网络协议分析与仿真课程设计报告书

1、郵電大學网络协议分析与仿真课程设计报告书院系名称:计算机学院实验容:网络流量分析学生专业名称:网络工程班级学号时间:2012年12月15日网络协议分析与仿真课程设计报告网络流量分析一、课程设计目的* 力卩深对IP、DSN、TCP UDR HTTP等协议的理解； 掌握流量分析工具的使用，学习基本的流量分析方法。二、课程设计容已流量分析?工具： Wireshark （ Windows或 Linux），tcpdump（ Linux）?要求：使用过滤器捕获特定分组；用脚本分析大量流量数据（建议用perl ）。?容：Web流量分析清除本机DNS缓存，访问某一主页，捕获访问过程中的所有分组，分析并回 答下

2、列问题（以下除1、3、8、11夕卜，要求配合截图回答）：（1）简述访问web页面的过程。（2）找出DNS解析请求、应答相关分组，传输层使用了何种协议，端口号是 多少？所请求域名的IP地址是什么？（3）统计访问该页面共有多少请求IP分组，多少响应IP分组？（提示：用 脚本编程实现）（4）找到TCP连接建立的三次握手过程，并结合数据，绘出 TCP连接建立的 完整过程，注明每个TCP报文段的序号、确认号、以及SYNACK勺设置。（5）针对（4）中的TCP连接，该TCP连接的四元组是什么？双方协商的起始 序号是什么？ TCP连接建立的过程中，第三次握手是否带有数据？是否 消耗了一个序号？（6） 找到T

3、CP连接的释放过程，绘出TCP连接释放的完整过程，注明每个TCP 报文段的序号、确认号、以及 FINACK的设置。（7） 针对（6）中的TCP连接释放，请问释放请求由服务器还是客户发起？FIN报文段是否携带数据，是否消耗一个序号？FIN报文段的序号是什么？为什么是这个值？（8）在该TCP连接的数据传输过程中，找出每一个 ACK报文段与相应数据报 文段的对应关系，计算这些数据报文段的往返时延 RTT即RTT样本值）。 根据课本200页节容，给每一个数据报文段估算超时时间 RTO（提示：用脚本编程实现）（9） 分别找出一个HTTP请求和响应分组，分析其报文格式。参照课本243页图6-12，在截图中

4、标明各个字段（10）访问同一的不同网页，本次访问中的TCP连接是否和上次访问相同?（与上次页面访问时间间隔不能过长，可连续访问，分别分析。）（11）请描述HTTP协议的持续连接的两种工作方式。访问这些页面（同一的不同页面）的过程中，采用了哪种方式？（参考课本241页）设计与实现过程（1）简述访问web页面的过程1）解析WebM面的URL得到Web服务器的域名2）通过DNS!务器获得 Web服务器的IP地址3）与Web服务器建立TCP连接4）与Web服务器建立HTTP连接5）从Web服务器获得URL指定的文档6）浏览器解释页面文档，并显示在屏幕（2）、找出DN9解析请求、应答相关分组，传输层使用

5、了何种协议，端口号是多 少？所请求域名的IP地址是什么？DNS解析请求，应答分组:2951ZO,615M7U2.1.2?221. n 丄 6：DNS91 stardardA rermc-n, stit.血5常讥加350170.6m3n.il. 1.6； ll tl ! 172.16丄期 _Ji oDhS>121 standard query response 0x1977 t啣E boainstJGOsife.cain »Ir"1!1 ann n 请求：(本机端口： 59257; DN&艮务器端口： 53)B interret Pratocol Version

6、 4, Src: 34 (172.16.1-234), Dst: 221.11,1,6" (221,11.1.7 O user oatagram Protocol, src Port: >9257 (59257), Ost Port: donain (H>Source port: 5925? (592S7) oesfinatior port: domain jLength:应答：(DN&艮务器端口：53；本机端口：59257)0 irternet Protocol Versior Src: 221,11,1.67 (7),

7、Dst: 172,16, L-234 (172.16,1,23)0 User Datagran Protocol f Src Part: dooiain5$)* Dst Part: 59257 (59257Dsource port: domain (幻Desrination port: 59257 (59257Length: 379传输层协议：udp协议。所请求域名ip是：（3）、统计访问该页面共有多少请求IP分组，多少响应IP分组？（提示：用脚 本编程实现）请求分组：（ip.src eq 34 or ip.dst eq 34） and（ ip.src

