《实验四、计算机网络实验指导书-TCP协议分析及应用层命令》由会员分享,可在线阅读,更多相关《实验四、计算机网络实验指导书-TCP协议分析及应用层命令(7页珍藏版)》请在金锄头文库上搜索。
1、计算机网络实验指导书-TCP 协议分析及应用层命令实验指导教师:韩家伟 孙玉钰实验 4TCP 报文段分析及应用层命令实验1实验目的1掌握使用 IRIS 工具对 TCP 与 UDP 协议进行抓包分析的方法。2掌握 TCP 协议的报文格式及其优缺点。3熟悉应用层命令。2实验设备与环境1Iris 网络分析软件2网络数据包捕获3捕获 TCP 报文段并分析(一)实验内容1启动网络嗅探工具,设置好过滤条件,捕获 UDP 用户数据报和 TCP 报文段。2分析 UDP 与 TCP 协议。(二)TCP 协议实验指导传输控制协议(Transmission Control Protocol,TCP)是一种可靠的面向
2、连接的传送协议。它在传送数据时是分段进行的,主机之间交换数据必须建立一个会话。它用比特流通信,即数据被作为无结构的字节流。通过每个 TCP 传输的字段指定顺序号,以获得可靠性。它是在 OSI 参考模型的第 4 层,TCP 是使用 IP 的网际间互联功能而提供可靠的数据传输,IP 不停地把报文放到网络上,而 TCP 负责确信报文到达。在协同 IP 的操作中 TCP 负责握手过程、报文管理、流量控制、错误检测和处理( 控制) ,并根据一定的编号顺序对非正常顺序的报文给予重新排列顺序。TCP 是面向连接的协议。在面向连接的环境中,开始传输数据之前,在两个终端之间必须先建立一个连接。对于一个要建立的连
3、接,通信双方必须用彼此的初始化序列号 seq 和来自对方成功传输确认的应答号 ack(指明希望收到的下一个八位组的编号) 来同步,习惯上将同步信号写为 SYN,应答信号写为 ACK。 整个同步的过程称为三次握手,如图 4-1 所示。图 4-1 TCP 连接的建立对于一个已经建立的连接,TCP 使用四次握手来结束通话(使用一个带有FIN 附加标记的报文段)。 如图 4-2 所示。图 4-2 TCP 连接的释放TCP 每发送一个报文段,就对这个报文段设置一次计时器。只要计时器设置的重传时间到期,但还没有收到确认,就要重传这一报文段。图 4-3 TCP 报文格式TCP 首部各字段分析TCP 的头信息
4、是: 04 28 00 15 3A DF 05 53 00 00 00 00 70 02 40 00 9A 8D 00 00 02 04 05 B4 01 01 04 02端口号:常说 FTP 占 21 端口、HTTP 占 80 端口、 TELNET 占 23 端口等,这里指的端口就是 TCP 或 UDP 的端口,端口就像通道两端的门一样,当两机进行通讯时门必须是打开的。源端口和目的端口各占 16 位,2 的 16 次方等于 65536,这就是每台电脑与其它电脑联系所能开的“门”。一般作为服务一方每项服务的端口号是固定的。本例目的端口号为 00 15,换算成十进制为 21,这正是 FTP 的默
5、认端口,需要指出的是这是 FTP 的控制端口,数据传送时用另一端口,第三组的分析能看到这一点。客户端与服务器联系时随机开一个大于 1024 的端口,本例为 04 28,换算成十进制为 1064。你的电脑中了木马也会开一个服务端口。观察端口非常重要,不但能看出本机提供的正常服务,还能看出不正常的连接。Windows 察看端口的命令时 netstat。 32 位序号:也称为顺序号(Sequence Number),简写为 SEQ,从上面三次握手的分析可以看出,当一方要与另一方联系时就发送一个初始序号给对方,意思是:“让我们建立联系吧?”,服务方收到后要发个独立的序号给发送方,意思是“消息收到,数据
6、流将以这个数开始。”由此可看出,TCP 连接完全是双向的,即双方的数据流可同时传输。在传输过程中双方数据是独立的,因此每个 TCP 连接必须有两个顺序号分别对应不同方向的数据流。 32 位确认序号:也称为应答号(Acknowledgment Number),简写为 ACK。在握手阶段,确认序号将发送方的序号加 1 作为回答,在数据传输阶段,确认序号将发送方的序号加发送的数据大小作为回答,表示确实收到这些数据。4 位首部长度。这个字段占 4 位,它的单位时 32 位(4 个字节)。本例值为7,TCP 的头长度为 28 字节,等于正常的长度 20 字节加上可选项 8 个字节。,TCP 的头长度最长
