计算机网络课程设计实验二:网络层数据分组的捕获和解析 1、 实验类别协议分析型2、 实验内容和实验目的本次实验内容:1) 捕获在连接Internet过程中产生的网络层分组:DHCP分组,ARP分组,IP数据分组,ICMP分组2) 分析各种分组的格式,说明各种分组在建立网络连接过程中的作用3) 分析IP数据分组分片的结构实验目的:通过本次实验了解计算机上网的工作过程,学习各种网络层分组的格式及其作用,理解长度大于1500字节IP数据组分片传输的结构4)分析TCP建立连接,拆除连接和数据通信的流程3、 实验学时4学时4、 实验组人数1人5、 实验设备环境1台装有Windows XP操作系统的pc机,能够连接到Internet,并安装WireShark 软件6、 学习难点重点分析网络层分组的格式,掌握各种分组在网络通信中的应用,了解整个上网的工作过程发送ICMP分组,并分析其结构和功能制作长度大于1500字节的IP数据分组,发送并分析其分片传输的过程7、 实验步骤1、启动计算机,连接网络确保能够上网,安装WireShark软件2、第一步:开启WirkShark监控,设置捕获过滤器,仅捕获UDP报文Capture ==>Interfrace==>选中所用网卡==>点击Start第二步:设置WirkShark显示过滤器,在工作画面Filter设置udp.port==68,这样在捕获的报文中,仅显示UDP端口号68的报文(DHCP报文)第三步:在DOS窗口执行命令ipconfig/release先释放已经申请的IP地址,再执行ipconfig/renew,就可以在WireShark上看到DHCP的四次握手获得IP地址,缺省路由DNS等参数的过程。
第四步:重新设置WireShark的捕获选项和显示选项(这些选项的设置方法可以参照软件自带手册)执行一个ping命令,观察ARP和PING命令的执行过程关于捕获过滤器的手册:Help==>Contents,找到4.9节:Filtering while capturing关于显示过滤器的手册:Help==>Contents,找到6.3节:Filtering packets while viewing3、分析数据分组的分片传输过程制作大于8000字节的IP数据分组并发送,捕获后分析其分片传输的分组结构使用Windows中ping命令的-l选项,例如:ping -l 8000 192.168.0.14、分析TCP通信过程WireShark的Filter项 填为tcp.port==21 (仅观察FTP的TCP通信,FTP端口号为21)捕获所有下面通信过程的TCP报文进行分析1) 观察TCP建立连接的三次握手和粗暴方式拆除连接的流程执行命令ftp 连接建立后直接按下Ctrl-C中止程序运行2) 观察TCP建立连接的三次握手,数据通信和优雅方式拆除连接的流程执行命令ftp 用户名输入anonymous口令输入a@b执行成功后输入命令bye3) (选作)执行下面的操作,观察TCP连接断开的流程与2)有何区别。
执行命令ftp 用户名输入anonymous口令输入a@b执行成功后输入命令bye8、 实验分析 捕获ICMP 协议数据1. 运行 ping 命令(例如:c> ping 192.168.0.1),远程主机地址可以是本机地址、网关路由器地址,也可以是域名(如)将捕获到的数据保存为文件2. 使用 Windows 中ping 命令的-l 选项(例如:c>ping -l 8000 192.168.0.1),制作大于8000 字节的IP 包并发送,捕获后分析其分段传输的包结构捕获 DHCP 协议数据1. 使用 ipconfig 命令释放计算机的IP 地址(c>ipconfig -release);2. 使用 ipconfig 命令重新申请IP 地址(c>ipconfig -renew)此时 wireshark 窗口中可以捕获到完整的DHCP 地址分配的流程,将捕获到的数据保存为文件捕获 ARP 协议数据采用与捕获 DHCP 协议数据相同的方法释放IP 地址并重新申请,在wireshark 窗口中可以捕获到ARP 请求和响应消息,保存为文件捕获 TCP 协议数据打开浏览器,输入一个页面内容较简单网页URL,如;网页全部显示后关闭浏览器。
