计算机网络作业

作业1网络嗅探器安装与使用

wireshark与对应的OSI七层模型

:JVkfosort：gd\N七而醒22：汝4•初DW0d五16aiA&石•.—&

tie匕叱的，awptumwtstcsifiiect-onyicds

jrenior-

TimtourerOoft>rdtionProtocoller>gthI”。

60.7195^8tXT^2rtSB.1.102239.255.255.250SSDP175M-SD=

163.72023000192.16B.1.102239.235.25S.250SSOP175M-SE>

296.05659500192.168.1.102199.47.217.148HTTP250GET.

366.08553700192.ie>8.1.102199.47.217.148HTTP250GET•

4^6.72037400192.168.1.102239.255.255.2S0SSOP175M-SE/

6610.6614540192.168.1.102HTTP1156GET,

R711.14S7020€1.116192.160.1.102HTTP95aHTTP.

13111.6735230192.16B.1.102114.80.142.90HTTP1029由•

•不・13211.683W501W.168.1.102114.80.142.90HTTP134GET.

1S3-1.-i847CSQLS«2.168.1.102XI，.80.1/12.0。HTTP工83«T.▼

会5・

怜，・•eramt29：25。bytoion・，「•(2QQQbits).25。bytescaptured(2000bits)or

一EthernetII.Src:P-odrive_26:12:kr(00:0^:11:26:12:^5.Ost:Tp-LinkT_74:

烟蜡制，internotProtocolvtrs^cn4,Src:192,168.1.102(192.168.1.102).Dst:199.

1­T「ansm”si。。ControlPrct。卬,5KPo「t:ssslog-mgr(1204),Mt=>o>：：Htf

r典，兑

WWM

【思考】

如何在交换环境里实现监听？（端口映射）

答：局域网内，在同一交换机下工作的PC机，如图所示。PC机A和PC机B在同一交换机下工作，PC

机A安装Wireshark后，把交换机上任意一个PC机的数据端口做镜像，设置交换机来复制所有数据到用户

交换端口下的Wireshark端口，这时PC机A就可以抓取到其他PC机的数据了，如抓取PC机B的数据，

从而实现监听。

路由器

作业2TCP/IP协议配置与网络实用命令

【实验内容】

1、TCP/IP协议的安装和配置

2・常见网络命令的使用

（1）Ping

ping是一种电脑网络工具，用来测试数据包能否通过IP协议到达特定主机。ping的运作原理是向目标

主机传出一个ICMP（echo请求）数据报,并等待接收echo响应数据报。程序会按时间和成功响应的次

数估算丢失数据包率（丢包率）和数据包往返时间（网络时延,Round-tripdelaytime\

命令格式：

pingIP地址或主机名[-t][-a][-ncount][-1size]

参数含义:

-t不停地向目标主机发送数据;

-a以IP地址格式来显示目标主机的网络地址；

-ncount指定要Ping多少次，具体次数由count来指定；

-Isize指定发送到目标主机的数据包的大小。

（2）ipconfig

ipconfig实用程序可以测试出本地主机的IP地址、网卡地址等信息，可以查看配置的情况。

ipconfig的命令格式如下：ipconfig[/?|/all|/release[adapter]|/renew[adapter]]

其中的参数说明如下：

使用不带参数的ipconfig命令可以得到以下信息：IP地址、子网掩码、默认网关。

/?显示ipconfig的格式和参数的英文说明；

/all显示所有的配置信息；

/release为指定的适配器（或全部适配器）释放IP地址（只适用于DHCP）;

/renew为指定的适配器（或全部适配器）更新IP地址（只适用于DHCP\

ipconfig/all,可以得到更多的信息：主机名、DNS服务器、节点类型、网络适配器的物理地址、主机

的IP地址、子网掩码以及默认网关等。

(3)tracert

tracert实用程序显示用户数据所经过路径上各个路由器的信息，内容包括：每一站的编号、反应时间、

站点名称或IP地址。从中可以查看路由器处理时间的差别。

tracert命令格式为：

tracertIP地址或主机名[-d][-hmaximumhops][-jhostjist][-wtimeout]

