IP网络协议分析Word格式文档下载.docx
《IP网络协议分析Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《IP网络协议分析Word格式文档下载.docx(15页珍藏版)》请在冰豆网上搜索。
网络工程实验室2008年11月12日
实验题目
TCP/IP网络协议分析
一、实验目的
1.通过实验,学习和掌握TCP/IP协议分析的方法及其相关工具的使用;
2.熟练掌握TCP/IP体系结构;
3.学会使用网络分析工具;
4.网络层、传输层和应用层有关协议分析。
二、设备与环境
●Windows2003server操作系统
●TCP/IP协议
●Sniffer工具软件
三、实验内容
1.要求掌握网络抓包软件Sniffer内容包括:
●捕获网络流量进行详细分析
●利用专家分析系统诊断问题
●实时监控网络活动
●收集网络利用率和错误等
2.协议分析
(一):
IP协议,内容包括:
●IP头的结构
●IP数据报的数据结构分析
3.协议分析
(二):
TCP/UDP协议,内容包括:
●TCP协议的工作原理
●TCP/UDP数据结构分析
4.协议分析(三):
应用层协议分析,内容包括:
完整的FTP会话分析。
四、实验步骤
1)安装Sniffer进行抓包练习
a.安装好Sniffer。
b.捕获网络流量进行详细分析。
在Sniffer中选择Capture->
Start。
进行网络流量捕获。
打开浏览器登陆增加网络流量。
停止捕获,对所截获的网络流量进行分析。
1.选择DashBoard查看网络状态,如图:
图一
上图中,第一个仪表盘表示网络利用率,第二个表示包的速率,第三个是错误率,红色表示报警值。
按Detail查看具体数值:
图二
2.选择Decode进行分析。
如图三。
可以看到详细的数据流如图中的arp,tcp和dns等等。
图三
2.选择Matrix,查看流量分布。
如图四。
非常直观的显示流量分布情况。
图四
4.选择Hosttable查看主机表,如图五。
可以看到所有主机的mac地址和包的出入。
图五
5.选择ProtocolDistribution查看协议分布,如图。
图中显示了dns、http、netbios等协议的分布情况。
图六
2)分析ip协议
1.IP数据报头的结构:
版本
首部长度
区分服务
总长度
标识
标志
片偏移
生存时间
协议
首部检验和
源地址
目标地址
选项
填充
表1.IP数据报的格式
版本:
传输数据的IP版本,4位
首部长度:
规定报头长度
区分服务:
用于设置数据传输的优先权或者优先级,8位
总长度:
指出数据报的总长,16位
标识:
用于标识所有的分段,16位
标志:
确定一个数据报是否可分段也指出当前分段后面是否还有分段,3位
片偏移:
用于查找分段在整个数据报中的相对位置,13位
生存时间:
设置数据报可以经过的最多路由器数。
8位
协议:
指定用于创建数据字段中的数据的上层协议,大小为8位
检验和:
检查所传输数据的完整性,大小为16位
源地址:
源IP地址,字段长度为32位
目标地址:
目标IP地址,字段长度为32位
选项:
不上一个必须的字段,字段长度具体取决于所选择的IP选项
2.实例分析。
定义过滤器只允许ICMP、dns(tcp、udp)
在cmd中ping得到抓包结果如下。
图七
显然,前两条为DNS查询和回应,后8条为ICMP的请求和回应。
我们分析下加亮的数据包,将IP协议展开后如图:
图八
下面分析IP数据报的数据结构:
4,表示当前网络中为IPv4;
头部长度:
20,表示IP报头长度为20字节;
0,表示当前IP数据包中没有使用服务类型字段;
60,表示该数据报总长为60字节;
表示该数据报的标识为4098;
0X,表示该数据报能被分段,且为最好一个数据报片;
0,该分段偏移量为0;
128,表示该数据报最多可以经过128个路由;
1,代表ICMP协议;
该数据报校验和为3F2A(正确),表示该数据报是完整的;
源IP地址:
118.230.132.80(本机IP);
目标IP地址:
203.208.33.100(G.cn的ip地址);
该数据报没有选项字段;
3)分析tcp/udp协议
1.TCP协议的工作原理:
<
1>
TCP连接建立:
TCP的连接建立过程又称为TCP三次握手。
首先发送方主机向接收方主机发起一个建立连接的同步(SYN)请求;
接收方主机在收到这个请求后向送方主机回复一个同步/确认(SYN/ACK)应答;
