。例子：tcp dst port 3128顯示目的TCP端口為3128的封包。ip

10、src host 顯示來源IP地址為的封包。host 顯示目的或來源IP地址為的封包。src portrange 2000-2500顯示來源為UDP或TCP，并且端口號(hào)在2000至2500范圍內(nèi)的封包。not imcp顯示除了icmp以外的所有封包。（icmp通常被ping工具使用）src host 2 and not dst net /16顯示來源IP地址為2，但目的地不是/16的封包。(src host 2 or src net 10.6.

11、0.0/16) and tcp dst portrange 200-10000 and dst net /8顯示來源IP為2或者來源網(wǎng)絡(luò)為/16，目的地TCP端口號(hào)在200至10000之間，并且目的位于網(wǎng)絡(luò)/8內(nèi)的所有封包。注意事項(xiàng)：當(dāng)使用關(guān)鍵字作為值時(shí)，需使用反斜杠“”。ether proto ip (與關(guān)鍵字ip相同).這樣寫將會(huì)以IP協(xié)議作為目標(biāo)。ip proto icmp (與關(guān)鍵字icmp相同).這樣寫將會(huì)以ping工具常用的icmp作為目標(biāo)?？梢栽趇p或ether后面使用multicast及broadcast關(guān)鍵字。當(dāng)

12、您想排除廣播請(qǐng)求時(shí)，no broadcast就會(huì)非常有用。查看TCPdump的主頁以獲得更詳細(xì)的捕捉過濾器語法說明。在Wiki Wireshark website上可以找到更多捕捉過濾器的例子。2.顯示過濾器：通常經(jīng)過捕捉過濾器過濾后的數(shù)據(jù)還是很復(fù)雜。此時(shí)您可以使用顯示過濾器進(jìn)行更加細(xì)致的查找。它的功能比捕捉過濾器更為強(qiáng)大，而且在您想修改過濾器條件時(shí)，并不需要重新捕捉一次。語法：Protocol.String 1.String 2ComparisonoperatorValueLogicalOperationsOtherexpression例子：ftppassiveip=xori

13、cmp.typeProtocol（協(xié)議）:您可以使用大量位于OSI模型第2至7層的協(xié)議。點(diǎn)擊Expression.按鈕后，您可以看到它們。比如：IP，TCP，DNS，SSH您同樣可以在如下所示位置找到所支持的協(xié)議：Wireshark的網(wǎng)站提供了對(duì)各種協(xié)議以及它們子類的說明。String1, String2(可選項(xiàng)):協(xié)議的子類。點(diǎn)擊相關(guān)父類旁的+號(hào)，然后選擇其子類。Comparison operators （比較運(yùn)算符）:可以使用6種比較運(yùn)算符：英文寫法：C語言寫法：含義：eq=等于ne!=不等于gt大于lt=大于等于le服務(wù)器服務(wù)器-客戶端三、實(shí)驗(yàn)總結(jié)四、附錄FTP命令的使用下面逐一介紹常用

14、的FTP命令的格式和功能。（1） FTP的命令行格式為：ftp 主機(jī)名功能：進(jìn)入FTP命令狀態(tài)，如果后跟主機(jī)名，則直接打開相應(yīng)的主機(jī)。（2） open功能：用于與遠(yuǎn)程計(jì)算機(jī)建立連接。服務(wù)器將提示用戶輸入用戶名和密碼，用戶可以使用注冊(cè)賬號(hào)登錄，也可以使用匿名賬號(hào)登錄。完成登錄后，就可以輸入其他命令完成用戶指定的操作。格式：open FTP服務(wù)器地址例如：open 或open 如果能夠連接到所指定的FTP服務(wù)器，則會(huì)依次提示輸入user(賬號(hào))和password(口令)，如果輸入正確，系統(tǒng)會(huì)提示loggedin(已經(jīng)成功登錄)。（3） cd功能：改

