北邮 计算机网络实验 网络层数据分组捕获

计算机网络课程设计实验二：网络层数据分组的捕获和解析1、实验类别协议分析型2、实验内容和实验目的本次实验内容：1）捕获在连接Internet过程中产生的网络层分组：DHCP分组，ARP分组，IP数据分组，ICMP分组。2）分析各种分组的格式，说明各种分组在建立网络连接过程中的作用。3）分析IP数据分组分片的结构实验目的：通过本次实验了解计算机上网的工作过程，学习各种网络层分组的格式及其作用，理解长度大于1500字节IP数据组分片传输的结构。4）分析TCP建立连接，拆除连接和数据通信的流程。3、实验学时4学时4、实验组人数1人5、实验设备环境1台装有WindowsXP操作系统的pc机，能够连接到Internet，并安装WireShark软件。6、学习难点重点分析网络层分组的格式，掌握各种分组在网络通信中的应用，了解整个上网的工作过程。发送ICMP分组，并分析其结构和功能。制作长度大于1500字节的IP数据分组，发送并分析其分片传输的过程。7、实验步骤1、启动计算机，连接网络确保能够上网，安装WireShark软件。2、第一步：开启WirkShark监控，设置捕获过滤器，仅捕获UDP报文Capture==>Interfrace==>选中所用网卡==>点击Start第二步：设置WirkShark显示过滤器，在工作画面Filter设置udp.port==68，这样在捕获的报文中，仅显示UDP端口号68的报文（DHCP报文）第三步：在DOS窗口执行命令ipconfig/release先释放已经申请的IP地址，再执行ipconfig/renew，就可以在WireShark上看到DHCP的四次握手获得IP地址，缺省路由DNS等参数的过程。第四步：重新设置WireShark的捕获选项和显示选项（这些选项的设置方法可以参照软件自带手册）。执行一个ping命令，观察ARP和PING命令的执行过程。关于捕获过滤器的手册：Help==>Contents，找到4.9节：Filteringwhilecapturing关于显示过滤器的手册：Help==>Contents，找到6.3节：Filteringpacketswhileviewing3、分析数据分组的分片传输过程制作大于8000字节的IP数据分组并发送，捕获后分析其分片传输的分组结构。使用Windows中ping命令的-l选项，例如：ping-l80004、分析TCP通信过程WireShark的Filter项填为tcp.port==21（仅观察FTP的TCP通信，FTP端口号为21）。捕获所有下面通信过程的TCP报文进行分析。1）观察TCP建立连接的三次握手和粗暴方式拆除连接的流程。执行命令ftp连接建立后直接按下Ctrl-C中止程序运行。2）观察TCP建立连接的三次握手，数据通信和优雅方式拆除连接的流程。执行命令ftp用户名输入anonymous口令输入a@b执行成功后输入命令bye3）（选作）执行下面的操作，观察TCP连接断开的流程与2）有何区别。执行命令ftp用户名输入anonymous口令输入a@b执行成功后输入命令bye8、实验分析捕获ICMP协议数据运行ping命令（例如：c>ping），远程主机地址可以是本机地址、网关路由器地址，也可以是域名（如）。将捕获到的数据保存为文件。使用Windows中ping命令的-l选项（例如：c>ping-l8000），制作大于8000字节的IP包并发送，捕获后分析其分段传输的包结构。捕获DHCP协议数据使用ipconfig命令释放计算机的IP地址（c>ipconfig-release）；使用ipconfig命令重新申请IP地址（c>ipconfig-renew）。此时wireshark窗口中可以捕获到完整的DHCP地址分配的流程，将捕获到的数据保存为文件。捕获ARP协议数据采用与捕获DHCP协议数据相同的方法释放IP地址并重新申请，在wireshark窗口中可以捕获到ARP请求和响应消息，保存为文件。捕获TCP协议数据

打开浏览器，输入一个页面内容较简单网页URL,^口；网页全部显示后关闭浏览器。9、实验结果1）捕获DHCP分组DHCPHeaderDHCP:-Etiotrecordtype=1(Request)HardTrareadd3?esetype=1(1DMbEthernet)Ha.rdMareDHCPHeaderDHCP:-Etiotrecordtype=1(Request)HardTrareadd3?esetype=1(1DMbEthernet)Ha.rdMareaddress：length=EbytesHops=0Transactionid=J452357DElapaedboottine=0secondsDHC?DHC?DHC?DHC?DHC?DHCP..成粉..E..颔.....D.C.H航....DRb}狂馥....匚糠匚5..-....：：和赣富.；皿栏..IEM-99B13S2513f9Q...IBM-93B13925139.<.MSFT5.07..._u-twit000000000000001203fo.ib00000000000000040305f*400000000000000793114fT0000000000000004130ooooooooooooooooodflsbooooo-u_uoooooo_u00030530Ou-urboooooooooooooo3c9oi7ooooo-u_uoooooo_uooooo333co1ocoooooooooooo183Q-o600060000000000000b333_u01000000000000005013ebooob_uooooooo_uooo3c3322s4_u2ooooooo_uoooo3o515fa6o4_uooooooooooo64333f2?