计算机网络抓包实验分析

《计算机网络抓包实验分析》由会员分享，可在线阅读，更多相关《计算机网络抓包实验分析（10页珍藏版）》请在装配图网上搜索。

1、辽宁工业大学创新实验（论文） 题目 计算机网络抓包实验分析 电子与信息工程学院 院（系）啊啊啊 专业 班学生姓名 学 号 指导教师 开题日期：2010 年 6 月 10 日实验目的通过软件捕获网络流量，分析数据报结构，能够更加清楚地掌握网络分层的思想，从感性认识飞跃到理性认识。再通过捕获各个具体协议的通信数据包，一步一步具体分析其实现步骤，更加具体地掌握协议的实现过程。实验内容本次实验包括五项实验内容。分别是捕获报文基本分析实验、捕获并分析地址识变协议(ARP)、捕获并分析因特网控制信息协议、捕获并分析传输控制协议、捕获并分析用户数据报协议。1. 任意捕获一个数据包，分析其数据链路层格式、网络

2、层格式和传输层格式，加深对计算机网络分层概念的理解。2. 地址识变协议(ARP)是LAN环境中最重要的协议之一。ARP允许你的网络上使用的设备自动将物理(MAC)地址映射为IP地址，因此需要对ARP有很详细的了解，并清楚它是怎样工作的。3. 传输控制协议(TCP)是因特网上最常用的第四层协议，TCP可以保证数据传输的可靠性。很多因特网服务，比如HTTP、FTP、SMTP和Telnet，都要依靠TCP来传输数据。另外，很多传统的LAN程序，比如文件传输和SQL也都要使用TCP/IP。4. 用户数据报协议(UDP)是网络上另外一种很常用的第四层协议。UDP由很多上层协议使用例如，SNMP、普通文件

3、传输协议(TFTP)和DNS当DNS请求需要解析时(DNS在进行区域传输时使用TCP)。所以，要很清楚的理解UDP的重要性。实验主要仪器设备和材料每人一台联网计算机、软件。实验方法、步骤及结构测试1 启动软件启动桌面软件图标2 捕获报文基本分析实验1. 打开程序后，选择Capture(捕获)Start(开始)，或者使用F10键，或者是工具栏上的开始箭头。2. 一小段时间过后，再次进入Capture(捕获)菜单，然后选择Stop(停止)或者按下F10键，还可以使用工具栏。3. 还可以按F9键来执行“停止并显示”的功能，或者可以进入Capture(捕获)菜单，选择“停止并显示”。4. 停止捕获后，

4、在对话框最下角增加了一组窗口卷标，包括高级、解码、矩阵、主机表单、协议分布和统计信息。5. 选择解码卷标，可以看到缓冲器中的所有实际“数据”。分析该卷标结构及其内容。图1 解码窗口从解码卷标上可以看出解码窗口分为三部分，最上面是捕获的报文，中间是报文的解码，最下面是报文的二进制码，即发送的最原始内容。我们可以看出捕获到的报文有DLC，IP，TCP，HTTP等协议，解码表对应每一个层次的协议进行解码分析。从以前的实验，我们已经得知链路层对应的是DLC协议，在DLC协议里面，长度为14字节，我们可以看到发送数据包的目标MAC地址（Destination）和发送数据包的源MAC地址(Source)，

5、并且可以得知此数据包携带的协议类型为IP。打开IP的标签，可以看到有IP协议报头的详细解码，其中IP协议报头长度为20个字节。其中从上图得到的数据分析如下：第一行，Version4，表示IP协议的版本号为4，即IPV4,占4位，Header Length=20 Bytes，表示IP包头的总长度为20个字节，该部分占4个位。所以第一行合起来就是一个字节。第二行，Type of Service=00，表示服务类型为0。用来描述数据报所要求的服务质量。接下来的六行, 000 前三位不用;0 表示最小时延;0 表示吞吐量;0 表示可靠性;0 表示最小代价;0 不用。第二到第八行合占1字节。第九行，To

6、tal Length=40Bytes,表示该IP包的总长度为40个字节。该部分占两字节。图2 IP协议报头第十行，Identification=34833，表示IP包识别号为34833。该部分占两个字节。第十一行到十三行，Flags，表示片标志，占3个位。各位含义分别为：第一个“0”不用，第二位为不可分片位标志位，此处值为“1”表示该数据表禁制分片。第三位为是否最后一段标志位，此处“0”表示最后一段。第十四行，Fragment Offset0，表示片偏移为0个字节。该部分占13位。 第十五行，Time to Live=51Secongs/Hops，表示生存时间TTL值为51，占1字节。第十六行

