网络协议分析实验总结

1、实验一 IP协议练习一 利用仿真编辑器发送IP数据包描述:收发IPv4报文,不填上层协议.问题: 查看捕获到得报文长度是60，和你编辑的报文长度不同，为什么？最小帧长度为60，当不足60时，在源数据尾部添加0补足。 讨论，为什么会捕获到ICMP目的端口不可达差错报文？差错报文的类型为协议不可达，因为上层协议为0，未定义。 练习二 编辑发送IPV6数据包描述:收发IPv6报文.问题:比较IPV4头，IPV6有了那些变化？IPV4的TTL字段在IPV6里对应那个字段？ 比较 IPv4 和 IPv6 的报头，可以看到以下几个特点： 字段的数量从 IPv4 中的 13（包括选项）个，降到了 IPv6

2、中的 8 个； 中间路由器必须处理的字段从 6 个降到了 4 个，这就可以更有效地转发普通的 IPv6 数据包； 很少使用的字段，如支持拆分的字段，以及 IPv4 报头中的选项，被移到了 IPv6 报头的扩展报头中； IPv6 报头的长度是 IPv4 最小报头长度（20 字节）的两倍，达到 40 字节。然而，新的 IPv6 报头中包含的源地址和目的地址的长度，是 IPv4 源地址和目的地址的 4 倍。 对应： 跳限制-这个8位字段代替了IPv4中的TTL字段。 练习三：特殊的IP地址 描述:直接广播地址包含一个有效的网络号和一个全“1”的主机号,只有本网络内的主机能够收到广播,受限广播地址是全

3、为1的IP地址; 有限广播的数据包里不包含自己的ip地址，而直接广播地址里包含自身的ip地址练习四: IP包分段实验问题:讨论，数据量为多少时正好分两片？1480*2=2960 练习五: netstat命令描述: C:netstat s ；查看本机已经接收和发送的IP报文个数C:netstat s ；查看本机已经接收和发送的IP报文个数C:netstat e ；观察以太网统计信息，实验二 2.1 ARP协议练习一 维护 ARP 缓存表描述: ：查看ARP缓存 : arp a 手动建立 ARP 表 :arp s IP (如1) MAC（如:00-E0-4D-3D-84-53）

4、 清空 ARP 缓存表：arp d练习二 仿真发送 ARP 请求报文描述: ARP协议叫物理解析协议, 是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间2.2 ICMPv4协议练习一 利用仿真编辑器编辑 ICMP 回显请求报文练习二 仿真发送 ICMP 时间戳请求报文描述: ICMP封装在IP报文里面,一个ICMP报文32位,8位类型,八位代码,16位校验和2.3 ICMPv6只是把ICMP放在了IPv6数据包的载荷

5、中.实验三 3.1 ARP练习一 发送 ARP 请求报文（不同网段内）描述:在跨越路由器进行通信的时候,发起通讯的主机发现目的地址不在同一个网段,会先查询路由器的地址,于是广播出ARP请求,路由器的入口网卡发现有一个ARP请求的目的IP是自己的IP地址,于是回复自己的Mac,得到了Mac,发起通信的主机将通信内容发送到路由器的入口网卡,并选路到出口网卡,此时出口网卡需要知道目标的Mac,于是广播出ARP查询,目标机回复自己的Mac,路由器的出口网卡成功的将信息发送到目标机器.练习二 ICMP 差错报文描述:ICMP目的端口不可达/超时/的情况.注意为了模拟目的端口不可达,某主机ping一个不存

6、在的IP地址,为了模拟超时,向一个跨路由器的目标通信,但是TTL设置为1,路由器会丢弃TTL耗尽的包,因为根本就收不到,所以当然就没有回复,就会超时试验3.2 ARP欺骗描述: 1、ARP 高速缓存 ARP 缓存表是记录 IP 地址和 MAC 地址的映射关系。ARP 表分为动态更新和静态更新两种，系统默认动态,更新时间为 120 秒。ARP 表的建立是通过以下两个途径： 主动解析：如果一台计算机想与另一台不知道 MAC 地址的计算机通信，则该计算机主动发 ARP 请求； 被动解析：如果一台计算机接收到了一台计算机的 ARP 请求，则首先在本地建立请求计算机的 IP 地址和 MAC 地址的对应表

7、； ARP 地址欺骗正是利用高速缓存，使高速缓存中存在错误的映射关系，误导数据包发往错误的目的地。 2、ARP 地址欺骗的原理 一般情况下，当系统收到 ARP 请求或应答时，都要把源端的硬件地址和 IP 地址填入 ARP 高速缓存。正是根据这一性质，为 ARP 欺骗提供了条件。 编辑一个 ARP 应答数据包，将 ARP 层的源 IP 地址为主机 A 的 IP 地址，将 ARP 层的源 MAC 地址填为主机B 的 MAC 地址，将 MAC 层的源地址填为主机 A 的 MAC 地址，发送这个数据包。当到达目的主机时，由于 ARP特性：当系统收到 ARP 请求或应答时，都要把请求端的硬件地址和协议地

