实验一、Wirshark报文捕捉实验---.docVIP

实验一 Wireshark报文捕捉实验 实验目的 掌握Wireshark抓包软件的基本使用方法； 使用Wireshark抓取Telnet的数据报，分析IP头结构； 使用Wireshark抓取Telnet的数据报，分析TCP头的结构、分析TCP的“三次握手”和“四次挥手”的过程。 实验环境 运行Windows的PC机； Wireshark软件； Winpcap软件。 实验原理 IP头结构； IP包头长度（Header Length）：长度4比特。这个字段的作用是为了描述IP包头的长度，因为在IP包头中有变长的可选部分。该部分占4个bit位，单位为32bit（4个字节），即本区域值= IP头部长度（单位为bit）/(8*4)，因此，一个IP包头的长度最长为“1111”，即15*4＝60个字节。IP包头最小长度为20字节。TCP三次握手所谓三次握手(Three-way Handshake)，是指建立一个TCP连接时，需要客户端和服务器总共发送3个包。三次握手的目的是连接服务器指定端口，建立TCP连接,并同步连接双方的序列号和确认号并交换 TCP 窗口大小信息.在socket编程中，客户端执行connect()时。将触发三次握手。 ? 第一次握手:客户端发送一个TCP的SYN标志位置1的包指明客户打算连接的服务器的端口，以及初始序号X,保存在包头的序列号(Sequence Number)字段里。 第二次握手:服务器发回确认包(ACK)应答。即SYN标志位和ACK标志位均为1同时，将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即X+1。 第三次握手.客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1 TCP 四次挥手 TCP的连接的拆除需要发送四个包，因此称为四次挥手(four-way handshake)。客户端或服务器均可主动发起挥手动作，在socket编程中，任何一方执行close()操作即可产生挥手操作。 实验步骤与结果分析 （一）分析抓取的IP头结构 1、安装Wireshark. 2、打开主机的TELNET服务 右键点击我的电脑，点击管理，然后点击服务和应用程序，选择服务。找到TELNET服务，并启动它。 3、与对象机器连通 在命令行中PING对象机器，使之连通。 主机地址172.20.10.41 对象地址172.20.10.29 4、打开Wireshark，并抓取数据包 在Wireshark中准备开始抓包。 5、之后命令行中出入Telnet 172.20.10.29进入对象机器 6、在Wireshark中开始抓包，命令行中出入对象机器密码，连接并开始抓包。 抓包结束后退出 7、得到过滤之后的数据包 对抓到的IP包进行分析： 版本号：4 头长度：20 封包长度：48 封包标志：0X3B41（15169） 标志：0X02 片段偏移：0 存活时间：128 协议：TCP(C) 校验和：0X5318 源地址：172.20.10.41 目的地址：172.20.10.29 （二）TCP的“三次握手”和“四次挥手”的过程。 （SYN为同步比特，应答比特ACK，FIN为结束标识符） 1、“三次握手”过程分析 第一次握手：主机的TCP向目标主机的TCP发出连接求分组，并使SYN=1，ACK=0如图所示 第二次握手：目的主机确认包(ACK)应答。即SYN标志位和ACK标志位均为1同时将确认序号再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,发送给对方