实验二网络协议分析

1、实验二：网络协议分析开机后进入开机后进入windows XPwindows XP系统系统指导老师：曹浪财助教：徐朝庆 邱熠龙邮箱：975230721& 实验结束后，请班级学习委员及时将实验结束后，请班级学习委员及时将电子版电子版的实的实验报告收齐，然后打包成验报告收齐，然后打包成zipzip格式一起提交到邮箱，格式一起提交到邮箱，并注明未提交的同学名单。并注明未提交的同学名单。实验环境windows XP 系统联网计算机网络监听软件Sniffer 实验目的和要求 熟悉网络监听软件熟悉网络监听软件Sniffer,Sniffer,对截获的数据帧对截获的数据帧进行分析，验证进行分析，验证Et

2、hernetV2EthernetV2标准的标准的MACMAC层的帧层的帧结构结构 分析分析ARPARP协议报文首部格式，分析在同一网段协议报文首部格式，分析在同一网段和不同网段间的解析过程和不同网段间的解析过程 分析分析IPv4IPv4的报文结构，给出每一个字段的值的报文结构，给出每一个字段的值 掌握常用掌握常用ICMPICMP报文格式及相应方式和作用报文格式及相应方式和作用 掌握掌握TracertTracert命令跟踪路由技术命令跟踪路由技术 掌握掌握TCPTCP连接的建立和释放过程连接的建立和释放过程实验原理 数据在网络上是以很小的称为帧（数据在网络上是以很小的称为帧（FrameFrame

3、）的）的单位传输的，帧由几部分组成，不同的部分执行不单位传输的，帧由几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件同的功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线进行成型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在目的机器的一端执行相反到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧已到达，然后对其进行存储。就是告诉操作系统帧已到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会带来安全方在这个传输和接收的过

4、程中，嗅探器会带来安全方面的问题。面的问题。数据包“包包”(Packet)是是TCP/IP协议通信传输中的数据单协议通信传输中的数据单位，一般也称位，一般也称“数据包数据包”。有人说，局域网中传。有人说，局域网中传输的不是输的不是“帧帧”(Frame)吗？没错，但是吗？没错，但是TCP/IP协协议是工作在议是工作在OSI模型第三层模型第三层(网络层网络层)、第四层、第四层(传输传输层层)上的，而帧是工作在第二层上的，而帧是工作在第二层(数据链路层数据链路层)。上。上一层的内容由下一层的内容来传输，所以在局域一层的内容由下一层的内容来传输，所以在局域网中，网中，“包包”是包含在是包含在“帧帧”里

5、的。里的。 以太网和IEEE 802封装 以太网是指数字设备公司（以太网是指数字设备公司（Digital Equipment Corp.Digital Equipment Corp.）、）、英特尔公司和英特尔公司和XeroxXerox公司在公司在19821982年联合公布的一个标准。年联合公布的一个标准。它是当今它是当今TCP/IPTCP/IP采用的主要局域网技术。它采用采用的主要局域网技术。它采用CSMA/CDCSMA/CD（带冲突检测的载波侦听多路接入）的媒体介入方法。它（带冲突检测的载波侦听多路接入）的媒体介入方法。它的速度是的速度是10Mb/s10Mb/s，地址是，地址是48bit48

6、bit。 IEEEIEEE（电子电气工程师协会）（电子电气工程师协会）802802委员会公布了一个稍有委员会公布了一个稍有不同的标准集，其中不同的标准集，其中802.3802.3针对整个针对整个CSMA/CDCSMA/CD网络，网络，802.4802.4针对令牌总线网络，针对令牌总线网络，802.5802.5针对令牌环网络。这三者的共针对令牌环网络。这三者的共同特性由同特性由802.2802.2标准来定义，那就是标准来定义，那就是802802网络共有的逻辑链网络共有的逻辑链路控制（路控制（LLCLLC）。不幸的是，）。不幸的是，802.2802.2和和802.3802.3定义了一个与定义了一个

