網絡協(xié)議分析試驗總結

本文格式為Word版，下載可任意編輯——網絡協(xié)議分析試驗總結試驗一IP協(xié)議

練習一利用仿真編輯器發(fā)送IP數(shù)據(jù)包

描述:收發(fā)IPv4報文,不填上層協(xié)議.

問題:①查看捕獲到得報文長度是60，和你編輯的報文長度不同，為什么？

最小幀長度為60，當不足60時，在源數(shù)據(jù)尾部添加0補足。②探討，為什么會捕獲到ICMP目的端口不可達過錯報文？過錯報文的類型為協(xié)議不可達，由于上層協(xié)議為0，未定義。

練習二編輯發(fā)送IPV6數(shù)據(jù)包

描述:收發(fā)IPv6報文.

問題:①比較IPV4頭，IPV6有了那些變化？IPV4的TTL字段在IPV6里對應那個字段？比較IPv4和IPv6的報頭，可以看到以下幾個特點：

●字段的數(shù)量從IPv4中的13（包括選項）個，降到了IPv6中的8個；●中間路由器必需處理的字段從6個降到了4個，這就可以更有效地轉發(fā)普通的IPv6數(shù)據(jù)包；

●很少使用的字段，如支持拆分的字段，以及IPv4報頭中的選項，被移到了IPv6報頭的擴展報頭中；

●●IPv6報頭的長度是IPv4最小報頭長度（20字節(jié)）的兩倍，達到40字節(jié)。然而，新的IPv6報頭中包含的源地址和目的地址的長度，是IPv4源地址和目的地址的4倍。

對應：跳限制這個8位字段代替了IPv4中的TTL字段。

練習三：特別的IP地址

描述:直接廣播地址包含一個有效的網絡號和一個全“1〞的主機號,只有本網絡內的主機能夠收到廣播,受限廣播地址是全為1的IP地址;有限廣播的數(shù)據(jù)包里不包含自己的ip地址，而直接廣播地址里包含自身的ip地址練習四:IP包分段試驗

問題:探討，數(shù)據(jù)量為多少時正好分兩片？1480*2=2960練習五:netstat命令

描述:C:>netstat–s；查看本機已經接收和發(fā)送的IP報文個數(shù)

C:>netstat–s；查看本機已經接收和發(fā)送的IP報文個數(shù)C:>netstat–e；觀測以太網統(tǒng)計信息，

試驗二2.1ARP協(xié)議

練習一維護ARP緩存表

描述:：查看ARP緩存:arp–a手動建立ARP表:arp–sIP(如1)MAC（如:00-E0-4D-3D-84-53）清空ARP緩存表：arp–d練習二仿真發(fā)送ARP請求報文

描述:ARP協(xié)議叫物理解析協(xié)議,是根據(jù)IP地址獲取物理地址的一個TCP/IP協(xié)議。主機發(fā)送信息時將包含目標IP地址的ARP請求廣播到網絡上的所有主機，并接收返回消息，以此確定目標的物理地址；收到返回消息后將該IP地址和物理地址存入本機ARP緩存中并保存一定時間

2.2ICMPv4協(xié)議

練習一利用仿真編輯器編輯ICMP回顯請求報文練習二仿真發(fā)送ICMP時間戳請求報文

描述:ICMP封裝在IP報文里面,一個ICMP報文32位,8位類型,八位代碼,16位校驗和

2.3ICMPv6

只是把ICMP放在了IPv6數(shù)據(jù)包的載荷中.

試驗三3.1ARP

練習一發(fā)送ARP請求報文（不同網段內）

描述:在跨越路由器進行通信的時候,發(fā)起通訊的主機發(fā)現(xiàn)目的地址不在同一個網段,會先查詢路由器的地址,于是廣播出ARP請求,路由器的入口網卡發(fā)現(xiàn)有一個ARP請求的目的IP是自己的IP地址,于是回復自己的Mac,得到了Mac,發(fā)起通信的主機將通信內容發(fā)送到路由器的入口網卡,并選路到出口網卡,此時出口網卡需要知道目標的Mac,于是廣播出ARP查詢,目標機回復自己的Mac,路由器的出口網卡成功的將信息發(fā)送到目標機器.