■o5ooooooo_uoooo3b22ob2f0o2n-ooooooooooo533422110oloooooooooooo2d-A-9d-911401O_uoooooo_uooo0o335f_u0100000000000000323961o8ooo-u_uoooooo_uooo633342f09000000000000000Cld3ff0400000000000000063251foooooooooooooooooo2ddff_uooo-u_uoooooo_uoooob4442fC40000000000000002928ef0400000000000000043402f_.b0000000000000000599ccf4000_uoooo0000000023432fcf5f1foooooooooooooooooooooooooQoooo_uoooooooooooooooQooooo1do已6012020oodo-y3Qo4o3Q00000000000000100000002000000030000000400000005000000060000000700000003000000090OOOOOOaOOOOOOObOOOOOOOc.0OOOOOOdOOOOOOOeOOOOOOOfO00000100000001100000012000000130000001400000015000000160DHCFDHCFDHCFDHCF匚尸DHCFDHCPDHCFDHCFDHCPDHCPDHCFDHCFDHCFDHCFDHCFDHCF□H匚尸DHCFDHCPDHCFDHCFDHCPDHCPDHCFDHCFDHCFEncode分析如下:DHCPHeaderBootrecor-dtype=1(Request)Ho.jrdwax'eo.ddiress-type*1(1UMbEth-smet)Hardwar-eaddresslength=6bytesHops=□Transactionid-44523G7DElapsedtioott.line=0seccmdsF1ags=0000□=NobroadcastClisntse1f—assignsdIPSLddres®=[]CllentIFaddress二[]NestServertousembocitstrap=[0.0.□.0]RelayAgent=[0.0.□.0]Clienthmirdwmzrmaddr-eas=00112542B06CHostna.iite=""Bootfilenaine=""Vendor-In£ox-mat-iontag-—G302G363MessageType=3(DHCFRequest)CllentidentifierOpticmClientha.rdixraretype=EthernetClisnthe.rdTTSirsaddress=00112542BUbCRequestspecific：IFaddress二[84]HostName=MIBM-99B13925139_JDHCP:Bootfilenanie=11"_JDHCP:1DHCP:VendorInformationtag=638253631DHCP:MessageType=3（DHCPRequest）1DHCP:ClientidentifierOptionDHCP:Clienthardwaretype=EthernetrDlDHCP:Clienthardwareaddress=00112542B06CrD^DHCP:RequestspecificIPaddress=[59.G4.192.184]DHCP:HostWane=,1IBM-99B13925139"iQDHCP:Unidentifiedtag81DHCP:Classidentifier=4D53465420352E30以DHCP:ParameterRetiuestList:11entriesQDHCP:1=Client'ssubnetna.skDHCP:15=Domain,nameDHCP:2=Routersontheclient1ssubnet[JjDHCP:白=Domain,nameserver[剧DHCP:44=NetBIOSoverTCPzIPnajuieserverDHCP:46=NetBIOSoverTCPzIPncdetype[剧DHCP:47=NetBIOSoverTCPzIPscope_DHCP:91=PerEormrowten?discovery*}DHCP:33=Statici^oute_3DHCP:249=irnknovnOptioil_DHCP:49-VendorspecificinformationQDHCP:由捕获的数据包可见，其IP头部的目的域地址为ffffffff,即表明该包围一个广播包，同时可以看到其源地址为00000000。根据DHCP的数据包部分的译码输出，我们可以得到BootRecordtype域为1（表明是申请IP地址），以及硬件地址类型和硬件地址长度等等信息，并且最终申请的IP地址为84。