其中的参数说明如下：

-d不解析目标主机的名字；

-hmaximum_hops指定搜索到目标地址的最大跳跃数；

-jhostjist按照主机列表中的地址释放源路由；

-wtimeout指定超时时间间隔,程序默认的时间单位是毫秒。

tracert命令用IP生存时间(TTL)字段和ICMP错误消息来确定从一个主机到网络上其他主机的路

由。

首先，tracert送出一个TTL是1的IP数据报到目的地，当路径上的第一个路由器收到这个数据包时，

它将TTL减1。此时，TTL变为0,所以该路由器会将此数据包丢掉，并送回一个FICMPtimeexceeded]

消息(包括发IP包的源地址，IP包的所有内容及路由器的IP地址)，tracert收到这个消息后，便知道这个

路由器存在于这个路径上接着tracert再送出另一个TTL是2的数据包发现第2个路由器……tracert每

次将送出的数据包的TTL加1来发现另一个路由器，这个重复的动作一直持续到某个数据包抵达目的地。

当数据包到达目的地后，该主机则不会送回ICMPtimeexceeded消息，一旦到达目的地，由于tracert通

过UDP数据包向不常见端口（30000以上）发送数据包，因此会收到FICMPportunreachable］消息，故可

判断到达目的地。

tracert有一个固定的时间等待响应（ICMPTTL到期消息），如果这个时间过了，它将打印出一系列的*

号表明：在这个路径上，这个设备不能在给定的时间内发出ICMPTTL到期消息的响应。然后,tracert给

TTL记数器加1，继续进行。

（4）netstat

netstat为网络协议统计命令，可以查看网络协议的统计结果、发送和接收数据的大小，连接和侦听端

口的状态。Netstat的命令格式为：netstat-参数。一共有7个参数，说明如下：

-a显示所有的TCP连接、所有侦听的TCP和UDP端口。

-e显小Ethernet统计，可以和/s参数一起使用。

-n显示以数字形式表示的地址和端口号。

显示由协议参数指定的协议的连接，协议可以是、、、与

-pprotoprotoTCPUDPTCPv6UDPv6o

参数/s一起使用，会按协议显示统计信息，此时的协议可以是TCP、UDP、IP、ICMP、TCPv6.UDPv6、

IPV6ICMPv6o

-s按协议显示统计信息。

-r显示IP路由表的内容。该参数的作用与routeprint命令等价。

-t指定再次自动统计、显示统计信息的时间间隔,t数值为秒。若没有指定，会显示当前统计信息后

退出。

第二列本地地址：1:XXXXX,表示本地IP地址及对应的tcp端口

第三列外部地址：目的网站域名或目的服务器IP:http(或https)

第三列状态含义：

CLOSED:无连接是活动的或正在进行LISTEN:服务器在等待进入呼叫

SYN_RECV:一个连接请求已经到达,等待确认SYN_SENT:应用已经开始，打开一个连接

ESTABLISHED:正常数据传输状态FIN_WAIT1:应用说它已经完成

FIN_WAIT2:另一边已同意释放ITMED_WAIT:等待所有分组死掉

CLOSING:两边同时尝试关闭TIME_WAIT:另一边已初始化一个释放

LAST_ACK:等待所有分组死掉

(5)route

route命令是在本地IP路由表中显示和修改条目网络命令。

route[-f][-p][Command][Destination][maskNetmask][Gateway][metricMetric][ifInterface]