发送方主机收到此包后再向接收方主机发送一个确认(ACK),此时TCP连接成功建立;
2>
TCP数据传送:
TCP是一种可靠传输的协议,它在传输的过程中使用序列号和确认号来跟踪数据的接收情况;
在传输过程中,如果在重传超时时间内没有收到接收方主机对某数据包的确认回复,发送方主机就认为此数据包丢失,并再次发送这个数据包给接收方,这称为TCP重传;
TCP并不总是在接收到数据后立即对其进行确认,它允许主机在接收数据的同时发送自己的确认信息给对方;
TCP是可靠传输的协议,它提供校验和计算来实现数据在传输过程中的完整性。
3>
TCP连接释放:
发送方主机和目的主机建立TCP连接并完成数据传输后,会发送一个将结束标记置1的数据包,然后经过四次握手释放本次连接。
2.TCP数据结构分析
启动抓包,打开浏览器登陆页面完全显示后关闭浏览器。
抓到如图所示数据包。
图九
此数据包为建立http连接的TCP数据包,图中可以清晰的看到SYN,SYN_ACK,ACK三次握手的过程。
下面对TCP数据结构进行分析,如图
图十
源端口:
2990;
目标端口:
80(属于HTTP服务);
序列号:
TCP数据包序列号为1851570156;
确认号:
期望收到下个报文段的首字节序号1851570157;
TCP偏移量:
TCP数据报首部长28字节;
仅有SYN=1,表示这是一个连接请求;
窗口:
表示接收端能够接收的下一段的大小65535;
校验和:
686D(正确),表示数据没有被修改和损坏,是完整的;
紧急指针:
URG=0,这里无紧急指针;
最大报文段MSS为1460字节;
选择选项SACK;
3.UDP数据结构分析
由于DNS属于UDP数据包,直接将第一次ping的抓包记录分析即可。
如图:
图十一
1893目的端口53(DNS服务);
数据长度:
34字节;
8844(正确);
数据部分:
26字节的数据;
4)分析ftp协议
1.
启动抓包,登陆ftp服务器,下载一个文件,退出,查看抓包数据。
如图所示:
2.主机与服务器经过SYN,SYN_ACK,ACK三次握手建立连接后,FTP协议开始工作,如图:
FTP会话建立过程:
a)服务器发送相关信息(前三行FTP数据包);
b)主机发送用户名wss(USERwss);
c)服务器要求密码(Passwordrequiredforwss);
d)主机发送密码wss(PASSwss)[FTP中密码用明文形式发送];
e)密码正确,登陆成功(230Loggedon);
f)主机请求公告消息,服务器回应(略);
g)主机请求列查看当前目录(PWD);
h)服务器回应(”/”iscurrentdirectory);
i)主机请求ASCII传送模式(TYPEA);
j)服务器回应(TypesettoA);
k)主机请求使用被动模式(PASV);
l)服务器回应进入被动模式(EnteringPassiveMode);
m)主机请求列目录(LIST);
n)服务器接收并传输数据(Connectionaccepted,transfer);
o)主机ftp客户端列出文件及目录。
FTP文件传输过程:
(图)
a)
主机请求进入wl目录(CWD/wl/);
b)服务器响应(CWDsuccessful.’/wl/’iscurrentdirectory);
c)主机请求ASCII传送模式(TYPEA);
d)服务器回应(TypesettoA);
e)主机请求使用被动模式(PASV);
f)服务器回应进入被动模式(EnteringPassiveMode);
g)主机请求列目录(LIST);
h)服务器接收并传输数据(Connectionaccepted,transfer);
i)主机ftp客户端列出文件及目录;
j)主机请求复制文件到本地;
k)服务器和主机协调ASCII和被动模式进行传输。
l)传输完毕,客户端进入源目录。
五、协议验证及结果分析
经过此次试验,我对Sniffer软件有了更为深刻的认识,知道了它功能强大,使网络分析和排错的重要工具。
通过对IP、TCP、UDP、FTP协议的分析对TCP/IP协议族有了更进一步的认识。
但实验只是一小部分,在以后的学习中应该加强对网络协议的分析,这样才能加深对网络工作原理的理解。
教师评价
评定项目
A
B
C
D
基本网络传输模型清楚
操作熟练
基本网络原理清楚
解析完整
网络协议理解正确
文字流畅
分析协议正确
报告规范
其他:
评价教师签名:
年月日
升级会员 