網(wǎng)絡(luò)層數(shù)據(jù)分組捕獲和解析

(圓滿word版)網(wǎng)絡(luò)層數(shù)據(jù)分組捕捉和分析(圓滿word版)網(wǎng)絡(luò)層數(shù)據(jù)分組捕捉和分析(圓滿word版)網(wǎng)絡(luò)層數(shù)據(jù)分組捕捉和分析實(shí)驗(yàn)二：網(wǎng)絡(luò)層數(shù)據(jù)分組的捕捉和分析1.實(shí)驗(yàn)種類協(xié)議分析型2.實(shí)驗(yàn)內(nèi)容和實(shí)驗(yàn)?zāi)康谋敬螌?shí)驗(yàn)內(nèi)容：1〕捕捉在連結(jié)Internet過程中產(chǎn)生的網(wǎng)絡(luò)層分組：DHCP分組，ARP分組，IP數(shù)據(jù)分組，ICMP分組。2〕分析各樣分組的格式，說明各樣分組在成立網(wǎng)絡(luò)連結(jié)過程中的作用。3〕分析IP數(shù)據(jù)分組分片的構(gòu)造。經(jīng)過本次實(shí)驗(yàn)認(rèn)識(shí)計(jì)算機(jī)上網(wǎng)的工作過程，

學(xué)習(xí)各樣網(wǎng)絡(luò)層分組的格式及其作用，

理解長(zhǎng)度大于1500字節(jié)IP數(shù)據(jù)組分片傳輸?shù)臉?gòu)造。3.實(shí)驗(yàn)設(shè)施環(huán)境WindowsXP操作系統(tǒng)的pc機(jī)，連結(jié)到Internet，使用WireShark軟件。4.實(shí)驗(yàn)步驟4.1準(zhǔn)備工作啟動(dòng)計(jì)算機(jī)，連結(jié)網(wǎng)絡(luò)保證能夠上網(wǎng)。。4.2捕捉和分析網(wǎng)絡(luò)層分組開啟監(jiān)控，連結(jié)網(wǎng)絡(luò)。一段時(shí)間后查察捕捉的分組。分析各樣分組的格式以及在上網(wǎng)過程中所起的作用。4.3-1發(fā)送ICMP分組，捕捉并分析格式ICMP是〔InternetControlMessageProtocol

〕Internet

控制報(bào)文協(xié)議。它是

TCP/IP

協(xié)議族的一個(gè)子協(xié)議，用于在IP主機(jī)、路由器之間傳達(dá)控制信息。控制信息是指網(wǎng)絡(luò)通不通、主機(jī)能否可達(dá)、路由能否可用等網(wǎng)絡(luò)自己的信息。這些控制信息固然其實(shí)不傳輸用戶數(shù)據(jù)，于用戶數(shù)據(jù)的傳達(dá)起重視要的作用。