-f清除所有不是主路由（网掩码为55的路由）、环回网络路由（目标为,

网掩码为的路由）或多播路由（目标为,网掩码为的路由）的条目的

路由表。如果它与命令之一（例如add、change或delete）结合使用，表会在运行命令之前清除。

-P与add命令共同使用时，指定路由被添加到注册表并在启动TCP/IP协议的时候初始化IP路由

表。默认情况下,启动TCP/IP协议时不会保存添加的路由。与print命令一起使用时，则显示永久路由列

表。所有其它的命令都忽略此参数。永久路由存储在注册表中的位置是

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRout

es0

接口列表：

第一行为以太网网卡mac地址第二行为Windows无线热点mac地址第三行为WLANmac

第四行为软件回环接口第五行为隧道适配器Teredo隧道虚拟接口

【思考】

1.TCP/IP协议配置中的“网关”作用是什么？

答：网关实质上是一个网络通向其他网络的路由器的IP地址。只有设置好网关的IP地址，TCP/IP协议

才能利用路由器转发实现不同网络之间的相互通信。

2.上网查询routeprint结果（本机路由表）的含义。

答：

第一列是网络目标地址，列出了路由器连接的所有的网段。

第二列是网络掩码，提供这个网段本身的子网掩码，而不是连接到这个网段的网卡的子网掩码，这基本

上能够让路由器确定目的网络的地址类。

第三列是网关，一旦路由器确定它要把这个数据包转发到哪一个目的网络，路由器就要查看网关列表，

网关表告诉路由器这个数据包应该转发到哪一个网关IP地址才能达到目的网络。

第四列是接口地址，接口列告诉路由器哪一个网卡连接到了合适的目的网络。从技术上说，接口列仅告

诉路由器分配给网卡的IP地址，相应的网卡就把路由器连接到目的网络，然而，路由器很聪明,知道这个地

址绑定到哪一个物理网卡。

第五列是跃点数，跃点数用于指出路由的成本，通常情况下代表到达目标地址所需要经过的跃点数量，

一个跃点代表经过一个路由器。跃点数越低，代表路由成本越低；跃点数越高，代表路由成本越高。当具有

多条到达相同目的网络的路由项时，TCP/IP会选择具有更低跃点数的路由项。

3.如何用ping检测网络中的故障点？用ping测试网络连通性时，若出现"Destinationhost

unreahable"，则意味着什么？"Destionationhostunreachable"和"Timeout"的区别是什么？

答：

A.用ping检测网络中的故障点：

1)ping,检测TCP/IP协议栈是否正常

这个命令检测的是本地回环地址，被送到本地计算机的IP软件，如果未能ping通，则表示TCP/IP的

安装或运行存在某些问题。

2)ping本地IP,检测网卡或本地配置是否正常

这个命令被送到计算机所配置的IP地址，我们的计算机始终都应对该命令作出应答，如果没有，则表示

本地配置或安装存在问题。出现此问题时，局域网用户可以断开网线，然后重新发送该命令，如果能ping

通，则表示另一台计算机可能配置了相同的IP地址。

3)ping局域网内其他IP,检测网卡、网线等是否正常

这个命令离开本地计算机，经过网卡及网络电缆到达其他计算机，再返回。收到回送应答表明本地网络

中的网卡和载体运行正确。如果没有收到回送应答，那么表示子网掩码不正确(网段不一致)，或网卡配置错

误，或电缆系统有问题。

4)ping网关IP,检测与网关的连接性

这个命令如果应答正确，表示局域网中的网关路由器正在运行并能够作出应答。

5)ping远程IP,检测远程连接

能ping通表示可以成功的访问Internet(但不排除ISP的DNS会有问题\

6)pinglocalhost,检测主机文件

localhost是一个保留域名，在Windows系统中，它是的别名，每台计算机都应能将该名字

转换成该地址。如果没有做到这一点，则表示主机文件(/Windows/host)存在问题。

B.出现"Destinationhostunreahable,f，则意味着目标主机不能达到。

出现这种情况，可能的原因有：①对方与自己不在同一网段内，而自己又未设置默认路由；②网线故障；

③网卡故障。

C.^Destionationhostunreachable"和"Timeout"的区别

所经过的路由器的路由表中具有到达目标的路由，而目标因为其它原因不可到达，这时候会出现

"Requesttimedout";如果路由表中连到达目标的路由都没有,那就会出现"destinationhost