7、可为 60 字节(二进制 1111 换算为十进制为 15,15*4 字节=60 字节)。 6 个标志位。 URG 紧急指针,告诉接收 TCP 模块紧要指针域指着紧要数据 ACK 置 1 时表示确认号(为合法,为 0 的时候表示数据段不包含确认信息,确认号被忽略。 PSH 置 1 时请求的数据段在接收方得到后就可直接送到应用程序,而不必等到缓冲区满时才传送。 RST 置 1 时重建连接。如果接收到 RST 位时候,通常发生了某些错误。 SYN 置 1 时用来发起一个连接。 FIN 置 1 时表示发端完成发送任务。用来释放连接,表明发送方已经没有数据发送了。 16 位窗口大小:TCP 的流量控制由
8、连接的每一端通过声明的窗口大小来提供。窗口大小为字节数,起始于确认序号字段指明的值,这个值是接收端正期望接收的字节。窗口大小是一个 16 字节字段,因而窗口大小最大为 65535 字节。 16 位检验和:检验和覆盖了整个的 TCP 报文段: TCP 首部和 TCP 数据。这是一个强制性的字段,一定是由发端计算和存储,并由收端进行验证。 16 位紧急指针:只有当 U R G 标志置 1 时紧急指针才有效。紧急指针是一个正的偏移量,和序号字段中的值相加表示紧急数据最后一个字节的序号。 选项。最常见的可选字段是最长报文大小,又称为 MSS (Maximum Segment Size)。每个连接方通常
9、都在握手的第一步中指明这个选项。它指明本端所能接收的最大长度的报文段。4 熟悉应用层命令 (一)实验内容应用层内容比较丰富,包括 FTP、HTTP、WEB 编程、ASP 编程语言、电子邮件服务,WWW 服务、文件传输协议、域名系统、动态主机配置协议,远程登录、网络流媒体以及常用命令等。本次实验主要熟悉网络层命令 netstat、ping、net。(二)实验指导stat 命令netstat 命令是一个观察网络连接状态的实用工具。它能检验 IP 的当前连接状态,在断定你的基本级通信正在进行后,就要验证系统上的服务。这个服务包括检查正在收听输入的通信量和或验证正在创建一个与远程站点的会话。S 每个协
10、议的使用状态 N 以数字表格形式显示地址和端口 例如:netstat -an图 4-4 netstat 命令举例截图2.Net 命令Net 命令是一个命令行命令,Net 命令有很多函数,用于实用和核查计算机之间的 NetBIOS 连接,可以查看我们的管理网络环境、服务、用户、登陆等信息内容。 (1) Net view 命令作 用:显示域列表、计算机列表或指定计算机的共享资源列表。 命令格式:Net view computername | /domain:domainname 有关参数说明: 键入不带参数的 Net view 显示当前域的计算机列表 computername 指定要查看其共享资源
11、的计算机 /domain:domainname指定要查看其可用计算机的域 例如:Net view xhwl-server 查看 xhwl-server 计算机的共享资源列表。 Net view /domain:XYZ 查看 XYZ 域中的机器列表 (2) Net User 命令作 用:添加或更改用户帐号或显示用户帐号信息。 命令格式:Net user username password | * options /domain 有关参数说明: 键入不带参数的 Net user 查看计算机上的用户帐号列表 username 添加、删除、更改或查看用户帐号名 password 为用户帐号分配或更改密
12、码提示输入密码 /domain 在计算机主域的主域控制器中执行操作。 例如:Net user test 查看用户 test 的信息。 (3) 启动 、暂停、 激活服务命令 Net Start 作 用:启动服务,或显示已启动服务的列表。命令格式:Net start service Net Pause 作 用:暂停正在运行的服务。 命令格式:Net pause service Net Continue 作 用:重新激活挂起的服务。 命令格式:Net continue service Net Stop 作 用:停止 Windows NT/2000/2003 网络服务。 命令格式:Net stop service 5实践思考1 抓取本机和远程计算机进行文件传输时 TCP 数据包。设计操作获得 TCP建立连接使用的三次握手数据包,描述操作过程。2查看捕获的数据包,回答以下问题: 本地计算机的 IP 地址是什么,通讯使用的 TCP 端口号是多少? 与本地计算机建立连接的 IP 地址是多少,对方使用哪个端口发送和接收TCP 数据包? 结合本实验数据讲述 TCP 建立连接的三次握手过程,并分析其中一个 TCP报文段内容。