7、与以太网不同的帧格式。以太网不同的帧格式。 常用的以太网常用的以太网MACMAC帧格式有两种标准，一帧格式有两种标准，一种是种是Ethernet V2Ethernet V2标准，另一种是标准，另一种是802.3802.3标准。标准。这里只介绍常用的以太网这里只介绍常用的以太网V2V2的的MACMAC帧格式。帧格式。 以太网的以太网的MACMAC帧比较简单，有五个字段组帧比较简单，有五个字段组成。前两个字段分别为成。前两个字段分别为6 6字节长的目的地址和字节长的目的地址和源地址字段。第三个字段是源地址字段。第三个字段是2 2字节的类型字段，字节的类型字段，用来标志上一层使用的是什么协议，以便把

8、收用来标志上一层使用的是什么协议，以便把收到的到的MACMAC帧数据上交给上一层的协议。例如，帧数据上交给上一层的协议。例如，当类型字段的值是当类型字段的值是0X08000X0800时，就表示上层使用时，就表示上层使用的是的是IPIP数据报。第四个字段是数据字段，其长数据报。第四个字段是数据字段，其长度在度在46-150046-1500字节之间。最后一个字段是字节之间。最后一个字段是4 4字节字节的帧检验序列的帧检验序列FCSFCS（使用（使用CRCCRC检验）。检验）。8.2 链路层数据帧分析实验步骤：实验步骤：1 1、【开始开始】 【SnifferSniffer软件软件】 打开打开“当前设

9、置当前设置窗口窗口” 选中网络适配器选中网络适配器 确定确定2.Sniffer Monitor Define Filter2.Sniffer Monitor Define Filter在在AddressAddress选项卡下选项卡下的的AddressAddress下拉选择下拉选择IPStation1IPStation1中填入本机中填入本机IPIP，Station2Station2中中输入输入AnyAny选取选取CaptureStartCaptureStart菜单项，等待截取报菜单项，等待截取报3. 3. 【开始开始】 “cmdcmd” 弹出弹出“命令提示符命令提示符”窗口窗口 键入键入“pin

10、g ping XXX.XXX.XXX.XXXXXX.XXX.XXX.XXX” 选择选择SnifferSniffer的的“capture capture ” stop and displaystop and display显示截获的数据报文结果显示截获的数据报文结果 选择选择“DecodeDecode”选项卡选项卡查看报文解码查看报文解码其中其中XXX.XXX.XXX.XXXXXX.XXX.XXX.XXX表示同网段的计算机表示同网段的计算机IPIP地址地址4、下图是下图是SnifferSniffer捕获的报文解码，在数据链路捕获的报文解码，在数据链路层（层（DLCDLC）和源）和源MACMAC地

11、址后紧跟着地址后紧跟着0800,0800,代表该帧数代表该帧数据部分封装的是据部分封装的是IPIP报文，由于报文，由于08000800大于大于05FF05FF，所，所以它是以它是EthernetV2EthernetV2帧。提示：选中摘要（帧。提示：选中摘要（summarysummary）框的框的“ICMP EchoICMP Echo”报文项查看。报文项查看。8.3 ARP地址解析协议 ARP ARP协议是协议是“Address Resolution Protocol”Address Resolution Protocol”（地（地址解析协议）的缩写。在局域网中，网络中实际传输的是址解析协议）的

12、缩写。在局域网中，网络中实际传输的是“帧帧”，帧里面是有目标主机的，帧里面是有目标主机的MACMAC地址的。在以太网中，地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标一个主机要和另一个主机进行直接通信，必须要知道目标主机的主机的MACMAC地址。但这个目标地址。但这个目标MACMAC地址是如何获得的呢？它地址是如何获得的呢？它就是通过地址解析协议获得的。所谓就是通过地址解析协议获得的。所谓“地址解析地址解析”就是主就是主机在发送帧前将目标机在发送帧前将目标IPIP地址转换成目标地址转换成目标MACMAC地址的过程。地址的过程。ARPARP协议的基本功能就是通过目标设备的