unreachable"o

作业3Internet应用与应用层协议分析

【实验步骤】

1.访问建立的web站点，用wireshark分析网站的访问过程。

2.使用wireshark分析DNS的工作过程。熟悉DNS格式以及字段意义。注意分别设置不同的本地DNS

服务器分析DNS解析过程。

答：

DNS请求报文段：

DNS报文字段含义：

1)标识ID:请求客户端设置的16位标示，服务器给出应答的时候会带相同的标示字段回来，这样

请求客户端就可以区分不同的请求应答了。

2)标志：

QR]opcodeJAA|TCRD|RA|(zero)[rcode

1111134

a.QR1个比特位用来区分是请求(0)还是应答(1\

b.OPCODE4个比特位用来设置查询的种类，应答的时候会带相同值，可用的值如下：

0标准查询(QUERY)1反向查询(IQUERY)

2服务器状态查询(STATUS)3-15保留值，暂时未使用

c.AA授权应答(AuthoritativeAnswer)这个比特位在应答的时候才有意义，指出给出应答的服务器是

查询域名的授权解析服务器。

注意因为别名的存在，应答可能存在多个主域名，这个AA位对应请求名，或者应答中的第一个主域名。

d.TC截断(Truncation)-用来指出报文比允许的长度还要长，导致被截断。

e.RD期望递归(RecursionDesired)-这个比特位被请求设置，应答的时候使用的相同的值返回。如

果设置了RD,就建议域名服务器进行递归解析，递归查询的支持是可选的。

f.RA支持递归(RecursionAvailable)-这个比特位在应答中设置或取消，用来代表服务器是否支持递

归查询。

h.Z保留值，暂时未使用。在所有的请求和应答报文中必须置为0。

i.RCODE应答码(Responsecode)-这4个比特位在应答报文中设置，代表的含义如下：

0没有错误。

1报文格式错误(Formaterror)-服务器不能理解请求的报文。

2服务器失败(Serverfailure)-因为服务器的原因导致没办法处理这个请求。

3名字错误(NameError)-只有对授权域名解析服务器有意义，指出解析的域名不存在。

4没有实现(NotImplemented)-域名服务器不支持查询类型。

5拒绝(Refused)-服务器由于设置的策略拒绝给出应答。比如，服务器不希望对某些请求者给出应答,

或者服务器不希望进行某些操作(比如区域传送zonetransfer\

6-15保留值，暂时未使用。

3)问题数QDCOUNT无符号16位整数表示报文请求段中的问题记录数。

4)资源记录数ANCOUNT无符号16位整数表示报文回答段中的回答记录数。

5)授权资源记录数NSCOUNT无符号16位整数表示报文授权段中的授权记录数。

6）额外资源记录数ARCOUNT无符号16位整数表示报文附加段中的附加记录数。

3.用wireshark分析FTP的工作过程。注意观察FTP的工作模式，用于控制连接的端口和数据连接的

端口。

答：

798.897276300FTP60Request:noop

808.897733083FTP73Response:200Connandokay.

818.097770172.27.23.G300TCP5413509♦21[ACK]5eq-7Ack-20Win-255Len-0

828.897792300FTP61Request:CWO/

838.898523003FTP82Response:250Directorychangedto/

848.898561300TCP5413509,21[ACK]Seq-14Ack-48Win-2S4Len-0

858.899514300FTP60Request:noop

868.899927003FTP73Response:200Conmandokay.

878.89995。300TCP5413509，21[ACK]Seq-20Ack-67Win-254Len-0

888.900021300FTP61Request:CM)/

898.900639003FTP82Response:250Directorychangedto/

908.900660300TCP5413599，21[ACK]Seq-27Ack-95Win-2S4Len-0

918.900713300FTP59Request:PWD

928.900995003FTP85Response:257*/"iscurrentdirectory.

