运算机网络抓包实验分析.docx
《运算机网络抓包实验分析.docx》由会员分享,可在线阅读,更多相关《运算机网络抓包实验分析.docx(10页珍藏版)》请在冰豆网上搜索。
运算机网络抓包实验分析
辽宁工业大学
创新实验(论文)
题目运算机网络抓包实验分析
电子与信息工程学院院(系)啊啊啊专业班
学生姓名
学号
指导教师
开题日期:
2010年6月10日
实验目的
通过软件捕捉网络流量,分析数据报结构,能够加倍清楚地把握网络分层的思想,从感性熟悉飞跃到理性熟悉。
再通过捕捉各个具体协议的通信数据包,一步一步具体分析其实现步骤,加倍具体地把握协议的实现进程。
实验内容
本次实验包括五项实验内容。
别离是捕捉报文大体分析实验、捕捉并分析地址识变协议(ARP)、捕捉并分析因特网操纵信息协议、捕捉并分析传输操纵协议、捕捉并分析用户数据报协议。
1.任意捕捉一个数据包,分析其数据链路层格式、网络层格式和传输层格式,加深对运算机网络分层概念的明白得。
2.地址识变协议(ARP)是LAN环境中最重要的协议之一。
ARP许诺你的网络上利用的设备自动将物理(MAC)地址映射为IP地址,因此需要对ARP有很详细的了解,并清楚它是如何工作的。
3.传输操纵协议(TCP)是因特网上最经常使用的第四层协议,TCP能够保证数据传输的靠得住性。
很多因特网效劳,比如HTTP、FTP、SMTP和Telnet,都要依托TCP来传输数据。
另外,很多传统的LAN程序,比如文件传输和SQL也都要利用TCP/IP。
4.用户数据报协议(UDP)是网络上另外一种很经常使用的第四层协议。
UDP由很多上层协议利用-例如,SNMP、一般文件传输协议(TFTP)和DNS-当DNS请求需要解析时(DNS在进行区域传输时利用TCP)。
因此,要很清楚的明白得UDP的重要性。
实验要紧仪器设备和材料
每人一台联网运算机、软件。
实验方式、步骤及结构测试
1启动软件
启动桌面软件图标
2捕捉报文大体分析实验
1.打开程序后,选择Capture(捕捉)—Start(开始),或利用F10键,或是工具栏上的开始箭头。
2.一小段时刻事后,再次进入Capture(捕捉)菜单,然后选择Stop(停止)或按下F10键,还能够利用工具栏。
3.还能够按F9键来执行“停止并显示”的功能,或能够进入Capture(捕捉)菜单,选择“停止并显示”。
4.停止捕捉后,在对话框最下角增加了一组窗口卷标,包括高级、解码、矩阵、主机表单、协议散布和统计信息。
5.选择解码卷标,能够看到缓冲器中的所有实际“数据”。
分析该卷标结构及其内容。
图1解码窗口
从解码卷标上能够看出解码窗口分为三部份,最上面是捕捉的报文,中间是报文的解码,最下面是报文的二进制码,即发送的最原始内容。
咱们能够看出捕捉到的报文有DLC,IP,TCP,HTTP等协议,解码表对应每一个层次的协议进行解码分析。
从以前的实验,咱们已经得知链路层对应的是DLC协议,在DLC协议里面,长度为14字节,咱们能够看到发送数据包的目标MAC地址(Destination)和发送数据包的源MAC地址(Source),而且能够得知此数据包携带的协议类型为IP。
打开IP的标签,能够看到有IP协议报头的详细解码,其中IP协议报头长度为20个字节。
其中从上图取得的数据分析如下:
第一行,Version=4,表示IP协议的版本号为4,即IPV4,占4位,HeaderLength=20Bytes,表示IP包头的总长度为20个字节,该部份占4个位。
因此第一行合起来确实是一个字节。
第二行,TypeofService=00,表示效劳类型为0。
用来描述数据报所要求的效劳质量。
接下来的六行,000前三位不用;0表示最小时延;0表示吞吐量;0表示靠得住性;0表示最小代价;0不用。
第二到第八行合占1字节。
第九行,TotalLength=40Bytes,表示该IP包的总长度为40个字节。
该部份占两字节。
图2IP协议报头
第十行,Identification=34833,表示IP包识别号为34833。
该部份占两个字节。
第十一行到十三行,Flags,表示片标志,占3个位。
列位含义别离为:
第一个“0”不用,第二位为不可分片位标志位,此处值为“1”表示该数据表禁制分片。
第三位为是不是最后一段标志位,此处“0”表示最后一段。
第十四行,FragmentOffset=0,表示片偏移为0个字节。
该部份占13位。
第十五行,TimetoLive=51Secongs/Hops,表示生存时刻TTL值为51,占1字节。
