實(shí)驗(yàn)二網(wǎng)絡(luò)協(xié)議分析

1、實(shí)驗(yàn)二：網(wǎng)絡(luò)協(xié)議分析開機(jī)后進(jìn)入開機(jī)后進(jìn)入windows XPwindows XP系統(tǒng)系統(tǒng)指導(dǎo)老師：曹浪財(cái)助教：徐朝慶 邱熠龍郵箱：975230721& 實(shí)驗(yàn)結(jié)束后，請(qǐng)班級(jí)學(xué)習(xí)委員及時(shí)將實(shí)驗(yàn)結(jié)束后，請(qǐng)班級(jí)學(xué)習(xí)委員及時(shí)將電子版電子版的實(shí)的實(shí)驗(yàn)報(bào)告收齊，然后打包成驗(yàn)報(bào)告收齊，然后打包成zipzip格式一起提交到郵箱，格式一起提交到郵箱，并注明未提交的同學(xué)名單。并注明未提交的同學(xué)名單。實(shí)驗(yàn)環(huán)境windows XP 系統(tǒng)聯(lián)網(wǎng)計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽軟件Sniffer 實(shí)驗(yàn)?zāi)康暮鸵?熟悉網(wǎng)絡(luò)監(jiān)聽軟件熟悉網(wǎng)絡(luò)監(jiān)聽軟件Sniffer,Sniffer,對(duì)截獲的數(shù)據(jù)幀對(duì)截獲的數(shù)據(jù)幀進(jìn)行分析，驗(yàn)證進(jìn)行分析，驗(yàn)證Ethern

2、etV2EthernetV2標(biāo)準(zhǔn)的標(biāo)準(zhǔn)的MACMAC層的幀層的幀結(jié)構(gòu)結(jié)構(gòu) 分析分析ARPARP協(xié)議報(bào)文首部格式，分析在同一網(wǎng)段協(xié)議報(bào)文首部格式，分析在同一網(wǎng)段和不同網(wǎng)段間的解析過程和不同網(wǎng)段間的解析過程 分析分析IPv4IPv4的報(bào)文結(jié)構(gòu)，給出每一個(gè)字段的值的報(bào)文結(jié)構(gòu)，給出每一個(gè)字段的值 掌握常用掌握常用ICMPICMP報(bào)文格式及相應(yīng)方式和作用報(bào)文格式及相應(yīng)方式和作用 掌握掌握TracertTracert命令跟蹤路由技術(shù)命令跟蹤路由技術(shù) 掌握掌握TCPTCP連接的建立和釋放過程連接的建立和釋放過程實(shí)驗(yàn)原理 數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為幀（數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為幀（FrameFrame）的）的

3、單位傳輸?shù)?，幀由幾部分組成，不同的部分執(zhí)行不單位傳輸?shù)模瑤蓭撞糠纸M成，不同的部分執(zhí)行不同的功能。幀通過特定的稱為網(wǎng)絡(luò)驅(qū)動(dòng)程序的軟件同的功能。幀通過特定的稱為網(wǎng)絡(luò)驅(qū)動(dòng)程序的軟件進(jìn)行成型，然后通過網(wǎng)卡發(fā)送到網(wǎng)線上，通過網(wǎng)線進(jìn)行成型，然后通過網(wǎng)卡發(fā)送到網(wǎng)線上，通過網(wǎng)線到達(dá)它們的目的機(jī)器，在目的機(jī)器的一端執(zhí)行相反到達(dá)它們的目的機(jī)器，在目的機(jī)器的一端執(zhí)行相反的過程。接收端機(jī)器的以太網(wǎng)卡捕獲到這些幀，并的過程。接收端機(jī)器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀已到達(dá)，然后對(duì)其進(jìn)行存儲(chǔ)。就是告訴操作系統(tǒng)幀已到達(dá)，然后對(duì)其進(jìn)行存儲(chǔ)。就是在這個(gè)傳輸和接收的過程中，嗅探器會(huì)帶來安全方在這個(gè)傳輸和接收的過程中，嗅

4、探器會(huì)帶來安全方面的問題。面的問題。數(shù)據(jù)包“包包”(Packet)是是TCP/IP協(xié)議通信傳輸中的數(shù)據(jù)單協(xié)議通信傳輸中的數(shù)據(jù)單位，一般也稱位，一般也稱“數(shù)據(jù)包數(shù)據(jù)包”。有人說，局域網(wǎng)中傳。有人說，局域網(wǎng)中傳輸?shù)牟皇禽數(shù)牟皇恰皫瑤?Frame)嗎？沒錯(cuò)，但是嗎？沒錯(cuò)，但是TCP/IP協(xié)協(xié)議是工作在議是工作在OSI模型第三層模型第三層(網(wǎng)絡(luò)層網(wǎng)絡(luò)層)、第四層、第四層(傳輸傳輸層層)上的，而幀是工作在第二層上的，而幀是工作在第二層(數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層)。上。上一層的內(nèi)容由下一層的內(nèi)容來傳輸，所以在局域一層的內(nèi)容由下一層的內(nèi)容來傳輸，所以在局域網(wǎng)中，網(wǎng)中，“包包”是包含在是包含在“幀幀”里的。里的

5、。 以太網(wǎng)和IEEE 802封裝 以太網(wǎng)是指數(shù)字設(shè)備公司（以太網(wǎng)是指數(shù)字設(shè)備公司（Digital Equipment Corp.Digital Equipment Corp.）、）、英特爾公司和英特爾公司和XeroxXerox公司在公司在19821982年聯(lián)合公布的一個(gè)標(biāo)準(zhǔn)。年聯(lián)合公布的一個(gè)標(biāo)準(zhǔn)。它是當(dāng)今它是當(dāng)今TCP/IPTCP/IP采用的主要局域網(wǎng)技術(shù)。它采用采用的主要局域網(wǎng)技術(shù)。它采用CSMA/CDCSMA/CD（帶沖突檢測(cè)的載波偵聽多路接入）的媒體介入方法。它（帶沖突檢測(cè)的載波偵聽多路接入）的媒體介入方法。它的速度是的速度是10Mb/s10Mb/s，地址是，地址是48bit48bit。

