计算机网络实验2-协议分析

1实验二：协议数据的捕获和解析作者：学号：学院(系)：计算机学院专业：班级：指导教师：实验二：协议数据的捕获和解析2目录一、实验准备.......................................................................31.1.实验目的............................................................................................31.2.实验设备环境....................................................................................31.3.实验内容............................................................................................31.4.实验原理............................................................................................3二、实验步骤....................................................................72.1.准备工作............................................................................................72.2.数据捕获............................................................................................72.3.协议分析............................................................................................7三、实验结果分析............................................................83.1.IP协议...............................................................................................83.2.ICMP协议.......................................................................................163.3.DHCP协议.....................................................................................183.4.ARP协议........................................................................................323.5.观察网络中的其他分组..................................................................35三、实验心得..................................................................37四、参考文献..................................................................37实验二：协议数据的捕获和解析3一、实验准备1.1.实验目的1掌握具体的包格式2进一步从网络中熟悉和了解计算机网络中现存的协议对应的包格式3通过本次实验了解计算机上网的工作过程，学习各种网络层分组的格式及其作用，理解长度大于1500字节IP数据组分片传输的结构。4掌握各种分组在网络通信中的应用，了解整个上网的工作过程。1.2.实验设备环境11台装有MSWindows系列操作系统的pc机2PC机器能够连接到Internet、安装能运行的WireShark软件1.3.实验内容本次实验主要包含下列内容：1使用Wireshark软件捕获在使用ping命令时产生的ICMP消息；2分析网络层IP包头格式，理解各字段的作用，对于分段和校验和进行验证；3使用Wireshark软件捕获在使用ARP消息，分析其消息格式，理解其工作原理；4使用Wireshark捕获DHCP消息，分析其消息序列，理解DHCP的功能和操作原理。通过本实验深入理解分层体系结构，理解和掌握TCP/IP协议栈的代表协议——IP、UDP、ICMP、ARP和DHCP协议的要点。1.4.实验原理1根据网络中的数据分层原理，在计算机网络中由于大都是使用IP进行网络互联，因此包的格式是有规律的，其中在当前公网中路由器支持的包也为IP格式包，因此我们通过分析抓取的IP包就可以得到包的部分信息2其中IPV4的包格式如下图示：实验二：协议数据的捕获和解析43ICMP包在网络的相关控制和调试方面启到了关键性作用，因此对ICMP包格式进行过滤获取是很重要的，ICMP包将自身包装一层IP头，然后在网络中间进行传输：其中ICMP包格式如下其中类型字段表示ICMP报文的类型；代码字段是为了进一步区分某种类型的几种不同情况,类型(Type)与代码（Code）的具体描述如下：实验二：协议数据的捕获和解析5校验和字段用来检验整个ICMP报文。接着的4个字节的内容与ICMP的类型有关。再后面是数据字段，其长度取决于ICMP的类型。