网络协议抓包分析.docxVIP

中国矿业大学《网络协议》姓名：李程班级：网络工程2009-2学号验一：抓数据链路层的帧一、实验目的分析 MAC层帧结构准备工作本实验需要2组试验主机，在第一组上安装锐捷协议分析教学系统，使用其中的协议数据发生器对数据帧进行编辑发送，在第二组上安装锐捷协议分析教学系统，使用其中的网络协议分析仪对数据帧进行捕获分析。实验内容及步骤步骤一：运行ipconfig命令步骤二：编辑LLC信息帧并发送步骤三：编辑LLC监控帧和无编号帧，并发送和捕获：步骤四：保存捕获的数据帧步骤五：捕获数据帧并分析使用iptool进行数据报的捕获：报文如下图：根据所抓的数据帧进行分析：（1）MAC header目的物理地址：00:D0:F8:BC:E7:06源物理地址：00:16:EC:B2:BC:68Type是0x800：意思是封装了ip数据报（2）ip数据报由以上信息可以得出：①版本：占4位，所以此ip是ipv4②首部长度：占 4 位，可表示的最大十进制数值是 15。此ip数据报没有选项，故它的最大十进制为5。③服务：占 8 位，用来获得更好的服务。这里是0x00④总长度：总长度指首都及数据之和的长度，单位为字节。因为总长度字段为 16位，所以数据报的最大长度为 216-1=65 535字节。此数据报的总长度为40字节，数据上表示为0x0028。⑤标识 (Identification)：占 16位。IP软件在存储器中维持一个计数器，每产生一个数据报，计数器就加 1，并将此值赋给标识字段。但这个“标识”并不是序号，因为 IP是无连接的服务，数据报不存在按序接收的问题。当数据报由于长度超过网络的 MTU 而必须分片时，这个标识字段的值就被复制到所有的数据报的标识字段中。相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。在这个数据报中标识为18358，对应报文16位为 47b6⑥标志 (Flag)：占3 位，但目前只有2位有意义。标志字段中的最低位记为 MF (More Fragment)。MF=1即表示后面“还有分片”的数据报。MF=0表示这已是若干数据报片中的最后一个。标志字段中间的一位记为 DF(Dont Fragment)，意思是“不能分片”。只有当 DF=0时才允许分片。这个报文的标志是010，故表示为不分片！对应报文16位为0x40。⑦片偏移：因为不分片，故此数据报为0。对应报文16位为0x00。⑧生存时间：占 8位，生存时间字段常用的英文缩写是 TTL (Time To Live)，其表明数据报在网络中的寿命。每经过一个路由器时，就把TTL减去数据报在路由器消耗掉的一段时间。若数据报在路由器消耗的时间小于 1 秒，就把TTL值减 1。当 TTL值为 0时，就丢弃这个数据报。经分析，这个数据报的的TTL为64跳！对应报文16位为0x40。⑨协议：占 8 位，协议字段指出此数据报携带的数据是使用何种协议，以便使目的主机的IP层知道应将数据部分上交给哪个处理过程。这个ip数据报显示使用得是TCP协议对应报文16位为0x06。⑩首部检验和：占 16位。这个字段只检验数据报的首部，但不包括数据部分。这是因为数据报每经过一个路由器，都要重新计算一下首都检验和 (一些字段，如生存时间、标志、片偏移等都可能发生变化)。不检验数据部分可减少计算的工作量。对应报文16位为0x8885。⑾源地址：占32位。此报文为2 对应数据为 DB:DB:3D:20⑿目的地址：占 32位。此报文为7对应数据为 77:4B:DA:4D（13）选项：这里是无！（2）TCP 报头TCP报文首部格式源端口（Source Port）：16位的源端口字段包含初始化通信的端口号。源端口和IP地址的作用是标识报文的返回地址。这个报文是3204对应的数据报中的 16位为0x0c84。目的端口(Destination Port):16位的目的端口字段定义传输的目的。这个端口指明接收方计算机上的应用程序接口。这个报文的目的端口是80（代表了 http协议）对应的数据报中的 16位为0x0050序列号（Sequence Number）:该字段用来标识TCP源端设备向目的端设备发送的字节流，它表示在这个报文段中的第几个数据字节。序列号是一个32位的数。这个报文的sequence number是 2416921514对应的数据报中的 16位为0x900f4baa确认号（Acknowledge Number）：TCP使用32位的确认号字段标识期望收到的下一个段的第一个字节，并声明此前的所有数据已经正确无误地收到，因此，确认号应该是上次已成功收到的数据字节序列号加1。收到确认号的源计算机会知道特定的段已经被收到。确认号的字段只在ACK标志被设置时才有效。这个报文的ACK是