8、eq0 or ip.dst eq 0）Tlw能ExaL'Lijl也谓ll lxfuTCP74 JQW、tp 钉川 aHL PH-0 'MSS-liJC 典& Sj迴IE.邸7别71科门巧.贺MO17Z.1&.1.0TCP74 hrrtp > 僚現5Yhh tn'< 5Pii-0 irjn»x.M0 en-Q30: L70,«753i 172,10,1,234TCPK J9332 > HciflSEq<L Ad(=-0=17& Ltn=Q血 1押 G37

9、9M 122.1&12 弭123.125.1«a,40打TP屮北-5ET卍讦匚汕于兀花北：无弋託h鲨卞亍乂引305 170.6571 5 1Z3.12 5.1&L403TCP63 Trttp > 4 9 8? ACK 5ec-1 Ad-135 win-Z16& L2n-0J06 1加.殆旳山丄4TTP4TTP/1-1 "D DK107170,65 7317125,160.4017?.1&.1.23TCP鬪 irttp > 49披FIN, ACKJ 5eq-?8Wllk-7168 LW=03(18 170. &#

10、171;7514172*1C.1.234TCP-yia2 > hrtp fjo. 乂q油乂 Act-239 辅n旳旳列 _en=oK9 1 刊上 5 珀乃 172.14.1,234TCP62 9382 > http FIH? AC叮 5&q=4S5 Ad. =239 wlrs&SBBfi LtrO如0170 册&873TCPU http > O1S2 ACK Seq-219 Ack-43& Win-ZL68 Len-Dt mrat# sh package count.sh web The 17Z,L&,1.234 as source h

11、as 130 package5rootlocalhost mnt# sh packge_CDunt.sh web 123.125,1&0-46The L23.125.L69.49 as source has-5 packagesrootlocal.host nnt# 脚本Package_co un t.sh#!/bi n/bash#by sky versi on 1.0#20121205fun cti on checkip dot='echo $1 | awk -F '.' 'print NF-1'、if $dot -ne 3 ; then re

12、turn 1ifcoun t=0for var in 'echo $1 | awk -F. 'print $1, $2, $3, $4' doecho $var | grep "A0-9*$" >/dev/null if $? -ne 0 ; thenreturn 1fiif $var -ge 0 -a $var -le 255 ; the n(co un t=co un t+1)con ti nueelsereturn 1fidoneif $count -eq 4 ; the nreturn 0else return 1fiif $# -eq

13、 0 -o $# -ne 2 the necho "Usage:shell name file name ipaddress"echo "just like:package_cou nt.sh http 34"exit 1fiif ! -f $1 the necho "The $1 is no exist"exit 2fi#echo $2 | grep '(0-91,3.)30-91,3' >> /dev/nullcheckip $2if $? -ne 0 the necho "

14、;Please in put effective IP"exit 3finumber='grep "Src: $2 " $1 2> /dev/null | wc -l 'if $nu mber -eq 0 the necho "Please in put an IP than in clude the $1"exit 4fiecho "The $2 as source has $nu mber packages" 找到TCP连接建立的三次握手过程，并结合数据，绘出TCP连接建立的完整 过程，注明每个TC

15、P报文段的序号、确认号、以及 SYNACK勺设置。与tcp建立连接的三次握手的分组：3172.16. L3IKP址3垃>hrp >比网咄日闵買5附£KPM hup > iW ISfli, o seq=O 就旧 vin=0幣旦m 5WEBU 沟】那1汕谢讯172血丄刚121.125.1,40KPa 4913? > htp km 5ffl=l 船rir017f L«P=(JTCP三次握手过程syn包(syn=j)到服务器，并进入第一次握手：建立连接时，客户端发送SYN_SEN状态，等待服务器确认；第二次握手：服务器收到syn包，必须确认客户的SYN( a

