北邮-计网实验-协议数据的捕获和解析

计算机网络实验二：协议数据的捕获和解析一、实验类别协议分析验证型二.、实验内容和实验目的本次实验主要包含下列内容：1）使用Wireshark软件捕获在使用ping命令时产生的ICMP消息；2）分析网络层IP包头格式，理解各字段的作用，对于分段和校验和进行验证；3）使用Wireshark软件捕获在使用ARP消息，分析其消息格式，理解其工作原理；4）使用Wireshark捕获DHCP消息，分析其消息序列，理解DHCP的功能和操作原理；5）使用Wireshark捕获TCP消息，分析TCP报文段头格式，理解连接建立和释放的原理，差错控制原理、序号和窗口管理的原理。通过本实验来深入理解分层体系结构，理解和掌握TCP/IP协议栈的代表协议——IP、TCP、UDP、ICMP、ARP和DHCP协议的要点。三、实验设备环境1台装有MSWindows系列操作系统的计算机，能够连接到Internet，并已安装Wireshark软件。四、实验步骤（1）准备工作1.下载Wireshark软件并了解其功能和使用方法。2.确保计算机已经连接到网络。3.启动Wireshark1，设置捕获接口（Interface）为本机网卡，选中混杂模式（promiscuousmode）捕获选项，设置合适的捕获过滤器（CaptureFilter）：对于ping命令，设置过滤器为icmp对于DHCP消息，设置过滤器为udpport67对于ARP消息，设置过滤器为arp对于通过网页浏览应用来捕获TCP消息，设置过滤器为tcpport804.开始捕获。(2)数据捕获捕获ICMP协议数据1.运行ping命令（例如：cping192.168.0.1），远程主机地址可以是本机地址、网关路由器地址，也可以是域名（如）。将捕获到的数据保存为文件。2.使用Windows中ping命令的-l选项（例如：cping-l8000192.168.0.1），制作大于8000字节的IP包并发送，捕获后分析其分段传输的包结构。捕获DHCP协议数据1.使用ipconfig命令释放计算机的IP地址（cipconfig-release）；2.使用ipconfig命令重新申请IP地址（cipconfig-renew）。此时wireshark窗口中可以捕获到完整的DHCP地址分配的流程，将捕获到的数据保存为文件。捕获ARP协议数据采用与捕获DHCP协议数据相同的方法释放IP地址并重新申请，在wireshark窗口中可以捕获到ARP请求和响应消息，保存为文件。捕获TCP协议数据打开浏览器，输入一个页面内容较简单网页URL，如；网页全部显示后关闭浏览器。(3)协议分析运行Wireshark软件，打开所捕获的数据文件，完成下列分析工作：1.IP包头分析：对于采用ping命令-l选项捕获的ICMP消息，对承载ICMP消息的IP包进行分析，记录包头各字段的值，对照讲义和教材分析各字段的功能，并对于校验和和分段进行验证；对于WindowsVista和Windows7操作系统，需要以管理员身份运行；2.ICMP消息分析：记录并分析ICMP消息中分析各字段的功能；3.DHCP消息分析：针对一次地址分配过程（TransactionID相同的4个消息），分析其通信过程，画出地址分配的消息序列图，并记录采用DHCP协议配置的各个参数。4.ARP消息分析：对照讲义理解ARP的操作过程，记录并分析消息中各字段的功能。5.TCP报头及消息分析：针对TCP连接建立、连接释放、数据和应答报文段，对照讲义和教材分析各字段的功能；针对一次完整的TCP通信过程，画出消息序列图，应包含连接建立、数据传送和连接释放阶段。上述分析工作应在实验报告中进行详细描述，具体要求参见第9节。(4)撰写实验报告按要求撰写实验报告，对于捕获到的数据进行认真分析，归纳各协议的工作原理和实现要点。五、实验分析1.IP协议分析1）采用ping命令-l选项捕获的ICMP消息字段报文(16进制)内容包头长度45包头长20字节服务类型00正常时延，正常吞吐量，正常可靠性总长度05DC数组分组长1500字节标识14a0标识为5280标志01MF=1DF=0，允许分片，为第一片，片偏移00偏移量为0生存周期40每跳生存时间为64秒协议01携带数据来自ICMP协议头部校验和6530IP头部校验和为6530源地址c0a80166源地址为192.168.1.102目的地址D34445fe目的地址为211.68.69.254字段报文(16进制)内容包头长度45包头长20字节服务类型00正常时延，正常吞吐量，正常可靠性总长度05DC数组分组长1500字节标识14a0标识为5280标志01MF=1DF=0，允许分片，为第二片，片偏移05cb偏移量为1480生存周期40每跳生存时间为64秒协议01携带数据来自ICMP协议头部校验和6477IP头部校验和为6477源地址c0a80166源地址为192.168.1.102目的地址D34445fe目的地址为211.68.69.254字段报文(16进制)内容包头长度45包头长20字节服务类型00正常时延，正常吞吐量，正常可靠性总长度05DC数组分组长1500字节标识14a0标识为5280标志01MF=1DF=0，允许分片，为第三片，片偏移0b90偏移量为2960生存周期40每跳生存时间为64秒协议01携带数据来自ICMP协议头部校验和63beIP头部校验和为63be源地址c0a80166源地址为192.168.1.102目的地址D34445fe目的地址为211.68.69.254字段报文(16进制)内容包头长度45包头长20字节服务类型00正常时延，正常吞吐量，正常可靠性总长度05DC数组分组长1500字节标识14a0标识为5280标志01MF=1DF=0，允许分片，为第四片，片偏移1158偏移量为4440生存周期40每跳生存时间为64秒协议01携带数据来自ICMP协议头部校验和6