IP和TCP数据分组捕获和解析1

--WORD格式--可编辑---实验二：IPTCP实验类别协议分析型实验内容和实验目的本次实验内容：捕获在连接Internet组，IPICMP分析各种分组的格式，说明各种分组在建立网络连接过程中的作用。IP通过本次实验了解计算机上网的工作过程，学习各种网络层分组的格式及其作用，理解长度大于1500字节IP数据组分片传输的结构。TCP实验学时4学时。实验分组单独完成。实验设备环境1WindowsXPpcInternetWireShark实验步骤准备工作启动计算机，连接网络确保能够上网，安装WireShark软件。DHCPDHCP报文格式先介绍一下DHCP的报文格式，如图1OP(1)OP(1)HtypeHlenHops(----WORD格式--可编辑---(1) (1) 1)TransactionID(4)Seconds(2)Ciaddr（4）Yiaddr（4）Siaddr（4）Giaddr（4）

Flags(2)Chaddr（16）Sname（64）File（128）Options（variable）（图1 DHCP报文格式）OP：若是client送给server的封包，设为1，反向为Htype：硬件类别，ethernet为1；Hlen：硬件长度，ethernet为6；Hops：若数据包需经过router传送，每站加1，若在同一网内，为0；TransactionID：事务ID，是个随机数，用于客户和服务器之间匹配请求和相应消息；Seconds：由用户指定的时间，指开始地址获取和更新进行后的时间；bit为1serverclient，其余尚未使用；CiaddrIPIPSiaddrbootstrapIPGiaddr：转发代理（网关）IP地址；----WORD格式--可编辑---Chaddr：client的硬件地址；Snameserver的名称，以0x00File：启动文件名；Options如下图所示，在DOS窗口执行命令ipconfig/release后，已经申请的IP地址被释放。ipconfig/renew，WireSharkDHCPIPDNS等参数的过程。----WORD格式--可编辑---现在来详细分析下这四次握手的过程。（1）第一次握手：DHCPdiscover报文，目的是发现网DHCP，并请求给出回应。从图中可以看出DHCPdiscover数据包二层源mac地址为源端口mamac为广播地址ff:ff:ff:ff:ff:ff.三5567。------WORD格式--可编辑---（2）第二次握手：向client端提供IP地址。当DHCP服务器监听到客户端发出的Dhcpdiscover广播后，它会从那些还没有租出的地址池内，选择最前面的的空置IPTCP/IPDHCPOFFERIPDhcpdiscover封包内会带有其MACXIDDHCP服务器回应的Dhcpoffer封包则会根据这些资料传递给要求租约封包会包含一个租约期限的信息,当客户端到了这个期限,进行相同步骤的再次申请.在DHCPoffer包中我们可以获得以下的信息:息,IP.DHCPdiscover请求申请后,IP36DHCP服务器的IP租约时间为4个小时.ClientIPaddress址Your(Client)IPaddress=36(36)DHCPServer分配给该客户机的IP地址nextServerIPaddressnextServerIPaddressDHCPRequest报文时，哪个DHCPServer会发出回应DHCPMessageType＝DHCPOffer表示这是一个对DHCPDiscover的回应报文----WORD格式--可编辑---SubnetMask=28IPSubnetMask=28IP16位Ipaddressleasetime=4hour4Serveridentifier=IP地址为Router=2929DomainName=""表示域名DHCPOfferIP地址。在该地址不再保留之前，该地址不能分配给其他的客户。(3)第三次握手：DHCPrequest报文,DHCPRequestDHCPMessageTypetype＝Request表示这是一个请求报文。----WORD格式--可编辑---（4）第四次握手：第四阶段DHCPserver回应DHCPACK报文,DHCPRequestDHCPAcknowledgeDHCPOFFER类似。在该报文中可以获得以下信息:DHCP服务器端给出了domainname=”e”表示服务器的域名为””。ARPPING命令的执行过程。40ping32字节。默认情况下，只发送四个数据包4次回应。404个数据包的过程当中，返回了4487ms2ms。----WORD格式--可编辑---下面看看ＡＲＰ的执行过程：apr先发送一个请求包：----WORD格式--可编辑---整个报文长度为４２字节，"who has 40?tell36",36",ip6是以太网目的地址ffffffffffff这是一个广播地址，全网下的所有终端都能接受到。Sendermacaddmacipip60个字节头6个字节是本地的mac6mac加进缓存表。----WORD格式--可编辑---分析数据分组的分片传输过程8000IP的分组结构。Windowsping-l，ping-l8000执行之后我们捕获了4个数据包：（执行之后我们捕获了4个数据包：（默认情况下，只发送四个数据包）从4从4个分组中随便选取一个进行详细的分析：----WORD格式--可编辑---IPv4IP4HeaderlengthIP：报头长度为20字节Totallength：Headerlength56.Identification0xb3e6（46054）Fragmentoffset：重组分片为0。Timetolive：0.0数据包将被丢弃。Protocol：ICMP协议接收。。Headerchecksum（报头的校验和：报头正确Source：IP36。Destination：IP。TCPWireShark的Filter项填为tcp.port==21(仅观察FTP的TCP通信，FTP端口号为21)。捕获所有下面通信过程的TCP报文进行分析。（1）TCPftp连接建立后直接按下Ctrl-C中止程序运行。----WORD格式--可编辑---可以看出，我的ip 地址为36,目的ip 地址为97.现在来详细分析一下这3次握手过程。①第一次握手：Sourceport:源端口号为1666DestinationportFTP21Sequencenumber0Headerlength:首部长度为32字节Flag:标志位SYN，Windowssizevalue:65535.Checksum;校验和是正确的。Options:选项是12字节可以看到是我（客户）向目标地址（服务器）发出的第一次握手，seq=0，SYN=1。服务器可以知道我的联机请求。②第二次握手：服务器在收到请求后，发回确认（SYN+AC。----WORD格式--可编辑---Sourceport:源端口号（服务器）Sourceport:源端口号（服务器）FTP21Destinationport:目的端口为（客户端）1666Sequencenumber:相对确认号为0Acknum=1:对所接受的段的确认Headerlength32Flag:标志位（0x02）.Flag中，SYN:认可连接。ACK表示对所接受的段的确认。Windowssizevalue:窗口大小为65535.Checksum;校验和是正确的。Options:选项是12字节③第三次握手：客户向服务器发出的确认段。再向服务器发出第三次握手，可以看到ACK=1，seq=1，ack=1。----WORD格式--可编辑---SourceportSourceport1666DestinationportFTP21Sequencenumber1Headerlength32Flag:标志位（0x02）.只设置了ACK，表示已建立连接。Windowssizevalue:窗口大小为65535.Checksum;校验和是正确的。Options:选项是12字节粗暴方式拆除连接：用户直接与服务器断开连接。（2）TCPftp用户名输入anonymous口令输入a@b执行成功后输入命令bye--WORD格式--可编辑---TCP采用四次握手的方式拆除连接。首先我们向服务器发送一个QUIT请求，然后开始4TCP采用四次握手的方式拆除连接。首先我们向服务器发送一个QUIT请求，然后开始4次握手。①第一