之后可以看到网关会发来一个DHCPACK数据包，用来确认IP地址的分配（由于版面所限，未添加相应截图）2）捕获IP数据分组：00000000:001731ecf0b400lb545b3b4108004500..1^?,T[;A..E.00000010:00308a8340006巳0689117d26809c3b40.口婶虬n.?}宓？。00000020:cO30lad40050aOfa6991000000007002..p.00000030;ffff6444000002040501010402dD?…IP分组格式为：♦32Bits►VersionIHLTypeofserviceTotallengthIdentification?pFragmentoffsetTimetoliveProiocolHeaderchecksumSourceaddressDestinationaddressOptions（0ormorewords）二分析IP数据分组:

其相应的分析如下表字段报文（16进制）内容报头长度45报头长20字节服务类型00正常时延，正常吞吐量，正常可靠性总长度0030分组长度48字节标识8a83标识为35459标志40DF=1，MF=0，不允许分片偏移值00偏移量为0生存周期6e每跳生存周期为110s协议06携带的数据来自TCP协议头部校验和8911头部校验和为8911源地址7d26809c源地址为56目的地址3b40c030目的地址为8FFFFFFFbFFFF-FFFFPFFEFFzpVWWWWWIPHeaderVersionTypeofserviceODOFFFFFFFbFFFF-FFFFPFFEFFzpVWWWWWIPHeaderVersionTypeofserviceODO.―一u.lengthTotalIdentiflcation4.headerlength=20bytes=00=routine=noriaaldi=lay=noTTiia.lthrcughDut=noTTitalreliability=ECTbit一transportprotocolwillignoretheCEbit二CEbit一noo=inge：E：tion=48bytes=35459Flags.1..―一FragmentoffsetTimetoliveProtocolHeaderchtc：ksuiiLSourceaddress=4K=don1tfra.gnent=lastfragiiLent=0bytes=lluseconds^hops=6(TCP)=8911(correct)=[12E.38.128.158]Destinationaddress-[0]Nooptions首先通过广播的方式向默认的网关（我这里是）发送一个DHCPREQUEST报文，以申请获得动态的IP地址，里面包括的内容如实验结果1示网关受到报文后，会回送一个DHCPACK报文，以告诉申请方已经将IP地址分配过去，本次实验分配的地址是8之后本机还要广播自己的地址映射关系，用ARP数据报。其形式是这样的：本机发送ARP请求查找它自己的IP地址，这样就会使每台主机在ARP缓存中加入一个映射表象，即让其他主机知道了当前本机的地址，相应的数据报如下图示

1序号1在衣||甘标曲址时|Lrn目neLI3D.D040CA7D3552:FFrrrrF7F7FFEU:ruuE:E=d二FD〕[匚印blj□4[][5DHCP:Request,Messagetype:DHCPReqiiEstiIrnnTrnrmooruciqurinn■tttui-jt口口ctteftt1■■iflIIn-n-n-n-n-n・n-n__J--I---I--PLppn-n-n-n-n・n-n-n-n-n-n・n-n__J--I---I--PLppn-n-n-n-n・n-n-n_..-■■IIIIIIIIIIIIIIIIIIIIIIP™IrJI_l疽_lmTTTTT_lJI_l疽，331了域■r5:1..0....=narnaa.ldel*....0...=nnrmalthroughput0..二normalre2lability......D.-ECTbit-traiiEpzirtprotocolT-ril1ignoretheCEbit0=CEbit-nocongestlqd.Totallength■340bytesIden匕i£ic-s.tion-G74Flags=0K.[I..一三noyfragnEnt.0.一三lostfragnentFragnentoffset-0bytesTinetoliwe二128semnds^hopaProtccDl=17(HD?)Headerchezhsun=3£F0(corTECtJSouxceaddress=[Q.0.0.0]testina.t.ionaddress=[255.255.255.Z55]Nooptions000DOLItlLI：DOODODIOIJ00D0LI2O:D00D0D3Ormnnnnjn-offo000DOLItlLI：DOODODIOIJ00D0LI2O:D00D0D3Ormnnnnjn-offo-II-uEu□nsEdonf9口rloooo-nDDoDn9fl..h-flnoooo-Mco1o«6floQ/_ofl1fl-nbDDD■:!」