第十六行,Proctol=6(TCP),表示协议类型为TCP,协议代码是6,占1字节。
第十七行,HeaderChecksun=88AE(correct),表示IP包头校验和为88AE,括号内的Correct表示此IP数据包是正确的,没有被非法修悔改。
该部份占两字节。
第十八行,SourceAddress=[,表示IP数据包源地址为:
,占四字节。
第十九行,DestinationAddress=[表示IP数据包目的地址为:
,占四字节。
第二十行,NoOptions,表示IP数据包中未利用选项部份。
当需要记录路由时才利用该选项。
接下来的协议在以下捕捉内容后分析。
3捕捉并分析地址识变协议(ARP)
1.选择“捕捉”――“概念过滤器”。
2.在“概念过滤器”中,选择“文件”――“新建”。
3.将那个文件命名为ARP,点击OK,然后点击“完成”。
4.此刻选择“高级”,从协议列表当选择ARP。
5.点击OK,关闭概念过滤器窗口。
已经概念了过滤器,能够按F10来捕捉流量。
6.输入arp-dIP来清除默许网关上的ARP,那个命令中的IP是你的默许网关IP地址,然后Ping你的默许网关。
7.停止捕捉并打开代码窗口。
至少会看到2个捕捉到的帧(假设你能够连接到默许网关)。
8.分析捕捉到的结果(即说明数据包的内容和协议具体实现进程)。
捕捉并分析传输操纵协议
从下面截图能够看出,能够分析ARP的工作进程:
第一,在本局域网上的所有主机上运行的ARP进程都收到本机发送的ARP请求分组(从目标地址为Broadcast能够看出)。
第二,从摘要中,PA=[能够看出ARP请求地址为,而此IP地址的网络设备在ARP请求分组中见到自己的IP地址,就向本机发送ARP响应分组,并写于自己的硬件地址。
至于在此ARP分组的其余的所有主机都可不能理睬那个ARP请求分组。
从以上能够分析,ARP请求分组是广播的,但ARP响应分组是单一的,即一对一。
一下对第一个ARP包进行分析。
第二行(Destination),6个字节,能够看出ARP包是采取广播方式,目标地址从下面的解码能够看出是FFFFFFFFFFFF,翻译过来确实是全1,全1为一个广播地址,那个地址代表一个链路层的广播地址。
接下第三行(Source),6个字节,值为0003254A3982,那个MAC地址为发起该ARP的主机接口的MAC地址,即源MAC地址。
接下来第四行(Ethertype),2个字节,是协议类型,0806代表ARP类型,表示该帧是ARP帧。
接下来第五行(Hardwaretype),2字节,是硬件类型。
咱们用的是标准以太网,值为1H(0001),表示是10M以太网。
接下来第六行(Protocoltype),长度2字节,是协议类型,咱们用的是IP协议,IP对应的值为800,因此显示值为0800.
接下来第七行(HLEN),1字节,记录硬件地址长度,那个值告知处置该帧的程序,读取硬件地址时读到哪里终止。
因为利用到网卡的MAC地址,而MAC地址的长度为6字节,因此那个地址显示长度为6。
接下第八行(PLEN),1字节,为协议长度,那个值告知处置该帧的程序,
图3第一个ARP数据包详情
读取协议地址时读到哪里终止。
这次通信利用IPV4协议,而IPV4为4字节,因此该字段的值确实是4
接下第九行(OPER),2字节,为操作类型,ARP请求为1,ARP响应为2,图中是0001,因此这是一个ARP请求。
接下第十行(SHA),6字节,用来概念发送者站的物理地址长度,那个地址为发送者MAC地址,该地址用来告知本次操作的对方,是哪个MAC地址对它进行了操作。
接下第十一行(SPA),4字节,用来概念发送站的逻辑地址长度,那个地址为发送者IP地址,该地址用来告知本次操作的对方,是哪个IP地址对它进行了操作。
接下第十二行(THA),6字节,用来概念目标的物理地址长度,那个地址为接收者MAC地址,用来告知本次操作的对方,是哪个MAC地址应该接收并处置该帧。
接下第十三行(TPA),4字节,用来概念目标的逻辑地址,那个地址为接收者IP地址,用来告知本次操作的对方,是哪个MAC地址应该接收并处置该帧。
最后的0,应该只起到填充作用。
这是由于IP报文规定最小不能少于60字节,而ARP只用了42个字节,因此它需要用其他无用数据来填充剩下的12字节。
4捕捉并分析传输操纵协议
1.进入“捕捉”――“概念过滤器”。
在概念过滤器窗口中,点击“文件”――“新建”。
2.在“新建捕捉文件”窗口中,确认新文件的名称(TCP)并点击OK,然后点击“完成”。
3.转到“高级”卷标,你会看到系统提供的协议列表。