6、 IEEEIEEE（電子電氣工程師協(xié)會(huì)）（電子電氣工程師協(xié)會(huì)）802802委員會(huì)公布了一個(gè)稍有委員會(huì)公布了一個(gè)稍有不同的標(biāo)準(zhǔn)集，其中不同的標(biāo)準(zhǔn)集，其中802.3802.3針對(duì)整個(gè)針對(duì)整個(gè)CSMA/CDCSMA/CD網(wǎng)絡(luò)，網(wǎng)絡(luò)，802.4802.4針對(duì)令牌總線網(wǎng)絡(luò)，針對(duì)令牌總線網(wǎng)絡(luò)，802.5802.5針對(duì)令牌環(huán)網(wǎng)絡(luò)。這三者的共針對(duì)令牌環(huán)網(wǎng)絡(luò)。這三者的共同特性由同特性由802.2802.2標(biāo)準(zhǔn)來定義，那就是標(biāo)準(zhǔn)來定義，那就是802802網(wǎng)絡(luò)共有的邏輯鏈網(wǎng)絡(luò)共有的邏輯鏈路控制（路控制（LLCLLC）。不幸的是，）。不幸的是，802.2802.2和和802.3802.3定義了一個(gè)與定義了一個(gè)與以太網(wǎng)

7、不同的幀格式。以太網(wǎng)不同的幀格式。 常用的以太網(wǎng)常用的以太網(wǎng)MACMAC幀格式有兩種標(biāo)準(zhǔn)，一幀格式有兩種標(biāo)準(zhǔn)，一種是種是Ethernet V2Ethernet V2標(biāo)準(zhǔn)，另一種是標(biāo)準(zhǔn)，另一種是802.3802.3標(biāo)準(zhǔn)。標(biāo)準(zhǔn)。這里只介紹常用的以太網(wǎng)這里只介紹常用的以太網(wǎng)V2V2的的MACMAC幀格式。幀格式。 以太網(wǎng)的以太網(wǎng)的MACMAC幀比較簡(jiǎn)單，有五個(gè)字段組幀比較簡(jiǎn)單，有五個(gè)字段組成。前兩個(gè)字段分別為成。前兩個(gè)字段分別為6 6字節(jié)長(zhǎng)的目的地址和字節(jié)長(zhǎng)的目的地址和源地址字段。第三個(gè)字段是源地址字段。第三個(gè)字段是2 2字節(jié)的類型字段，字節(jié)的類型字段，用來標(biāo)志上一層使用的是什么協(xié)議，以便把收用來標(biāo)

8、志上一層使用的是什么協(xié)議，以便把收到的到的MACMAC幀數(shù)據(jù)上交給上一層的協(xié)議。例如，幀數(shù)據(jù)上交給上一層的協(xié)議。例如，當(dāng)類型字段的值是當(dāng)類型字段的值是0X08000X0800時(shí)，就表示上層使用時(shí)，就表示上層使用的是的是IPIP數(shù)據(jù)報(bào)。第四個(gè)字段是數(shù)據(jù)字段，其長(zhǎng)數(shù)據(jù)報(bào)。第四個(gè)字段是數(shù)據(jù)字段，其長(zhǎng)度在度在46-150046-1500字節(jié)之間。最后一個(gè)字段是字節(jié)之間。最后一個(gè)字段是4 4字節(jié)字節(jié)的幀檢驗(yàn)序列的幀檢驗(yàn)序列FCSFCS（使用（使用CRCCRC檢驗(yàn)）。檢驗(yàn)）。8.2 鏈路層數(shù)據(jù)幀分析實(shí)驗(yàn)步驟：實(shí)驗(yàn)步驟：1 1、【開始開始】 【SnifferSniffer軟件軟件】 打開打開“當(dāng)前設(shè)置當(dāng)前設(shè)

9、置窗口窗口” 選中網(wǎng)絡(luò)適配器選中網(wǎng)絡(luò)適配器 確定確定2.Sniffer Monitor Define Filter2.Sniffer Monitor Define Filter在在AddressAddress選項(xiàng)卡下選項(xiàng)卡下的的AddressAddress下拉選擇下拉選擇IPStation1IPStation1中填入本機(jī)中填入本機(jī)IPIP，Station2Station2中中輸入輸入AnyAny選取選取CaptureStartCaptureStart菜單項(xiàng)，等待截取報(bào)菜單項(xiàng)，等待截取報(bào)3. 3. 【開始開始】 “cmdcmd” 彈出彈出“命令提示符命令提示符”窗口窗口 鍵入鍵入“ping pi

10、ng XXX.XXX.XXX.XXXXXX.XXX.XXX.XXX” 選擇選擇SnifferSniffer的的“capture capture ” stop and displaystop and display顯示截獲的數(shù)據(jù)報(bào)文結(jié)果顯示截獲的數(shù)據(jù)報(bào)文結(jié)果 選擇選擇“DecodeDecode”選項(xiàng)卡選項(xiàng)卡查看報(bào)文解碼查看報(bào)文解碼其中其中XXX.XXX.XXX.XXXXXX.XXX.XXX.XXX表示同網(wǎng)段的計(jì)算機(jī)表示同網(wǎng)段的計(jì)算機(jī)IPIP地址地址4、下圖是下圖是SnifferSniffer捕獲的報(bào)文解碼，在數(shù)據(jù)鏈路捕獲的報(bào)文解碼，在數(shù)據(jù)鏈路層（層（DLCDLC）和源）和源MACMAC地址后緊跟