口dDcl-fdo/I63oE232o_n110fl111.4o1DD1Dnosofl-n£Q3flnffl4flAfooflnfon-oIIf24onfa4-flnt2ofl-n-tDDDn-tc_t7rl£5£dnf1fo_u.tflXIn.unDHCPREQUEST数据报序号[状恋|谢里处Ittg|目标姓址收迫9次皿口_食4页DU::[LLECALBFDU匹9叫Jl芝JI]|I旺1址跖139DHCP:E=]iLcnf^ReimI1200:00:00?p=-DHCPick353D：00：flfl□'□'Dr.inn■nnnnppppppppppfppfpppffppp:■■IIIIZIIIrIIIlIIIrIIIII_lr-LrJJa2*_*__3_3_3_342_3*_j_j_j口344一J\_IPHead.BrVer-sionTypeofservice三''000…...0-TotalLength■Ident□.fi_u凸tican三F1agx«Fragnsnt.□££set=TinetoLius二Protcccl二Headerchecksum■SouToe-addressDestznatinnaddressHnoptions4.headerLength-20b7t«00三roubinencixnaldela^ncixnalthroughputnomalrBliabilit-yECThit一transjKTtprotcBoIvilligtiorethsCEbitCEbit-tiocongestion339byteE53BB5OXjusyfraqnBntIs.stEragnent-0bytes255sscan.[iB-,_hops17真DF)F0DD(correct)[E9.S4.1921J[59.6J.192L04]..I日H-99日L39%139DHCPACK数据报UL•」J.Ut.J..-L」UL•」J.Ut.J..-L」J-J-ll"」—」」JJ-•」J£,rJL■」ARP:(:口彩［59.41.1龙.1虱］询一9皿：392沁9困3：|i—IiTrsr-h.r-i—P-hhni—■hi~irtt^t—h——jiRF/RaRFtrameHardwaret^ipe=1(LOMbEthernet.)Protocoltype=OBOLI(IP)Length口fhardvareaddress=Gbytes：Lstigthofprotoco1mddresw=AbytesOpcode1(ARPrequest)Sender-1shaidvareaddress=00112542B06CSender'sprotocoladdress=[E9hi.192.184]..IBH-99BL392E139Tar-gethardTf-are-D.ddress-00000000U000Targetprotocolo.ddress-[59.b4.192.164]..IBM-99DL992E139]]3D3O2O]]3D3O3O8oobnDoDoco..h-n-oo4osbe030二coo_.b6_uoon-oobboo23044bDG5on.2zcolion.1140c_ubcn-D3_uf1o-ufn-oo-tn-oofn-oof4o_u-tn-DDf6ooXIn-n-.tn-_ufn-o-ufH-oo-tn-oo分组一00000000:00ii2542tiO6c00lb545b4108oaell00000010:00■Xs2ade0000ff0198ee40cO014000000020:□0b803'03'tif73000000000000■3.1a?00000030:no000111t.f6t.■3b40cLIbS40cLI01fa00000040:07Ge00;8d7d95相应ICMP译码输出Hit[■-[：9.1捉]Z：-[：9.：.4.1!：21]IE--：：:逍ICMP:ICMPhBeJBi-圈ICWP:rOjTCMP-Type=3(Destinationunreachable)ICMP-Code=3(Portunreachable]ICMP-Checksum=BF73(correct)昌ICMP:>ICMP.[Nccrmalend口f"ICHPMader，]蠲ICMP.囹ICMP:IPheaderoforigina匕3口日message(descripticaifollnv-s)®ICMP:"■幽ICNP:IPHeader—-昌ICNP:网ICHP-Version=A.,headerLength=20bytesICMP-Tvreofser\rio==0CICNP:000=routine黝ICNP:..JJ....=nomaldelay隔ICNP.....Q...-Horna1throughput暨ICHF.0..号nizirnoLreliabilityICNP:0.-ECTbit-transpzirtprotocolwillignoretheCEbiti麟ICNP:0=CEhit-nocongestion,0^ICNP:Totallength=161bytesTCNP-Identificatinn=34JiICMP-Flags=OX蹙IICNP:.Q=nayfragmentICNP:..0=LastfragmentrBjICNP.Fragmentoffset=0bytesICNP.Timetolive号1seconds■"'hopsMICNP:Protocol-17(UDP)腐ICNP:Readsrchsckswi-EF&B(ocirre^t]ICNP:SDiurceaddress=[94],IBM-99B13925L39ICNP:Dsstinatianaddress=[]网ICMP-NooptionsBICNF:ICNP:[FirstBb7te(s)□!dataoforiginatingmessage]BICNP.