13、协议的基本功能就是通过目标设备的IPIP地址，查询目地址，查询目标设备的标设备的MACMAC地址，以保证通信的顺利进行。地址，以保证通信的顺利进行。 用于以太网的ARP请求或者应答分组格式ARPARP报文的格式：报文的格式：硬件类型：指明硬件的类型，以太网是硬件类型：指明硬件的类型，以太网是1 1。协议类型：指明发送者映射到数据链路标识的网络层协协议类型：指明发送者映射到数据链路标识的网络层协议的类型；议的类型；IPIP对应对应0 x08000 x0800，ARPARP对应的是对应的是0 x08060 x0806。硬件地址长度：也就是硬件地址长度：也就是MACMAC地址的长度，单位是字节，地址

14、的长度，单位是字节，这里是这里是6 6。协议地址长度：网络层地址的长度，即协议地址长度：网络层地址的长度，即IPIP地址长度，单地址长度，单位是字节，这里为位是字节，这里为4 4。操作：指明是操作：指明是ARPARP请求还是请求还是ARPARP应答。应答。实验原理：使用网络的应用程序是采用逻辑地址实验原理：使用网络的应用程序是采用逻辑地址（如（如IP地址）进行通讯的，而实际的物理网络必地址）进行通讯的，而实际的物理网络必须使用物理地址（如须使用物理地址（如MAC地址）进行数据传输。地址）进行数据传输。所以需要建立逻辑地址与物理地址的映射关系所以需要建立逻辑地址与物理地址的映射关系（地址解析），

15、高层应用的报文才可以用底层物（地址解析），高层应用的报文才可以用底层物理网络传输出去。理网络传输出去。ARP协议就是将协议就是将IP地址解析成物地址解析成物理地址的地址解析协议。理地址的地址解析协议。1、同网段的、同网段的ARP解析过程解析过程 主机与处在同一网段的另一主机进行通信时，主机与处在同一网段的另一主机进行通信时，首先去缓存中查找目的主机的首先去缓存中查找目的主机的IP-MAC对应项；如对应项；如果找到，就将报文用找到的物理地址直接发送出果找到，就将报文用找到的物理地址直接发送出去；如果找不到，源主机就直接向网络发送去；如果找不到，源主机就直接向网络发送ARP请求报文，在同一网段的目

16、的主机会对此请求报请求报文，在同一网段的目的主机会对此请求报文做出应答。文做出应答。2、不同网段的、不同网段的ARP解析过程解析过程 主机与处在不同网段的主机进行通信时，主机与处在不同网段的主机进行通信时，数据要想发送给默认网关，然后由它转发出去。数据要想发送给默认网关，然后由它转发出去。源主机首先去缓存中查找默认网关的源主机首先去缓存中查找默认网关的IP-MAC对对应项；如果找到，源应项；如果找到，源主机就把报文发送给它的主机就把报文发送给它的默认网关；如果找不到，源主机就会发送默认网关；如果找不到，源主机就会发送ARPARP请求报文，从默认网关的请求报文，从默认网关的ARPARP应答报文中

17、获得应答报文中获得默认网关的默认网关的IP-MACIP-MAC对应项。对应项。实验步骤：实验步骤：1 1、运行、运行SnifferSniffer软件软件2 2、选取、选取“MonitorMonitor”Define Filter Define Filter 弹出对弹出对话框话框 在在“AddressAddress”中选择中选择“HardwareHardware” 在在“Station1Station1”处键入本机的处键入本机的MACMAC地址地址 “Station2Station2”处填入处填入“AnyAny”3 3、同网段、同网段ARPARP的解析：的解析：“CaptureCapture”S

18、tart”Start”在命令提示符窗口键入在命令提示符窗口键入arparp d d arparp a ping a ping XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX “Capture”Capture”“Stop and Stop and DisplayDisplay” 分析报文分析报文提示：在提示：在“summarysummary”栏选中栏选中“ARPARP”报文报文同网段的请求和应答报文如下截图：同网段的请求和应答报文如下截图：2 2、不同网段的解析：前面步骤同、不同网段的解析：前面步骤同1 1，在，在DOSDOS窗口输入：窗口输入：ping 3s

