wireshark抓包实验报告选读.docxVIP

本 科 实 验 报 告 实验名称：利用EtherPeek工具进行的网络抓包实验 学 员： 学 号： 专 业： 所属学院： 国防科学技术大学训练部制 【实验名称】 利用Wireshark工具进行的抓包实验 【实验目的】 通过Wireshark软件捕获并观察ARP协议、ICMP协议、FTP协议、HTTP协议以及TCP协议的工作原理，包括协议序列和报文内容 【实验内容】 实验环境描述： 网络环境：因特网 操作系统：Windows 7 软件： Wiresharkv1.12.4 实验步骤： Ping命令（ARP, ICMP分析） 在实验主机使用FTP应用(FTP分析) 在实验主机使用web应用(HTTP分析) 【实验过程】 ping命令(ICMP、ARP分析) 实验主机的IP地址为： 89 实验主机的MAC地址为：9c:4e:36:cf:db:e4 在实验主机的命令框内输入命令：ping 89 Wireshark抓获的数据包如下： 观察可得，抓获的报文里协议类型有ICMP与ARP。（前12条是输入ping命令后抓取的） （1）ICMP分析： 首先明确一下ICMP的相关知识： ICMP是（Internet Control Message Protocol）Internet控制报文协议。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。 各种ICMP报文的前32bits都是三个长度固定的字段：type类型字段(8位)、code代码字段(8位)、checksum校验和字段(16位) 8bits类型和8bits代码字段：一起决定了ICMP报文的类型。 常见的有： 类型0、代码0：回应应答。 类型3、代码0：网络不可达 类型3、代码1：主机不可达 类型5、代码1：为主机重定向数据包 类型8、代码0：回应 类型11、代码0：传输中超出TTL（常说的超时） 16bits校验和字段：包括数据在内的整个ICMP数据包的校验和，其计算方法和IP头部校验和的计算方法是一样的。 类型代码 类型描述 0 响应应答（ECHO-REPLY） 3 不可到达 4 源抑制 5 重定向 8 响应请求（ECHO-REQUEST） 11 超时 12 参数失灵 13 时间戳请求 14 时间戳应答 17 地址掩码请求 18 地址掩码应答 30 路由跟踪 1.响应请求 我们日常使用最多的ping，就是响应请求（Type=8）和应答（Type=0），一台主机向一个节点发送一个Type=8的ICMP报文，如果途中没有异常（例如被路由器丢弃、目标不回应ICMP或传输失败），则目标返回Type=0的ICMP报文，说明这台主机存在，更详细的tracert通过计算ICMP报文通过的节点来确定主机与目标之间的网络距离。 2.目标不可到达、源抑制和超时报文 这三种报文的格式是一样的，目标不可到达报文（Type=3）在路由器或主机不能传递数据报时使用，例如我们要连接对方一个不存在的系统端口（端口号小于1024）时，将返回Type=3、Code=3的ICMP报文，它要告诉我们：“嘿，别连接了，我不在家的！”，常见的不可到达类型还有网络不可到达（Code=0）、主机不可到达（Code=1）、协议不可到达（Code=2）等。源抑制则充当一个控制流量的角色，它通知主机减少数据报流量，由于ICMP没有恢复传输的报文，所以只要停止该报文，主机就会逐渐恢复传输速率。最后，无连接方式网络的问题就是数据报会丢失，或者长时间在网络游荡而找不到目标，或者拥塞导致主机在规定时间内无法重组数据报分段，这时就要触发ICMP超时报文的产生。超时报文的代码域有两种取值：Code=0表示传输超时，Code=1表示重组分段超时。 报文分析： PING 响应请求报文 选取第3条报文分析： Wireshark获取的报文： 从报文格式中可以看出ICMP协议是TCP/IP协议族的一个子协议。 IP报文格式： IP报文版本号是IPV4， 首部长度：20 bytes， 数据包总长度：60， 标示符：0x0db0， 标志：0x00，比特偏移：0， 寿命：64，上层协议：ICMP， 首部校验和：0x30e1，并且是正确的。 源IP地址：89 目的IP地址：89 ICMP报文格式： 类型：8 （回显请求） 代码/编码：0 校验和：0x4