16、ck=j+1)，同时自 己也发送一个SYN包( syn=k)，即SYN+AC包，此时服务器进入SYN_REC状态;第三次握手：客户端收到服务器的SYW ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHE状态，完成三 次握手。实现过程如下: 第一次：(序号：0，SYN: 1)inientei prorctul version 4, brt: lTI.lS.l.IM C173.16.1. 234) p123.12 5.160. JiO (123.12 5. ICO. JO)Tranumion control Protocolsrc Pon:

17、49BS2 (4932), Dst Pan: hittJ <80h see: . Len: QSource port; <9382 (498?)CestiniitTon pert: http (601stresn index; 11J第二次:确认号：1，SYN 1, ACK:1)Seiuenee number : C Crelafi ve seqi挖rtE numfcr >Header 1 engt h :bytesl="l 且gs:DxatK (SYW>OCX).HHB-紐WS旦£电ci： Dt 5电t0 i fci loanee： HDX set

18、B k *1Q- hd bcongeal on Mndo*i induced1 not sqx fi 4!1o,1 » ECN-EChO： Not setI K ¥ 1r Oh =urgent: Not set.' =Acknow 1 尸 dgrrerit: Mot 3 etD>. =Push: Not set-.0_ .=Reseti Not setia -“a JL B =syn: 5et!B B a ia m !B hQ *Mrt: rsot ectrdoviCT2Cvluc:SL92C31 eulated Hiinido% size; 8192lnt*

19、rn« Protocol vision 4r grc： 1J3,1? 5,1G0.40 (l?K1.?SU60, D) H172 J6+1214 (172.16, U ?4)Tr-answ-i ir*i Control Protocol , 5rc Pnrf : hr t f:, gt Pnrt:的诃？ 2 孙 £2), S*q:趴 电k; h Lph: 0Sqtircp port; http (RO)eit4 naition port: 491B1stream index: 115equ«nce nunb«r : 0 (relaxlve s&q

20、uen匚电 inuinbr) Acknoildgniem nunitiQr : 1 (rela匸 ack nunber)h良d已晅rlefigith:32 Itd -lags:CJ)«J丄(t¥« ,心QQQ.il . riri V is 一ft«scrvedi hot setD h d fi& Nonce: Not sei出d *0fc ccngcstiori window Reduced CivR): No匸 set 0- ECh Echo： NQt 5CtQ,Urgent: Not set¥ 4 - F I 9 - -IAckno

21、m edg ne nt: set. .* D.«Push: Nat set,0.r=Reet: biot set，,-1rSyn： Set0 _Flirt： HOCwiridcivautf:!站40Clcuilt«dl *Ninda so#: 5040第三次：(序号：1, 确认号：1, SYN 0, ACK:1)internee Protocol Version Src: 34 <172.LG. 1.234 Dst: 123. L2J.160.40 (121A25.160-4D?Trans ml as ion Control Protocol( s

22、re Port: 4932 (斗 9 我刃+ Xt Port: hfttp (SO) i Seq: 11 Ack: 14 Lcn: 0 Source port:沖知82 CA9J82)Oeslnavior port: http 零Q)srrean Indexi 11Sequence nunber : 1rel at i ve SEquenum rui±ier)Acknol edgrrerrt ruriber : I (r &1 at 1ve ack number)Header length; 20 byres_ Flags: OxClQ (ACK) reserved: mqt

23、 stc=wncer zr se:> conges11on Aindnvr qduc«d i moi sei=fcn-fcItc : Nnt set=ur s«nt: Not set-AcknM I sdnent: Set Push; Net set=a屯m电t: ot u电t=syn: Hat sql0 = Fin: NdtWindow ilze value: 11554cakjlatec dndw 31 ze: M17G)JWIndtw sizc scaling factor : 4(5) 针对(4)中的TCP连接，该TCP连接的四元组是什么？双方协商的起始序 号

24、是什么？ TCP连接建立的过程中，第三次握手是否带有数据？是否消耗了一个 序号？四元组：源地址-34 ;目的地址源端口 -49382目的端口 -80Header 匚hecksum: 0x6563 Lcorrectsource； 172>16.1.23 (172,1.1.2343oestination: 1231251石0(12J.125.160.40)Transmission control Protoco'l, sre Port: 49382 (4982), Ost Port: http <B0) Source port: 453B2 (493&