8、址填入 ARP 高速缓存。所以在向 ARP高速缓存中添加表项时，添加的是主机 A 的 IP 地址和主机 B 的 MAC 地址值。当要向主机 A 发送数据包时，要发送的数据包的目的 MAC 地址填入了由高速缓存中提取的地址(主机 B 的 MAC 地址)，这样，要发送给主机 A的数据包被发送给了主机 B。实验 3.3 ICMP Redirect练习一 利用 ICMP 重定向进行信息窃取描述: 主机可能会把某数据发送到一个错误的路由。在这种情况下，收到该数据的路由器会把数据转发给正确的路由器，同时，它会向主机发送 ICMP 重定向报文，来改变主机的路由表。给主机来指出存在一个更好的路由。试验时,主机

9、A给E发送报文,主机B作为路由器,主机C给A发送ICMP重定向报文,在网关地址中添加自己的IP地址,并按照上表填写ICMP数据部分,此时主机A的路由表中出现了主机A到E的一条记录,网关是C的IP地址;问题: 说明 ICMP 重定向的意义. 意义：ICMP 重定向使得客户端管理工作大大减少，使得对于主机的路由功能要求大大降低。而且当路由线路非最优化是线路的速度一定有所损失。而有了重定向之后可以很快的修改非最优线路提高通信速度。实验四 UDP练习一 利用仿真编辑器编辑 UDP 数据包并发送描述:UDP和TCP都是传输层的协议,他们被应用层使用,为了实现多路复用和多路分解,应用层使用了端口号,所以U

10、DP中需要填写源端口和目的端口.问题: 将 UDP 的校验和填“0”，在捕获包中查看校验和是否正确？ 正,UDP没有纠错能力,也没有回执机制,所以即使它能够发现自身的错误,也没有能力和必要去纠正错误练习二 UDP 单播通信描述:使用UDP工具进行通信, 确认UDP没有确认报文;练习三 利用仿真编辑器编辑 UDP 数据包，利用工具接收描述:向目的主机的没有开放的端口发送UDP,会产生目的端口不可达的ICMP信息.练习四 UDP 受限广播通信描述:使用UDP通信工具,在受限广播地址(全是1)上向发送UDP广播,相连的设备无论是否在同一个网段之内,都能够收到信息,该报文的目的MAC地址是FFFFFF

11、-FFFFFF.练习五 UDP 直接广播通信描述:使用UDP工具,在直接广播地址上(网络号+255)上发送广播,只有同一个网段的设备能够接收到, 该报文的目的MAC地址是FFFFFF-FFFFFF.问题: 说明受限广播和直接广播的区别？ 直接广播地址包括一个有效网络号和一个全 1 的广播号，主机可能还不知道他所在网络的网络掩码，路由器可能对该种数据报进行转发。 受限广播地址是一个 32 位全为 1 的 IP 地址，在任何情况下这样的数据包仅出现在本地网络中，路由器不对该种数据报进行转发。 练习六 利用仿真编辑器编辑 IPV6 的 UDP 数据包并发送描述:在UDP上,IPv4和IPv6没有区别

12、练习七 运行 netstat 命令描述: netstat 命令是用于显示网络使用协议的统计； netstat s ；显示每个协议的使用状态， netstat a ；显示主机正在使用的端口号实验五 TCP练习一 观察 TCP 协议的连接和释放过程描述:问题: ：TCP 连接建立时，前两个报文的 TCP 层首部有一个“maximum segment size”字段，它的值是多少？怎样得出的？ 最大字段长度为 1460，该字段长度通常受该计算机连接的网络的数据链路层的最大传送单元限制。1460=1500-20(IP 首部)-20(TCP 首部) 练习二 利用仿真编辑器编辑并发送 TCP 数据包描述:

13、使用仿真编辑器手动实现TCP的三次握手连线和四次握手拆线过程.练习三 TCP 的重传机制描述:接收端开启过滤软件,阻断TCP通信,TCP会进行重传,在这个例子中,重传了五次实验六 6.1 DNS练习一 nslookup 工具的使用描述: nslookup 命令是查询域名对应 IP 的工具,其用法是：nslookup 域名,运行结果: Server: ( JServer.NetLab ); Address:( 53 ); Name: ( host34.NetLab); Address:( 4 );反向查询某个IP的域名: nslookup 172.16.0

14、.253运行结果Server: ( JServer.NetLab )； Address:( 53 )； Name: (JServer.NetLab )； Address:( 53 )；练习二 仿真编辑 DNS 查询报文（正向解析）描述:这里最重要的东西是DNS的报文格式和”域名循环体”的问题.图片是域名循环体.练习三 仿真编辑 DNS 查询报文（反向解析）练习四 ipconfig 命令描述: ipconfig/displaydns ；显示本机缓冲区中 DNS 解析的内容； ipconfig/flushdns ；清空本机 DNS 缓冲区中的内容；注意DNS

