北邮计网实验IP及TCP数据分组捕获及解析.docVIP

实验报告 实验二：IP和TCP数据分组的捕获和解析 ytinrete 实验类别 协议分析型 实验内容和实验目的 本次实验内容： 1）捕获在连接Internet过程中产生的网络层分组：DHCP分组，ARP分组，IP数据分组，ICMP分组。 2）分析各种分组的格式，说明各种分组在建立网络连接过程中的作用。 3）分析IP数据分组分片的结构。 通过本次实验了解计算机上网的工作过程，学习各种网络层分组的格式及其作用，理解长度大于1500字节IP数据组分片传输的结构。 4）分析TCP建立连接，拆除连接和数据通信的流程。 实验组人数 单人组 实验环境 windows7 WireShark 实验步骤和实验结果 5.1 捕获DHCP报文并分析 打开软件，并设置过滤器为udp.port= =68则可捕获DHCP报文 分析DHCP分组格式： OP:若是 client 送给 server 的封包，设为 1 ，反向为 2。 HTYPE:硬件类别，Ethernet 为 1。 HLEN:硬件地址长度， Ethernet 为 6。 HOPS:若封包需经过 router 传送，每站加 1 ，若在同一网内，为 0。 TRANSACTION ID:DHCP REQUEST 时产生的数值，以作 DHCPREPLY 时的依据。 SECONDS:Client 端启动时间（秒）。 FLAGS:从 0 到 15 共 16 bits ，最左一 bit 为 1 时表示 server 将以广播方式传送封包给 client ，其余尚未使用。 Ciaddr:要是 client 端想继续使用之前取得之 IP 地址，则列于这里。 Yiaddr:从 server 送回 client 之 DHCP OFFER 与 DHCPACK封包中，此栏填写分配给 client 的 IP 地址。 Siaddr:若 client 需要透过网络开机，从 server 送出之 DHCP OFFER、DHCPACK、DHCPNACK封包中，此栏填写开机程序代码所在 server 之地址。 Giaddr:若需跨网域进行 DHCP 发放，此栏为 relay agent 的地址，否则为 0。 Chaddr:Client 之硬件地址。 Sname:Server 之名称字符串，以 0x00 结尾。 File:若 client 需要透过网络开机，此栏将指出开机程序名称，稍后以 TFTP 传送。 Options:允许厂商定议选项（Vendor-Specific Area)，以提供更多的设定信息 查看DHCP的四次握手获得IP地址，缺省路由DNS等参数的过程。 在DOS窗口执行命令ipconfig/release先释放已经申请的IP地址。 再执行ipconfig/renew。 Wireshark捕获四次握手 具体分析分析四次握手的过程： 1）第一次握手 本地端向网络以广播形式发送DHCP discover报文，等待网络中的DHCP server给出回应。 由抓包结果可知，discover报文第二层源mac地址为源端口mac，目的mac为广播地址ff:ff:ff:ff:ff:ff. 。三层源地址为，目的地址为广播地址55。UDP源端口为68，目的端口为 67。 第二次握手 当DHCP server接收到本地端发出的discover报文后，它会从那些还没有租出的地址范围内，选择最前面的空置 IP ，连同其它 TCP/IP 设定，响应给本地端一个 DHCP offer 封包。 由于客户端在开始的时候还没有 IP 地址，所以在其 DHCP discover 封包内会带有其 MAC 地址信息，并且有一个 XID 编号来辨别该封包，DHCP 服务器响应的 DHCP offer 封包则会根据这些资料传递给要求租约的客户。根据服务器端的设定，DHCP offer 封包会包含一个租约期限的信息,当本地端到了这个期限,会释放出IP,再次发送discover报文重新申请。 由抓包结果可得： Client IP address =() Your(Client)IPaddress=40(40)：DHCP Server分配给本地端的IP地址 DHCP Message Type＝DHCP Offer ：表示这是offer报文 Server identifier= ()：DHCP server的 IP地址 Ip address lease time=12 hour 表示租期是12小时 Subnet Mask=28 ：子网掩码 Domain Name= : 域名 Router=29(29) :路由网关 第三次握手 本地端向网络以广播形式发送request报文作为响应，告诉所有 DHCP 服务器它将指定接受哪一台服务器提供的 IP 地址。 由抓包结果可看出这是