A試驗二協(xié)議分析軟件基礎(chǔ)試驗指導(dǎo)

1、1實驗二協(xié)議分析軟件基礎(chǔ)(實驗指導(dǎo))1、實驗?zāi)康?.掌握如何利用協(xié)議分析工具分析IP數(shù)據(jù)報報文格式，體會數(shù)據(jù)報發(fā)送、轉(zhuǎn)發(fā) 的過程。在學(xué)習(xí)的過程中可以直觀地看到數(shù)據(jù)的具體傳輸過程。通過分析截獲TCP報文首部信息，理解首部中的序號、確認(rèn)號等字段是TCP可靠連接的基礎(chǔ)。通過分析TCP連接的三次握手建立和釋放過程，理解TCP連接建立和釋放機(jī)制。進(jìn)一步熟悉Wireshark軟件的使用方法；2.利用Wireshark(Ethereal)抓包;3.對抓取到的包進(jìn)行分析，通過分析鞏固對Ethernet II圭寸包、ARP分組及IP、ICMP數(shù)據(jù)包的認(rèn)識。二、實驗內(nèi)容和要求1.學(xué)習(xí)協(xié)議分析工具Wireshark

2、(Ethereal)的基本使用方法；2.利用Wireshark(Ethereal)進(jìn)行IP數(shù)據(jù)報報文的抓??；3.對抓取到的數(shù)據(jù)報文進(jìn)行分析，體會數(shù)據(jù)報發(fā)送、轉(zhuǎn)發(fā)的過程。三、實驗主要儀器設(shè)備和材料PC機(jī)，Windows Wireshark軟件四、實驗方法、步驟及結(jié)果測試1. ping 命令網(wǎng)絡(luò)數(shù)據(jù)包的跟蹤1 )首先運行 Wireshark (Ethereal )，在菜單 Capture 下點擊 In terfaces選取要抓包的網(wǎng)卡，這里選取地址為，如圖1.1 :圖 1.1 選擇抓取數(shù)據(jù)包網(wǎng)卡2 )之后在主操作系統(tǒng)中命令行界面使用ping，來 ping 163 的網(wǎng)站。如圖1.2 所示；2圖 1

3、.2 Ping網(wǎng)易的網(wǎng)站地址3 ）如圖 1.3 所示，Wireshark 抓取了很多的網(wǎng)絡(luò)數(shù)據(jù)包，從圖1.3 可見包括 SSDPT播包、ARP DNS ICMP 等類型的數(shù)據(jù)包。Laptunnq From AMD PChtT Family Ethernet Adapter - Wireshark日Isjw RaptureTstephony Jpcfe岀Ip國機(jī)曲申樣丨 a 洞x J直丨q 申知霑北I亙同q毆門Fitef：* EicprwSon-.,dwApplyNa.TimeSetfeeDertiftcnPTCtSWlinfo1 0.00000&192K168.L11-111239K?

4、55,255.25O55DPNQTIFY也HTTP/lrl20.01500192.168.111-111239,255-255.25055DPNOTIFY41HTTP/1 13 0.03209712.166.111.Ill235.255.255.S50S5DPNOTIFY * HTTP/1.二4 O.O4BB3B112站”255,255.250S5DPHOTIFV HTTPZ1.15 O.O455Z?192-148,111-11123959.29.250S5DPHOTTf “ HTTP/1P1 0 081792239,255.255,25055DPNOTIFY兇HTT

5、P/1，17 0 19512192.16B.111 1U239-255.255.250S5DPNOTIFY * rfTTP/1.18 O.1553L9J.16B.U1.U150S5DPNOTIFY % HTTPZ1.L9 0.196154192,168.111,111239,255.255.250S5DPHOTIFT HTTP/1.1io a”19了o科192-148.Ill-111239”？碎，莎5”25O55DPHDTIFV “ HTTP/1P1U 7B22S66Tp-LlrtkT_0?125：14intelcor_2ci：98ileARP192.168.111.