分析ICMP分组:字段报文（16进制）内容类型03终点不可达代码03端口不可达校验和bf73头部校验和为bf73此ICMP报文是差错报文，报告差错为终点不可达中的端口不可达。通过ping命令产生ICMP报文oeoe66O56753554d67-ono44ob678o33oc67co22_.b467oTn-11Tn-36720009_u_lI76o1fs036611o671oo66oo3d6o8o66locc50566bo9b40166beoa3&o664_y8_y255_u66bc4-no113£66o0077□096700000000000000LQ000000200000003000000040相应的ICMP译码输出184]LEN=40ID=23Q22JjTC:Ethen?type=0800,srize=：74bytesIF:184]LEN=40ID=23Q22ICMF:ICMPheaderICKP:ICKP:T寻口宕=BfEcho)-;ICKP::'Qode=0ICKP:yChecks^um=L95C(correct^；ICKP:Identifier=76BICKP:SequencenumbEi-=12544ICKP:[3^bytesofdata]ICKP:ICKP:[Normalendof"ICMPheader"ICKP:分析ICMP分组:字段报文（16进制）内容类型08问一台机器是否仍处于活动状态代码00校验和195c头部校验和为195c此ICMP为用来判断指定目标是否可达以及是否活着的报文，是ping命令中常用的5）制作一个8000字节的IP数据分组，发送后捕获分析。由于分组长度大于1500字节，因此需要分片传输。按照2）中的方法分析所有分片的结构。IP分组一00000000:00000010:00000020:lb545b3b41de0bfee2000640800cef50000000000:00000010:00000020:lb545b3b41de0bfee2000640800cef500112542bO8001f73b0300la00616cOS00450040cOb8d35e62&3&46566■■■r

-1?止，1?1?止^*1?均^1?1?止^1?1?比^1?*比卜VersionTypeofser-vice0JO0.length=Toutine=noTTitaldelay=noTTiia.lthrijughput-noTiiLD.lre1lo.bility=ECTbit一transportprotocolwillignoretheCEbit=CEbit一nocongestion=1£U0bytes■2926=2X=mayfragment=TiiorefxagiiLents-0bytes=128sBconda/hops=1(ICMP)=A9F7(correct)[59.G4192.104]TotalITotalIdentifLco.tionFlags.DFr-agiiientoffsot-Timeto1iveProtncoLHeadercheskauiiLSourcoa.diir-essDes：tinationaddress：Nooptions字段报文（16进制）内容报头长度45报头长20字节服务类型00正常时延，正常吞吐量，正常可靠性总长度05dc分组长度1500字节标识0b6e标识为2926标志20DF=0，MF=1，允许分片，当前片不是最后片偏移值00偏移量为0生存周期80每跳生存周期为128s协议01携带的数据来自ICMP协议头部校验和A9F7头部校验和为A9F7源地址3b40c0b8源地址为84目的地址d35e9064目的地址为00T7其相应的分析如下表□□□□□□DO00000030oe&71rlo56&rl□□□□□□DO00000030oe&71rlo56&rl53d&4d6..h-rlo8I:-!□■■L_ub6-h-rlnootd4i_uc6..h-nI:一od--Jd_.b46-h-rl_ub_4-2b36..h-rl26no1d36-h-rl-y7-7—2A-67—rl1±1±_.b..h-.11o67—_uo匚.I5o8..b7..s44!b67bo332..b7..be22—66?■-■b11o67..bc4-u1-11d67_u5n-f1-1_uo-H-6-习―IP:ContiTiuationoffranie&IP:IPHeader:FFFFFFFEPFFFFrpFFFFFPFFFIIIIIIIIIIIIIIIIIIIIIIII

_3_j_33_3_3_3_j_33_3_3_3_j_33_3_3_3_3_33_3_3Ver-sion-FFFFFFFEPFFFFrpFFFFFPFFFIIIIIIIIIIIIIIIIIIIIIIII