11、著地址后緊跟著0800,0800,代表該幀數(shù)代表該幀數(shù)據(jù)部分封裝的是據(jù)部分封裝的是IPIP報(bào)文，由于報(bào)文，由于08000800大于大于05FF05FF，所，所以它是以它是EthernetV2EthernetV2幀。提示：選中摘要（幀。提示：選中摘要（summarysummary）框的框的“ICMP EchoICMP Echo”報(bào)文項(xiàng)查看。報(bào)文項(xiàng)查看。8.3 ARP地址解析協(xié)議 ARP ARP協(xié)議是協(xié)議是“Address Resolution Protocol”Address Resolution Protocol”（地（地址解析協(xié)議）的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖侵方馕鰠f(xié)議）的縮寫。在

12、局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫瑤?，幀里面是有目?biāo)主機(jī)的，幀里面是有目標(biāo)主機(jī)的MACMAC地址的。在以太網(wǎng)中，地址的。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的主機(jī)的MACMAC地址。但這個(gè)目標(biāo)地址。但這個(gè)目標(biāo)MACMAC地址是如何獲得的呢？它地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。所謂就是通過地址解析協(xié)議獲得的。所謂“地址解析地址解析”就是主就是主機(jī)在發(fā)送幀前將目標(biāo)機(jī)在發(fā)送幀前將目標(biāo)IPIP地址轉(zhuǎn)換成目標(biāo)地址轉(zhuǎn)換成目標(biāo)MACMAC地址的過程。地址的過程。ARPARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的協(xié)議的基

13、本功能就是通過目標(biāo)設(shè)備的IPIP地址，查詢目地址，查詢目標(biāo)設(shè)備的標(biāo)設(shè)備的MACMAC地址，以保證通信的順利進(jìn)行。地址，以保證通信的順利進(jìn)行。 用于以太網(wǎng)的ARP請(qǐng)求或者應(yīng)答分組格式ARPARP報(bào)文的格式：報(bào)文的格式：硬件類型：指明硬件的類型，以太網(wǎng)是硬件類型：指明硬件的類型，以太網(wǎng)是1 1。協(xié)議類型：指明發(fā)送者映射到數(shù)據(jù)鏈路標(biāo)識(shí)的網(wǎng)絡(luò)層協(xié)協(xié)議類型：指明發(fā)送者映射到數(shù)據(jù)鏈路標(biāo)識(shí)的網(wǎng)絡(luò)層協(xié)議的類型；議的類型；IPIP對(duì)應(yīng)對(duì)應(yīng)0 x08000 x0800，ARPARP對(duì)應(yīng)的是對(duì)應(yīng)的是0 x08060 x0806。硬件地址長(zhǎng)度：也就是硬件地址長(zhǎng)度：也就是MACMAC地址的長(zhǎng)度，單位是字節(jié)，地址的長(zhǎng)度，

14、單位是字節(jié)，這里是這里是6 6。協(xié)議地址長(zhǎng)度：網(wǎng)絡(luò)層地址的長(zhǎng)度，即協(xié)議地址長(zhǎng)度：網(wǎng)絡(luò)層地址的長(zhǎng)度，即IPIP地址長(zhǎng)度，單地址長(zhǎng)度，單位是字節(jié)，這里為位是字節(jié)，這里為4 4。操作：指明是操作：指明是ARPARP請(qǐng)求還是請(qǐng)求還是ARPARP應(yīng)答。應(yīng)答。實(shí)驗(yàn)原理：使用網(wǎng)絡(luò)的應(yīng)用程序是采用邏輯地址實(shí)驗(yàn)原理：使用網(wǎng)絡(luò)的應(yīng)用程序是采用邏輯地址（如（如IP地址）進(jìn)行通訊的，而實(shí)際的物理網(wǎng)絡(luò)必地址）進(jìn)行通訊的，而實(shí)際的物理網(wǎng)絡(luò)必須使用物理地址（如須使用物理地址（如MAC地址）進(jìn)行數(shù)據(jù)傳輸。地址）進(jìn)行數(shù)據(jù)傳輸。所以需要建立邏輯地址與物理地址的映射關(guān)系所以需要建立邏輯地址與物理地址的映射關(guān)系（地址解析），高層應(yīng)用

15、的報(bào)文才可以用底層物（地址解析），高層應(yīng)用的報(bào)文才可以用底層物理網(wǎng)絡(luò)傳輸出去。理網(wǎng)絡(luò)傳輸出去。ARP協(xié)議就是將協(xié)議就是將IP地址解析成物地址解析成物理地址的地址解析協(xié)議。理地址的地址解析協(xié)議。1、同網(wǎng)段的、同網(wǎng)段的ARP解析過程解析過程 主機(jī)與處在同一網(wǎng)段的另一主機(jī)進(jìn)行通信時(shí)，主機(jī)與處在同一網(wǎng)段的另一主機(jī)進(jìn)行通信時(shí)，首先去緩存中查找目的主機(jī)的首先去緩存中查找目的主機(jī)的IP-MAC對(duì)應(yīng)項(xiàng)；如對(duì)應(yīng)項(xiàng)；如果找到，就將報(bào)文用找到的物理地址直接發(fā)送出果找到，就將報(bào)文用找到的物理地址直接發(fā)送出去；如果找不到，源主機(jī)就直接向網(wǎng)絡(luò)發(fā)送去；如果找不到，源主機(jī)就直接向網(wǎng)絡(luò)發(fā)送ARP請(qǐng)求報(bào)文，在同一網(wǎng)段的目的主機(jī)會(huì)