19、top and displayping 3stop and display截获报文并显示。截获报文并显示。不同网段的不同网段的ARPARP请求和应答报文请求和应答报文分析不同网段的报文填入下表字段项字段项ARP请求报文请求报文ARP应答报文应答报文DestinationSourceSender MAC AddressSender IP Address Target MAC AddressTarget IP Address8.4 IPv4协议分析IP数据报首部的固定部分中的各字段数据报首部的固定部分中的各字段8.4 IPv4协议分析 分析分析IPv4IPv4的报头结构，给出每

20、个字段的值；的报头结构，给出每个字段的值； 实验步骤：运行实验步骤：运行SniffercapturestartSniffercapturestart在在DOSDOS窗口中输入窗口中输入ping 3stop ping 3stop and displayand display选择选择DecodeDecode选项选项分析截获的分析截获的报文填入表格报文填入表格字段字段报文信息报文信息字段字段报文信息报文信息版本片偏移首部长度生存周期服务类型协议总长度校验和标识源地址标志目的地址8.5 ICMP协议分析和路由跟踪实验要求：实验要求：1 1、理解、理解ICMPIC

21、MP协议与协议与IPIP协议的封装关系协议的封装关系2 2、掌握常用的、掌握常用的ICMPICMP报文格式及响应方式和作报文格式及响应方式和作用用3 3、理解路由跟踪过程、理解路由跟踪过程4 4、掌握、掌握tracerttracert命令跟踪路由技术命令跟踪路由技术 ICMP ICMP协议：为了处理当数据包经过多个网络传协议：为了处理当数据包经过多个网络传输后可能出现的故障，在输后可能出现的故障，在IPIP层引入子协议层引入子协议ICMPICMP。当遇到当遇到IPIP数据包无法访问目标等情况时，路由数据包无法访问目标等情况时，路由器自动发送器自动发送ICMPICMP报文，向源主机报错。报文，向

22、源主机报错。nICMPICMP报文的封装报文的封装 ICMP ICMP有两种报文：差错报文和查询报文。有两种报文：差错报文和查询报文。 差错报文用于当路由器或主机在处理数据差错报文用于当路由器或主机在处理数据过程出现问题时，向源主机进行报告；过程出现问题时，向源主机进行报告； 查询报文用于帮助网络管理员从一个网络查询报文用于帮助网络管理员从一个网络设备上得到特定的信息，例如某个主机是设备上得到特定的信息，例如某个主机是否可达，中间经过哪些路由器等。否可达，中间经过哪些路由器等。ICMPICMP报报文都是封装在文都是封装在IPIP报文中传输的。报文中传输的。ICMPICMP报文报文还分为很多类，

23、简明的报文类型如下表所还分为很多类，简明的报文类型如下表所示。示。种类种类类型类型报文报文差错报告报文差错报告报文3 3目的端不可达目的端不可达4 4源端抑制源端抑制1111超时超时1212参数问题参数问题5 5改变路由改变路由查询报文查询报文8 8或或0 0回送请求或应答回送请求或应答1313或或1414时间戮请求或应答时间戮请求或应答1717或或1818地址掩码请求或回答地址掩码请求或回答1010或或1919路由器查询和通告路由器查询和通告nTracertTracert 工作原理工作原理 TracertTracert( (跟踪路由跟踪路由) )是路由跟踪实用程序，用于确定是路由跟踪实用程序

24、，用于确定IPIP数据报文访问目标所采取的路径。数据报文访问目标所采取的路径。TracertTracert命令用命令用IPIP数数据报文中的生存时间据报文中的生存时间(TTL)(TTL)字段和字段和ICMPICMP报告的错误消息来报告的错误消息来确定从源主机到网络其他主机的路由。确定从源主机到网络其他主机的路由。n源主机的源主机的TracertTracert程序向目标端发送程序向目标端发送ICMPICMP请求，请求，并将封装并将封装ICMPICMP请求数据包的请求数据包的IPIP分组报头中的分组报头中的TTLTTL值置值置1,1,。此。此ICMPICMP数据包在到达第一个路由数据包在到达第一个

