实验二 TCPIP协议分析与验证

1、实验二TCP/IP协议分析与验证【实验目的】通过本实验使学生了解和掌握报文捕获工具Wiresshark （或者EtherDetect）的使用方法 和基本特点，通过Wireshark软件捕获并分析基于链路层的协议数据，包括ARP、ICMP、 IP、TCP、UDP以及DNS、FTP、HTTP协议的报文格式以及工作过程，促使学生真正了解 TCP、UDP、IP等协议的构成。【实验环境】（1）联网的PC机，装有Windows操作系统；（2）网络上安装DNS、FTP和HTTP服务器并配置好；（3）Wireshark软件及其使用手册。【实验原理、方法和手段】第一部分：包嗅探器工作原理我们观察执行协议的实体之

2、间如何交换信息的基本工具是包嗅探器（packet sniffer），正 如其名，嗅探器在你的电脑发送消息或接收消息时进行协议数据的捕获，同时有选择地显示 这些协议数据的内容。由于以太网在物理上具有广播特性，因此通过包嗅探器可以将经过以太网卡的所有以太 网帧捕获，通过分析以太网帧封装的各种报文，可以得到ICMP和ARP报文格式；通过分 析报文序列，可以验证ICMP和ARP协议的工作过程。包嗅探器本身是被动的，电脑所收发的数据包不写明是给包嗅探器的，而是由应用程序 发送和接收时产生的，在包嗅探器收到包的同时应用程序数据收发仍是正常进行的。包嗅探 器的结构如图2-1所示。图2-1嗅探器的结构包嗅探器

3、的另一个组成部分是包分析器，它显示一个协议消息中所有字段的内容，为了 完成这些任务包分析器必须了解所有通过协议交换的消息的结构。第二部分：学习Wireshark本实验中将使用Wireshark这种包嗅探器。简介Wireshark是著名的网络协议分析软件，其前身是Etherreal,该软件可以成为网络嗅探 和协议分析功能，广泛用于协议分析和网络研究中。Wireshark可以分析前期抓取的网络包，即.pcap文件；也可以通过网络接口进行实时抓 包分析。如果使用.pcap文件，通过文件菜单，打开指定位置的pcap文件则显示该文件所存 储的网络包信息。如果需要实时分析网络协议，则通过capture菜单

4、选取网络接口，然后启 动抓包则进行实时流量捕获，并在各子窗口显示相关信息。通过对过滤器的设置，可以筛选 需要分析的网络包。还可以通过capture-option来设置包过滤器，从而决定哪些网络包会被 选中，其它则抛弃。Wireshark的主窗口界面如图2-2所示。图2-2 Wireshark程序主界面（1）网络包列表显示当前capture文件中所有网络包的摘要信息，包括：编号、时间戳、源项地址、目 的IP地址、协议等信息。capture文件中的一个网络包对应网络包列表框中的一行，当选中 其中一行，则该网络包对应的更详细信息分别显示在下面两个面板内。（2）选中网络包的头部信息用一种较为详细的形式

5、显示所选中网络包的信息，包括协议和协议的个字段信息，可以 通过点击行首的“+”来展开信息。（3）选中网络包的内容又称为“网络包字节面板”，以字节的形式显示网络包列表框中选中网络包的内容。分 为三列，最左边一列是字节的偏移量；中间一列是以十六进制表示的网络包字节信息；而最 右边一列是对应的ASCII字符(如果没有合适的ASCII字符，则用.表示)。显示过滤器设置用于设置显示过滤器，从而筛选出要显示的网络包。例如：ip.src=，则只 显示源IP地址为的网络包。通过逻辑表达式可以构造出更复杂的显示过滤器。根据上述基本的设置功能，可以观察基本的协议行为，理解协议的工作过程，因此可以 利用Wiresh

6、ark工具进行网络协议的学习。使用 wireshark使用ping命令抓取数据包，分析该数据包的IP协议首部的主要字段的内容和含 义。ping命令是向目标主机发送ICMP请求数据包，当目标主机给与ICMT echo类型 数据包回应时就可以试探出本机和目标主机之间连通性。使用ping命令并抓取目标主机送 回的ICMP echo消息，分析ICMP数据报中的主要字段内容及其作用。【实验内容】要求学生在各自机器上进行文件下载和浏览网页操作，通过Wireshark捕获报文并分析 TCP/IP协议族中各种协议的报文格式和工作过程。然后在各自机器上发送ping、tracert命 令，然后通过Wireshar

7、k捕获以太网帧并分析IP、ICMP和ARP协议的报文格式和工作过程。【实验步骤】启动Wireshark，并设置好相关参数；启动Wireshark捕获功能；发送ping或tracert命令或进行文件下载和网页浏览；分析Wireshark捕获的各种报文并验证TCP/IP协议的报文格式和工作过程。例如：ICMP协议分析运行Wireshark，开始截获报文，为了只截获和实验内容有关的报文，将Wireshark的Capture Filter 设置为 “No Broadcast and no Multicast” ；以为目标主机，在命令窗口执行ping命令，要求ping通10次；停止截获报文，分析截获的结果实验题目：(1)设置获取数据包的filter为两台机之间。捕获两台机之间的IP数据报的报文。在报文的十六进制代码中找出源小、目标IP、首部长度以及协议字段的值。(1)设置获取数据包的filter为两台机之间。捕获两台机之间的ICMP报文。分析echo和echo reply两种类型的ICMP报文的。(1)先对 Capture Filter 的 hardware address 进行设置。捕获ARP的request报文。给出该报文中的 Senders hardware address 和 Target hardware address