16、對(duì)此請(qǐng)求報(bào)請(qǐng)求報(bào)文，在同一網(wǎng)段的目的主機(jī)會(huì)對(duì)此請(qǐng)求報(bào)文做出應(yīng)答。文做出應(yīng)答。2、不同網(wǎng)段的、不同網(wǎng)段的ARP解析過程解析過程 主機(jī)與處在不同網(wǎng)段的主機(jī)進(jìn)行通信時(shí)，主機(jī)與處在不同網(wǎng)段的主機(jī)進(jìn)行通信時(shí)，數(shù)據(jù)要想發(fā)送給默認(rèn)網(wǎng)關(guān)，然后由它轉(zhuǎn)發(fā)出去。數(shù)據(jù)要想發(fā)送給默認(rèn)網(wǎng)關(guān)，然后由它轉(zhuǎn)發(fā)出去。源主機(jī)首先去緩存中查找默認(rèn)網(wǎng)關(guān)的源主機(jī)首先去緩存中查找默認(rèn)網(wǎng)關(guān)的IP-MAC對(duì)對(duì)應(yīng)項(xiàng)；如果找到，源應(yīng)項(xiàng)；如果找到，源主機(jī)就把報(bào)文發(fā)送給它的主機(jī)就把報(bào)文發(fā)送給它的默認(rèn)網(wǎng)關(guān)；如果找不到，源主機(jī)就會(huì)發(fā)送默認(rèn)網(wǎng)關(guān)；如果找不到，源主機(jī)就會(huì)發(fā)送ARPARP請(qǐng)求報(bào)文，從默認(rèn)網(wǎng)關(guān)的請(qǐng)求報(bào)文，從默認(rèn)網(wǎng)關(guān)的ARPARP應(yīng)答報(bào)文中獲得應(yīng)答

17、報(bào)文中獲得默認(rèn)網(wǎng)關(guān)的默認(rèn)網(wǎng)關(guān)的IP-MACIP-MAC對(duì)應(yīng)項(xiàng)。對(duì)應(yīng)項(xiàng)。實(shí)驗(yàn)步驟：實(shí)驗(yàn)步驟：1 1、運(yùn)行、運(yùn)行SnifferSniffer軟件軟件2 2、選取、選取“MonitorMonitor”Define Filter Define Filter 彈出對(duì)彈出對(duì)話框話框 在在“AddressAddress”中選擇中選擇“HardwareHardware” 在在“Station1Station1”處鍵入本機(jī)的處鍵入本機(jī)的MACMAC地址地址 “Station2Station2”處填入處填入“AnyAny”3 3、同網(wǎng)段、同網(wǎng)段ARPARP的解析：的解析：“CaptureCapture”Start

18、”Start”在命令提示符窗口鍵入在命令提示符窗口鍵入arparp d d arparp a ping a ping XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX “Capture”Capture”“Stop and Stop and DisplayDisplay” 分析報(bào)文分析報(bào)文提示：在提示：在“summarysummary”欄選中欄選中“ARPARP”報(bào)文報(bào)文同網(wǎng)段的請(qǐng)求和應(yīng)答報(bào)文如下截圖：同網(wǎng)段的請(qǐng)求和應(yīng)答報(bào)文如下截圖：2 2、不同網(wǎng)段的解析：前面步驟同、不同網(wǎng)段的解析：前面步驟同1 1，在，在DOSDOS窗口輸入：窗口輸入：ping 3stop

19、and displayping 3stop and display截獲報(bào)文并顯示。截獲報(bào)文并顯示。不同網(wǎng)段的不同網(wǎng)段的ARPARP請(qǐng)求和應(yīng)答報(bào)文請(qǐng)求和應(yīng)答報(bào)文分析不同網(wǎng)段的報(bào)文填入下表字段項(xiàng)字段項(xiàng)ARP請(qǐng)求報(bào)文請(qǐng)求報(bào)文ARP應(yīng)答報(bào)文應(yīng)答報(bào)文DestinationSourceSender MAC AddressSender IP Address Target MAC AddressTarget IP Address8.4 IPv4協(xié)議分析IP數(shù)據(jù)報(bào)首部的固定部分中的各字段數(shù)據(jù)報(bào)首部的固定部分中的各字段8.4 IPv4協(xié)議分析 分析分析IPv4IPv4的報(bào)頭結(jié)構(gòu)，給出每個(gè)字段的

20、值；的報(bào)頭結(jié)構(gòu)，給出每個(gè)字段的值； 實(shí)驗(yàn)步驟：運(yùn)行實(shí)驗(yàn)步驟：運(yùn)行SniffercapturestartSniffercapturestart在在DOSDOS窗口中輸入窗口中輸入ping 3stop ping 3stop and displayand display選擇選擇DecodeDecode選項(xiàng)選項(xiàng)分析截獲的分析截獲的報(bào)文填入表格報(bào)文填入表格字段字段報(bào)文信息報(bào)文信息字段字段報(bào)文信息報(bào)文信息版本片偏移首部長(zhǎng)度生存周期服務(wù)類型協(xié)議總長(zhǎng)度校驗(yàn)和標(biāo)識(shí)源地址標(biāo)志目的地址8.5 ICMP協(xié)議分析和路由跟蹤實(shí)驗(yàn)要求：實(shí)驗(yàn)要求：1 1、理解、理解ICMPICMP協(xié)議

21、與協(xié)議與IPIP協(xié)議的封裝關(guān)系協(xié)議的封裝關(guān)系2 2、掌握常用的、掌握常用的ICMPICMP報(bào)文格式及響應(yīng)方式和作報(bào)文格式及響應(yīng)方式和作用用3 3、理解路由跟蹤過程、理解路由跟蹤過程4 4、掌握、掌握tracerttracert命令跟蹤路由技術(shù)命令跟蹤路由技術(shù) ICMP ICMP協(xié)議：為了處理當(dāng)數(shù)據(jù)包經(jīng)過多個(gè)網(wǎng)絡(luò)傳協(xié)議：為了處理當(dāng)數(shù)據(jù)包經(jīng)過多個(gè)網(wǎng)絡(luò)傳輸后可能出現(xiàn)的故障，在輸后可能出現(xiàn)的故障，在IPIP層引入子協(xié)議層引入子協(xié)議ICMPICMP。當(dāng)遇到當(dāng)遇到IPIP數(shù)據(jù)包無法訪問目標(biāo)等情況時(shí)，路由數(shù)據(jù)包無法訪問目標(biāo)等情況時(shí)，路由器自動(dòng)發(fā)送器自動(dòng)發(fā)送ICMPICMP報(bào)文，向源主機(jī)報(bào)錯(cuò)。報(bào)文，向源主機(jī)報(bào)