15、變當(dāng)前工作目錄，格式與DOS命令“cd”相同。例如：cd pub是將當(dāng)前目錄改變到pub子目錄(這里的目錄路徑使用了相對(duì)路徑)。（4） mkdir功能：創(chuàng)建一個(gè)新目錄。格式：mkdir 新目錄名(包含目錄的路徑)例如：mkdir .newdir在當(dāng)前目錄的上級(jí)目錄中建立新目錄newdir。（5） get功能：從服務(wù)器上取一個(gè)文件。格式：get 源文件 目的文件例如：get winzip.exe winzip.exe如果目的文件省略，則下載的文件將以原文件名保存到本地計(jì)算機(jī)的當(dāng)前用戶目錄中。（6） mget功能：從服務(wù)器上取多個(gè)文件。格式：mget 源文件列表(各文件名以空格隔開，文件名中可包含

16、通配符)例如：mget *.exe *.dat（7） put功能：將本地計(jì)算機(jī)的文件傳輸?shù)竭h(yuǎn)程服務(wù)器上的當(dāng)前目錄中。格式：put 源文件例如：put d:aywordw10.doc（8） mput功能：將本地計(jì)算機(jī)上的一批文件傳輸?shù)竭h(yuǎn)程計(jì)算機(jī)上。格式：mput 源文件例如：mput d:Amyword*.doc（9） help功能：用于顯示每個(gè)命令的幫助信息。格式：help 命令名(當(dāng)命令名省略時(shí)，顯示所有命令的幫助信息)例如：help put實(shí)驗(yàn)四 DNS實(shí)驗(yàn)一、實(shí)驗(yàn)?zāi)康?、熟悉并掌握WireShark的基本操作，了解網(wǎng)絡(luò)協(xié)議實(shí)體間的交互以 及報(bào)文交 換。2、分析DNS協(xié)議二、實(shí)驗(yàn)內(nèi)容借助于

17、網(wǎng)絡(luò)分析議WireShark捕獲HTTP、TCP、DNS報(bào)文， 分析DNS報(bào)文頭結(jié)構(gòu)，理解其具體意義。跟蹤DNSnslookup工具允許主機(jī)向指定的DNS服務(wù)器查詢某個(gè)DNS記錄。如果沒有指明DNS服務(wù)器，nslookup將把查詢請(qǐng)求發(fā)向默認(rèn)的DNS服務(wù)器。nslookup的一般格式是：nslookup option1 option2 host-to-find dns-serveripconfig命令用來顯示你當(dāng)前的TCP/IP信息，包括：你的地址、DNS服務(wù)器的地址、適配器的類型等信息。如果，要顯示與主機(jī)相關(guān)的信息用命令：ipconfig/all如果查看DNS緩存中的記錄用命令：ipconf

18、ig/displaydns要清空DNS緩存，用命令：ipconfig /flushdns運(yùn)行以上命令需要進(jìn)入MSDOS環(huán)境。(開始菜單運(yùn)行輸入命令“cmd”)利用ipconfig命令清空主機(jī)上的DNS緩存。啟動(dòng)瀏覽器，并將瀏覽器的緩存清空。啟動(dòng)WireShark，在顯示過濾篩選規(guī)則編輯框處輸入：“ip.addr = = your_IP_address”(如：ip.addr= =3)過濾器將會(huì)刪除所有目的地址和源地址與指定IP地址都不同的分組。開始Ethereal(或WireShark)分組捕獲。在瀏覽器的地址欄中輸入：或者h(yuǎn)ttp:/mai

19、需要回答的問題定位到DNS查詢消息和查詢響應(yīng)報(bào)文，這兩種報(bào)文的發(fā)送是基于UDP還是基于TCP的？DNS查詢消息的目的端口號(hào)是多少？DNS查詢響應(yīng)消息的源端口號(hào)是多少？DNS查詢消息發(fā)送的目的地的IP地址是多少？利用ipconfig命令（ipconfig/all）查看你主機(jī)的本地DNS服務(wù)器的IP地址。這兩個(gè)地址相同嗎？檢查DNS查詢消息，它是哪一類型的DNS查詢？該查詢報(bào)文中包含“answers”嗎？檢查DNS查詢響應(yīng)消息，其中共提供了多少個(gè)“answers”？每個(gè)answers包含哪些內(nèi)容？考慮一下你的主機(jī)隨后發(fā)送的TCP SYN Segment， 包含SYN S