305IP头部校验和为6305源地址c0a80166源地址为192.168.1.102目的地址D34445fe目的地址为211.68.69.254字段报文(16进制)内容包头长度45包头长20字节服务类型00正常时延，正常吞吐量，正常可靠性总长度05DC数组分组长1500字节标识14a0标识为5280标志01MF=1DF=0，允许分片，为第五片，片偏移1720偏移量为5920生存周期40每跳生存时间为64秒协议01携带数据来自ICMP协议头部校验和624cIP头部校验和为624c源地址c0a80166源地址为192.168.1.102目的地址D34445fe目的地址为211.68.69.254字段报文(16进制)内容包头长度45包头长20字节服务类型00正常时延，正常吞吐量，正常可靠性总长度0274数组分组长628字节标识14a0标识为5280标志00MF=0DF=0，允许分片，为最后一片片偏移1ce8偏移量为7400生存周期40每跳生存时间为64秒协议01携带数据来自ICMP协议头部校验和84fbIP头部校验和为84fb源地址c0a80166源地址为192.168.1.102目的地址D34445fe目的地址为211.68.69.2542）IP包头校验和的校验原理当数据到达时，所有的16位(半字)累加起来，然后再取结果的补码。字段报文(16进制)内容包头长度45包头长20字节服务类型00正常时延，正常吞吐量，正常可靠性总长度003c数组长度60字节标识148a标识为5258标志00MF=0DF=0，允许分片，为最后一片片偏移0偏移量为0生存周期40每跳生存时间为64秒协议01携带数据来自ICMP协议头部校验和8ae6IP头部校验和为8ae6源地址c0a80166源地址为192.168.1.102目的地址D34445fe目的地址为211.68.69.254450003c0a620004018ae6192.168.1.102211.68.69.2544,5and0-------0100010100000000003c-------0000000000111100148a-------000101001000101000and0-------000000000000000040and1-------01000000000000018ae6-------1000101011100110192.168-------11000000101010001.102-------0000000101100110211.68-------110100110100010069.254-------0100010111111110简单求和后发现结果为：1111111111111111符合条件，是正确的包，即IP头部校验和为8ae6是正确的。..（。。。。）3）IP包分段原理:首先同一个数据报的所有分段包含同样的Identification（标识）值，同时每一个分段使用DF、MF和offset来表示该分段的信息。DF代表不分段(DontFragment)，它让路由器不要分割该数据报，因为目标主机无法将分片重组回原来的数据报，而数据报在分段后，此位置0；MF表示更多的分段(MoreFragment)，除了最后一个分段以外其他所有的分段必须设置这一位，将其置1，最后一个分段置0；Fragmentoffset分段偏移域指明了该分段在当前数据报中的什么位置上。除了一个数据包的最后一个分段以外，其他所有的分段必须是8字节的倍数，这里8字节是基本分段单位。由截获的数据报来看，一共六段，除第一段offset为0外，其他各段偏移量为1480的倍数，也即前边每一段数据报(除包头)的长度，1480也为8的倍数，由此指明了各段在当前数据包中的位置。同时，除最后一段MF为0外，其他各段MF为1，表明各段不是一个完整的数据报，而是分割之后形成的分段。2.ICMP协议分析1）ICMP的功能ICMP报文被封装在IP包里，并且ICMP协议数据包对IP分组在传送时出现的异常情况进行报告，对IP报文传输时出现的差错、拥塞、路由改变、以及路由器或主机信息的获取等情况，向源端主机提交报告，由源主机采取相应措施，改进传输质量。其中有Destinationunreachable、timeexceeded、sourcequench、redirect、ECHOandECHOreply、timestamprequestandreply几种不同功能的ICMP报文。2)记录ICMP的包格式，自己查找资料总结各字段的功能。ICMP协议包构成：前8字节由报文类型(1字节)、代码（1字节）、校验和（2字节），选项部分（4字节）。ICMP报文分为两大类——差错报告报文与询问报文，差错报文共有五种、询问报文有两种下图为ICMP请求包TYPE类型为8code代码为0checksum校验和为4d2cIdentifier(大端表示)为1（小端表示）为256sequencenumber序列号(大端表示)为47，（小端表示）为12032下图ICMP应答包TYPE类型为0code代码为0checksum校验和为552cIdentifier(大端表示)为1（小端表示）为256sequencenumber序列号(大端表示)为47，（小端表示）为12032由此可见，请求和应答数据包的区别在于类型，请求包为Type8，而应答包为Type0。ICMP与IP协议同处于TCP/IP模型的网际层，但ICMP报文是封装在IP数据报的数据部分进行传输的。3.DHCP协议分析1）对照讲义和教材理解DHCP的功能，观察DHCPACK消息的各字段，自己查找资料理解各字段的功能，总结采用DHCP协议可以提供哪些配置参数。DHCP是动态主机配置协议（Dynamichostconfigurationprotocol）的简称，它提供对于远程主机的自动配置，包括IP地址、路由地址、子网掩码、DNS服务器地址，是一个应用层上