22、錯(cuò)。nICMPICMP報(bào)文的封裝報(bào)文的封裝 ICMP ICMP有兩種報(bào)文：差錯(cuò)報(bào)文和查詢報(bào)文。有兩種報(bào)文：差錯(cuò)報(bào)文和查詢報(bào)文。 差錯(cuò)報(bào)文用于當(dāng)路由器或主機(jī)在處理數(shù)據(jù)差錯(cuò)報(bào)文用于當(dāng)路由器或主機(jī)在處理數(shù)據(jù)過程出現(xiàn)問題時(shí)，向源主機(jī)進(jìn)行報(bào)告；過程出現(xiàn)問題時(shí)，向源主機(jī)進(jìn)行報(bào)告； 查詢報(bào)文用于幫助網(wǎng)絡(luò)管理員從一個(gè)網(wǎng)絡(luò)查詢報(bào)文用于幫助網(wǎng)絡(luò)管理員從一個(gè)網(wǎng)絡(luò)設(shè)備上得到特定的信息，例如某個(gè)主機(jī)是設(shè)備上得到特定的信息，例如某個(gè)主機(jī)是否可達(dá)，中間經(jīng)過哪些路由器等。否可達(dá)，中間經(jīng)過哪些路由器等。ICMPICMP報(bào)報(bào)文都是封裝在文都是封裝在IPIP報(bào)文中傳輸?shù)摹?bào)文中傳輸?shù)?。ICMPICMP報(bào)文報(bào)文還分為很多類，簡(jiǎn)明的報(bào)

23、文類型如下表所還分為很多類，簡(jiǎn)明的報(bào)文類型如下表所示。示。種類種類類型類型報(bào)文報(bào)文差錯(cuò)報(bào)告報(bào)文差錯(cuò)報(bào)告報(bào)文3 3目的端不可達(dá)目的端不可達(dá)4 4源端抑制源端抑制1111超時(shí)超時(shí)1212參數(shù)問題參數(shù)問題5 5改變路由改變路由查詢報(bào)文查詢報(bào)文8 8或或0 0回送請(qǐng)求或應(yīng)答回送請(qǐng)求或應(yīng)答1313或或1414時(shí)間戮請(qǐng)求或應(yīng)答時(shí)間戮請(qǐng)求或應(yīng)答1717或或1818地址掩碼請(qǐng)求或回答地址掩碼請(qǐng)求或回答1010或或1919路由器查詢和通告路由器查詢和通告nTracertTracert 工作原理工作原理 TracertTracert( (跟蹤路由跟蹤路由) )是路由跟蹤實(shí)用程序，用于確定是路由跟蹤實(shí)用程序，用于確

24、定IPIP數(shù)據(jù)報(bào)文訪問目標(biāo)所采取的路徑。數(shù)據(jù)報(bào)文訪問目標(biāo)所采取的路徑。TracertTracert命令用命令用IPIP數(shù)數(shù)據(jù)報(bào)文中的生存時(shí)間據(jù)報(bào)文中的生存時(shí)間(TTL)(TTL)字段和字段和ICMPICMP報(bào)告的錯(cuò)誤消息來報(bào)告的錯(cuò)誤消息來確定從源主機(jī)到網(wǎng)絡(luò)其他主機(jī)的路由。確定從源主機(jī)到網(wǎng)絡(luò)其他主機(jī)的路由。n源主機(jī)的源主機(jī)的TracertTracert程序向目標(biāo)端發(fā)送程序向目標(biāo)端發(fā)送ICMPICMP請(qǐng)求，請(qǐng)求，并將封裝并將封裝ICMPICMP請(qǐng)求數(shù)據(jù)包的請(qǐng)求數(shù)據(jù)包的IPIP分組報(bào)頭中的分組報(bào)頭中的TTLTTL值置值置1,1,。此。此ICMPICMP數(shù)據(jù)包在到達(dá)第一個(gè)路由數(shù)據(jù)包在到達(dá)第一個(gè)路由器時(shí)

25、，器時(shí)，IPIP報(bào)頭中的報(bào)頭中的TTLTTL減減1 1變?yōu)樽優(yōu)? 0，根據(jù)規(guī)定路，根據(jù)規(guī)定路由器會(huì)丟棄由器會(huì)丟棄TTLTTL為為0 0的的IPIP分組，并同時(shí)向發(fā)送端分組，并同時(shí)向發(fā)送端發(fā)送發(fā)送ICMPICMP超時(shí)消息。源主機(jī)從收到的超時(shí)消息超時(shí)消息。源主機(jī)從收到的超時(shí)消息中，記錄并顯示發(fā)回超時(shí)信息的路由器的中，記錄并顯示發(fā)回超時(shí)信息的路由器的IPIP地地址，以及址，以及IPIP分組從源主機(jī)的第一個(gè)路由器之間分組從源主機(jī)的第一個(gè)路由器之間的往返時(shí)間；然后的往返時(shí)間；然后TracertTracert程序繼續(xù)向目標(biāo)端程序繼續(xù)向目標(biāo)端發(fā)送發(fā)送ICMPICMP請(qǐng)求數(shù)據(jù)包，但請(qǐng)求數(shù)據(jù)包，但I(xiàn)PIP分組報(bào)

