优·网络协议分析与流量统计实验.docVIP

哈尔滨工程大学 《网络集成》实验 实验报告本 2011～2012学年第一学期 班 级 080611 姓 名 马龙超 学 号 实验名称 网络协议分析与流量统计 计算机与技术学院 2011年 12 月 实验名称：网络协议分析与流量统计 实验地点：21#428 成绩： 一、实验目的 掌握如何利用协议分析工具分析数据链路层帧格式，网络层IP数据包，传输层TCP、UDP报文格式，体会数据发送、转发的过程。在学习的过程中可以直观地看到数据的具体传输过程 二、实验要求 掌握协议分析软件的使用，巩固所学的IP、TCP、UDP协议格式和传输原理 三、实验环境 计算机、捕包软件 四、实验内容 按照实验内容要求完成捕包和分析内容。 （1）以太网帧首部格式分析； （2）IP数据包首部格式分析； （3）TCP连接的三次握手协议包的捕获与协议分析； （4）UDP数据报首部格式分析； （5）ICMP ping 请求包与应答包捕获与分析； （6）DNS域名解析过程数据包捕获与分析； （7）ARP 地址解析过程数据包捕获与分析； （8）FTP登录口令捕获与分析； 五、实验步骤与过程 1．软件下载、安装与使用 （1）下载并安装Ethereal-Network Protocol Analyzer软件。 下载地址：3 或本课程公用资源信箱帐号的网络存储。 （2）安装Ethereal 软件，并自动安装Wincap软件包。 图1.1 Ethereal 安装界面 （3）软件设置 双击启动桌面上ethereal图标 ，按ctrl+K进行 “capture option”的选择。 选择正确的“Interface”，其余使用默认设置，点击“start”按钮开始报文的捕获。如下图所示： 图1.2 捕获设置界面 （4）capture option确认选择后，点击start就开始进行抓包，点击stop即可以停止抓包 图1.3 捕包过程界面 （5）开始协议分析 选择所捕获的数据包开始分析 图1.4 捕包分析界面 （1）ARP协议分析 ARP，全称Address Resolution Protocol，地址解析协1它工作在数据链路层，在本层和硬件接口联系，同时对上压供服务。TP数据包常通过以太网发送，以太网设备并不识别32IP地址，它们是以48位以太网地址传输以太网数据包。必须把IP目的地址转换成以太网目的地址。因此，在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。 ARP捕获状态窗口 图1.5ARP捕获状态窗口 ARP协议用于将网络中的IP地址解析为的硬件地址(MAC地址)，以保证通信的顺利进行。网络当中经常会使用到ARP协议，所以可以使用Ethereal抓取网络中的ARP数据包 捕获的ARP数据包 图1.6 捕获的ARP的数据包 从图1.6中看到，已经捕获到了一些ARP的数据包，每个数据包占一行，比如第1个ARP数据包，从它的info信息里面可以看到对于这个数据包的简要的说明:Who has 40? Tell 50。这个info表明ARP协议的主要功能:通过IP地址找对方的MAC地址。 图1.6ARP协议的图 将其展开ARP协议报进行分析，如图1.7所示 图1.7ARP协议报文分析 （2）分析TCP、IP报文，TCP/IP机制 TCP是一种面向连接的、可靠的传输层协议,TCP数据传(只有连接建立后才可进行数据传输)需要通过在客户端和服端建立特定的虚电路连接来完成,该过程通常被称为“三次握手”，如图1.8所示。 图1.8三次握手示意图 即发送方先发送连接请求,然后接受方进行连接确认,最发送方对接受方再次进确认。下面就以Ethereal捕获的建TCP连接过程的三个数据包为例对TCP/IP协议进行分析。 为了能够捕获到“三次握手”过程中的数据包，首先让Ethereal一直保持捕获状态，如图1.9所示， 图1.9 TCP报文捕获状态窗口 因为是通过TCP来建立的，可以将Ethereal的过滤器设置为TCP，此时只捕获所有经过计算机的TCP协议数据包。 在保持捕获的状态下，打开一个新的网页，如，由于访问网页首先需要通过“三