25、路由器时，器时，IPIP报头中的报头中的TTLTTL减减1 1变为变为0 0，根据规定路，根据规定路由器会丢弃由器会丢弃TTLTTL为为0 0的的IPIP分组，并同时向发送端分组，并同时向发送端发送发送ICMPICMP超时消息。源主机从收到的超时消息超时消息。源主机从收到的超时消息中，记录并显示发回超时信息的路由器的中，记录并显示发回超时信息的路由器的IPIP地地址，以及址，以及IPIP分组从源主机的第一个路由器之间分组从源主机的第一个路由器之间的往返时间；然后的往返时间；然后TracertTracert程序继续向目标端程序继续向目标端发送发送ICMPICMP请求数据包，但请求数据包，但IPI

26、P分组报头的分组报头的TTLTTL加加1 1置为置为2,2,。这个。这个ICMPICMP请求数据包在向目标端前进请求数据包在向目标端前进的路途上到达第二个路由器后，的路途上到达第二个路由器后，TTLTTL的值减为的值减为0 0；第二个路由器同样的向发送端发送第二个路由器同样的向发送端发送ICMPICMP超时报超时报文。源主机就获得了路途上第二文。源主机就获得了路途上第二 路由器的路由器的IPIP地址以及往返时间。以此类推，直到有地址以及往返时间。以此类推，直到有一个一个ICMPICMP请求数据包到达目的端。这样源主机就可请求数据包到达目的端。这样源主机就可以根据各路由器回复的以根据各路由器回复

27、的ICMPICMP超时报文来确定达到目超时报文来确定达到目的端的路径上所有的路由器的端的路径上所有的路由器IPIP地址与通讯往返时间。地址与通讯往返时间。n 利用利用TracertTracert可以测试从源端到目的端的路径需要可以测试从源端到目的端的路径需要通过哪些节点，同时了解通讯路径中哪个节点存在通过哪些节点，同时了解通讯路径中哪个节点存在故障。故障。实验步骤：实验步骤：1 1、捕获并分析、捕获并分析ICMPICMP超时报文超时报文运行运行SnifferCapturestartSnifferCapturestart在在DOSDOS窗口键入窗口键入3stop and di

28、splay 3stop and display 截获并显示报截获并显示报文文在报文显示列表找到超时报文在报文显示列表找到超时报文(Time exceeded(Time exceeded，ICMPICMP报文中报文中Type=11)Type=11)报文信息填入表格报文信息填入表格类型类型代码代码校验和校验和数据数据2 2、捕获分析回送请求和应会送答、捕获分析回送请求和应会送答ICMPICMP报文报文 使用刚刚截获的报文，在报文显示列表找到使用刚刚截获的报文，在报文显示列表找到ICMP ICMP EchoEcho和和ICMP Echo replyICMP Echo reply报

29、文，并将相应的信息报文，并将相应的信息填入表格填入表格类型类型代码代码校验和校验和标示符标示符序列号序列号Echo request Echo reply3 3、用、用TracertTracert 跟踪路由跟踪路由运行运行SniffercapturestartSniffercapturestart在在DOSDOS窗窗口输入口输入tracerttracert d 4 stop d 4 stop and displayand display截获并显示报文截获并显示报文分析分析tracerttracert命令的工作过程命令的工作过程 下图报文是本地主机发往远端主

30、机的下图报文是本地主机发往远端主机的ICMPICMP报报文。其中文。其中IPIP报头的报头的TTLTTL值为值为1 1，即，即TracertTracert发发送的第一个送的第一个ICMPICMP报文，报文，ICMPICMP代码为代码为8 8（ICMPICMP请求报文）。请求报文）。 ICMP ICMP请求报文请求报文 下图报文是从源主机发往远端主机的分组经过第下图报文是从源主机发往远端主机的分组经过第一个路由器，由于一个路由器，由于TTL(time to live)TTL(time to live)从从1 1减为减为0 0，路由器发送超时报文给源主机，路由器发送超时报文给源主机，ICMPICM