可是對(duì)0100為協(xié)議種類：4.0101為首部長(zhǎng)度：5*4=20字節(jié)00000000為效力種類。0000000000111100為總長(zhǎng)度：60〔20個(gè)頭部，40個(gè)數(shù)據(jù)〕0000100010101101為表記：0*08ad〔2221〕000為標(biāo)記位MF=0DF=00000000000000為片偏移：offest=010000000為生計(jì)時(shí)間：12800000001為協(xié)議：ICMP〔1〕0000000000000000為首部校驗(yàn)和：0011101101110010110000001000010110為源地點(diǎn)：01110111010010111101010100110011為目標(biāo)地點(diǎn)：00001000為ICMP報(bào)文的種類：800000000為code：00100110011001101為校驗(yàn)和：0x4ccd今后邊的32為與ICMP的種類相關(guān)在后邊的為數(shù)據(jù)局部。此ICMP為回送懇求與回送回復(fù)報(bào)文發(fā)送ARP分組，捕捉并分析格式ARP，即地點(diǎn)分析協(xié)議，實(shí)現(xiàn)經(jīng)過IP地點(diǎn)得悉其物理地點(diǎn)。在TCP/IP網(wǎng)絡(luò)環(huán)境下，每個(gè)主機(jī)都分派了一個(gè)32位的IP地點(diǎn)，這類互聯(lián)網(wǎng)地點(diǎn)是在網(wǎng)際范圍表記主機(jī)的一種邏輯地點(diǎn)。為了讓報(bào)文在物理網(wǎng)路上傳達(dá)，必然知道對(duì)方目的主機(jī)的物理地點(diǎn)。這樣就存在把IP地點(diǎn)變換成物理地點(diǎn)的地點(diǎn)變換問題。以以太網(wǎng)環(huán)境為例，為了正確地向目的主機(jī)傳達(dá)報(bào)文，必然把目的主機(jī)的32位IP地點(diǎn)變換成為48位以太網(wǎng)的地點(diǎn)。這就需要在互連層有一組效力將IP地點(diǎn)變換為相應(yīng)物理地點(diǎn)，這組協(xié)議就是ARP協(xié)議。ARP包：本機(jī)希望知道ip為118.229.130.1主機(jī)的物理地點(diǎn)，假如本機(jī)的ARP緩存表中沒有目標(biāo)IP地點(diǎn)，那么本機(jī)將會(huì)發(fā)送一個(gè)播放本機(jī)MAC地點(diǎn)是“00：26：18：fd：f8：12〞，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的咨詢：“我是118.229.130.1，我的硬件地點(diǎn)是"00：26：18：fd：f8：12".請(qǐng)問IP地點(diǎn)為192.168.1.1的MAC地點(diǎn)是什么？〞網(wǎng)絡(luò)上其余主機(jī)其實(shí)不響應(yīng)ARP咨詢，只有目標(biāo)主機(jī)接收到這個(gè)幀時(shí)，才向本機(jī)做出這樣的回應(yīng)：“的MAC地點(diǎn)是xx-xx-xx-xx-xx-xx〞。這樣，本機(jī)就知道了目標(biāo)主機(jī)的MAC地點(diǎn)，它就能夠向目標(biāo)主機(jī)發(fā)送信息了。還同時(shí)都更新了自己〔本機(jī)與目標(biāo)的〕的ARP緩存表〔因?yàn)楸緳C(jī)在咨詢的時(shí)候把自己的IP和MAC地點(diǎn)一同告訴了目標(biāo)主機(jī)〕，下次本機(jī)再向目標(biāo)主機(jī)也許目標(biāo)主機(jī)向本機(jī)發(fā)送信息時(shí)，直接從各自的ARP緩存表里查找就能夠了。發(fā)送DHCP分組，捕捉并分析格式DHCP動(dòng)向主機(jī)設(shè)置協(xié)議〔DynamicHostConfigurationProtocol〕是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作，主要有兩個(gè)用途：給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)效力供應(yīng)商自動(dòng)分派IP地點(diǎn)給用戶給內(nèi)部網(wǎng)絡(luò)管理員作為對(duì)所有計(jì)算機(jī)作中央管理的手段。第一開釋目前的IP地點(diǎn)，此后再?gòu)念^獲得IP地點(diǎn)。此后向網(wǎng)絡(luò)發(fā)出一個(gè)DHCPDISCOVER封包。封包的根源地點(diǎn)會(huì)為，而目的地點(diǎn)那么為255.255.255.255，此后再附上DHCPdiscover的信息，向網(wǎng)絡(luò)進(jìn)行播放。當(dāng)DHCP效力器監(jiān)聽到客戶端發(fā)出的DHCPdiscover播放后，它會(huì)從那些還沒有租出的地點(diǎn)范圍內(nèi)，選擇最前面的空置IP，連同其余TCP/IP設(shè)定，響應(yīng)給客戶端一個(gè)DHCPOFFER封包。因?yàn)榭蛻舳嗽陂_始的時(shí)候還沒有IP地點(diǎn)，因此在其DHCPdiscover封包內(nèi)會(huì)帶有其MAC地點(diǎn)信息，并且有一個(gè)XID編號(hào)來劃分該封包，DHCP效力器響應(yīng)的DHCPoffer封包那么會(huì)依據(jù)這些資料傳達(dá)給要求租約的客戶。依據(jù)效力器端的設(shè)定，DHCPoffer封包會(huì)包含一個(gè)租約限時(shí)的信息。假如客戶端收到網(wǎng)絡(luò)上多臺(tái)DHCP效力器的響應(yīng)，只會(huì)精選此中一個(gè)DHCPoffer而已(平常是最初到達(dá)的那個(gè))，并且會(huì)向網(wǎng)絡(luò)發(fā)送一個(gè)DHCPrequest播放封包，告訴所有DHCP效力器它將指定接受哪一臺(tái)效力器供應(yīng)的IP地點(diǎn)。同時(shí)，客戶端還會(huì)向網(wǎng)絡(luò)發(fā)送一個(gè)ARP封包，查問網(wǎng)絡(luò)上邊有沒有其余機(jī)器使用該IP地點(diǎn)；假如發(fā)現(xiàn)該IP已經(jīng)被占用，客戶端那么會(huì)送出一個(gè)DHCPDECLIENT封包給DHCP效力器，拒絕接受其DHCPoffer，并從頭發(fā)送DHCPdiscover信息。當(dāng)DHCP效力器接收到客戶端的DHCPrequest今后，會(huì)向客戶端發(fā)出一個(gè)DHCPACK響應(yīng)，以確認(rèn)IP租約的正式奏效，也就結(jié)束了一個(gè)圓滿的DHCP工作過程。假定向來得不到響應(yīng)的狀況下，客戶端一共會(huì)有四次DHCPdiscover播放(包含第一次在內(nèi))，除了第一次會(huì)等候1秒以外，其余三次的等候時(shí)間分別是9、13、16秒。假如都沒有得到DHCP效力器的響應(yīng)，客戶端那么會(huì)顯示錯(cuò)誤信息，宣布DHCPdiscover的失敗。今后，鑒于使用者的選擇，系統(tǒng)會(huì)連續(xù)在5分鐘今后再重復(fù)一次DHCPdiscover的過程。發(fā)送IP數(shù)據(jù)分組，捕捉并分析格式IP數(shù)據(jù)分組：發(fā)送一個(gè)8000字節(jié)的包經(jīng)過6片就行分組傳輸。供1500個(gè)字節(jié)id為0x3a51(14929)標(biāo)記位為001：最低位為MF=1：后邊還有分片中間位為DF=0：贊成分片在后邊包含源地點(diǎn)與目標(biāo)地點(diǎn)。〔前面已有分析，此處不再?gòu)?fù)述〕IP協(xié)議頭部后邊是傳輸層的數(shù)據(jù)包含頭部和數(shù)據(jù)局部，在此不再分析。數(shù)據(jù)的長(zhǎng)度為1472.此后分析第二片能夠得出，offset==1480，是因?yàn)榍耙黄瑥膫鬏攲荧@得了1480的數(shù)據(jù)加上個(gè)字節(jié)的頭部信息最后在網(wǎng)絡(luò)層形成了1500字節(jié)的包，此后此處的1480是傳輸層數(shù)據(jù)的斷點(diǎn)。能夠得出offset=1480*(N-1)N為第幾片。因?yàn)楹筮呥€有片因此MF=1DF=0。同理分析2345片都擁有同樣數(shù)據(jù)。來分析下最后一片：