6、111 It at 00123：tdiB2：2511412 1& 362717 CadfflusCo_bf:S2: flBroadcastARPwho has 132.16S.U1.111? Tell 152.168.111.l?fl13 IS.364261Tp-LlnkT02:!5;14CachiusCa_bf :62 : flARP11 is at OO:23;:cd:B2:25 =1414 18.364277192.168.111,124221.4.1S1.1DNSStandard queryAWW,163 oxn* Frame 15: 215 bytE

7、S on wire (1720 bits), 215 bytes -captured (1720 bits)L+I-LL-4 T-Tl.- E Irfe-bB-fcfr-iJ rr _ J, i C 尸|-JE fb匸 tMBT?PU , /THi ,-l %.JT T Ln Ti-i0000 08 00 27 bf 6TTT00100020003000肝00肝iflC97c056dAA39000000 xkDODDz00c700012Z00500000007d000311b5cdef63j 12819 19.416530112,90.144.245192.1&8.111.124ICM

8、PEcho卬蝕)replyCid-OxO2OOFseq(tJ&/le12830 20. 3S7S75-5JM 16B.111.12411Z,90144 245ICMPEchoCplfig requestC1d-OxO2OO,seqCbe/le)-15331 2Q.42Q5S44,192：L6E,111 124ICMiPEchoCp1ng5 reply(Id-OKOZOO,seq(be/le)-1533221.192,168 .111. 124112. 90.144.245ICMPEcho何他)request0d-oxD2aa,seq(lje/le)17933 21

9、.420771112. 5iD.144.2il512.168H 匚MPEeho(刖nq)repl y(1d-&JiO2OO4seq(be/le)=179圖 1.4 過濾 Wireshark 所抓的網(wǎng)絡(luò)數(shù)據(jù)包2 ARP 報文分析如圖 1.3，從 Wireshark 的第 11 欄中，我們看到這是個ARP 解析的廣播包，。由于這個版本的 Wireshark (Ethereal )使用的是 Ethernet II來解碼的，我們先看看 Ethernet II的封裝格式。如下圖 1.5 :1；:網(wǎng)肘SufCX1*-一卅詁常字節(jié)-*V11的電址佛皐址:喪=* NCKC1-S豐7.:0誦AKPiA

10、r. r-? n -.L)1RAXP K tYiJrAD|r110000OB0027bf0010QD 3C 72胡0000206f 7C DO 004fD03Q &76S旳6a幣b004 0 776162 6364dB04ef62570617.86 fi-o -d 5 75 0 5 54 c 6 70 5 4 4i U 4 Du. J #0| - .ghljklmns- r - zb r黑pa q hHpi：ohEu八ffi Frame 171 74bytes on wire (52 bits)?74 bytes Captured (52 bits) Ethernet II, Src:

11、 Tp-LinkT_B2:2 5 14 (Clfl s23: cd 82 :2 5:14)iDstiCadmusCD_bf: 62 :fl (00:00127 :bf zfl)田internet Protocol, Src: 112,90., 144,215 (1120,144.245), Dst; 192,168,111.12 (192.168,111,124)寸InternEt control Message Priotocol3 10 e72 o o 6 o 6 2d 6 0 2 0-6locC5f D 5 & 65圖 1.5 以太網(wǎng)封包格式注意這個和 802.3 是有區(qū)別的，8

12、02.3 的封包格式如圖 1.6 :6W-ME3MAC-B012LLC8012WAP Tn的覽址EaSAT!從9SAPUend03opcode QD掘f aucE-邕T-11115Lr3S-l-：! *1誘IP軟IO58-1491ARP諭弋(5 4(FAD3a10HAW倩求心詳秤-46-1500?節(jié)圖 1.6 802.3封包格式盡管 Ethernet II 和 802.3 的圭寸包格式不同，但 Wireshark ( Ethereal ) 在 解碼時，都是從“類型”字段來判斷一個包是IP 數(shù)據(jù)報還是 ARP 請求/應(yīng)答或 RARP請求/應(yīng)答。從 Ethernet II 知道了是 ARP 解析以

13、后，我們來看看 Wireshark( Ethereal ) 是如何判斷是ARP 請求呢還是應(yīng)答的。我們先復(fù)習(xí)一下以太網(wǎng)的ARP 請求和應(yīng)答的分組格式，如圖1.7。圖 1.7 分組格式從上圖中我們了解到判斷一個ARP 分組是 ARP 請求還是應(yīng)答的字段是“ op”，當(dāng)其值為 0X0001 時是請求，為 0X0002 時是應(yīng)答。如圖 1.8、1.9。r龍阿 甘的髦址99 *伍 山I r r * 4_亠丄疋址:比址*4冷字耶AX；攜盤耳ping - Hher升7FlaEdit Wfew GCifXuhi如密牙1僧*Fft-ef.X朗百a)幻7量脾刪圈諷回|/JAMCltar|jf|Protocol