938.901012300TCPS413509,21[ACK]Seq-32Ack-126Win-254Len^G

948.901080300FTP61Request:CWD/

958.961708003FTP82Response:250Directorychangedto/

968.901726300TCP5413599，21[ACK]Seq-39Ack-154Win-254Len*9

978.902370300FTP62Request:TYPEI

988.902939003FTP74Response:200TypesettoI.

998.903002300TCPS413599，21[ACK]Seq«47Ack-174Win-254Len-0

1008.903135300FTP60Request:PASV

1018.965737003FTP104Response:227EnteringPassiveMode(172,27,21,206,11,146)

1028.905771300TCP5413509，21FACK1Seq-53Ack«224Win-254Len-0

服务端命令端口21

NOOP无操作（哑包；通常用来保活）

CWD改变工作目录

PWD打印工作目录，返回主机的当前目录

TYPE设定传输模式（ASCII/二进制）

1018.905737003FTP104Response:227EnteringPassiveMode

1028.905771300TCP____5413509f21[ACK]Seq=53Ack-224Jin

Frame101:104bytesonwire(832bits),104bytescaptured(832bits)oninterface0

EthernetII,Src:Ibm_4f:lf:bb(00:21:5e:4f:lf:bb),Dst:Micro-St_33:af:64(30:9c:23:33:af:64)

>InternetProtocolVersion4,Src:00,Dst:3

TransmissionControlProtocol,SrcFort:21,DstPort:13509,Seq:174,Ack:53,Len:50

♦FileTransferProtocol(FTP)

▼227EnteringPassiveMode(172,27,21,200,11,146)\r\n

Responsecode:EnteringPassiveMode(227)

Responsearg:EnteringPassiveMode(172,27,21,200,11,146)

PassiveIPaddress:00

Passiveport:2962

PASV进入被动模式（服务器端启动数据端口2962）

1038.905932380TCP6613513-2962[SYN]Seq-0Win-8192Len-0MSS-1460WS-2S6SACK_PERM・

1048.9062S6172.27.21.zeeJTCP662962-13513[SYN,ACK]Scq-0Ack-1Win-16384L«n-0MSS-1466WS-l

1058.906288300TCP5413513♦2962[ACK]S^q-1Ack-1Win-65536Len-0

1068.906381360FTP72Request:SIZE\301\267\317\260\314\M2.xlsx

1078.907317003FTP64Response:2139093

1088.9973493172.27.21.zeeTCP5413509-21(ACK]Seq-71Ack-234Win-254Len-0

1098.9074743eeFTP72Request:RETR\301\2^7\317\26O\314\M2.xlsx

1198.908518003FTP-DATA1514FTPData:1469bytes

1118.998519003FTP-DATA1514FTPData:1460bytes

1128.96852000172.27.23.0FTP125Response:150OpeningBIMARYmodedataconnectionfor\3Ol\267\313

1138.9085ss300TCP5413513-2962[ACK]Seq-1Ack-2921Win-65536Len-0

1148.968565306TCP5413509-21(ACK)Seq-89Ack-305Win-253Len-0

1158.909253003FTP-DATA1514PTPData:1469bytes

1168.9992540O)FTP-DATA1514FTPData:1460bytes

1170.909272172.27.23.G3172.27.21.200TCP5413513~29G2[ACK]Svq-lAck-5B41Wiii-6553GLcn-0

1188.999636003FTP-DATA1514FTPData:1460bytes

1198.909637003FTP78Response:226Transfercoiaplote.

