《现代通信技术Experiment》由会员分享,可在线阅读,更多相关《现代通信技术Experiment(15页珍藏版)》请在金锄头文库上搜索。
1、实验二使用wireshark观察数据链路层和ip层的首部信息一、实验目的:1、掌握嗅探器工具Wireshark的使用方法;2、理解数据链路层帧头和ip层报头;二、实验配置与因特网连接的计算机;主机操作系统为windows; Wireshark、IE等软件。三、实验步骤:1注意:要提前将qq等通信软件和网页关闭,并将IE的默认页设为空白,以在 实验中受到干扰。2单击“Capture”菜单中的“Start”菜单项开始抓包。注意:第一次应设置I nterface,指定在哪个接口(网卡)上抓包;并且要关闭混杂模式,即关闭Cap ture packets in promiscuous mode 选项。3
2、启动IE浏览器,地址栏中填http:/,等到学校主页页面完 全显示出来后,单击软件中的stop按钮,停止包的抓获;4单击选中相应的数据包,在树形视图面板中看它各层协议首部的详细信息。5针对运行结果,仔细观察1到2条数据包信息,回答思考题。问题思考:1 Wireshark是一款什么样的软件,有什么作用?2任意找出第一条HTTP协议数据包进行分析,问题(2)参看课本的以太网的帧 格式理解,问题(3)参看课本的ip数据报的格式理解。(1)观察frame层,写出这个数据包的捕获时间,这个包与第一个包的相 对时间增量,帧序号,数据包的长度,捕获的长度。(2)观察ethernet层首部,帧首部占用了多少字
3、节?类型是什么,代表什 么意思?其中发送数据包的计算机mac地址和接收数据包的计算机的mac地址各 是什么?(3)观察ip层首部,该ip协议版本号是多少?首部长度是几个字节?整 个ip数据报长度是多少字节?源ip地址和目的ip地址各是什么?(4)从数据部分可以看出你所访问的服务器所运行的HTTP版本号是多少?实验三TCP/IP协议学习实验目的:巩固对Ethernet II封包、ARP分组及IP、ICMP数据包的认识实验操作:打开Wireshark,在菜单Capture下点击Interfaces,选取要抓包 的网卡,这里选取地址为192.168.126.1的这个网卡抓取数据包,如图3-1:图3-
4、1选择抓取数据包网卡之后在主操作系统中使用ping 192.168.126.128 - t的命令, 拟机。好,我们来看看抓取的数据包。来ping虚图3-2 ARP广播包从Wireshark的第一栏中,我们看到这是个ARP解析的广播包,如图3-2。 由于这个版本的Wireshark使用的是Ethernet II来解码的,我们先看看 Ethernet II的封装格式。如下图3-3:图3-3以太网封包格式注意这个和802.3是有区别的,802.3的封包格式如图3-4:图3-4 802.3封包格式尽管Ethernet II和802.3的封包格式不同,但Wireshark在解码时,都 是从“类型”字段来
5、判断一个包是IP数据报还是ARP请求/应答或RARP请求/ 应答。从Ethernet II知道了是ARP解析以后,我们来看看Wireshark是如何判 断是ARP请求呢还是应答的。我们先复习一下以太网的ARP请求和应答的分组格式,如图3-5。L建件地比任度一I 协议荆址长度1 乂太间1 infill以大网TO.it葺”型彩.以大网形址很1:比址日肘g太向ij的: 曜w662221a1ir以大回肖部 亍 水字节rrj请求.应答7图3-5分组格式从上图中我们了解到判断一个ARP分组是ARP请求还是应答的字段是“ op”, 当其值为0X0001时是请求,为0X0002时是应答。如图3-6、3-7。-
6、Ini x|辱 ping - Ethereal1 Frame 1 (42 bytes on ref 42 bytes Gaoturedt日 Ethernet II, 5rc: 00:0:56:cO:01, Dst: ff:ff:ff:ff:ff:ff Destination: ff:ff:ff:ff:ff:ff (BrOedcast Source : 00: c(J: UU: U1 CL92.上白罟.j.Efci.2Lj Type: ARP (0x08063:.:El Address Resol ufion Protocol (request5 Ethernet :0;000i IP (g8C