31、P超时报文的超时报文的类型为类型为1111。 大家可以在列表中找到有源主机发出的大家可以在列表中找到有源主机发出的 TTL(time to live) TTL(time to live)为为2 2、3 3、4 4等的等的ICMPICMP请求请求报文，同样可以找到途中各路由器发回给源主报文，同样可以找到途中各路由器发回给源主机的超时报文，最后机的超时报文，最后IPIP分组的分组的TTLTTL递增到足够递增到足够大时，源主机的大时，源主机的tracerttracert程序发送的程序发送的ICMPICMP请求请求报文终于到达目的主机。此时目的主机向源主报文终于到达目的主机。此时目的主机向源主机发送机

32、发送ICMPICMP应答报文，而不是超时报文，路由应答报文，而不是超时报文，路由跟踪过程到此结束。跟踪过程到此结束。回答问题：回答问题：1 1、tracerttracert程序每次回发送几个程序每次回发送几个TTLTTL相同的相同的ICMPICMP请求报文？请求报文？2 2、路由跟踪过程中，中间节点、路由跟踪过程中，中间节点( (路由器路由器) )返回的返回的ICMPICMP报文和目的端返回的报文和目的端返回的ICMPICMP报文有什么区别？报文有什么区别？最后目的主机向源主机发送最后目的主机向源主机发送ICMPICMP应答报文应答报文8.6 TCP传输控制协议分析实验要求：实验要求：掌握掌握

33、TCPTCP协议的形式；协议的形式；掌握掌握TCPTCP连接的简历和释放过程；连接的简历和释放过程；掌握掌握TCPTCP数据传输编号与确认的过程；数据传输编号与确认的过程；实验原理：实验原理：TCPTCP是一种面向连接的、可靠的、是一种面向连接的、可靠的、基于字节流的通信协议。基于字节流的通信协议。实验条件：实验条件：XPXP或或win7win7联网计算机，联网计算机，SnifferSniffer软件，软件，FTPFTP服务器服务器TCP：传输控制协议TCPTCP是一种可靠的、面向连接的字节流服务。是一种可靠的、面向连接的字节流服务。源主机在传送数据前需要先和目标主机建源主机在传送数据前需要先

34、和目标主机建立连接。然后，在此连接上，被编号的数立连接。然后，在此连接上，被编号的数据段按序收发。同时，要求对每个数据段据段按序收发。同时，要求对每个数据段进行确认，保证了可靠性。如果在指定的进行确认，保证了可靠性。如果在指定的时间内没有收到目标主机对所发数据段的时间内没有收到目标主机对所发数据段的确认，源主机将再次发送该数据段。确认，源主机将再次发送该数据段。 TCP包首部源、目标端口号字段：占16比特。TCP协议通过使用端口来标识源端和目标端的应用进程。端口号可以使用0到65535之间的任何数字。在收到服务请求时，操作系统动态地为客户端的应用程序分配端口号。在服务器端，每种服务在众所周知的

35、端口（Well-Know Port）为用户提供服务。顺序号字段：占32比特。用来标识从TCP源端向TCP目标端发送的数据字节流，它表示在这个报文段中的第一个数据字节。确认号字段：占32比特。只有ACK标志为1时，确认号字段才有效。它包含目标端所期望收到源端的下一个数据字节。头部长度字段：占4比特。给出头部占32比特的数目。没有任何选项字段的TCP头部长度为20字节；最多可以有60字节的TCP头部。标志位字段（U、A、P、R、S、F）：占6比特。各比特的含义如下：URG：紧急指针（urgent pointer）有效。ACK：确认序号有效。PSH：接收方应该尽快将这个报文段交给应用层。RST：重建