練習二ICMP過錯報文

描述:ICMP目的端口不可達/超時/的狀況.注意為了模擬目的端口不可達,某主機ping一個不存在的IP地址,為了模擬超時,向一個跨路由器的目標通信,但是TTL設置為1,路由器會丟棄TTL耗盡的包,由于根本就收不到,所以當然就沒有回復,就會超時

試驗3.2ARP欺騙

描述:1、ARP高速緩存

ARP緩存表是記錄IP地址和MAC地址的映射關系。ARP表分為動態(tài)更新和靜態(tài)更新兩種，系統(tǒng)默認動態(tài),更新時間為120秒。ARP表的建立是通過以下兩個途徑：

●主動解析：假使一臺計算機想與另一臺不知道MAC地址的計算機通信，則該計算機主動發(fā)ARP請求；

●被動解析：假使一臺計算機接收到了一臺計算機的ARP請求，則首先在本地建立請求計算機的IP地址和MAC地址的對應表；

ARP地址欺騙正是利用高速緩存，使高速緩存中存在錯誤的映射關系，誤導數(shù)據(jù)包發(fā)往錯誤的目的地。

2、ARP地址欺騙的原理

一般狀況下，當系統(tǒng)收到ARP請求或應答時，都要把源端的硬件地址和IP地址填入ARP高速緩存。正是

根據(jù)這一性質，為ARP欺騙提供了條件。編輯一個ARP應答數(shù)據(jù)包，將ARP層的源IP地址為主機A的IP地址，將ARP層的源MAC地址填為主機B的MAC地址，將MAC層的源地址填為主機A的MAC地址，發(fā)送這個數(shù)據(jù)包。當?shù)竭_目的主機時，由于ARP特性：當系統(tǒng)收到ARP請求或應答時，都要把請求端的硬件地址和協(xié)議地址填入ARP高速緩存。所以在向ARP高速緩存中添加表項時，添加的是主機A的IP地址和主機B的MAC地址值。當要向主機A發(fā)送數(shù)據(jù)包時，要發(fā)送的數(shù)據(jù)包的目的MAC地址填入了由高速緩存中提取的地址(主機B的MAC地址)，這樣，要發(fā)送給主機A的數(shù)據(jù)包被發(fā)送給了主機B。

試驗3.3ICMPRedirect

練習一利用ICMP重定向進行信息竊取

描述:主機可能會把某數(shù)據(jù)發(fā)送到一個錯誤的路由。在這種狀況下，收到該數(shù)據(jù)的路由器會把數(shù)據(jù)轉發(fā)給正確的路由器，同時，它會向主機發(fā)送ICMP重定向報文，來改變主機的路由表。給主機來指出存在一個更好的路由。

試驗時,主機A給E發(fā)送報文,主機B作為路由器,主機C給A發(fā)送ICMP重定向報文,在網關地址中添加自己的IP地址,并依照上表填寫ICMP數(shù)據(jù)部分,此時主機A的路由表中出現(xiàn)了主機A到E的一條記錄,網關是C的IP地址;

問題:說明ICMP重定向的意義.

意義：ICMP重定向使得客戶端管理工作大大減少，使得對于主機的路由功能要求大大降低。而且當路由線路非最優(yōu)化是線路的速度一定有所損失。而有了重定向之后可以很快的修改非最優(yōu)線路提高通信速度。

試驗四UDP

練習一利用仿真編輯器編輯UDP數(shù)據(jù)包并發(fā)送

描述:UDP和TCP都是傳輸層的協(xié)議,他們被應用層使用,為了實現(xiàn)多路復用和多路分解,應用層使用了端口號,所以UDP中需要填寫源端口和目的端口.問題:①將UDP的校驗和填“0〞，在捕獲包中查看校驗和是否正確？

正,UDP沒有糾錯能力,也沒有回執(zhí)機制,所以即使它能夠發(fā)現(xiàn)自身的錯誤,也沒有能力和必要去改正錯誤

練習二UDP單播通信

描述:使用UDP工具進行通信,確認UDP沒有確認報文;

練習三利用仿真編輯器編輯UDP數(shù)據(jù)包，利用工具接收

描述:向目的主機的沒有開放的端口發(fā)送UDP,會產生目的端口不可達的ICMP信息.

