北邮大三计算机网络实践实验五报告网络协议分析.docVIP

计算机网络技术实践 实验报告 实验名称:网络协议分析实验 姓 名： 实 验 日 期：2013年5月23日 学 号： 实验报告日期：2013年5月25日 报 告 退 发： ( 订正 、 重做 ) 环境（详细说明运行的操作系统，网络平台，网络拓扑图） 操作系统：windows7系统 抓包工具：wireshark 实验目的 掌握Wireshark协议分析工具的使用方法，能够在实际网络环境中分析ARP协议的工作过程和ICMP协议的工作过程，并能够通过ARP协议和ICMP协议分析实际以太网环境中数据包的传输过程。 实验内容及步骤（包括主要配置流程，重要部分需要截图） 3.1 ARP协议分析 （1）arp –d删除所有表项，ping某个IP，触发arp过程，用wireshark观察arp过程；arp –a观察mac地址 删除arp表项 Wireshark中显示的arp过程： 查看arp表的mac地址： （2）用wireshark观察arp分组 Arp的报头结构： 我在这里截取了由本机发出的广播包，询问80的mac地址 Arrival time为数据包的到达时间，Epoch time为新纪元时间，单位为秒，帧的协议：eth:arp 数据链路层帧格式头部说明： 目的地址是ff ff ff ff ff ff ，因为这是广播包 源地址是f0 4d a2 8f d4 96,这是本机的mac地址 ARP的类型号是0806 网络层ARP帧结构部分（请求包） 按照arp报头结构依次为： 硬件类型：00 01， 即以太网 协议类型：08 00， 即IP 硬件地址长度：06 协议地址长度：04 ARP操作类型：00 01，表示request包 发送者的mac地址：f0 4d a2 8f d4 96 发送者的IP地址：78，即0a d3 0a b2 目标的硬件地址：00:00:00_00:00:00，即00 00 00 00 00 00 目标的IP地址：80，即0a d3 0a b4 这是80主机收到了广播包后响应78的请求将自己的mac地址发给78，特别注意的是我用红色标出的字段标识数据包的类型是request还是reply包，request包是00 01，reply包是00 02 3.2 ICMP协议分析 （1）分析ping命令中的ICMP分组 源主机IP地址为78，向目的主机IP地址80发送ECHO请求即ECHO (ping) request，询问目的主机是否可达，目的主机收到ECHO，并向源主机返回ECHO应答即ECHO reply，说明这条线路可达。 这种机制就是我们通常所用的ping命令来检测目标主机是否可以可达 版本：4 IHL域：5，该头部有5*4共20字节 服务类型：00，普通服务类型 总长度：00 3c，60字节 标识域：36 16 DF：0，允许分段 MF：0，最后一个分片 分段偏移：00，第一个分组 生命周期TTL：40，即64 协议：01，表示ICMP协议 头部校验和：00 00，正确 源地址：0a d3 0a b2，即78 目的地址：0a d3 0a b4，即80 ICMP包网络层ICMP帧部分分析 类型：08，即ECHO request；当类型为00时表示ECHO reply。（详见后图）。 代码：00 检验和：4d 59,正确 最后32个字节为数据域部分 （2）用ping命令探测网络上较远的结点，但把TTL设置较小(如本例中的3)，如：ping –i 3 ，察看返回信息，并用wireshark看返回的ICMP超时信息，看ICMP分组内容。 Type为11表示超时，code=0表示传送超时 （3）再ping其它的主机，实现不可达的返回消息。 目标主机不可达报文类型为3，代码为3，即端口不可达（0 = 网络不可达，1 = 主机不可达，2 = 协议不可用，3 = 端口不可达，4 = 需要段和DF设置，5 = 源路由失败），由于我没有抓到不可达消息，所以根据查到的资料进行了解。 3.3 数据包收发的整个流程 (1) 两台相同局域网中PC机之间数据收发的过程 本机（78）发出广播，询问ip地址为80的位置，对方（80）回复80的物理地址为f0:4d:a2:92:51:77，本机向目的主机发出ping的请求，对方（80）发出广播，询问ip地址为78的位置，本机回复78的物理地址为f0:4d:a2:8f:d4:96，对方对本机ping请求做出reply，本机向目的发出ping请求，目的主机回复。之后重复上述过程，只是不再进行ARP解析 (2) 两台不同局域网中PC机之间数据收发的过程 本机78尝试访问域名服务器，发现服务器地址和本机不在同一子网，所以把数据转发给默认网关。本机只知