网络协议数据获取与TCPIP协议分析2405301547.doc

网络协议数据获取与TCP/IP协议分析实验目的 在这个实验中我们将利用网页浏览的例子来分析网络协议的层次结构。我们将分析数据链路层、IP层以及应用层的协议数据单元(PDU)。特别地，我们将检查IP地址与端口号如何在一起协调工作，完成端到端的应用。实验环境1）操作系统：Windows XP2）网络接入方式：光纤接入3）计算机的MAC地址：1C-65-9D-23-C9-234）IP地址：02 要分析的协议 以太网与IP编址 DNS查询与响应 TCP三次握手、序列号和ACK应答号 HTTP GET 和响应报文预备知识学生应当知道如何使用Wireshark抓取分组数据包。参见Wireshark说明。实验步骤1. 启动 Wireshark； 2. 启动一个网页浏览器，并键入一个你所选择的URL地址。注意此时不要按下回车键；（截图如下） 3. 启动Wireshark开始抓包； 4. 在浏览期网页位置按下回车键，开始访问指定的网页。 5. 一旦网页内容下载完毕，立即停止Wireshark抓包，并将抓到的数据包存入文件中，同时将显示的网页存储下来，以便后面参考。协议分析的问题要回答以下的问题，先启动Wireshark，打开上述步骤中存储的文件。1. 抓取的协议类型 检查在Wireshark顶端窗口的协议一列，确认你已经抓到了DNS、TCP和HTTP数据包。DNS数据包：在显示过滤器一栏中输入“TCP”则显示已经抓到的DNS数据包在显示过滤器一栏中输入“DNS”则显示已经抓到的DNS数据包TCP数据包：在显示过滤器一栏中输入“TCP”则显示已经抓到的DNS数据包HTTP数据包：点击“go to the first packet”按钮则显示出客户端发出的第一个DNS分组2. 以太网帧，IP分组和UDP数据报 1). 检查客户端发出的第一个DNS分组a. 确定客户端的以太网地址和IP地址双击此栏，则显示收到帧的相关信息显示的截图如下以太网地址00:16:d3:b8:46:52，IP地址02通过观察上图得知：以太网地址b. 以太网帧结构的TYPE字段是什么内容？ TYPE字段是IPc. 目的以太网地址和目的IP地址分别是什么？这些地址对应哪些计算机？解释这些结果与你连接到Internet 的计算机有关系。以太网地址00:0f:e2:d7:f1:79 IP地址02). 检查客户端发出的第一个DNS分组的IP 报头a. 包头的长度是多少？分组的总长度是多少？包头长度 20字节，总长度60字节b. 确定协议类型字段。载荷数据中协议的编号和类型是什么？编号是0x11，类型是UDP3). 检查客户端发出的第一个DNS分组的UDP 报头a. 确定客户端临时端口号和服务器端的默认端口号。载荷数据中应用层协议的类型是什么？临时端口号是52756，服务器端的默认端口号是53载荷类型是DNS请求b. 确定UDP报头中的长度字段是否与IP报头长度信息一致。UDP长度 = IP载荷长度 = 60 20 = 404) 画出客户端和服务器端从数据链路层到应用层的协议栈，并解释为什么各层的PDU内容能够使得应用层的进程之间实现端到端通信。 链路层跟物理层一起保证了网络在物理上的连接，和数据传输的正确性。网络层保证了基于多跳的IP网络得到路由服务，传输层可以在网络层的基础上保证建立链路，使得应用曾可以看成是端到端的通信。3. DNS 1) 检查客户端发送的DNS分组中的DNS查询报文a) 哪个字段表明这个报文是DNS查询还是响应？其中Response字段决定了DNS是查询还是响应。0则是响应，1是查询。b) 查询的正文中传送什么信息？c) 查询的交互ID是什么？交互ID是0x56bfd) 确定查询的类型与级别的字段类型是A，级别是IN2) 现在检查对上述查询的DNS响应的分组a) 这个分组中的以太网地址和IP地址应当是什么？检验这些地址是正确的以太网地址：1C-65-9D-23-C9-23IP地址：02b) 传送DNS响应的IP分组和UDP数据报的大小是多少？是否比查询的长？IP分组的总长是60字节，载荷40字节。长度40字节响应：IP分组的总长是336字节，载荷316字节。UDP总长度316字节。响应比查询的数据报大小更大。c) 确定在响应报文中的交互ID是正确的。交互ID是一样的，所以是正确的。d) 在响应报文中提供了多少个答案？比较这些答案及其TTL值。提供了11个答案。TTL都是21分钟，6秒。