14、I IfiloQ|M；4-d4科曲町j bv如圖 1.8 ARP 請求角ping - EtherealFt自Mtw G Capcuft Aulvi*UMtkiiS ETherne TIhSrc: QO:Oc :?9：94 :f 8： ?2+： OQ: 50: :cQ:OO :01Dfistinar-ion: OQi 50: 5e：COiQO:0112C.1)Source: 0O：Oct2：e4:f8:22 (192.168.126-128)Type： ARP 0 x0806) Address Resolution Protocol (reply) nardware Type; Ethernet

15、 (0 x0001) prorocal type：IPe!t1nar1orr：ff:ff:Pf:ff:ff:ff (Brosdcasi：) sourc乜：uu：u：:cu：uu：mType：AHPSAddre;s Resol urt 1 on Prcrtacal (r equesr JHarchdre type: EthxneT (oxoooi) protocol type：IPQxoeoo) nardware si 2: 6 prfftccol size: 4senderenderuTargetMACaddress: 00:00:00:00:00:00 (00:00:0000:04:00)T

16、ar get申i5!亍申卡申#FF fT昴MAC addrfs: 00:50：56ICC:00:01 u92.16S.126.1) ir Address:丄亨 2+1 右;3*丄23.丄(1?*丄 1IPaddress : i9Z+163.1?6,1?E 0_憲陰4汀一品町00000010 . .ooso加 加oo oo ooODcd a3 7e ao_*0 5E CO 00 fllQB Q6 QQ01加50 56 cOO0 01 C0a7a 01-:兇i囤令|冷|樹劇殳I刨Q(mào)險|”血|側(cè)詞創(chuàng)| No. Jlinw| FnrtwiJ |恤/ITQ+Q01163819r

17、WvL92+16&.126a2S is執(zhí)kli/a Frame2(42 bytes on wire, 42 bytes aptured)Frhtr彳AM曰prrM細(xì)-d|知胡8如圖 1.10 所示的報文是一個有 Ping 命令產(chǎn)生 ICMP 報文: 3 DUMIZHZ低fraJZ&l l觀IZ細(xì)血ECWMwrequeti9圖 1.10 ICMP pi ng 包同樣，我們先復(fù)習(xí)一下IP 包的封包格式，如圖1.11 :0_KM314便 唯百都CTOS)長度(字節(jié)0汁亙標(biāo)識$位生存時間(TTL)】51岸部檢檢和北業(yè)羽1P堪址ELI的IF地址圖 1.11 IP 封包

18、格式關(guān)于 IP 封包各字段的內(nèi)容及意義，這里就不再詳述了，可以參見三卷本的 TCP/IP ,。我們主要看看 TTL,從圖 1.12 和 1.13 的比較來看， 圖 1.12 中的 TTL 是 128,而 圖 1.13 中的 TTL 卻是64,什么原因呢？原來圖 1.12 中的主機(jī)是 Windows2000，而 1.13 中的主機(jī)是 Linux，看來不同操作 系統(tǒng)的 TTL 是不同的。10BFrame 3 (74 bytes on wire, 74 bytei captured)BEthirntt II,. rc： 00：50：56：c0： 00：01riDsi： CH)：Oc:2ft：94 ：

19、f3：220 interncx prcnocclp Src Addr: 19Z.ieiDst妙r; 12昨.126?version: 4Header length:2Qbyt*s oolfferentlaied Sier vices Field: 0 x00(&SCPoxoo：Def*uTt;ECH: OJCOO)0000 0D DifferenxfiedServices Codepcint: Oefaul (OxOQ)O ECN-CSpJkb1 rraftSpGrT CCT)： 0 0 CN-Cf: 0T41Length- i0 idemtlifleatlent鮎(&L0)B

20、 Flagf t Ox-M*0 .$ Re$ruedHot set 0F Dont fragment: wqtEQ.- More fragment? j Ngt wet Fragment offset; 0Tfnig to 1ME:_Protocol： ICMP CQjTffif)Header ccksuri： 0bc4 (corrter)SCtirctt： 19? 1石甘丄2侖hl (192.1&S.12e ljCNesT-lnaTlon:192 1&弘，：12右IEE (192涇12舟.12呂) tmrn Comrcil Hessage ProtocolType: s (e