練習四UDP受限廣播通信

描述:使用UDP通信工具,在受限廣播地址(全是1)上向發(fā)送UDP廣播,相連的設備無論是否在同一個網段之內,都能夠收到信息,該報文的目的MAC地址是FFFFFF-FFFFFF.

練習五UDP直接廣播通信

描述:使用UDP工具,在直接廣播地址上(網絡號+255)上發(fā)送廣播,只有同一個網段的設備能夠接收到,該報文的目的MAC地址是FFFFFF-FFFFFF.問題:說明受限廣播和直接廣播的區(qū)別？

直接廣播地址包括一個有效網絡號和一個全1的廣播號，主機可能還不知道他所在網絡的網絡掩碼，路由器可能對該種數(shù)據(jù)報進行轉發(fā)。

受限廣播地址是一個32位全為1的IP地址，在任何狀況下這樣的數(shù)據(jù)包僅出現(xiàn)在本地網絡中，路由器不對該種數(shù)據(jù)報進行轉發(fā)。練習六利用仿真編輯器編輯IPV6的UDP數(shù)據(jù)包并發(fā)送描述:在UDP上,IPv4和IPv6沒有區(qū)別

練習七運行netstat命令

描述:netstat命令是用于顯示網絡使用協(xié)議的統(tǒng)計；netstat–s；顯示每個協(xié)議的使用狀態(tài)，netstat–a；顯示主機正在使用的端口號

試驗五TCP

練習一觀測TCP協(xié)議的連接和釋放過程描述:

問題:：TCP連接建立時，前兩個報文的TCP層首部有一個“maximumsegmentsize〞字段，它的值是多少？怎樣得出的？

最大字段長度為1460，該字段長度尋常受該計算機連接的網絡的數(shù)據(jù)鏈路層的最大傳送單元限制。1460=1500-20(IP首部)-20(TCP首部)

練習二利用仿真編輯器編輯并發(fā)送TCP數(shù)據(jù)包

描述:使用仿真編輯器手動實現(xiàn)TCP的三次握手連線和四次握手拆線過程.練習三TCP的重傳機制

描述:接收端開啟過濾軟件,阻斷TCP通信,TCP會進行重傳,在這個例子中,重傳了五次

試驗六6.1DNS

練習一nslookup工具的使用

描述:nslookup命令是查詢域名對應IP的工具,其用法是：nslookup域名,運行結果:Server:(JServer.NetLab);Address:(53);Name:(host34.NetLab);Address:(4);

反向查詢某個IP的域名:>nslookup53運行結果Server:(JServer.NetLab)；Address:(53)；Name:(JServer.NetLab)；Address:(53)；

練習二仿真編輯DNS查詢報文（正向解析）

描述:這里最重要的東西是DNS的報文格式和〞域名循環(huán)體〞的問題.

圖片是域名循環(huán)體.

練習三仿真編輯DNS查詢報文（反向解析）

練習四ipconfig命令

描述:ipconfig/displaydns；顯示本機緩沖區(qū)中DNS解析的內容；ipconfig/flushdns；清空本機DNS緩沖區(qū)中的內容；注意DNS緩存是有生存周期的.

試驗6.2UDP端口掃描

練習一UDP端口掃描

描述:向目標端口發(fā)送一個UDP協(xié)議分組。假使目標端口以“ICMPportunreachable〞消息響應，那么說明該端口是關閉的；反之，假使沒有收到“ICMPportunreachable〞響應消息，則端口是開啟的.

試驗6.3TCP端口掃描

1、TCPSYN掃描

這種方法是向目標端口發(fā)送一個SYN分組（packet），假使目標端口返回SYN/ACK標志，那么可以確定該端口處于檢聽狀態(tài);否則返回的是RST/ACK標志。3、TCPFIN掃描

這種方法是向目標端口發(fā)送一個FIN分組。按RFC793的規(guī)定，對于所有關閉的端口，目標系統(tǒng)應當返回一個RST（復位）標志。這種方法尋常用在基于UNIX的TCP/IP協(xié)議堆棧，有的時候有可能SYN掃描都不夠機要。一些防火墻和包過濾器會對一些指定的端口進行監(jiān)視，有的程序能檢測到這些掃描.相反，F(xiàn)IN數(shù)據(jù)包可能會沒有任何麻煩的通過。這種掃描方法的思想是關閉的端口會用適當?shù)腞ST來回復FIN數(shù)據(jù)包。另一方面,開啟的端口會忽略對FIN數(shù)據(jù)包的回復。這種方法和系統(tǒng)的實現(xiàn)有一定的關系，Windows系統(tǒng)不管端口是否開啟，都回復RST，否則就是其他的操作系統(tǒng),這樣，這種掃描方法就不適用了。