7、，Proctol6（TCP），表示协议类型为TCP，协议代码是6，占1字节。 第十七行，Header Checksun=88AE(correct)，表示IP包头校验和为88AE，括号内的Correct表示此IP数据包是正确的，没有被非法修改过。该部分占两字节。 第十八行，Source Address=，表示IP数据包源地址为：59.74.42.45，占四字节。 第十九行，Destination Address=,表示IP数据包目的地址为：10.10.199.143，占四字节。 第二十行，No Options，表示IP数据包中未使用选项部分。当需要记录路由时才使用该选项。接下来的协议在以下捕获内

8、容后分析。3 捕获并分析地址识变协议(ARP)1. 选择“捕获”“定义过滤器”。2. 在“定义过滤器”中，选择“文件”“新建”。3. 将这个文件命名为ARP，点击OK，然后点击“完成”。4. 现在选择“高级”，从协议列表中选择ARP。5. 点击OK，关闭定义过滤器窗口。已经定义了过滤器，可以按F10来捕获流量。6. 输入arp d IP 来清除默认网关上的ARP，这个命令中的IP是你的默认网关IP地址，然后Ping你的默认网关。7. 停止捕获并打开代码窗口。至少会看到2个捕获到的帧(假设你可以连接到默认网关)。8. 分析捕获到的结果(即解释数据包的内容和协议具体实现过程)。4.4捕获并分析传输

9、控制协议从下面截图可以看出，可以分析ARP的工作过程：首先，在本局域网上的所有主机上运行的ARP进程都收到本机发送的ARP请求分组（从目标地址为Broadcast可以看出）。其次，从摘要中，PA=10.10.199.129,可以看出ARP请求地址为10.10.199.129，而此IP地址的网络设备在ARP请求分组中见到自己的IP地址，就向本机发送ARP响应分组，并写于自己的硬件地址。至于在此ARP分组的其余的所有主机都不会理睬这个ARP请求分组。从以上可以分析，ARP请求分组是广播的，但ARP响应分组是单一的，即一对一。一下对第一个ARP包进行分析。第二行（Destination），6个字节，

10、可以看出ARP包是采取广播方式，目标地址从下面的解码可以看出是FFFFFFFFFFFF，翻译过来就是全1，全1为一个广播地址，这里代表一个链路层的广播地址。接下第三行（Source），6个字节，值为0003254A3982，这个MAC地址为发起该ARP的主机接口的MAC地址，即源MAC地址。接下来第四行（Ethertype），2个字节，是协议类型， 0806代表ARP类型，表示该帧是ARP帧。接下来第五行（Hardware type），2字节，是硬件类型。我们用的是标准以太网，值为1H（0001），表示是10M以太网。接下来第六行（Protocol type），长度2字节，是协议类型，我们用的

11、是IP协议，IP对应的值为800，所以显示值为0800.接下来第七行（HLEN），1字节，记录硬件地址长度，这个值告诉处理该帧的程序，读取硬件地址时读到哪里结束。因为使用到网卡的MAC地址，而MAC地址的长度为6字节，所以这里显示长度为6。 接下第八行（PLEN），1字节，为协议长度，这个值告诉处理该帧的程序，图3第一个ARP数据包详情读取协议地址时读到哪里结束。这次通信使用IPV4协议，而IPV4为4字节，所以该字段的值就是4接下第九行（OPER），2字节，为操作类型，ARP请求为1，ARP响应为2，图中是0001，所以这是一个ARP请求。接下第十行（SHA），6字节，用来定义发送者站的物理

12、地址长度，这里为发送者MAC地址，该地址用来告诉本次操作的对方，是哪个MAC地址对它进行了操作。接下第十一行（SPA），4字节，用来定义发送站的逻辑地址长度，这里为发送者IP地址，该地址用来告诉本次操作的对方，是哪个IP地址对它进行了操作。接下第十二行（THA），6字节，用来定义目标的物理地址长度，这里为接收者MAC地址，用来告诉本次操作的对方，是哪个MAC地址应该接收并处理该帧。接下第十三行（TPA）， 4字节，用来定义目标的逻辑地址，这里为接收者IP地址，用来告诉本次操作的对方，是哪个MAC地址应该接收并处理该帧。最后的0，应该只起到填充作用。这是由于IP报文规定最小不能少于60字节，而A