20、egment的IP分組頭部中目的IP地址是否與在DNS查詢響應(yīng)消息中提供的某個(gè)IP地址相對(duì)應(yīng)？打開的WEB頁中包含圖片，在獲取每一個(gè)圖片之前，你的主機(jī)發(fā)出新的DNS查詢了嗎？實(shí)驗(yàn)五 TCP協(xié)議分析一、實(shí)驗(yàn)?zāi)康?、掌握TCP協(xié)議的報(bào)文形式；2、掌握TCP連接的建立和釋放過程；3、掌握TCP數(shù)據(jù)傳輸中編號(hào)與確認(rèn)的過程；4、理解TCP重傳機(jī)制。二、實(shí)驗(yàn)內(nèi)容1、TCP協(xié)議報(bào)文結(jié)構(gòu)，如下圖所示2、連接的建立和釋放重復(fù)實(shí)驗(yàn)3中連接FTP服務(wù)器的操作。找到一組數(shù)據(jù)，你會(huì)發(fā)現(xiàn)，它有SYN, SYN，ACK，ACK，這就是TCP地三次握手。源主機(jī)先向目的主機(jī)發(fā)送SYN同步請(qǐng)求，再由目的主機(jī)收到后向源主機(jī)發(fā)送SY

21、N+ACK同步確認(rèn)請(qǐng)求，源主機(jī)收到后向目的主機(jī)發(fā)送ACK確認(rèn)請(qǐng)求。連接建立完成。類似下圖所示：記錄你抓到的三次握手的報(bào)文參數(shù)報(bào)文號(hào)SYNACKSequence NumberwinMSS1233、斷開FTP連接，尋找TCP斷開的過程報(bào)文。4、再次連接FTP服務(wù)器，并選擇一個(gè)文件進(jìn)行下載，分析跟文件下載有關(guān)的TCP報(bào)文。記錄FTP客戶機(jī)發(fā)與FTP服務(wù)器之間相互發(fā)送的確認(rèn)號(hào)，并分析在整個(gè)文件下載過程中WIN大小的變化情況。序號(hào)C-S 確認(rèn)號(hào)S-C確認(rèn)號(hào)WIN5、自己設(shè)計(jì)一個(gè)實(shí)驗(yàn)來分析TCP重傳機(jī)制（課外）。三、實(shí)驗(yàn)總結(jié)實(shí)驗(yàn)六 IP協(xié)議實(shí)驗(yàn)一、實(shí)驗(yàn)?zāi)康?、掌握IP報(bào)文的結(jié)構(gòu)和首部各字段的含義；2、掌握

22、基本的IP報(bào)文分析方法；3、掌握IP數(shù)據(jù)包的分片和重組的方法。二、實(shí)驗(yàn)內(nèi)容1、采用ping 目標(biāo)主機(jī)IP -l 6000方式，來抓取IP分片過程，觀察各報(bào)文中標(biāo)識(shí)、片偏移的值。填寫下表序號(hào)報(bào)文總長度標(biāo)識(shí)標(biāo)志片偏移三、實(shí)驗(yàn)總結(jié)實(shí)驗(yàn)七 ICMPv4協(xié)議分析一、實(shí)驗(yàn)?zāi)康?、熟練掌握Ping命令使用操作，；2、理解ICMP協(xié)議和報(bào)文。二、實(shí)驗(yàn)內(nèi)容1、 ping命令形式ping -t -a -n count -l size -f -i TTL -v TOS -r count -s count -j host-list | -k host-list -w timeout 目的主機(jī)/IP地址2、連續(xù)發(fā)送ping探測(cè)報(bào)文: ping t 192、168、0、88Ctrl+Break查看統(tǒng)計(jì)信息，Ctrl+C結(jié)束命令3、 自選數(shù)據(jù)長度的ping探測(cè)報(bào)文: ping 目的主機(jī)/IP地址 -l size4、 不允許對(duì)ping探測(cè)報(bào)分片: ping 目的主機(jī)/IP地址 -f 5、修改ping命令的請(qǐng)求超時(shí)時(shí)間ping 目的主機(jī)/IP地址 -w 指定等待每個(gè)回送應(yīng)答的超時(shí)時(shí)間，單位為毫秒，默認(rèn)值為1000毫秒實(shí)驗(yàn)八 ARP協(xié)議分析一、實(shí)驗(yàn)?zāi)康?、掌握ARP協(xié)議的