26、頭的分組報(bào)頭的TTLTTL加加1 1置為置為2,2,。這個(gè)。這個(gè)ICMPICMP請(qǐng)求數(shù)據(jù)包在向目標(biāo)端前進(jìn)請(qǐng)求數(shù)據(jù)包在向目標(biāo)端前進(jìn)的路途上到達(dá)第二個(gè)路由器后，的路途上到達(dá)第二個(gè)路由器后，TTLTTL的值減為的值減為0 0；第二個(gè)路由器同樣的向發(fā)送端發(fā)送第二個(gè)路由器同樣的向發(fā)送端發(fā)送ICMPICMP超時(shí)報(bào)超時(shí)報(bào)文。源主機(jī)就獲得了路途上第二文。源主機(jī)就獲得了路途上第二 路由器的路由器的IPIP地址以及往返時(shí)間。以此類推，直到有地址以及往返時(shí)間。以此類推，直到有一個(gè)一個(gè)ICMPICMP請(qǐng)求數(shù)據(jù)包到達(dá)目的端。這樣源主機(jī)就可請(qǐng)求數(shù)據(jù)包到達(dá)目的端。這樣源主機(jī)就可以根據(jù)各路由器回復(fù)的以根據(jù)各路由器回復(fù)的ICM

27、PICMP超時(shí)報(bào)文來確定達(dá)到目超時(shí)報(bào)文來確定達(dá)到目的端的路徑上所有的路由器的端的路徑上所有的路由器IPIP地址與通訊往返時(shí)間。地址與通訊往返時(shí)間。n 利用利用TracertTracert可以測(cè)試從源端到目的端的路徑需要可以測(cè)試從源端到目的端的路徑需要通過哪些節(jié)點(diǎn)，同時(shí)了解通訊路徑中哪個(gè)節(jié)點(diǎn)存在通過哪些節(jié)點(diǎn)，同時(shí)了解通訊路徑中哪個(gè)節(jié)點(diǎn)存在故障。故障。實(shí)驗(yàn)步驟：實(shí)驗(yàn)步驟：1 1、捕獲并分析、捕獲并分析ICMPICMP超時(shí)報(bào)文超時(shí)報(bào)文運(yùn)行運(yùn)行SnifferCapturestartSnifferCapturestart在在DOSDOS窗口鍵入窗口鍵入3stop and displa

28、y 3stop and display 截獲并顯示報(bào)截獲并顯示報(bào)文文在報(bào)文顯示列表找到超時(shí)報(bào)文在報(bào)文顯示列表找到超時(shí)報(bào)文(Time exceeded(Time exceeded，ICMPICMP報(bào)文中報(bào)文中Type=11)Type=11)報(bào)文信息填入表格報(bào)文信息填入表格類型類型代碼代碼校驗(yàn)和校驗(yàn)和數(shù)據(jù)數(shù)據(jù)2 2、捕獲分析回送請(qǐng)求和應(yīng)會(huì)送答、捕獲分析回送請(qǐng)求和應(yīng)會(huì)送答ICMPICMP報(bào)文報(bào)文 使用剛剛截獲的報(bào)文，在報(bào)文顯示列表找到使用剛剛截獲的報(bào)文，在報(bào)文顯示列表找到ICMP ICMP EchoEcho和和ICMP Echo replyICMP Echo reply報(bào)文，并將

29、相應(yīng)的信息報(bào)文，并將相應(yīng)的信息填入表格填入表格類型類型代碼代碼校驗(yàn)和校驗(yàn)和標(biāo)示符標(biāo)示符序列號(hào)序列號(hào)Echo request Echo reply3 3、用、用TracertTracert 跟蹤路由跟蹤路由運(yùn)行運(yùn)行SniffercapturestartSniffercapturestart在在DOSDOS窗窗口輸入口輸入tracerttracert d 4 stop d 4 stop and displayand display截獲并顯示報(bào)文截獲并顯示報(bào)文分析分析tracerttracert命令的工作過程命令的工作過程 下圖報(bào)文是本地主機(jī)發(fā)往遠(yuǎn)端主機(jī)的下圖

30、報(bào)文是本地主機(jī)發(fā)往遠(yuǎn)端主機(jī)的ICMPICMP報(bào)報(bào)文。其中文。其中IPIP報(bào)頭的報(bào)頭的TTLTTL值為值為1 1，即，即TracertTracert發(fā)發(fā)送的第一個(gè)送的第一個(gè)ICMPICMP報(bào)文，報(bào)文，ICMPICMP代碼為代碼為8 8（ICMPICMP請(qǐng)求報(bào)文）。請(qǐng)求報(bào)文）。 ICMP ICMP請(qǐng)求報(bào)文請(qǐng)求報(bào)文 下圖報(bào)文是從源主機(jī)發(fā)往遠(yuǎn)端主機(jī)的分組經(jīng)過第下圖報(bào)文是從源主機(jī)發(fā)往遠(yuǎn)端主機(jī)的分組經(jīng)過第一個(gè)路由器，由于一個(gè)路由器，由于TTL(time to live)TTL(time to live)從從1 1減為減為0 0，路由器發(fā)送超時(shí)報(bào)文給源主機(jī)，路由器發(fā)送超時(shí)報(bào)文給源主機(jī)，ICMPICMP超時(shí)報(bào)