点击IP协议题目隔壁的“+”号,到下面找到TCP,然后选中TCP。
4.点击OK,关闭概念过滤器窗口。
5.按F10开始捕捉TCP流量。
6.分析捕捉到的结果(即说明数据包的内容和协议具体实现进程)。
从以下图能够得知TCP的工作方式,因为TCP是提供面向连接的靠得住的传输效劳。
第1、2、3个数据包是HTTP协议利用基层TCP协议通过三次握手原那么成立连
接的进程,下图所示,选中三个数据包描述的是TCP三次握手的进程。
如此咱们能够明白,HTTP通信是发生在TCP协议之上,缺省端口是TCP的80端口,
图4TCP的工作方式
因此HTTP是一个靠得住的协议。
第一、2个数据包的长度为66字节,第3个数据包的长度为60字节
下面先对第一个TCP包进行数据分析。
第一行(Sourceport):
2字节,源端口号,即发送那个TCP包的运算机所利用的端口号。
第二行(Destinationport):
2字节,目标端口号,即同意那个TCP包运算机所利用的端口号。
第三行(InitialSequencenumber):
4字节,表示发送数据包的排序序列。
用以接收的时候按顺序组合和排序。
第四行(Nextexpectedseqnumber):
大小不定,用以表示当前同意到数据包的序号。
第五行(Dateoffset):
1字节,用来讲明数据包的大小,从哪里开始哪里终止。
第六行(ReservedBit):
保留空间,以作以后用。
第七至第十三行(Flags):
6字节,标志位,有操纵功能。
别离为URG,紧急指针;ACK,确认指针;PUSH,不用等待缓冲区装满而直接把报文交给应用层;RST,复位指针;SYN,同步信号;FIN,完成或释放指针。
第十四行(Windows):
2字节,发送方希望被同意的数据大小。
第十五行(Checksum):
2字节,是依照报头和数据字段计算出的校验和,必然由发送端计算和存储的。
第十六行(Urgentpointer):
2字节,紧急指针,告知紧急资料所在的位置。
接下来的是任意选项,里面包括了一些选项,如最大数据段大小等
图5TCP标记信息
(1)
图5TCP标记信息
(2)
三个图别离为前三个数据包中的TCP标记信息,反映了TCP的三次握手进程:
客户端向Web效劳器发送一个SYN同步连接请求,Web效劳器收到请求后
图5TCP标记信息(3)
向客户端发送一个SYN/ACK数据包,同意客户端的连接请并向客端发起同步,客户端收到该数据包后再次确认,从而成功成立TCP连接。
如上面第一幅图,本机发送一个初始序号(SEQ)5给效劳器。
标志位SYN置为1。
上面第二幅图,效劳器收到那个序号后,将应答信号(ACK)和随机产生一个初始序号(SEQ)1发还到请求端本机,因为有应答信号和初始序号,因此标志位ACK和SYN都置为1。
上面第三幅图,本机收到效劳器的信号后,发还信息给效劳器。
标志位ACK置为1,其它标志为都为0。
注意现在SYN值为0,SYN是标示发起连接的,上两部连接已经完成。
5捕捉并分析用户数据报协议
1.进入“捕捉”――“概念过滤器”,点击“文件”――“新建”。
在新建文件名称对话框中,确以为UDP,点击OK,然后点击“完成”按钮。
2.在概念过滤器窗口中,选择“高级”卷标。
从协议列表中,打开IP对话框,然后点击UDP选择框。
3.选择OK按钮关闭概念过滤器窗口。
4.按F10开始捕捉UDP流量。
5.此刻用完整的域名(FQDN)来对主机执行Ping命令。
进入“开始”――“运行”,并输入ping。
此刻按回车键,能够ping那个网站四次。
6.按F9停止并显示捕捉结果。
7.分析捕捉到的结果(即说明数据包的内容和协议具体实现进程)。
从以下图,咱们能够看到UDP协议的详细组成。
第一行(Sourceport):
2字节,为发送进程的端口号。
第二行(Destinationport):
2字节,为接收进程的端口号。
第四行(length):
2字节,说明UDP数据报的总长度,包括报头和数据域,
图6UDP协议
以字节(B)为单位。
第五行(Checksum):
2字节,校验和,简单的过失查验。
接下来的一行是数据,那个地址显示的是数据长度为29字节。
实验总结:
通过本次实验,我学会了利用Ethereal,增强了对ARP协议的明白得。
了解了传输操纵协议(TCP)是因特网上最经常使用的第四层协议,TCP能够保证数据传输的靠得住性。
用户数据报协议(UDP)是网络上另外一种很经常使用的第四层协议。
UDP由很多上层协议利用。
加倍清楚地把握网络分层的思想,从感性熟悉飞跃到理性熟悉。
升级会员 