实验二网络协议分析要点.pptVIP

类型 代码 校验和 标示符 序列号 Echo request Echo reply 3、用Tracert 跟踪路由 运行Sniffercapturestart在DOS窗口输入tracert –d 4 stop and display截获并显示报文分析tracert命令的工作过程 下图报文是本地主机发往远端主机的ICMP报文。其中IP报头的TTL值为1，即Tracert发送的第一个ICMP报文，ICMP代码为8（ICMP请求报文）。 ICMP请求报文 下图报文是从源主机发往远端主机的分组经过第一个路由器，由于TTL(time to live)从1减为0，路由器发送超时报文给源主机，ICMP超时报文的类型为11。 大家可以在列表中找到有源主机发出的 TTL(time to live)为2、3、4等的ICMP请求报文，同样可以找到途中各路由器发回给源主机的超时报文，最后IP分组的TTL递增到足够大时，源主机的tracert程序发送的ICMP请求报文终于到达目的主机。此时目的主机向源主机发送ICMP应答报文，而不是超时报文，路由跟踪过程到此结束。 回答问题： 1、tracert程序每次回发送几个TTL相同的ICMP请求报文？ 2、路由跟踪过程中，中间节点(路由器)返回的ICMP报文和目的端返回的ICMP报文有什么区别？ 最后目的主机向源主机发送ICMP应答报文 8.6 TCP传输控制协议分析 实验要求： 掌握TCP协议的形式； 掌握TCP连接的简历和释放过程； 掌握TCP数据传输编号与确认的过程； 实验原理：TCP是一种面向连接的、可靠的、基于字节流的通信协议。 实验条件：XP或win7联网计算机，Sniffer软件，FTP服务器 TCP：传输控制协议 TCP是一种可靠的、面向连接的字节流服务。源主机在传送数据前需要先和目标主机建立连接。然后，在此连接上，被编号的数据段按序收发。同时，要求对每个数据段进行确认，保证了可靠性。如果在指定的时间内没有收到目标主机对所发数据段的确认，源主机将再次发送该数据段。 TCP包首部 ●源、目标端口号字段：占16比特。TCP协议通过使用端口来标识源端和目标端的应用进程。端口号可以使用0到65535之间的任何数字。在收到服务请求时，操作系统动态地为客户端的应用程序分配端口号。在服务器端，每种服务在众所周知的端口（Well-Know Port）为用户提供服务。●顺序号字段：占32比特。用来标识从TCP源端向TCP目标端发送的数据字节流，它表示在这个报文段中的第一个数据字节。　　●确认号字段：占32比特。只有ACK标志为1时，确认号字段才有效。它包含目标端所期望收到源端的下一个数据字节。　　●头部长度字段：占4比特。给出头部占32比特的数目。没有任何选项字段的TCP头部长度为20字节；最多可以有60字节的TCP头部。　　　　　　 ●标志位字段（U、A、P、R、S、F）：占6比特。各比特的含义如下：　　　　◆URG：紧急指针（urgent pointer）有效。　　　　◆ACK：确认序号有效。　　　　◆PSH：接收方应该尽快将这个报文段交给应用层。　　　　◆RST：重建连接。　　　　◆SYN：发起一个连接。　　　　◆FIN：释放一个连接。　　●窗口大小字段：占16比特。此字段用来进行流量控制。单位为字节数，这个值是本机期望一次接收的字节数。　　●TCP校验和字段：占16比特。对整个TCP报文段，即TCP头部和TCP数据进行校验和计算，并由目标端进行验证。　　●紧急指针字段：占16比特。它是一个偏移量，和序号字段中的值相加表示紧急数据最后一个字节的序号。　　●选项字段：占32比特。可能包括窗口扩大因子、时间戳等选项。 (1)TCP协议的报文分析 FTP是常用的应用层协议，其使用TCP的控制和数据连接。在FTP客户端，使用Sniffer捕获由FTP命令产生的TCP数据包。为了产生数据源，本实验在DOS命令行中输入ftp登陆命令(本例为5),而后进入FTP的某一目录下载一个文本文件，最后退出服务器。 实验步骤： 运行SnifferMonitorDefine Fliter选取Address选项卡在Address下拉列表选择IP在Station1和Station2下面分别填入本机IP和FTP服务器IP地址Capture start在DOS窗口输入ftp 5输入用户名和密码，都为116 “get text.txt ”“quit”Sniffer软件的Capture Stop and Display 截获并显示报文 提示：输入密码后是默认不显示的，直接按回车 (2)TCP连接建立过程 根据FTP和TCP