31、文的超時(shí)報(bào)文的類型為類型為1111。 大家可以在列表中找到有源主機(jī)發(fā)出的大家可以在列表中找到有源主機(jī)發(fā)出的 TTL(time to live) TTL(time to live)為為2 2、3 3、4 4等的等的ICMPICMP請(qǐng)求請(qǐng)求報(bào)文，同樣可以找到途中各路由器發(fā)回給源主報(bào)文，同樣可以找到途中各路由器發(fā)回給源主機(jī)的超時(shí)報(bào)文，最后機(jī)的超時(shí)報(bào)文，最后IPIP分組的分組的TTLTTL遞增到足夠遞增到足夠大時(shí)，源主機(jī)的大時(shí)，源主機(jī)的tracerttracert程序發(fā)送的程序發(fā)送的ICMPICMP請(qǐng)求請(qǐng)求報(bào)文終于到達(dá)目的主機(jī)。此時(shí)目的主機(jī)向源主報(bào)文終于到達(dá)目的主機(jī)。此時(shí)目的主機(jī)向源主機(jī)發(fā)送機(jī)發(fā)送IC

32、MPICMP應(yīng)答報(bào)文，而不是超時(shí)報(bào)文，路由應(yīng)答報(bào)文，而不是超時(shí)報(bào)文，路由跟蹤過程到此結(jié)束。跟蹤過程到此結(jié)束?；卮饐栴}：回答問題：1 1、tracerttracert程序每次回發(fā)送幾個(gè)程序每次回發(fā)送幾個(gè)TTLTTL相同的相同的ICMPICMP請(qǐng)求報(bào)文？請(qǐng)求報(bào)文？2 2、路由跟蹤過程中，中間節(jié)點(diǎn)、路由跟蹤過程中，中間節(jié)點(diǎn)( (路由器路由器) )返回的返回的ICMPICMP報(bào)文和目的端返回的報(bào)文和目的端返回的ICMPICMP報(bào)文有什么區(qū)別？報(bào)文有什么區(qū)別？最后目的主機(jī)向源主機(jī)發(fā)送最后目的主機(jī)向源主機(jī)發(fā)送ICMPICMP應(yīng)答報(bào)文應(yīng)答報(bào)文8.6 TCP傳輸控制協(xié)議分析實(shí)驗(yàn)要求：實(shí)驗(yàn)要求：掌握掌握TCPT

33、CP協(xié)議的形式；協(xié)議的形式；掌握掌握TCPTCP連接的簡(jiǎn)歷和釋放過程；連接的簡(jiǎn)歷和釋放過程；掌握掌握TCPTCP數(shù)據(jù)傳輸編號(hào)與確認(rèn)的過程；數(shù)據(jù)傳輸編號(hào)與確認(rèn)的過程；實(shí)驗(yàn)原理：實(shí)驗(yàn)原理：TCPTCP是一種面向連接的、可靠的、是一種面向連接的、可靠的、基于字節(jié)流的通信協(xié)議?；谧止?jié)流的通信協(xié)議。實(shí)驗(yàn)條件：實(shí)驗(yàn)條件：XPXP或或win7win7聯(lián)網(wǎng)計(jì)算機(jī)，聯(lián)網(wǎng)計(jì)算機(jī)，SnifferSniffer軟件，軟件，F(xiàn)TPFTP服務(wù)器服務(wù)器TCP：傳輸控制協(xié)議TCPTCP是一種可靠的、面向連接的字節(jié)流服務(wù)。是一種可靠的、面向連接的字節(jié)流服務(wù)。源主機(jī)在傳送數(shù)據(jù)前需要先和目標(biāo)主機(jī)建源主機(jī)在傳送數(shù)據(jù)前需要先和目標(biāo)主

34、機(jī)建立連接。然后，在此連接上，被編號(hào)的數(shù)立連接。然后，在此連接上，被編號(hào)的數(shù)據(jù)段按序收發(fā)。同時(shí)，要求對(duì)每個(gè)數(shù)據(jù)段據(jù)段按序收發(fā)。同時(shí)，要求對(duì)每個(gè)數(shù)據(jù)段進(jìn)行確認(rèn)，保證了可靠性。如果在指定的進(jìn)行確認(rèn)，保證了可靠性。如果在指定的時(shí)間內(nèi)沒有收到目標(biāo)主機(jī)對(duì)所發(fā)數(shù)據(jù)段的時(shí)間內(nèi)沒有收到目標(biāo)主機(jī)對(duì)所發(fā)數(shù)據(jù)段的確認(rèn)，源主機(jī)將再次發(fā)送該數(shù)據(jù)段。確認(rèn)，源主機(jī)將再次發(fā)送該數(shù)據(jù)段。 TCP包首部源、目標(biāo)端口號(hào)字段：占16比特。TCP協(xié)議通過使用端口來標(biāo)識(shí)源端和目標(biāo)端的應(yīng)用進(jìn)程。端口號(hào)可以使用0到65535之間的任何數(shù)字。在收到服務(wù)請(qǐng)求時(shí)，操作系統(tǒng)動(dòng)態(tài)地為客戶端的應(yīng)用程序分配端口號(hào)。在服務(wù)器端，每種服務(wù)在眾所周知的端口（W

35、ell-Know Port）為用戶提供服務(wù)。順序號(hào)字段：占32比特。用來標(biāo)識(shí)從TCP源端向TCP目標(biāo)端發(fā)送的數(shù)據(jù)字節(jié)流，它表示在這個(gè)報(bào)文段中的第一個(gè)數(shù)據(jù)字節(jié)。確認(rèn)號(hào)字段：占32比特。只有ACK標(biāo)志為1時(shí)，確認(rèn)號(hào)字段才有效。它包含目標(biāo)端所期望收到源端的下一個(gè)數(shù)據(jù)字節(jié)。頭部長(zhǎng)度字段：占4比特。給出頭部占32比特的數(shù)目。沒有任何選項(xiàng)字段的TCP頭部長(zhǎng)度為20字節(jié)；最多可以有60字節(jié)的TCP頭部。標(biāo)志位字段（U、A、P、R、S、F）：占6比特。各比特的含義如下：URG：緊急指針（urgent pointer）有效。ACK：確認(rèn)序號(hào)有效。PSH：接收方應(yīng)該盡快將這個(gè)報(bào)文段交給應(yīng)用層。RST：重建連接。S