_3_j_33_3_3_3_j_33_3_3_3_j_33_3_3_3_3_33_3_3Ver-sion-4..header1ength■-2UbytesTypeofservice000...0........0...0..LI.0TotallengthIdentificationFlagsFragmentoffsetTimeto1iveProtocolHeaderchecksuiiLSourceaddress=DO=routine=nor-Tiid.1delay=norma.1throughput=nor-Tiid.1reliabilityECTbit—t-rams：piZiTtprotocolwillignoretlieCEbit=CEbit-nocongestion=1500bytes=2926=21(=inayrragiiLBiit-Tiior-efra.griLenta=1480bvtes：=128seconds/hops=1(ICMP)=A93E(correct)=[84]Destinationaddress=[00]Nooptions[1480bvtesijfcontinua.tionda.ta]其相应的分析如下表字段报文（16进制）内容报头长度45报头长20字节服务类型00正常时延，正常吞吐量，正常可靠性总长度05dc分组长度1500字节标识0b6e标识为2926标志20DF=0，MF=1，允许分片，当前片不是最后片偏移值20B9偏移量为1480生存周期80每跳生存周期为128s协议01携带的数据来自ICMP协议头部校验和A93E头部校验和为A93E源地址3b40c0b8源地址为84目的地址d35e9064目的地址为00IP分组三□□lb54Eb3h4100112542ba&c：08□045□0□5dcClbbe217280013L0853b40cOb8d35e9064656a6b6c6d6e6f7071727374757600000030：77G163t46566676869Ga.Gb6dGe6£「1「1「1「1「1「1H「1-nnT：'r.17匚7i：77l:1l:■:'l:。匚CQ-旷IF:Continuationoffra.Tiie6IF:IFHeaderIP：IP:Version=4..headerlength=20bytts：IP:Typeofservice=U0IP:000.....=routini=IP:...0....=ncirTita1delayIP:....0...=noriiLa1throughputIP:0..=ncirTita1reliabilityIP:......0.=ECTbit—tr-ansportpr-otoco1willignorethsCEbitIP:.......0=CEbit-nocongestionIP:Totallength=1500bytesIF:Identification=2926IP:Flags=21[IP:.U......=TiL.3.7fragTiientIP:..1.....=TiLorefragTiientsIP:FragiientoffBet-29G0bytee：IP:Timetolive=123seconds/liopsIP:Protocol=1(ICMP：iIP:Hea.derchecksum=ASS5(correct)IP:Sourceaddress=[5964.192184]IP:Desti.nationaddress=[00]IP:Noop110nsIP：IP:[1480bytes□fcontinuationda.ta]IP:其相应的分析如下表字段报文（16进制）内容报头长度45报头长20字节服务类型00正常时延，正常吞吐量，正常可靠性总长度05dc分组长度1500字节标识0b6e标识为2926标志2XDF=0，MF=1，允许分片，当前片不是最后片偏移值2172偏移量为2960生存周期80每跳生存周期为128s协议01携带的数据来自ICMP协议头部校验和A885头部校验和为A885源地址3b40c0b8源地址为84目的地址d35e9064目的地址为00IP分组四TOC\o"1-5"\h\zQQ000000:cm比543b41皿口2542力D6匚DB叩00000010;05de0b6e222b6001箫cc3b40cObSd35e00000020:72737475'767761.&2636400000030:68£96a6b6cfed6e6f70717金.7374757&77nnnnnn^n-p.1e匚«7匚口uq匚="uh7nContinuationofframe6I?.MyQQ3DDQContinuationofframe6I?.MyQQ3DDQQ3DD3Q3D33DaDD3DD--“■■■■■■“■■"---“-■■■■■■"■■--i-uooooooo；OLIULinOLO0000002000ULI0030rinrinrnun_uefllll-1o5_.b6A2e774d_.b_.b7_u8d_.bAob_.b678_Jc5LToc867cDb444-b&7oTn-3OHID3667392?16677noI12a_.b671I77-n1o_.b77_uo6-h-.to8_.b7Fh14EU-JRe-b7..hb244H267--.hb巳33n6..b7..hb22h□_.b7・.hJUC411=11d67..h_u5_uo-4n-□-M--7RIF:Version=headerlength=20bytesIP:Typeofservice=00IP:000=routineIP:...0....=norma.1'delayIP:....0...=normalthroughputIP:0..=norjiialreliabilityIP:0.