12分析TCP的三次握手和UDP协议.docVIP

实验 实验名称：分析TCP的三次握手和UDP协议 实验目的 掌握正确使用Ethereal分析TCP协议的技能。 理解TCP三次握手的过程。 理解UDP协议的数据报格式。 实验环境 运行Windows XP /2003 Server操作系统的PC机一台 每台PC机具有一块以太网卡，通过双绞线与局域网相连 Ethereal工具（可以从/下载） 实验步骤 TCP协议分析 点击“Capture/Start”菜单，将出现一操作界面。如下图3所示。 在“Interface“（接口）框的下拉列表中选择一个适当的接口项（如：Realtek RTL8139/810x Family Fast EthernetNIC (MicrosoftsPacketScheduler):\Device\NPF_{AE2AD369-9F91-4F47-8B5E-A9257B088540}）. 图3 选择协议：在图3窗口中点击“Capture filter”如图4。在Filter name 和 String name后面的文本框中填写要分析的协议名称TCP,然后点击“save”按钮，如图5。再点击“ok”按钮，返回到图6界面。 图4 图5 图6 然后在图6界面中，点击“OK”按钮，启动IE浏览器，输入网址如：，等到主页完全显示，抓包情况如图7。 图7 点击【Stop】按钮，停止包的捕获。在Ethereal的显示过滤器输入栏中输入tcp.port= =80并按回车，将显示所有TCP的端口号为80的报文段。如下图8所示。 图8 第一次握手 说明：图8为40和www服务器之间建立TCP连接时的第一次握手过程：NO.1为40发送请求。 协议分析一： 协议分析二： 在上图中： Destination（目的地址）为：00：e0：fc：1c：95：4b； Source（源地址）为：00：10：5c：ba：8c：11； Type（类型字段）为：0x0800，表示上层使用的是IP数据报。 协议分析三： 在上图中： Version:4表示IP协议版本为4（即IPv4），其中捕获数据包的IP信息头部分（蓝色区域）的最前面1个字节“45”高四位是4，即表示此数据报是IPv4版本的； Header Length:20 bytes表示首部长度为20字节。蓝色区域的最前面1个字节“45”的低四位是5，表示首部长度，由于首部长度以4字节为单位，所以此IP数据报首部长度为20字节。 Differentiated Services Field表示区分服务，其字段字节为“00”表示没有使用区分服务。 Total Length:48表示分片后的每一个分片的首部长度和数据长度之和为48字节；蓝色区域的第3、4个字节是“00 30”，表示数据报的总长度为（3×16+0）=48字节。 Identification:0x6ee2表示标志字段的值为0x6ee2，即蓝色区域的第5、6字节。 Flags：标志，其中第7字节“40”的高4位为4表示标志字段， DF=1，表示不能分片。 Fragment offset：0表示片偏移为0，第7字节的低4位“0”和第8字节“00”组成片偏移字段。 Time to live（生存时间）：为128s，即第9字节的“80”表示生存时间（8×16+0=128）。 Protocol:TCP(0x06)表示此数据报携带的是使用TCP协议的，即第10字节的“06”字段值。 Header checksum：0x8147（correct）表示首部检验和为0x8147，即由第11、12两个字节值表示。 Source（源地址）为：40（第13到16字节“de 16 41 f0”表示）； Destination（目的地址）为：06（第17到20字节“ca c4 40 ce”表示）。 协议分析四： 在上图中： Source port：2532表示源端口为2532，由上图蓝色部分前两个字节“09 e4”表示。 Destination port：http（80）表示目的端口，由上图蓝色部分第3、4个字节“00 50”表示。 Sequence number：0表示本报文段所发送的数据的第一个字节的序号，其第5到8字节“06 13 da 03”表示的是序号字段值。 Header length：28 bytes表示首部长度，由第13字节“70”的高四位7表示，并以4字节为单位，故为28字节。 Flags：0x0002（SYN）由第14字节“02”表示：ACK=0而SYN=1，且其他控制比特位为0，说明该TCP报文是一本连接请求报文段。 其他控制比特位为0即： 紧急URG为0，表示紧急指针字段无效。 Push（推送）为0