20能夠看出MF=0DF=0。說明這是最后一個(gè)分片。并且只有628個(gè)字節(jié)的長(zhǎng)度，表示所剩的數(shù)據(jù)的所有。加上前面五個(gè)片的數(shù)據(jù)共有8000字節(jié)。此后分析下一數(shù)據(jù)包能夠得出此中的表記發(fā)生了變化，來與前一個(gè)數(shù)據(jù)包加以差別。其余的頭部局部與前面ICMP協(xié)議的時(shí)候同樣。實(shí)驗(yàn)心得經(jīng)過此次實(shí)驗(yàn)，關(guān)于各個(gè)協(xié)議有了很深的認(rèn)識(shí)，特別是關(guān)于網(wǎng)絡(luò)層上的幾個(gè)協(xié)議，如DHCP分組，ARP分組，IP數(shù)據(jù)分組，ICMP分組。關(guān)于每種分組的詳盡分析，已經(jīng)對(duì)幾個(gè)分組的內(nèi)部構(gòu)造與原理有了必然程度的認(rèn)知，把講堂上講到的知識(shí)應(yīng)用于實(shí)踐之中。在此次實(shí)驗(yàn)中同樣碰到了好多的問題，先是wireshark軟件的使用，因?yàn)槭鞘状问褂?，好多指令與方法都不能好多的認(rèn)識(shí)，可是經(jīng)過實(shí)驗(yàn)指導(dǎo)書與軟件自帶的指導(dǎo)手冊(cè)，關(guān)于軟件的使用方法及軟件的作用有了必然的認(rèn)識(shí)。還有就是關(guān)于抓包，剛開始比較亂，不可以夠?qū)ψグ@個(gè)見解有很好的理解，可是逐漸的分析了一些包今后，發(fā)現(xiàn)了此中的構(gòu)造構(gòu)成及內(nèi)在的作用，仍是發(fā)現(xiàn)學(xué)習(xí)了好多。并且能將講堂上講的協(xié)議在實(shí)踐中很好的表達(dá)出來，仍是利潤(rùn)匪淺的。接著就是關(guān)于抓包的分析過程，發(fā)此刻ip協(xié)議頭部的前面還有好多的數(shù)據(jù)，剛開始的時(shí)候誤以為ip協(xié)議的頭部。發(fā)現(xiàn)不合理，此后經(jīng)過軟件的自帶的分析，發(fā)現(xiàn)不是ip協(xié)議的頭部，個(gè)人以為可能是在數(shù)據(jù)鏈路層上頭部包含本機(jī)的mac地點(diǎn)與對(duì)方的mac地點(diǎn)。并且在此次實(shí)驗(yàn)的抓包中發(fā)現(xiàn)了一些現(xiàn)象，比方你在進(jìn)行語(yǔ)音也許視頻的通訊，在抓包的過程中UDP包就顯的特其余多，可以得出視頻與語(yǔ)音通訊采納的是不可以靠連結(jié)的效力。在去掉了ip協(xié)議的頭部今后后邊隨著的是傳輸層上的數(shù)據(jù)，