9、实验结果1) 捕获DHCP分组Encode分析如下:由捕获的数据包可见,其IP头部的目的域地址为ff ff ff ff,即表明该包围一个广播包,同时可以看到其源地址为00 00 00 00根据DHCP的数据包部分的译码输出,我们可以得到Boot Record type域为1(表明是申请IP地址),以及硬件地址类型和硬件地址长度等等信息,并且最终申请的IP地址为59.64.192.184之后可以看到网关会发来一个DHCP ACK数据包,用来确认IP地址的分配(由于版面所限,未添加相应截图)2) 捕获IP数据分组:IP分组格式为: 分析IP数据分组:其相应的分析如下表字段报文(16进制)内 容报头长度45报头长20字节服务类型00正常时延,正常吞吐量,正常可靠性总长度00 30分组长度48字节标识8a 83标识为35459标志40DF=1,MF=0,不允许分片偏移值00偏移量为0生存周期6e每跳生存周期为110s协议06携带的数据来自TCP协议头部校验和89 11头部校验和为8911源地址7d 26 80 9c源地址为 125.38.128.156目的地址3b 40 c0 30目的地址为 59.64.192.483) 分析整个上网的工作过程,需要收发什么分组?每个分组的内容是什么?首先通过广播的方式向默认的网关(我这里是59.64.192.1)发送一个DHCP REQUEST报文,以申请获得动态的IP地址,里面包括的内容如实验结果1示网关受到报文后,会回送一个DHCP ACK报文,以告诉申请方已经将IP地址分配过去,本次实验分配的地址是59.64.192.48之后本机还要广播自己的地址映射关系,用ARP数据报。
其形式是这样的:本机发送ARP请求查找它自己的IP地址,这样就会使每台主机在ARP缓存中加入一个映射表象,即让其他主机知道了当前本机的地址,相应的数据报如下图示 DHCP REQUEST 数据报 DHCP ACK数据报ARP数据报4) 捕获ICMP分组:分组一 相应ICMP译码输出分析ICMP分组:字 段报文(16进制) 内 容类 型03终点不可达代 码03端口不可达校 验 和bf 73头部校验和为bf 73此ICMP报文是差错报文,报告差错为终点不可达中的端口不可达通过ping命令产生ICMP报文二相应的ICMP译码输出分析ICMP分组:字 段报文(16进制) 内 容类 型08问一台机器是否仍处于活动状态代 码00校 验 和19 5c头部校验和为195c此ICMP为用来判断指定目标是否可达以及是否活着的报文,是ping命令中常用的5) 制作一个8000字节的IP数据分组,发送后捕获分析由于分组长度大于1500字节,因此需要分片传输按照2)中的方法分析所有分片的结构。
IP分组一其相应的分析如下表字段报文(16进制)内 容报头长度45报头长20字节服务类型00正常时延,正常吞吐量,正常可靠性总长度05 dc分组长度1500字节标识0b 6e标识为2926标志20DF=0,MF=1,允许分片,当前片不是最后片偏移值00偏移量为0生存周期80每跳生存周期为128s协议01携带的数据来自ICMP协议头部校验和A9 F7头部校验和为A9 F7源地址3b 40 c0 b8源地址为 59.64.192.184目的地址d3 5e 90 64目的地址为 211.94.144.100IP分组二其相应的分析如下表字段报文(16进制)内 容报头长度45报头长20字节服务类型00正常时延,正常吞吐量,正常可靠性总长度05 dc分组长度1500字节标识0b 6e标识为2926标志20DF=0,MF=1,允许分片,当前片不是最后片偏移值20 B9偏移量为1480生存周期80每跳生存周期为128s协议01携带的数据来自ICMP协议头部校验和A9 3E头部校验和为A9 3E源地址3b 40 c0 b8源地址为 59.64.192.184目的地址d3 5e 90 64目的地址为 211.94.144.100IP分组三其相应的分析如下表字段报文(16进制)内 容报头长度45报头长20字节服务类型00正常时延,正常吞吐量,正常可靠性总长度05 dc分组长度1500字节标识0b 6e标识为2926标志2XDF=0,MF=1,允许分片,当前片不是最后片偏移值21 72偏移量为2960生存周期80每跳生存周期为128s协议01携带的数据来自ICMP协议头部校验和A8 85头部校验和为A8 85源地址3b 40 c0 b8源地址为 59.64.192.184目的地址d3 5e 90 64目的地址为 211.94.144.100IP分组四其相应的分析如下表字段报文(16进制)内 容报头长度45报头长20字节服务类型00正常时延,正常吞吐量,正常可靠性总长度05 dc分组长度1500字节标识0b 6e标识为2926标志2XDF=0,MF=1,允许分片,当前片不是最后片偏移值22 2b偏移量为4440生存周期80每跳生存周期为128s协议01携带的数据来自ICMP协议头部校验和A7 CC头部校验和为A7 CC源地址3b 40 c0 b8源地址为 59.64.192.184目的地址d3 5e 90 64目的地址为 211.94.144.100IP分组五其相应的分析如下表字段报文(16进制)内 容报头长度45报头长20字节服务类型00正常时延,正常吞吐。