=ECTbit一transportprotocolwillignoretheCEbitIP:D=CEbit一nocongestionIP:Totallength-1500bytesIP:Identification=2926IP:Flags=2KIP:.0=mayfragmentIP:..1=morefr-aquentsIP:Fragmentot£set-4440bytesIP:Timetolive=128sezonds/hopsIP:Protocol=1(ICMP)IP:Headerchecksum=A7CC(correct)IP:Sourceaddress=[04]IP:Destino.tionaididress-[00]IP:NooptionsIP:IP:[1480bytesofcontinuationdata.]IP:其相应的分析如下表字段报文（16进制）内容报头长度45报头长20字节服务类型00正常时延，正常吞吐量，正常可靠性总长度05dc分组长度1500字节标识0b6e标识为2926标志2XDF=0，MF=1，允许分片，当前片不是最后片偏移值222b偏移量为4440生存周期80每跳生存周期为128s协议01携带的数据来自ICMP协议头部校验和A7CC头部校验和为A7CC源地址3b40c0b8源地址为84目的地址d35e9064目的地址为00IP分组五:L.ontmuationotiramebIPIPIPIPIFIPIPIPIF:L.ontmuationotiramebIPIPIPIPIFIPIPIPIFIPIPIPIPIPIPIPIPIFIPHeaderVersionType：ofservice000._.....0一一....CL..0..0.[ITotallengthIdentificationFlags..1....FragnentoffsetTitilatoliveProtocolHeader-checksum.SourceaddressDestinationaddressNooptions4,headerLength=20bytes=00=routine=noTjna.1delay=normalthroughput=noriiialreliability=E匚Ttut一tr-scnsportpirotocolCEbit一nocongest-ion=1500bytes=2926=2X二mayfragment=morefragments=5920bytes=128seconds/hops=1(ICMFJA713(cor-r-cct)[84][0D]willignoretheLEtut字段报文（16进制）内容报头长度45报头长20字节服务类型00正常时延，正常吞吐量，正常可靠性总长度05dc分组长度1500字节标识0b6e标识为2926标志2XDF=0，MF=1，允许分片，当前片不是最后片偏移值22e4偏移量为5920生存周期80每跳生存周期为128s协议01携带的数据来自ICMP协议头部校验和A713头部校验和为A713源地址3b40c0b8源地址为84目的地址d35e9064目的地址为00IP分组六aaaaaooo：00lb545b3b410011"2548t.0beasaa450000000010;02740b6e03湄eo01弟q23b40cOd3'5eaaaaao2o：90646a.6bSc6dbeGf7071727J74757Gaaaaaoso：616263"646E666768696a6b6c&d6f70nrinrinndri•71727T7d7^77F.1A?AT2ARF.H其相应的分析如下表字段报文（16进制）内容报头长度45报头长20字节服务类型00正常时延，正常吞吐量，正常可靠性总长度0274分组长度628字节标识0b6e标识为2926标志03DF=0，MF=0，允许分片，当前片是最后片偏移值039d偏移量为7400生存周期80每跳生存周期为128s协议01携带的数据来自ICMP协议头部校验和C9C2头部校验和为C9C2源地址3b40c0b8源地址为84目的地址d35e9064目的地址为00Continuationofframe6IPIPIFContinuationofframe6IPIPIFIPIPIPIPIPIPIPIFIPIPIPIPIPIPIPIFIPIFIPIPIPIPIPHeaderVenrsionType4/headex-length™20□fservice000.•一...0….....0..0..0.0Totd.llengthIdentificationFL己9巳FragnisntoffsetTimeto1ivePro匕eeddJ.Heo.derchecksumSourceaddressDestina.tionaddressNooptionsLIO=routinenornaldelaynorna1thraughputnornalreliabiLityECTbit—transportprotocolwil1CEbi匕一nac«z»3igestion620bytes2526OXmayfmgmentlastfragment7^00bytes128seconds/hops1(ICMP)C5C2d；'correct)[59.64.1921B4]L211.94.144.LOO][608bytesofcontinuaticmdata]ignoiretheCEbit上述便是将一个8000字节的分组划分为六个分片的情形，我们不妨加以计算5个长度为1500字节的IP分组，每个分组的净荷域=1500-20=1480，第一个分组为表明是ICMP分组，又加了8个字节的长度，故前五个分组组装起来为1480*5-8=7392。