【实验指导书】验三：网络协议的分析.docVIP

实验三：网络协议的分析 一、 实验目的： 1. 掌握使用Wireshark分析各种网络协议的技能； 2. 深入理解应用层协议HTTP和FTP的工作过程，及协议内容； 二、实验环境： 1. 运行Windows 2000 / 2003 Server / XP操作系统的PC一台； 2. 每台PC具有一块以太网卡，通过双绞线与局域网相连； 3. Wireshark安装程序（可以从/下载）。 三、实验内容与要求： 1. 参照附件一：了解网络协议分析仪Wireshark，完成Wireshark的安装和基本使用。 2. 捕获IP数据报 运行程序，单击CAPTURE菜单下的start命令，开始捕获数据报。输入过滤条件为只捕获IP协议的数据报。如下图所示。 在命令行模式下测试与其他同学使用主机的连通性，即“ping IP地址”，就可以看到捕获区域有捕获到的IP的数据报了。对DOS界面和Wireshark捕捉界面分别截屏，并对该数据报进行分析，填写下表： 源IP地址 65 目的IP地址 67 首部长度 20byte 总长度 60 是否分片 否 标识 0x00 上层协议 Icmp(1) 生存时间 64 （2）在命令行模式下执行“ping IP地址 -l 数值”，对DOS界面截屏观察并分析Wireshark中捕捉的数据报，此处数据块数值设置为（2000+ N）字节，N为你的学号后三位。例如：电信1001班学生董飞飞的学号是“201046830108”，他需要执行ping命令中的数值为2108B，即执行“ping IP 地址 -l 2108B”，如下图所示： 因为每次ping的数值大于1500B，所以必定存在分片问题。共分了几片？截屏记录捕捉的结果；将每个分片的数据报信息填写至下表，并作比较（此处如是2108字节的话，会分成两个分片，需分别记录分片1和分片2的数据报头部内容）： 分片1： 源IP地址 65 目的IP地址 67 首部长度 20 总长度 1500 标识 0x01 MF 1 片偏移 0 上层协议 Icmp(1) 分片2: 源IP地址 65 目的IP地址 67 首部长度 20 总长度 850 标识 0x00 MF 1 片偏移 185 上层协议 Icmp(1) 思考：若是ping的数据报大小调整为(3500+N)字节，N为你的学号后三位,分片情况又怎样？对DOS界面截屏，在Wireshark中捕捉相应数据报并截屏分析，完成下面表格的内容。 第1个数据报 源IP地址 65 目的IP地址 67 首部长度 20 总长度 1500 标识 0x01 MF 1 片偏移 0 上层协议 Icmp(1) 第2个数据报 源IP地址 65 目的IP地址 67 首部长度 20 总长度 1500 标识 0x01 MF 1 片偏移 185 上层协议 Icmp(1) 第3个数据报 源IP地址 65 目的IP地址 67 首部长度 20 总长度 870 标识 0x00 MF 1 片偏移 370 上层协议 Icmp(1) 3.捕捉TCP报文段 运行程序，单击CAPTURE菜单下的start命令，开始捕获数据报。然后输入过滤条件为只捕获TCP协议的数据报。然后打开IE浏览器，访问本校主页（）。就可以看到捕获区域有捕获到的TCP的数据报了。观察TCP实现“三次握手”的报文段，并截屏记录捕捉的结果如下图的形式： 另外，需将“三次握手”中的每个报文段的信息填写至下表，并作比较： 第1个报文段 源IP地址 65 目的IP地址 5 源端口号 50845 目的端口号 80 序号 1 确认号 997181 SYN字段 1 ACK字段 0 窗口值 64240 第2个报文段 源IP地址 65 目的IP地址 5 源端口号 80 目的端口号 50845 序号 995721 确认号 1 SYN字段 1 ACK字段 1 窗口值 6432 第3个报文段 源IP地址 65 目的IP地址 5 源端口号 50845 目的端口号 80 序号 1 确认号 997181 SYN字段 1 ACK字段 1 窗口值 64240 4.捕获HTTP报文段 基于“3.捕捉TCP数据报”的结果，将输入过滤条件为只捕获http协议的数据报。观察捕捉到的HTTP报文段，并给出截屏信息；选取一个报文段对其进行分析，并将数据填写至下表： 源端口号 53687 目的端口号 80 源IP地址 65 目的IP地址 源硬件地址 00：25：11：88：0a：7f 目的硬件地址 00：04：96：10：5c：60 5.捕获ARP数据报 完成了上述高层的协议，再关注下第二层的