15、缓存是有生存周期的.实验 6.2 UDP 端口扫描练习一 UDP 端口扫描描述: 向目标端口发送一个 UDP 协议分组。 如果目标端口以“ICMP port unreachable”消息响应，那么说明该端口是关闭的； 反之，如果没有收 到“ICMP port unreachable”响应消息，则端口是打开的.实验 6.3 TCP 端口扫描1、TCP SYN 扫描 这种方法是向目标端口发送一个 SYN 分组（packet），如果目标端口返回 SYN/ACK 标志，那么可以肯定该端口处于检听状态;否则返回的是 RST/ACK 标志。 3、TCP FIN 扫描 这种方法是向目标端口发送一个 FIN

16、分组。 按 RFC793 的规定，对于所有关闭的端口，目标系统应该返回一个 RST（复位）标志。 这种方法通常用在基于 UNIX 的 TCP/IP 协议堆栈，有的时候有可能 SYN 扫描都不够秘密。 一些防火墙和包过滤器会对一些指定的端口进行监视，有的程序能检测到这些扫描.相反，FIN 数据包可能会没有任何麻烦的通过。这种扫描方法的思想是关闭的端口会用适当的 RST 来回复 FIN 数据 包。另一方面,打开的端口会忽略对 FIN 数据包的回复。这种方法和系统的实现有一定的关系，Windows 系统不管端口是否打开，都回复 RST， 否则就是其他的操作系统,这样，这种扫描方法就不适用了。 实验七

17、 7.1 FTP 协议练习一 FTP描述: 注意事项:FTP登录的时候,可以捕获到用户名和密码的明文,USER 是用户名命令,PASS 是密码命令,LIST 是dir的命令,问题: FTP 服务器是如何知道用户的数据端口？ 客户端通过 PORT 命令告知服务器: PORT 172,16,0,16,5,101,端口是：5*256+101=138121 端口和 20 端口分别传输什么内容？ 21 端口传输控制信息，20 端口传输数据,数据传输结束后,20 端口关闭，21 端口未关闭,发送quit命令之后,两个端口都关闭.练习二 使用浏览器登入 FTP描述:控制台登录和浏览器登录是不一样的,使用浏览

18、器登录,会启动被动模式.问题: FTP 服务器用哪个端口传输数据，数据连接是谁发起的连接？FTP 服务器用 8361 接口传输数据，数据连接是客户端主动发起（即此时使用的是 PASV 模式） 用户是如何知道服务器的数据端口？ 服务器对客户端的 PASV 命令返回应答：227 Entering Passive Mode(172,16,0,253,32,169)，告知客户端服务器端已经打开了 8361（32*256+169=8361）端口作为数据端口。练习三 在窗口模式下，上传/下传数据文件实验 7.2 HTTP练习一 主页访问描述:注意HTTP协议的所有东西都封装在TCP中问题: 使用了 HTT

19、P 协议的哪种方法（命令）读取网页文件？网页的文件名什么？ GET 方法，网页文件名：/experiment/练习二 页面提交描述: 页面提交就是提交表单问题: 提交信息的过程使用了 HTTP 协议的哪种方法？ POST 方法 传输密码是明文还是密文？粘贴含有用户名和密码的捕获包。 明文 每次 HTTP 命令都是单独连接完成的（一次一个连接），这样有什么好处？ 因为 HTTP 是无状态协议，短连接（一次一个连接）实现、管理起来比较简单，存在的连接都是有用连接，不需要额外的的控制手段实验 7.3 DHCPDHCP 工作原理 发现阶段：DHCP 客户机以广播方式发送 DHCP discover 报

20、文来寻找 DHCP 服务器。 提供阶段：DHCP 服务器在网络中接收到 DHCP discover 报文后会做出响应，它从尚未出租的 IP 地址中挑选一个分配给 DHCP 客户机，向 DHCP 客户机发送一个包含出租的 IP 地址和其他设置的 DHCP offer 报文。 选择阶段：如果有多台 DHCP 服务器向 DHCP 客户机发来的 DHCP offer 提供报文，则 DHCP 客户机只接受第一个收到的 DHCP offer 提供报文，然后它就以广播方式回答一个 DHCP request 请求报文，该报文中包含向它所选定的 DHCP 服务器请求 IP 地址的内容。 确认阶段：DHCP 服务器收到 DHCP 客户机回答的 DHCP request 请求报文之后，它便向 DHCP 客户机发送一个包含它所提供的 IP 地址和其他设置的 DHCP ack 确认报文，告诉 DHCP 客户机可以使用它所提供的 IP 地址。 重新登录：以后 DHCP 客户机每次重新登录网络时，就不需要再发送 DHCP discover 发现报文了， 而是直接发送包含前一次所分配的 IP 地址的 DHCP request 请求报文。 更新租约：DHCP 服务器向 DHCP 客户机出租的 IP 地址一般都有