A实验二协议分析软件基础实验指导

1、实验二 协议分析软件基础（实验指导）一、实验目的 1.掌握如何利用协议分析工具分析IP数据报报文格式，体会数据报发送、转发的过程。在学习的过程中可以直观地看到数据的具体传输过程。 通过分析截获TCP报文首部信息，理解首部中的序号、确认号等字段是TCP可靠连接的基础。通过分析TCP连接的三次握手建立和释放过程，理解TCP连接建立和释放机制。进一步熟悉Wireshark软件的使用方法；2利用Wireshark（Ethereal）抓包； 3对抓取到的包进行分析，通过分析巩固对Ethernet II 封包、ARP 分组及IP、ICMP 数据包的认识。 二、实验内容和要求 1. 学习协议分析工具Wire

2、shark（Ethereal）的基本使用方法； 2. 利用Wireshark（Ethereal）进行IP数据报报文的抓取； 3. 对抓取到的数据报文进行分析，体会数据报发送、转发的过程。 三、实验主要仪器设备和材料 PC机，Windows；Wireshark软件 四、实验方法、步骤及结果测试 1 ping 命令网络数据包的跟踪    1）首先运行Wireshark（Ethereal），在菜单Capture 下点击Interfaces， 选取要抓包的网卡， 这里选取地址为192.168.111.124的这个网卡抓取数据包，如图1.1： 图1.1 选择抓取数

3、据包网卡    2）之后在主操作系统中命令行界面使用ping 的命令，来ping 163的网站。如图1.2所示；图1.2 Ping 网易的网站地址      3）如图1.3所示，Wireshark抓取了很多的网络数据包，从图1.3可见包括SSDP广播包、ARP、DNS、ICMP等类型的数据包。图1.3 Wireshark抓取到的网络数据包    4)在刚才的Ping命令中主要包含了两种数据包：DNS、ICMP，为了分析刚才的ping命令，我们需要进一步对数据包进行过滤处理，以确定该命令

4、所产生的具体的网络数据包，并对这些数据包进行进一步的分析。我们可以在图1.4所示的椭圆标记的输入框中输入合适的过滤条件就可以准确地将特定的网络数据包过滤出来，图1.4所过滤出来的就是，刚才Ping命令所产生的2个DNS数据包和8个ICMP数据包。图1.4 过滤Wireshark所抓的网络数据包2 ARP 报文分析     如图1.3，从Wireshark的第11栏中，我们看到这是个ARP 解析的广播包，。由于这个版本的Wireshark（Ethereal）使用的是Ethernet II 来解码的，我们先看看Ethernet II 的封装格式。如下图1.5

5、： 图1.5 以太网封包格式      注意这个和802.3 是有区别的，802.3 的封包格式如图1.6：图1.6 802.3 封包格式    尽管Ethernet II 和802.3 的封包格式不同，但Wireshark（Ethereal） 在解码时，都是从“类型”字段来判断一个包是IP 数据报还是ARP 请求/应答或RARP 请求/应答。    从Ethernet II 知道了是ARP 解析以后，我们来看看Wireshark（Ethereal） 是如何判断是ARP 请求呢还是应答的。我们先

6、复习一下以太网的ARP 请求和应答的分组格式，如图1.7。图1.7 分组格式 从上图中我们了解到判断一个ARP 分组是ARP 请求还是应答的字段是“op”，当其值为0×0001 时是请求，为0×0002 时是应答。如图1.8、1.9。图1.8 ARP 请求图1.9 ARP 应答 3 ICMP报文分析     如图1.10所示的报文是一个有Ping命令产生ICMP报文： 图1.10 ICMP ping 包    同样，我们先复习一下IP 包的封包格式，如图1.11：图1.11 IP 封包格式

7、60;   关于IP 封包各字段的内容及意义，这里就不再详述了，可以参见三卷本的TCP/IP，。    我们主要看看TTL，从图1.12 和1.13 的比较来看，图1.12中的TTL 是128，而图1.13 中的TTL 却是64，什么原因呢？    原来图1.12中的主机是Windows2000 ，而1.13 中的主机是Linux，看来不同操作系统的TTL 是不同的。图1.12 Windows 主机的TTL图1.13 Linux主机的TTL    好了我们来看看ICMP 报文吧，先看看它的封包格式，如图1.14： 图1.14 ICMP 封包类型    关于ICMP 的“类型”和“代码”字段，这里有一个表，如图1.15：  图1.15 ICMP 报文类型    ICMP 报文，我们主要对照图1