25、;2) oestination port: http (80)协商的起始序号：0；第三次握手未携带数据internet Protocol Sion J. wc： 172.1C,1.234 (172,1C.1, Dst: 123.125, LflO.40 (123.125. K0-40)versioni 4Header length: 20 bytesi- Differe"trat«c services fJeld; 0x00 (D5CF 0*00; Oefaultn 弐、；0x00： ot-ECTNot ECN-Capable Transpor Tor31 Length:

26、iOZdcntificatior: OnObcd (3021)E Fl a<js: 0hQ2 (Don't Fr iiert)Fr dgnent offi已t: 0Hre to Hue: tdProtocol: TCP (6)消耗一个序号。Transiission Control ProtocolT Src Port: 9182 (49382), Ost Pert: http (80T Seq: D, Len: 0 source port: 4382 (493fi2) Destination port: htrp (BO)stream index: LI seqcence nun

27、ber: 0 (relatisequence nunber) H&acer length: 32 b/tes-Transmissian control Protocol, 5rc Port: 4 9382 (493823, ost poi source part: 4Q3S2 <45382L)Desti nat 1 on port: hrttp (£0)Stream i ndex: 14sequence nunber: 1 (relxive sequence number)a匚knowledgemenr number; 1 (relarive ack number(6)

28、 找到TCP连接的释放过程，绘出TCP连接释放的完整过程，注明每个TCP 报文段的序号、确认号、以及 FINACK的设置。TCP释放过程:WTCPhtlp > 493&2 iFIh, ACK Se>238 ACk=455 WirWICB LMrfKJ81；). £57514172.16. LJM0TCP62 49382 > http 刚如芳肚5 klin=6朗6 Len-0倚邮 r2A5.1,4KP赧49瑚 m iFlh,応町乂呼讨丸k=庶 "rH潮t l?n-3172,16,1,231TCP佛 hnp > 吗脫 w

29、560=型 叢说前 KiiwTUl Len=('A、服务器向本机请求释放：17M 64.29TCP6fi http > MM2 阪 A£Kxk-135 血71(1 LerwOB、本机响应服务器的请求释放：(半关闭).刑1馮国加1执1珠闻也TCP眾 49血卜 http kk 5435 Adc-?J9 訥n-659曲 lw-0C、本机向服务器请求释放连接：刪门岛;请1岸妣丄阁12瓯1飙协KP62 e抿 > hnp kx 歩M 禎Ack-?i9 KlfHW% tenD服务器响应本机的请求释放：W !T04KP靈 楸"4W (<K)潔Q加 畑州 Nfn-7

30、1U ltfl-0TCP的释放过程流程图:(7) :针对(6)中的TCP连接释放，请问释放请求由服务器还是客户发起？FIN报文段是否携带数据，是否消耗一个序号？ FIN报文段的序号是什么？为什么是 这个值？释放请求由服务器发起。FIN报文段未携带数据。消耗了一个序号：实现过程如下：internet Protocol version 4, sre: 0 (0) on! 4Header 1ength: 20 bytesi+ D"ifferenx-iaxed services F-iel'd: 0x00 (D5CP 0x00: o

31、efaulrj ; 0 total Length: 40Idnt1fIc-atlor: 0x5ef3 (2*1307)Transmissi on control Prorocol, sre Port: http (£0)Dst Port: 49站2 (43S2) p seq: 23fl Source port: htep (B0)Destination port: 49582 C493S2)Stream index: 11Sequence nunber: 23Q(relit 1ve sequence number)Acknowledgment number: 435 (relativ

32、e ack number)Header 1ength: 20 bytesTarsriission CDtrcrol Prococol, 5rc Port: hrtp (fi&), Ost Port: 49382 (49382), Seq: 239, Ack: 436 Source port: http (80)DE5tination Dort:云狛晩(49362Stream index: 11Sequence number: 239 (relaxive s已qutriff rurib已)Ackrowledgment rumber： 436 (relative ack nunber)He