4DHCP报文通过查阅RFC2131可以得到数据的报文结构，如下（括号里的数字表示字段的长度，单位是字节）：实验二：协议数据的捕获和解析6DHCP报文中的Options字段可以用来存放某些普通协议中没有定义的控制信息和参数。如果用户在DHCP服务器端配置了Options，DHCP客户端在申请IP地址的时候，会通过服务器端回应的DHCP报文获得Options字段中的配置信息。其他字段会在后面分析。5ARP报文结构：硬件类型字段：指明了发送方想知道的硬件接口类型，以太网的值为1；协议类型字段：指明了发送方提供的高层协议类型，IP为0800（16进制）；硬件地址长度和协议长度：指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用；操作字段：用来表示这个报文的类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4；发送方的硬件地址（0-2字节）：源主机硬件地址的前3个字节；实验二：协议数据的捕获和解析7发送方的硬件地址（3-5字节）：源主机硬件地址的后3个字节；发送方IP（0-1字节）：源主机硬件地址的前2个字节；6以太网帧数据最长为1500字节，以太网广泛应用在各种网络中，而以太网格式如下:二、实验步骤2.1.准备工作1.下载Wireshark软件并了解其功能和使用方法。2.确保计算机已经连接到网络。3.启动Wireshark1，设置捕获接口（Interface）为本机网卡，选中混杂模式（promiscuousmode）捕获选项，设置合适的捕获过滤器（CaptureFilter）：对于ping命令，设置过滤器为icmp对于DHCP消息，设置过滤器为udpport67对于ARP消息，设置过滤器为arp4.开始捕获。2.2.数据捕获A.捕获ICMP协议数据1.运行ping命令（例如：cping192.168.0.1），远程主机地址可以是本机地址、网关路由器地址，也可以是域名（如）。将捕获到的数据保存为文件。2.使用Windows中ping命令的-l选项（例如：cping-l8000192.168.0.1），制作大于8000字节的IP包并发送，捕获后分析其分段传输的包结构。B.捕获DHCP协议消息1.使用ipconfig命令释放计算机的IP地址（cipconfig-release）；2.使用ipconfig命令重新申请IP地址（cipconfig-renew）。此时wireshark窗口中可以捕获到完整的DHCP地址分配的流程，将捕获到的数据保存为文件。C.捕获ARP协议数据采用与7.2.2相同的方法释放IP地址并重新申请，在wireshark窗口中可以捕获到ARP请求和响应消息，保存为文件。2.3.协议分析运行Wireshark软件，打开捕获数据文件，完成下列分析工作：1.IP包头分析：对于采用ping命令-l选项捕获的ICMP消息，对承载ICMP消息的IP包进行分析，记录包头各字段的值，对照讲义和教材分析各字段的功能，并对于校验和和分先导域源地址目的地址长度数据校验和实验二：协议数据的捕获和解析8段进行验证；2.ICMP消息分析：记录并分析ICMP消息中分析各字段的功能；3.DHCP消息分析：针对一次地址分配过程（TransactionID相同的4个消息），分析其通信过程，画出地址分配的消息序列图，并记录采用DHCP协议配置的各个参数。4.ARP消息分析：对照讲义理解ARP的操作过程，记录并分析消息中各字段的功能。三、实验结果分析3.1.IP协议运行ping–l8000制作一个8000字节的IP包并发送，捕获后分析IP分段传输的包结构。目的地址为。制作包如下：抓包过滤得到的信息如下：3.1.1.捕获IP包分析包头字段及IP包分段原理：链路层具有最大传输单元MTU这个特性，它限制了数据帧的最大长度，不同的网络类型都有一个上限值。如果IP层有数据包要传，而且数据包的长度超过了MTU，那么IP层就要对数据包进行分段（fragmentation）操作，使每一片的长度都小于或等于MTU。由上图可知8000字节的IP包被分成6个分组发送。IP首部包含了分片和重组所需的信息：①16位的标识（Identification）：发送端发送的IP数据包标识字段都是一个唯一实验二：协议数据的捕获和解析9值，该值在分片时被复制到每个片中。②3位的标志字段分别是：R：保留未用。DF：Don'tFragment，“不分段”位，如果将这一比特置1，IP层将不对数据报进行分片。MF：MoreFragment，“更多的段”，除了最后一片外，其他每个组成数据报的片都要把该比特置1。FragmentOffset：该片偏移原始数据包开始处的位置。偏移的字节数是该值乘以8。另外，当数据报被分段后，每个片的总长度值要改为该片段的长度值。下面通过对这六个IP分组包头的分析，验证分段原理。其中IP分组1为：由上图可知：字段报文（16进制）备注版本4IPV4包头长度5报头长20字节服务类型00正常时延，正常吞吐量，正常可靠性总长度05dc分组长度1500字节标识f99b序列号63899标志01MF=1，DF=0，允许分片此片不是最后一片偏移值00偏移量为0生存周期40每跳生存周期为64s协议01携带的数据来自ICMP协议头部校验和faa6IP头部校验和为faa6源地址76e5dob6源地址为118.229.208.182目的地址d34445fe目的地址为211.68.69.254实验二：协议数据的捕获和解析10上述为第一片，由于数据最长为1500字节，而IP头占据20字节，因此实际的数据只有1480字节，那么分组2偏移应该为1480，实际我们采集到的IP分组2为：由上图可知：字段报文（16进制）备注版本4IPV4包头长度5报头长20字节服务类型00正常时延，正常吞吐量，正常可靠性总长度05dc分组长度1500字节标识f99b序列号63899标志0