試驗七7.1FTP協(xié)議

練習一FTP

描述:本卷須知:FTP登錄的時候,可以捕獲到用戶名和密碼的明文,USER是用戶名命令,PASS是密碼命令,LIST是dir的命令,問題:①FTP服務器是如何知道用戶的數(shù)據(jù)端口？

客戶端通過PORT命令告知服務器:PORT172,16,0,16,5,101,端口是：5*256+101=1381

②21端口和20端口分別傳輸什么內容？

21端口傳輸控制信息，20端口傳輸數(shù)據(jù),數(shù)據(jù)傳輸終止后,20端口關閉，21端口未關閉,發(fā)送quit命令之后,兩個端口都關閉.練習二使用瀏覽器登入FTP

描述:控制臺登錄和瀏覽器登錄是不一樣的,使用瀏覽器登錄,會啟動被動模式.問題:

①FTP服務器用哪個端口傳輸數(shù)據(jù)，數(shù)據(jù)連接是誰發(fā)起的連接？

FTP服務器用8361接口傳輸數(shù)據(jù)，數(shù)據(jù)連接是客戶端主動發(fā)起（即此時使用的是PASV模式）

②用戶是如何知道服務器的數(shù)據(jù)端口？

服務器對客戶端的PASV命令返回應答：227EnteringPassiveMode(172,16,0,253,32,169)，告知客戶端服務器端已經開啟了8361（32*256+169=8361）端口作為數(shù)據(jù)端口。練習三在窗口模式下，上傳/下傳數(shù)據(jù)文件

試驗7.2HTTP

練習一主頁訪問

描述:注意HTTP協(xié)議的所有東西都封裝在TCP中問題:

①使用了HTTP協(xié)議的哪種方法（命令）讀取網頁文件？網頁的文件名什

么？

GET方法，網頁文件名：/experiment/

練習二頁面提交

描述:頁面提交就是提交表單

問題:

①提交信息的過程使用了HTTP協(xié)議的哪種方法？

POST方法

②傳輸密碼是明文還是密文？粘貼含有用戶名和密碼的捕獲包。

明文

③每次HTTP命令都是單獨連接完成的（一次一個連接），這樣有什么好

處？

由于HTTP是無狀態(tài)協(xié)議，短連接（一次一個連接）實現(xiàn)、管理起來比較簡單，存在的連接都是有用連接，不需要額外的的控制手段

試驗7.3DHCP

DHCP工作原理

①發(fā)現(xiàn)階段：DHCP客戶機以廣播方式發(fā)送DHCPdiscover報文來尋覓DHCP服務器。

②提供階段：DHCP服務器在網絡中接收到DHCPdiscover報文后會做出響應，它從尚未出租的IP地址中挑揀一個分派給DHCP客戶機，向DHCP客戶機發(fā)送一個包含出租的IP地址和其他設置的DHCPoffer報文。③選擇階段：假使有多臺DHCP服務器向DHCP客戶機發(fā)來的DHCPoffer提供報文，則DHCP客戶機只接受第一個收到的DHCPoffer提供報文，然后它就以廣播方式回復一個DHCPrequest請求報文，該報文中包含向它所選定的DHCP服務器請求IP地址的內容。

④確認階段：DHCP服務器收到DHCP客戶機回復的DHCPrequest請求報文之后，它便向DHCP客戶機發(fā)送一個包含它所提供的IP地址和其他設置的DHCPack確認報文，告訴DHCP客戶機可以使用它所提供的IP地址。

⑤重新登錄：以后DHCP客戶機每次重新登錄網絡時，就不需要再發(fā)送DHCPdiscover發(fā)現(xiàn)報文了，而是直接發(fā)送包含前一次所分派的IP地址的DHCPrequest請求報文。

⑥更新租約：DHCP服務器向DHCP客戶機出租的