1298.909657300TCP5413513♦2962[ACK]Seq-1Ack-7301Win-65536Len-0

1218.909660360TCP5413509■*21[ACK]Soq-89Ack-329Win-253Lon-0

1228.9100330O)FTP-DATA1514FTPData:1460bytes

・/j・卜1产•UA1AKiHUAtai.333bytes

1248.910043306TCP5413513♦2962[ACK]Seq-1Ack-909SWin-65280Len-0

1258.91171730©TCP5413513■*2962(FIN,ACK)Seq-1Ack-9095Win-65280l«n-0

1268.912298003TCP602962♦13513[ACK]Seq-9095Ack-2Win-65535Len-0

客户端发起数据通道的TCP三次握手

SIZE请求返回文件大小

RETR请求传输文件副本

传输数据

4.邮件收发过程和协议分析

基于web的邮件或客户端的邮件软件按如outlook收发邮件捕获数据报分析邮件收发过程和SMTP、

POP3等协议格式和工作过程。

作业4数据链路层和网络层协议分析

【实验内容】

1.以太协议分析

从主机A上向主机B发PING检测报文，捕获以太数据帧，记录并分析各字段的含义。

2.ARP协议分析：

a）运行Wireshark程序；

b）进入DOS窗口，用arp-a查看本机上的ARP表的情况，然后用arp-dB删除B的记录（如果有的

话）；

c）把网线断开1分钟，然后再联网，观察此时是否能捕获ARP报文，如果能，记录并分析各字段的含

义；

d）从主机A上向主机B发PING检测报文，观察此时是否能捕获ARP报文，如果能，记录并分析各字

段的含义；

e）通过arp-a查看ARP表的更新情况，记录此时能否看到B对应的MAC地址；

f）再次从主机A上向主机B发PING检测报文，或者再次从主机B上向主机A发PING检测报文，观

察看此时是否能捕获ARP报文;

g）主机A上和主机B停止进行任何数据通信，5分钟后再次从A向B发PING检测报文，或者从主机

B上向主机A发PING检测报文，观察看此时是否能捕获ARP报文。

3.IP协议分析

1）从主机A上向主机B发PING检测报文，捕获IP数据包，记录并分析各字段的含义，并与IP数据

包格式进行比较；

2）使用ping命令，制定数据包长度，如ping-I2000,使用嗅探器IP分片情况，并分析分片和重组

过程。

3）在Dos仿真环境下运行tracert“校园网内某服务器IP地址"捕获IP数据包，记录并分析各

字段的含义，并与IP数据包格式进行比较。

答：

1)ApingB

依19149A1172272363172272361KMP74Echo(ping)cguoC(zplyin61)

611.9159092)ICMP74Echo(ping)replyId-ex0001,s«q-145/37120,ttl"128(requestin60)

912.90933832ICMP74Echo(ping)requestid-exeeei,seq-146/37376,ttl-128(replyin92)

922.91062423ICMP74Echo(ping)replyid-exeeei,seq-146/37376,ttl-128(reqgstin91)

1033.99973532ICMP74Echo(ping)requestid-exWOl,seq-147/37632,ttl-128(replyin164)

164L91W992)ICMP74Echo(ping)replyldfx0001,seq-147/37632,ttl-128(requestin10))

1214.92361832ICMP74Echo(ping)requestid-ex0eei,seq“48/37888,ttl-128(replyin122)

1224.9249812)ICMP74Echo(ping)r^plyid.0xe00i,$^-148/37888,ttl-128(zqgstin121)

*InternetProtocolVersion%Src:172,27.23.63,Dst:172,27.23.62

0100....-Version:4办议版本IPv4

....0101-HeaderLength:20bytes(5)首都长度20bytes

>DifferentiatedServicesField:0x08(DSCP:CS0,ECN:Not-ECT）区分服务

TotalLength:⑨总长度60

Identification0x301d(12317)标识12317

>Flags:0x00标志0

Fragmentoffset:0片偏称0

Timetolive:128生存时间128

Protocol:ICMP(1)协议【CMP

Headercbecksun:0x0000[validationdisabled]首郃校脍和0

[Headerchecks-status:Unverified]

Sour