7、Oopcode: request (0-XD001HardwareProtocolHardwareProtocoltype: type; size: s戏e:sender sender Target TargetMAC address 00:50:56:cQ;Q0:01 (192.168.126.1) ih address:iss. 12*5,1 (192:.iss. 12j&.MAC address : 00 : t)0: )0 : 00: Q0 : tO (00 : 00:.)0_00:00 : 00) IP address: 192.168.12.128 (192.168.126.128
8、)代。,。户 ff ff0010 08 00 060020 0D OQ 00100 011ff ff 肝 04 00 OO-QOOpcode (arp .ocoda), 2 bytaf图3-6 ARP请求图3-7 ARP应答我们看看第三个帧的内容。第三帧“类型”显示是IP数据报,如图3-8:_! x|ping - Ethereal0000001000000300040o 1 o e 7- c J o o 6 6 o o 3 d 6 o 8 0 6 6 2 o b c 52 o 5 6 68 o 1 b 4 f o 3 6 6 4 _d o _d 39 2 0 6 6 9 3 s 9 2 2 0
9、 0 6 6 c c o 8 1 o 3 8 6 6 o o e 7 70 0 7 6 7-o o 1 1o c 6 7 0 4 1 o 9 c c o 7 618 2 7J 15 746365 o cl- CJ 4 c 6 7o 8 6 6 o _d 6 7 | Type (eth.type), 2 bytesP: 29 : 29 M: D图 3-8 ICMP ping 包同样,我们先复习一下IP包的封包格式,如图3-9:D15 16314位4位首部E位限务类理技位总长旧字节部长度(TOSiM位标识捋位片懦移F间岫2位首部核臆和2。阜节坦位海p地址立位目的IP地址选项倒i果有)图3-9 IP
10、封包格式关于IP封包各字段的内容及意义,这里就不再详述了,可以参见三卷本的 TCP/IP, 的“资源共享”版里有下载。我们主要看看TTL,从图3-10和3-11的比较来看,图3-8中的TTL是128, 而图3-11中的TTL却是64,什么原因呢?原来图3-10中的主机是Windows2000,而3-11中的主机是Linux,看来 不同操作系统的TTL是不同的。(3 0.001202 12.168.12&.1 192.168.126.128 ICMP Echo (ping) requestL 田 Frame 3 (74 bytes on vine* 74 bytes captured) 田 Et
11、hernet II, src: 00:50:56:CO:Q0:01, DST : 00:0c:29:94:f8:22i 3 internet Protocol, src Addr: 12.168.126.1 (152.158,12 6.1), Dst Addr:168.126,128version: 4Header length: 20 bytesEl Differantia.ted services Pl eld: 0x00 (dScp 0x00: Default; ecn : 0x00) 0000 00. = Differentl ated servi ces codepoirrt: De
12、fault (0x0。) ,.,0, = ECNYapable Transport (Eb): 0 0 M ECN-CE: 0Total Length: 60Identification: QxO32a (S10 Flags: 0x00口=Reserved bit: Not setr 0,F = Don t fragment: Not sei Cl = More fragments: Not setFragment offset: 0Timtu28Protocol: ICMP (0x01)Header checksum: 0xb9c4 (correct)source: 192.168.126.1 (192.168.126.1)Destination: 192.168.126.12B (192.168.126.128?!B inxerneT control Message protocolType: 8 (Echo (ping) request) code: 0 checksum: 0x315b (correct) Identifier: 0x0300 Sequence number: 0x1901 Data (32 bytes)图 3-10 Windows 主机的 TTL峰 4 0.001727 192.1Bai26