36、连接。SYN：发起一个连接。FIN：释放一个连接。窗口大小字段：占16比特。此字段用来进行流量控制。单位为字节数，这个值是本机期望一次接收的字节数。TCP校验和字段：占16比特。对整个TCP报文段，即TCP头部和TCP数据进行校验和计算，并由目标端进行验证。紧急指针字段：占16比特。它是一个偏移量，和序号字段中的值相加表示紧急数据最后一个字节的序号。选项字段：占32比特。可能包括窗口扩大因子、时间戳等选项。 (1)TCP(1)TCP协议的报文分析协议的报文分析 FTP FTP是常用的应用层协议，其使用是常用的应用层协议，其使用TCPTCP的控制和数据的控制和数据连接。在连接。在FTPFTP客户

37、端，使用客户端，使用SnifferSniffer捕获由捕获由FTPFTP命令产生命令产生的的TCPTCP数据包。为了产生数据源，本实验在数据包。为了产生数据源，本实验在DOSDOS命令行中命令行中输入输入ftpftp登陆命令登陆命令( (本例为本例为55),),而后进而后进入入FTPFTP的某一目录下载一个文本文件，最后退出服务器。的某一目录下载一个文本文件，最后退出服务器。 实验步骤：实验步骤： 运行运行SnifferMonitorDefine SnifferMonitorDefine FliterFliter选取选取Address

38、Address选项卡选项卡在在AddressAddress下拉列表选择下拉列表选择IPIP在在Station1Station1和和Station2Station2下面分别填入本机下面分别填入本机IPIP和和FTPFTP服务器服务器IPIP地址地址Capture startCapture start在在DOSDOS窗口输入窗口输入ftp ftp 55输入用户名和密码，都为输入用户名和密码，都为116 116 “get get text.txt text.txt ”“quitquit”SnifferSniffer软件的软件的Capture Capture S

39、top and Display Stop and Display 截获并显示报文截获并显示报文 提示：输入密码后是默认不显示的，直接按回车提示：输入密码后是默认不显示的，直接按回车(2)TCP(2)TCP连接建立过程连接建立过程 根据根据FTPFTP和和TCPTCP协议，抓取到前面的三个报文，协议，抓取到前面的三个报文，是是TCPTCP连接的三次握手过程。下图是连接的三次握手过程。下图是FTPFTP客户端客户端( (本本机机) )向向FTPFTP服务器发送第一次握手信号；控制位的同服务器发送第一次握手信号；控制位的同步步SYN=1SYN=1，表示发出连接请求。，表示发出连接请求。 下图表示下图

40、表示FTPFTP服务器向服务器向FTPFTP客户端发送第二次客户端发送第二次握手信号，控制位里面有确认位和同部位握手信号，控制位里面有确认位和同部位(SYN=1,ACK=1)(SYN=1,ACK=1)。 下图为下图为FTPFTP客户端向客户端向FTPFTP服务器发送第三次握服务器发送第三次握手信号；手信号； 控制位里面只有确认位控制位里面只有确认位ACK=1ACK=1。 经过三次握手后，经过三次握手后，FTPFTP客户端与客户端与FTPFTP服务器建立服务器建立起连接，就可以下载文件了。起连接，就可以下载文件了。 根据根据TCPTCP协议建立过程的三个报文，填写下表。协议建立过程的三个报文，填写下表。字段名称字段名称第一条报文第一条报文第二条报文第二条报文第三条报文第三条报文序号Sequence NumberAcknowledgment NumberACKSYNTCP连接终止建立连接需要三次握手，而终止一个连接要经过4次握手TCPTCP连接释放过程连接释放过程 TCP TCP连接释放使用了四次握手，通讯双连接释放使用了四次握手，通讯双方都可以启动终止程序，一个典型的释放方都可以启动终止程序，一个典型的释放过程需要每个终端都提供一对过程需要每个终端都提供一对FINFIN和和ACKACK。 第一步：第一步：FTPFTP服务器先从