加上最后一个分片，其总长度为7392+628=8000Byte，证明结果是正确的。6）TCP协议分析Host23,位Host2E屹博堆号JMZ甘的裱U埠花伎序列94位西部长度1RAfKPSirRT$¥%rIN|她胸口大小1痴也:校蜓和建立连接：在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。第一次握手：建立连接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认；第二次握手：服务器收到syn包，必须确认客户的SYN(ack=j+1)，同时自己也发送一个SYN包(syn=k)，即SYN+ACK包，此时服务器进入SYN_RECV状态；第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。完成三次握手，客户端与服务器开始传送数据Host1释放连接：虽然TCP连接是全双工的，但可将其视为一对单工连接，每个连接单独释放，两个单工之间独立。步骤：客户端1发送一个FIN，用来关闭1到2的数据发送服务器2收到这个FIN，它发回一个ACK，确认序号为收到的序号+1，和SYN一样，一个FIN将占用一个序号服务器2关闭与客户端1的连接，发送一个FIN给客户端1客户端1发回ACK报文确认，并将确认信号设置为收到序号+1Host1Hcst2Host1Hcst2每个TCP报文头部都包含源端口号(sourceport)和目的端口号(destinationport),用于标识和区分源端设备和目的端设备的应用进程。在TCP/IP协议栈中，源端口号和目的端口号分别与源IP地址和目的IP地址组成套接字(socket)，唯一的确定一条TCP连接。序列号(Sequencenumber)字段用来标识TCP源端设备向目的端设备发送的字节流，它表示在这个报文段中的第一个数据字节。如果将字节流看作在两个应用程序间的单向流动，则TCP用序列号对每个字节进行计数。序列号是一个32bits的数。既然每个传输的字节都被计数，确认序号(Acknowledgementnumber，32bits)包含发送确认的一端所期望接收到的下一个序号。因此，确认序号应该是上次已成功收到的数据字节序列号加1。TCP的流量控制由连接的每一端通过声明的窗口大小(windowssize)来提供。窗口大小用数据包来表示，例如Windowssize=3,表示一次可以发送三个数据包。窗口大小起始于确认字段指明的值，是一个16bits字段。窗口大小可以调节。校验和(checksum)字段用于校验TCP报头部分和数据部分的正确性。最常见的可选字段是MSS(MaximumSegmentSize，最大报文大小)。MSS指明本端所能够接收的最大长度的报文段。当一个TCP连接建立时，连接的双方都要通告各自的MSS协商可以传输的最大报文长度。我们常见的MSS有1024(以太网可达1460字节)字节。2)对照教材6-33图，理解TCP状态转换的过程，按照你所捕获的消息，画出Client侧的状态转换图，并进行解释。10.00000000L92_lfi6.1.1GB119.75.21S.1LDTCP■6nnp>htip[syn]:seq-GLtfi-DNss-UfiDws-isjkk_pern-12fl.0004490010.00000000L92_lfi6.1.1GB119.75.21S.1LDTCP■6nnp>htip[syn]:seq-GLtfi-DNss-UfiDws-isjkk_pern-12fl.00044900L92_lfi6.1.10BLDTCP拓abcwice-pori>hicp[sum]id心1说leii-£Ihss-14&1hs-4sacpL-Pe^-I1H.0DJ&36ODL92_lfiE.1.108119.71.215.HD7CP砥isfl-tp]5.>hltp[snu]Scq-J]tain-S192Len-ol£-4SMlLPEMT1U.QDlZOZOflL92-LI%119.71.215.LLDTCP€6bin-fiar>top[5州]seq=Dwin=Big2Len=ahss=14$dus=4海心庠明二l5-0.00772500192.166.L.1QBU9.7i.215.LLOKP砺bfd-CDfTCrttl>ht中[5VH]&eq=OWiflTL如L硕FM5S=14WhS=4SA£K_P£R>l=L60.00915900ULIGBuL103119・，兄215・11。TCP66bfd-echo>http[SVN]^in=£192L&l=om5S=UW1*5=45A£K_PEM=17fl.3L92.16B.L.10BU9.71.215.IllTCP€6upsiriggarvsw>hrcp[SYN]Saq=nhin=3192LSl=aMSS=14.iMWS=4SA£K_P£B^L&{L0£ia9待MLgLL6&LlOfi119.71.21^.IllTCP徒fintrx>http[切N]5eq=