13、RP只用了42个字节，所以它需要用其他无用数据来填充剩下的12字节。4捕获并分析传输控制协议1. 进入“捕获”“定义过滤器”。在定义过滤器窗口中，点击“文件”“新建”。2. 在“新建捕获文件”窗口中，确认新文件的名称(TCP)并点击OK，然后点击“完成”。3. 转到“高级”卷标，你会看到系统提供的协议列表。点击IP协议标题旁边的“”号，到下面找到TCP，然后选中TCP。4. 点击OK，关闭定义过滤器窗口。5. 按F10开始捕获TCP流量。6. 分析捕获到的结果(即解释数据包的内容和协议具体实现过程)。从下图可以得知TCP的工作方式，因为TCP是提供面向连接的可靠的传输服务。第1、2、3个数据包

14、是HTTP协议使用下层TCP协议通过三次握手原则建立连接的过程，下图所示，选中三个数据包描述的是TCP三次握手的过程。这样我们可以知道，HTTP通讯是发生在TCP协议之上，缺省端口是TCP的80端口，图4 TCP的工作方式所以HTTP是一个可靠的协议。第1、2个数据包的长度为66字节，第3个数据包的长度为60字节下面先对第一个TCP包进行数据分析。第一行（Source port）：2字节，源端口号，即发送这个TCP包的计算机所使用的端口号。第二行（Destination port）：2字节，目标端口号，即接受这个TCP包计算机所使用的端口号。第三行（Initial Sequence numbe

15、r）：4字节，表示发送数据包的排序序列。用以接收的时候按顺序组合和排序。第四行（Next expected seq number）：大小不定，用以表示当前接受到数据包的序号。第五行（Date offset）：1字节，用来说明数据包的大小，从哪里开始哪里结束。第六行（Reserved Bit）：保留空间，以作未来用。第七至第十三行（Flags）：6字节，标志位，有控制功能。分别为URG，紧急指针；ACK，确认指针；PUSH，不用等待缓冲区装满而直接把报文交给应用层；RST，复位指针；SYN，同步信号；FIN，完成或释放指针。第十四行（Windows）：2字节，发送方希望被接受的数据大小。第十五行

16、（Checksum）：2字节，是根据报头和数据字段计算出的校验和，一定由发送端计算和存储的。第十六行（Urgent pointer）：2字节，紧急指针，告知紧急资料所在的位置。接下来的是任意选项，里面包含了一些选项，如最大数据段大小等图5 TCP标记信息（1）图5 TCP标记信息（2）三个图分别为前三个数据包中的TCP标记信息，反映了TCP的三次握手过程：客户端向Web服务器发送一个SYN同步连接请求，Web服务器收到请求后图5 TCP标记信息（3）向客户端发送一个SYN/ACK数据包，同意客户端的连接请并向客端发起同步，客户端收到该数据包后再次确认，从而成功建立TCP连接。如上面第一幅图，本

17、机发送一个初始序号（SEQ）455908395给服务器。标志位SYN置为1。上面第二幅图，服务器收到这个序号后，将应答信号（ACK）和随机产生一个初始序号（SEQ）259161551发回到请求端本机，因为有应答信号和初始序号，所以标志位ACK和SYN都置为1。 上面第三幅图，本机收到服务器的信号后，发回信息给服务器。标志位ACK置为1，其它标志为都为0。注意此时SYN值为0，SYN是标示发起连接的，上两部连接已经完成。 5 捕获并分析用户数据报协议1. 进入“捕获”“定义过滤器”，点击“文件”“新建”。在新建文件名称对话框中，确认为UDP，点击OK，然后点击“完成”按钮。2. 在定义过滤器窗口

18、中，选择“高级”卷标。从协议列表中，打开IP对话框，然后点击UDP选择框。3. 选择OK按钮关闭定义过滤器窗口。4. 按F10开始捕获UDP流量。5. 现在用完整的域名(FQDN)来对主机执行Ping 命令。进入“开始”“运行”，并输入ping 。现在按回车键，可以ping这个网站四次。6. 按F9停止并显示捕获结果。7. 分析捕获到的结果(即解释数据包的内容和协议具体实现过程)。从下图，我们可以看到UDP协议的详细组成。 第一行（Source port）：2字节，为发送进程的端口号。 第二行（Destination port）：2字节，为接收进程的端口号。 第四行（length）：2字节，说明UDP数据报的总长度，包括报头和数据域，图6 UDP协议以字节（B）为单位。 第五行（Checksum）：2字节，校验和，简单的差错检验。 接下来的一行是数据，这里显示的是数据长度为29字节。实验总结：通过本次实验，我学会了使用Ethereal，加强了对ARP协议的理解。了解了传输控制协议(TCP)是因特网上最常用的第四层协议，TCP可以保证数据传输的可靠性。用户数据报协议(UDP)是网络上另外一种很常用的第四层协议。UDP由很多上层协议使用。更加清楚地掌握网络分层的思想，从感性认识飞跃到理性认识。