计算机网络抓实验分析.docVIP

辽 宁 工 业 大 学 PAGE 2 辽宁工业大学 创新实验（论文） 题目 计算机网络抓包实验分析 电子与信息工程学院 院（系）啊啊啊 专业 班 学生姓名 学 号 指导教师 开题日期：2010 年 6 月 10 日 实验目的 通过软件捕获网络流量，分析数据报结构，能够更加清楚地掌握网络分层的思想，从感性认识飞跃到理性认识。再通过捕获各个具体协议的通信数据包，一步一步具体分析其实现步骤，更加具体地掌握协议的实现过程。 实验内容 本次实验包括五项实验内容。分别是捕获报文基本分析实验、捕获并分析地址识变协议(ARP)、捕获并分析因特网控制信息协议、捕获并分析传输控制协议、捕获并分析用户数据报协议。 任意捕获一个数据包，分析其数据链路层格式、网络层格式和传输层格式，加深对计算机网络分层概念的理解。 地址识变协议(ARP)是LAN环境中最重要的协议之一。ARP允许你的网络上使用的设备自动将物理(MAC)地址映射为IP地址，因此需要对ARP有很详细的了解，并清楚它是怎样工作的。 传输控制协议(TCP)是因特网上最常用的第四层协议，TCP可以保证数据传输的可靠性。很多因特网服务，比如HTTP、FTP、SMTP和Telnet，都要依靠TCP来传输数据。另外，很多传统的LAN程序，比如文件传输和SQL也都要使用TCP/IP。 用户数据报协议(UDP)是网络上另外一种很常用的第四层协议。UDP由很多上层协议使用－例如，SNMP、普通文件传输协议(TFTP)和DNS－当DNS请求需要解析时(DNS在进行区域传输时使用TCP)。所以，要很清楚的理解UDP的重要性。 实验主要仪器设备和材料 每人一台联网计算机、软件。 实验方法、步骤及结构测试 1 启动软件 启动桌面软件图标 2 捕获报文基本分析实验 1. 打开程序后，选择Capture(捕获)—Start(开始)，或者使用F10键，或者是工具栏上的开始箭头。 2. 一小段时间过后，再次进入Capture(捕获)菜单，然后选择Stop(停止)或者按下F10键，还可以使用工具栏。 3. 还可以按F9键来执行“停止并显示”的功能，或者可以进入Capture(捕获)菜单，选择“停止并显示”。 4. 停止捕获后，在对话框最下角增加了一组窗口卷标，包括高级、解码、矩阵、主机表单、协议分布和统计信息。 5. 选择解码卷标，可以看到缓冲器中的所有实际“数据”。分析该卷标结构及其内容。 图1 解码窗口 从解码卷标上可以看出解码窗口分为三部分，最上面是捕获的报文，中间是报文的解码，最下面是报文的二进制码，即发送的最原始内容。我们可以看出捕获到的报文有DLC，IP，TCP，HTTP等协议，解码表对应每一个层次的协议进行解码分析。从以前的实验，我们已经得知链路层对应的是DLC协议，在DLC协议里面，长度为14字节，我们可以看到发送数据包的目标MAC地址（Destination）和发送数据包的源MAC地址(Source)，并且可以得知此数据包携带的协议类型为IP。 打开IP的标签，可以看到有IP协议报头的详细解码，其中IP协议报头长度为20个字节。其中从上图得到的数据分析如下： 第一行，Version＝4，表示IP协议的版本号为4，即IPV4,占4位，Header Length=20 Bytes，表示IP包头的总长度为20个字节，该部分占4个位。所以第一行合起来就是一个字节。 第二行，Type of Service=00，表示服务类型为0。用来描述数据报所要求的服务质量。 接下来的六行, 000 前三位不用;0 表示最小时延;0 表示吞吐量;0 表示可靠性;0 表示最小代价;0 不用。第二到第八行合占1字节。 第九行，Total Length=40Bytes,表示该IP包的总长度为40个字节。该部分占两字节。 图2 IP协议报头 第十行，Identification=34833，表示IP包识别号为34833。该部分占两个字节。 第十一行到十三行，Flags，表示片标志，占3个位。各位含义分别为：第一个“0”不用，第二位为不可分片位标志位，此处值为“1”表示该数据表禁制分片。第三位为是否最后一段标志位，此处“0”表示最后一段。 第十四行，Fragment Offset＝0，表示片偏移为0个字节。该部分占13位。 第十五行，Time to Live=51Secongs/Hops，表示生存时间TTL值为51，占1字节。 第十六行，Proctol＝6（TCP），表示协议类型为TCP，协议代码是6，占1字节。 第十七行，Header Checksun=88AE