4. TCP 三次握手 1) 确定http客户端和服务器端建立廉洁的三次握手的第一个TCP分段的帧结构。a) 在这个分段中你期望看到哪个源端以太网地址和IP地址？你期望看到的协议和类型字段是什么内容？确认这些地址是正确的。TCP握手第一个包的目的IP地址是前边DNS响应的第一个答案地址。以太网地址跟刚才发送DNS的一样，所以实际上这个以太网代表的节点一概是个路由器，或者是网关。b) 解释在第一个TCP分段中的目的以太网地址和IP地址的值。这些地址对应什么计算机？02对应自己的电脑，9对应提供网页的计算机.80c4:4792:2739:d7b9对应自己的电脑, 00:0f:e2:d7:f1:79对应学校里边的路由器或者网关.c) 确定客户端使用的临时端口号，确认使用的默认端口号是HTTP默认的。客户端临时端口号是1110,HTTP端口号是80.d) TCP分段的长度是多少？长度 = 0x3D + 1 0x22 = 28.e) 客户端到服务器端分段的初始序列号是多少？初始窗口大小是多少？最大分段尺寸是多少？初始序列号是0,窗口大小是65535, 最大分段尺寸是1460f) 找到包含SYN标志的十六进制字符。2) 确定三次握手中的第二分段a) 第一和第二分段抓取的时间差是多少？14.109057 14.105013 = 0.004044秒b) 在检查分组数据之间，先确定以下字段的值 以太网帧的源地址和目的地址以及类型字段以太网帧的源地址00:0f:e2:d7:f1:79, 目的地址00:16:d3:b8:46:52 类型字段IP (0x0800) IP分组中的源IP地址和目的IP地址及其端口号源IP地址9, 目的IP地址02,源端口号是80,目标端口号是1110. TCP分段中的ACK序列号ACK序列号是1各个标识位的值 各个标识位的值 确认帧结构中包含期望的数据SYN ACK第二次握手, SEQ = 0, ACK = 1,都正确.c) TCP分段的长度是多少？长度 = 28字节.d) 从服务器端到客户端连接的初始序列号是多少？最大分段尺寸是多少？初始序列号是1, 最大分段尺寸是14.3) 确定三次握手中的最后一个分段a) 从第二分段到最后分段的时间差是多少？将此时间差与第一与第二分段的时间差相比较，解释其中的原因14.109076 - 14.109057 = 0.000019 秒 , 第一与第二分段的时间差是14.109057 14.105013 = 0.004044秒.时间缩短了.这是因为第一个到第二个中间经过了网络的一个来回.b) 确定最后TCP分段的以下值 序列号和ACK序列号序列号是1, ACK序列号是1 标志比特的值以及窗口尺寸窗口尺寸是65535 确认分段中包含期望的数据包含了ACK,而且SEQ=ACK=1,正确.c) 最后一个分段的长度是多少？是20个字节.5. HTTP GET 报文1) 确定包含HTTP GET报文的数据帧a) 确认TCP报头中的序列号和ACK号是预期的。b) 解释TCP报头中的标识位。你是否能够解释为什么有两位被置位了？ACK与PUSH被置位了.ACK是用来确认收到TCP信息的,PUSH是要让接受方的TCP协议层把收到的信息马上传到应用层,因为发送放的缓冲已经清空了。c) TCP分段及载荷的长度分别是多少？TCP分段长度是740,载荷长度是720.2) 现在考察GET报文的内容a) 将Wireshark软件的第三个窗口向下滚动，将解码的内容与第二个窗口中的HTTP报文进行比较；他们基本上是一样的.HTTP报文以原文的形式传输.b) 数一数报文中的字节数，确认这个数值与TCP报头中的长度信息一致；载荷长度应该是740-20 = 720c) 来自服务器的下一个分段期望的下一个序列号应当是多少？3) 应当是1 + 740 = 741.6. HTTP Response 1). 确定HTTP GET报文与对应的响应报文之间的时间差是多少？14.232262 - 14.109645 = 0.122617秒2). 确定服务器是采用HTTP响应报文还是采用简单的TCP ACK分段进行应答。确认来自服务器的分段的序列号是期望的值。采用HTTP响应报文.3). 现在考察HTTP响应报文的分段a) 包含TCP分段的载荷长度是多少？长度是199b) 检查标志是否有置位，并解释为什么置位？FIN,PSH,ACK置位了,FIN是HTTP内容发送结束,断开TCP连接,PSH是完整的内容发送以后要让接收端把内容马上送到上层,