36、YN：發(fā)起一個(gè)連接。FIN：釋放一個(gè)連接。窗口大小字段：占16比特。此字段用來進(jìn)行流量控制。單位為字節(jié)數(shù)，這個(gè)值是本機(jī)期望一次接收的字節(jié)數(shù)。TCP校驗(yàn)和字段：占16比特。對(duì)整個(gè)TCP報(bào)文段，即TCP頭部和TCP數(shù)據(jù)進(jìn)行校驗(yàn)和計(jì)算，并由目標(biāo)端進(jìn)行驗(yàn)證。緊急指針字段：占16比特。它是一個(gè)偏移量，和序號(hào)字段中的值相加表示緊急數(shù)據(jù)最后一個(gè)字節(jié)的序號(hào)。選項(xiàng)字段：占32比特。可能包括窗口擴(kuò)大因子、時(shí)間戳等選項(xiàng)。 (1)TCP(1)TCP協(xié)議的報(bào)文分析協(xié)議的報(bào)文分析 FTP FTP是常用的應(yīng)用層協(xié)議，其使用是常用的應(yīng)用層協(xié)議，其使用TCPTCP的控制和數(shù)據(jù)的控制和數(shù)據(jù)連接。在連接。在FTPFTP客戶端，使用

37、客戶端，使用SnifferSniffer捕獲由捕獲由FTPFTP命令產(chǎn)生命令產(chǎn)生的的TCPTCP數(shù)據(jù)包。為了產(chǎn)生數(shù)據(jù)源，本實(shí)驗(yàn)在數(shù)據(jù)包。為了產(chǎn)生數(shù)據(jù)源，本實(shí)驗(yàn)在DOSDOS命令行中命令行中輸入輸入ftpftp登陸命令登陸命令( (本例為本例為55),),而后進(jìn)而后進(jìn)入入FTPFTP的某一目錄下載一個(gè)文本文件，最后退出服務(wù)器。的某一目錄下載一個(gè)文本文件，最后退出服務(wù)器。 實(shí)驗(yàn)步驟：實(shí)驗(yàn)步驟： 運(yùn)行運(yùn)行SnifferMonitorDefine SnifferMonitorDefine FliterFliter選取選取AddressAddr

38、ess選項(xiàng)卡選項(xiàng)卡在在AddressAddress下拉列表選擇下拉列表選擇IPIP在在Station1Station1和和Station2Station2下面分別填入本機(jī)下面分別填入本機(jī)IPIP和和FTPFTP服務(wù)器服務(wù)器IPIP地址地址Capture startCapture start在在DOSDOS窗口輸入窗口輸入ftp ftp 55輸入用戶名和密碼，都為輸入用戶名和密碼，都為116 116 “get get text.txt text.txt ”“quitquit”SnifferSniffer軟件的軟件的Capture Capture Stop

39、and Display Stop and Display 截獲并顯示報(bào)文截獲并顯示報(bào)文 提示：輸入密碼后是默認(rèn)不顯示的，直接按回車提示：輸入密碼后是默認(rèn)不顯示的，直接按回車(2)TCP(2)TCP連接建立過程連接建立過程 根據(jù)根據(jù)FTPFTP和和TCPTCP協(xié)議，抓取到前面的三個(gè)報(bào)文，協(xié)議，抓取到前面的三個(gè)報(bào)文，是是TCPTCP連接的三次握手過程。下圖是連接的三次握手過程。下圖是FTPFTP客戶端客戶端( (本本機(jī)機(jī)) )向向FTPFTP服務(wù)器發(fā)送第一次握手信號(hào)；控制位的同服務(wù)器發(fā)送第一次握手信號(hào)；控制位的同步步SYN=1SYN=1，表示發(fā)出連接請(qǐng)求。，表示發(fā)出連接請(qǐng)求。 下圖表示下圖表示FT

40、PFTP服務(wù)器向服務(wù)器向FTPFTP客戶端發(fā)送第二次客戶端發(fā)送第二次握手信號(hào)，控制位里面有確認(rèn)位和同部位握手信號(hào)，控制位里面有確認(rèn)位和同部位(SYN=1,ACK=1)(SYN=1,ACK=1)。 下圖為下圖為FTPFTP客戶端向客戶端向FTPFTP服務(wù)器發(fā)送第三次握服務(wù)器發(fā)送第三次握手信號(hào)；手信號(hào)； 控制位里面只有確認(rèn)位控制位里面只有確認(rèn)位ACK=1ACK=1。 經(jīng)過三次握手后，經(jīng)過三次握手后，F(xiàn)TPFTP客戶端與客戶端與FTPFTP服務(wù)器建立服務(wù)器建立起連接，就可以下載文件了。起連接，就可以下載文件了。 根據(jù)根據(jù)TCPTCP協(xié)議建立過程的三個(gè)報(bào)文，填寫下表。協(xié)議建立過程的三個(gè)報(bào)文，填寫下表。字段名稱字段名稱第一條報(bào)文第一條報(bào)文第二條報(bào)文第二條報(bào)文第三條報(bào)文第三條報(bào)文序號(hào)Sequence NumberAcknowledgment NumberACKSYNTCP連接終止建立連接需要三次握手，而終止一個(gè)連接要經(jīng)過4次握手TCPTCP連接釋放過程連接釋放過程 TCP TCP連接釋放使用了四次握手，通訊雙連接釋放使用了四次握手，通訊雙方都可以啟動(dòng)終止程序，一個(gè)典型的釋放方都可以啟動(dòng)終止程序，一個(gè)典型的釋放過程需要每個(gè)終端都提供一對(duì)過程需要每個(gè)終端都提供一對(duì)FINFIN和和ACKACK。 第一步：第一步：FTPFTP服務(wù)器先從