21、cho tp+ng) request)code: Q chck5Lrt： 0 x315b (correct) idwtiflfirs 0 x3300Sequence huniber t OxlWlData (32 bytes)圖 1.12 Windows 主機(jī)的 TTL血4HJQQJT2T jgz.lhH.LZB-l?Et iq7.lfifl.l?fi.| Il MPIdm (tMMj) rlyS frame4 (74bytes on wire,74bytes ciptured?Ethernet II, Src: 00:Oc:29;W:f8:22, Dst: 00:5C:56:c0:00:01

22、rnxerneT Protocol, sre Addr ； 28 19?+1&3.1?6+L2B DST Addr ： 192.15S,126.1VersIqn: 4Header length: 20 byte?Differ ent 1 ar cE 5erv1 ces Field： QxOQ (D5CP QMOD： Default ； reserved bit:NOTset-0+* = DonFz fraginent: NOT JST.0. * Mare frdgirents: HatS&T.Fragment offieT: oTime to Hue: 64

23、prorocai:ICMPQKILJHeader checksum； Oxbzea (correctSaurcs: 192.160.1?6.1?9 C12-163.126,l；3)Destination: ()Brnrernei： control Message ProrocolType： 0 (E(correctIdentifier: 0 x0300sequence number: 0 x1901Data (32 byrej)圖 1.13 Linux 主機(jī)的 TTL好了我們來看看 ICMP 報文吧， 先看看 它的封包格式，如圖1.14 :

24、0、巧嚴(yán)_-31書驚類型砸供碼山世檢|ft 和（T同類魁和茂碼T汗刁的內(nèi)容） 3 DUMIZHZ低fraJZ&l l觀IZ細(xì)血ECWMwrequeti11圖 1.14 ICMP 封包類型12關(guān)于 ICMP 的“類型”和“代碼”字段，這里有一個表，如圖0030 j目的不可達(dá) 網(wǎng)蠟千可迄 主拭不可這3端口匸可迭4霍趣進(jìn)廳甘片阻昶了不皆片比特5百練站笑軸H的網(wǎng)賂F認(rèn)識7目的主機(jī)F認(rèn)識5牌土常開隅駕柞股畢Iff9的網(wǎng)咯被強(qiáng)制？nL10昌的主機(jī)被強(qiáng)制荊ItII由下幗粵上TOM網(wǎng)鉛不可達(dá)12曲TXR務(wù)士 JTOE豐種不可達(dá)B由于過涯.通（B檢鼻腳幕比14主卩誕杭)5比光杜中止土嫂0源端被憲憫荃本疣

25、檸制耳Q時網(wǎng)略審足 UIUTK fTrt對肥務(wù)類鳴和網(wǎng)略卬；1茴3砧眼哥婁生和衛(wèi)林車;Sir90踣曲駕i臨告10Qna傳愉明同生存時 為o 1TiMKffutei柱裁據(jù)衆(zhòng)組裝期N生存時向林n0*軸巨肚壞滬:？門配”件括備秒腎Phi0E卄何截請術(shù)140時pm應(yīng)答150僧良請求i柞瞳甲用）160伯息應(yīng)番（作17QU0噲IH掩碼應(yīng)棄圖 1.15 ICMP 報文類型ICMP 報文，我們主要對照圖1.15 來分析抓包的情況，如圖1.16 所示類型值為 8，所以為 Ping 的請求報文；如圖 1.17 所示類型值為 0,所以為 Ping 的應(yīng)答報文；。S Frwe 3 (7 bytes on w1re87

26、4 byces captured)田Ethernetll.Stc： QOtSOS S6：ca：0G：01fiDSt s 0O3OC：29:W f8:22a internet Protocol src Addr： lfc168.Usl (192.160-126,1) D壯 耐曲：12+168.126.128 verslanii：扌Meader lehchi 20 toyxes0 MfferemUt&d services Field： OMOQ (DSCPQXOOS Default ; ECH： 0X00)QOOO GO*+ Different 1ed Services codepolmc

27、: pefiul (000)十_ m ECN-cpbie transpon (ECTI:o_ J0 - ECN-CE； o1.15 :13Total lengchg 60identification: 0 x032 (810)S FlAgs:0_麗deserved! bit: Not set 0，-Dent frjgment: Not set 0 More fragments: Not setFr玄卯總rvc offs at: 0Time to live: 128Pr DtOCQ! : lCM：p (0 x1)Header check sun: 0Kb9c4 (correct)Source: 192 16合12召丄(192 1臨8Destination： 1如1 -68.126.1沖(192.168.12128)Binternet control Message pratacolType: 8 (Echo (ping) request)cods; uch&cksura： Ox31 Sb (correct)identif