33、acer length: 20 bytesFIN报文段的序号是436(8) 、在该TCP连接的数据传输过程中，找出每一个ACK报文段与相应数据报 文段的对应关系，计算这些数据报文段的往返时延 RTT (即卩RTT样本值)。根据 课本200页节容，给每一个数据报文段估算超时时间 RTOeoj rhhhhhhhhhhhhhhhhhhhh TTTTTTTTTTTTTTTTTTTTGJ 已已 QJOJQJ 已eQJOJio OOOOOOOOOT RTRTRTRTRTRTRTRTRTR0 123456789112 3 4 5 6eOOOOO0OOOORTRTRT町RT町町RTRTRTmnt# sh rt

34、o.sh li15 07438400015 .619263009is .676279006IS 019529900IS .000358000is .631018006IS 08518800615 G9483890Gis 01941390GIS .974636009IS .249529060込-058286060IS >230749000s 5*1.057890000.232412969.296024000,0593800001S -000793000IS .232399609IS .066600000脚本#!/bin/bash#by sky versi on 1.0#20121207 i

35、f $# -ne 1 thenecho "Usage:shell name file name"echo "Just like:rtt_coun t.sh http"exit 1fiif ! -f $1 thenecho "Please in put an effective file"exit 2fi grep RTT$1 |awk 'BEGINs1=0.125; s2=0.875; d1=0.25; d2=0.75 RTTNR=$9; lin e_num=NRENDfor( i=1; i<=li ne_num; i+

36、 ) _RTTSi=s2*RTTi-1+s1*RTTi;RTTDi=d2*RTTDi-1+d1*(RTTSi>RTTi?RTTSi-RTTi:RTTi-RTTSi)；prin tf("Thenu mberis %dttRTTS->%0.8ftRTTD->%0.8ftRTTS->%0.8fn",i,RTTSi,RTTDi,R TTSi+4*RTTDi)'(9) 、分别找出一个HTTP请求和响应分组，分析其报文格式。参照课本243页图6-12，在截图中标明各个字段。请求报文：Hypertext Transfer Protocol-GET /5d=

37、007 70abBf7dbt3270Sec4ityp e=2 02K2cl57 5Avl=lAv2=OAv3=O&v4 =06、b Expert rnro tc rat/sequence; : get statYnoJ/ / Dafatsr.- ade9«2440 -'edbc 2Massage： GET /stat?Tnid=00773abSf7ad&ga2440dbc327G8ei：4&t>/Fe=20：i0=4ccl22cl>?vl=Li； severity le*/el: chitGroup: sequ#n££_

38、request 唯thtid: Gt r 占玉Request UR"厂朗网血肌2440；此料2帀血&抚丫"£0強丫0乂盟亡崩2012绘(：15右驗1=站吃=0<eeciuKt 卫昭伽：HTTPd 后Accept: */*rnAtctipi-tricjcli rij: yz Ip, den<iLer vus电严共nt: MorUlaho匚测口貳“吏:msie 7.0; urindows XT 6.1; Trident/5.0; slcc?; . net clu 2.C. 5( HMU丨壮5聞.北吐，3<5O*f&.圭机奮 淞conn

39、ection: Keep Alivcrn'i亍Full 电Quest URI： httu：F#riQtr>an.stat 36OsHfm.tcffljSt:mt?rrid(KFFOat>&fariE98244O7dbt«0O8Et4&tyDe-】响应报文：T户JrtSftr PfOtocoluTTP/l* 1 200 OKVrnExpert info CchJii/sequence): TrTp.1,1 300 oC.rXrij HTTP丿U 20Q:-Iseveriiy levelt chai壬 TI3oup:咅电quE 即皿土工wr幻nni片r

40、TP/1,1 胺本 code： mo汁左殆比四pon£m_Rhr砧<?: 也 悬老 Server : nginw/O兀由叭门 t>aie: Thu. oc oec 2012 09:(M:41 3TrnCwnuenrt -Ty)e! text, hr ml rn10）、访问同一的不同网页，本次访问中的TCP连接是否和上次访问相同？（与 上次页面访问时间间隔不能过长，可连续访问，分别分析。）访问同一的另一网页】萍2也皈H91 2.UX234112.119. n. 2TCP4 4叮和 > hrtp【Mil 薩MLtrM) HS-14X)、Q177 ?2< 7057111«2 111 11.244171.16 1.JUKPT -rrp * i-ilR' svu,姑叮“甲<，1