[互联网]计算机网络——实验二.docVIP

实验二 计算机网络抓包实验分析 Wireshark工具是常用的网络监测工具，通过对Wireshark截获的数据包进行分析，使学生能够更加清楚地掌握网络分层的思想，同时通过对捕获各个具体协议的数据包分析，可加强对TCP/IP协议的分析与理解，掌握协议的实现过程。另外，本实验也可以采用IP TOOLS、EtherDetect 等其他流行的网络监测工具。 1 实验目的 1) 了解常用的网络监测工具和管理工具。 2) 了解Internet网际层协议如IP、ICMP、ARP的工作原理。 3) 了解Internet传输层协议TCP和UDP的工作原理。 4) 了解Internet应用层协议HTTP、FTP、DNS、SMTP、POP3的工作原理。 5) 了解并熟悉使用常用的网络命令如ipconfig，net，tracert , ping等。 2 具体要求 1) 任意捕获一个数据包，分析其数据链路层格式、网络层格式和传输层格式，加深对计算机网络分层概念的理解。 2) 在IE中输入，分析相应TCP连接的前10个报文的TCP头、IP头; 截取抓包结果，分析其工作过程。 3) 抓取www服务的HttP包，找到http协议的典型数据请求和接收包，截取抓包结果，分析关键字段如标志字段的值。 4) 通过IE登录邮箱收发邮件，截取抓包结果，分析SMTP/POP3协议交互过程； 5) 抓取一个FTP或者其他网络服务的TCP包，读取其包信息，截取抓包结果，并画出该包的包结构。（参考书中TCP包结构图，给出各字段的具体值） 6) 抓取FTP或者其他网络服务的TCP包，找到tcp三次握手和四次挥手的计算机网络——包，截取抓包结果，分析关键字段如序列号、标志字段的变化规律。 7) 抓取一个DNS或者其他网络服务的UDP包，读取其包信息，截取抓包结果，并画出该包的包结构。（参考书中UDP包结构图，给出各字段的具体值）。 8) 抓取FTP服务的ftp包，找到ftp协议的典型数据请求和接收包,截取抓包结果，分析关键字段如标志字段的值。 9) 捕获并分析地址解析协议（ARP）。 10)发PING检测报文，捕获ICMP请求数据包和应答数据包，截取抓包结果，画出该ICMP包的包结构，记录并分析各字段的含义。（参考书中包结构图，给出各字段的具体值） 11)熟悉使用网络命令netstat net net user ipconfig tracert ping，尝试使用其各类参数。 3、实验步骤 （1）安装wireshark软件，并运行。 （2）开始抓包实验。 4、实验结果 （1）捕获一个数据包 上面是用Wireshark软件进行抓包数据分析的截屏，下面将选取1号帧作为代表分析相应的数据： 数据帧的相关信息 此帧编号为0； 获取时间为0； 源地址为6； 目的地址为7； 高层协议为TCP； 包长度为66个字节； 包内信息概况：源端口：upgrade；目的端口：http；upgradehttp[SYN]表示源端口向目的端口请求建立TCP连接。 物理层的数据帧状况 从图中可以看出：1号帧，线路上有66字节，实际捕获66字节，捕获时间为2012年4月2日10:27:29，测试时间为1333333649.249710000秒，此包与前一捕获帧的时间间隔为0秒，与前一个显示帧时间间隔为0秒，与第一帧的时间间隔为0秒，帧号为1，帧长为66字节，捕获长度为66字节，此帧没有被标记且没有被忽略，帧内封装的协议结构为TCP数据协议，用不同颜色染色标记的协议名为HTTP，染色显示规则字符串为http||tcp.port==80。 数据链路层以太网帧头部信息 此包为以太网协议版本2，源地址为Asustekc_73:83:e2(48:5b:39:73:83:e2)，说明本机的网卡是由华硕厂家提供的，其网卡地址为48:5b:39:73:83:e2；目标地址为Hangzhou_3b:1c:72 (00:23:89:3b:1c:72)，说明本机的网卡是Hangzhou厂家生产的，网卡地址为00:23:89:3b:1c:72。帧内封装的上层协议类型为IP，十六进制代码为0800。 互联网层IP报头信息 互联网协议IPv4，源地址为115.25. 3.36，目标地址为7，IP版本号为4，包头部长度为20字节，差分服务字段为0x00 (DSCP 0x00: Default; ECN: 0x00)，表示一个特定的上层协议所分配的重要级别，默认的DSCP值是0，相当于尽力传送，ECN字段被分为ECN-Capable Transport (ECT) bit和CE bit，ECT bit设置为“ 0 ”表明该传输协议将忽略ignore CE bit，CE bit将由路由器设置，设置为0说明对末端节点不