网络协议作业

实验二TCP/IP协议数据包分析一、实验目的基于网络协议分析工具Wireshark（原为Ethereal），通过多种网络应用的实际操作，学习和掌握不同网络协议数据包的分析方法，提高TCP/IP协议的分析能力和应用技能。二、实验前的准备二人一组，分组实验；熟悉Ping、Tracert等命令，学习FTP、HTTP、SMTP和POP3协议；安装软件工具Wireshark，并了解其功能、工作原理和使用方法；安装任一种端口扫描工具；阅读本实验的阅读文献；三、实验内容、要求和步骤3.1学习Wireshark工具的基本操作学习捕获选项的设置和使用，如考虑源主机和目的主机，正确设置CaptureFilter；捕获后设置DisplayFilter。Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。网络封包分析软件的功能可想像成电工技师使用电表来量测电流、电压、电阻的工作-只是将场景移植到网络上，并将电线替换成网络线。在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。软件简介Wireshark使用目的：网络管理员使用Wireshark来检测网络问题，网络安全工程师使用Wireshark来检查资讯安全相关问题，开发者使用Wireshark来为新的通讯协定除错，普通使用者使用Wireshark来学习网络协定的相关知识当然，有的人也会“居心叵测”的用它来寻找一些敏感信息……Wireshark不是入侵侦测软件（IntrusionDetectionSoftware,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。3.2PING命令的网络包捕获分析PING命令是基于ICMP协议而工作的，发送4个包，正常返回4个包。以主机210.31.40.41为例，主要实验步骤为：（1）设置“捕获过滤”：在CaptureFilter中填写host210.31.40.41；（2）开始抓包；（3）在DOS下执行PING命令；（4）停止抓包。（5）设置“显示过滤”:IP.Addr=210.31.40.41（6）选择某数据包，重点分析其协议部分，特别是协议首部内容，点开所有带+号的内容。（7）针对重要内容截屏，并解析协议字段中的内容，一并写入WORD文档中。源ip地址：222.31.141.241目的ip地址：222.31.140.212；TTL值为64，可判断目的主机操作系统为windows。分析：源ip地址：222.31.141.241目的ip地址：222.31.140.212IP协议版本：4头部长度：20字节TTL值为64，可判断目的主机操作系统为windows版本：4总长度：60Fragmentoffset：0一片偏移协议：ICMP协议头部校验和：源212.31.141.241222.31.140.212IMCP：类型：8代码：0校验和0x4d0f标识符0x04003.3TRACERT命令数据捕获观察路由跳步过程。分别自行选择校内外2个目标主机。比如，（1）校内：tracert210.31.32.8（2）校外：tracert生存时间(TTL)值的“Internet控制消息协议(ICMP)”回应数据包，Tracert诊断程序确定到目标所采取的路由。要求路径上的每个路由器在转发数据包之前至少将数据包上的TTL递减1。数据包上的TTL减为0时，路由器应该将“ICMP已超时”的消息发回源系统。Tracert先发送TTL为1的回应数据包，并在随后的每次发送过程将TTL递增1，直到目标响应或TTL达到最大值，从而确定路由。通过检查中间路由器发回的“ICMP已超时”的消息确定路由。某些路由器不经询问直接丢弃TTL过期的数据包，这在Tracert实用程序中看不到。（1）校内：分析：源ip地址：222.31.141.241目的ip地址：222.31.140.212IP协议版本：4头部长度：20字节TTL值为64，可判断目的主机操作系统为windows版本：4总长度：92Fragmentoffset：0一片偏移协议：ICMP协议头部校验和：源212.31.141.241222.31.140.212IMCP：类型：8代码：0校验和0xff97标识符0x0400序列号103(2)校外：分析：源ip地址：222.31.141.241目的ip地址：23.201.102.40IP协议版本：4头部长度：20字节TTL值为64，可判断目的主机操作系统为windows版本：4总长度：317Fragmentoffset：0一片偏移协议：HTTP协议头部校验和：0*0000源212.31.141.241222.31.140.212端口扫描数据捕获与分析（1）各组自行下载和安装某个端口扫描工具，比如NMAP、SUPERSCAN、SCANPORT、SSPORT、TCPVIEW。（2）扫描对方的主机，获得开放的端口号。捕获其所有相关信息和协议内容。显示过滤举例：tcp.port=139Portmap.prot（3）关闭某一开放的端口，重新扫描，观察捕获效果。换主机之后3.4FTP协议包捕获与分析登录学校FTP服务器：，重点捕获其3个关键过程：（1）FTP服务器的登录捕获USER和PWD的内容，分析FTP、TCP、IP协议的首部信息。FTP服务器的端口号为21，用于控制连接。分析：IP：源ip地址：222.31.141.241目的ip地址：210.31.32.5IP协议版本：4头部长度：20字节TTL值为127，版本：4总长度：65变时：0×301b协议：TCP协议头部校验和：源222.31.141.241目的210.31.32.5TCP：源端口：ftp(21)目的端口：6335序列号:305下一相关序列号：320相关ack号：29头部长度：20字节（2）FTP文件的下载过程要求分别下载三个大小不同的文件（小于1MB、1MB—10MB、10MB以上），观察FTP、TCP和IP协议中的数据分片过程。分析：IP：源ip地址：222.31.141.241目的ip地址：210.31.32.5IP协议版本：4头部长度：20字节TTL值为127，版本：4总长度：65变时：0×1df8协议：TCP协议头部校验和：源222.31.141.241目的210.31.32.5TCP：源端口：ftp(21)目的端口：6438序列号:552下一相关序列号：557相关ack号：228头部长度：20字节分析：IP：源ip地址：222.31.141.241目的ip地址：210.31.32.5IP协议版本：4头部长度：20字节TTL值为127，版本：4总长度：65变时：0×1df8协议：TCP协议头部校验和：源222.31.141.241目的210.31.32.5TCP：源端口：ftp-data(20)目的端口：6436序列号:1461下一相关序列号：2921相关ack号：1头部长度：20字节（3）FTP服务的退出过程分析FTP、TCP、IP协议的不同内容。分析：IP：源ip地址：210.31.32.5目的ip地址：222.31.141.241IP协议版本：4头部长度：20字节TTL值为127版本：4总长度：53变时：0×4d09协议：TCP（6）头部校验和：源地址：210.31.32.5目的地址：222.31.141.241TCP：源端口：ftp(21)目的端口：6438序列号:594下一相关序列号：607相关ack号：234头部长度：20字节窗口大小：653023.5HTTP协议包的捕获与分析访问谷歌IP：源ip地址222.31.141.241目的ip地址74.82.63.228IP协议版本：4头部长度：20字节TTL值为64，可判断目的主机操作系统为windows版本：4总长度：41协议：TCP（6）头部校验和：源地址：222.31.141.241目的地址：74.82.63.228TCP：源端口：6156目的端口：http（80）序列号：297Ack号：568头部长度：20字节窗口大小：63673EMAIL协议包的捕获与分析登录到校内外的邮件系统，捕获自己的登录信息，重点分析其SMTP、POP3协议的内容。注意其端口号分别是25和110。四、思考题（1）在FTP服务中，FTP数据长度为什么是1460字节？答：最大传输单元是1460字节是TCP层的报文段(segment)的长度限制。（2）如何捕获FTP服务的结束数据包？答：可以在filter那个框里面输入ftp直接显示ftp数据包，然后再看一下information里的信息选择接受数据包。（3）在端口扫描中，对应的协议有TCP和UDP。应该如何查找某端口对应的服务类型？答：用netstat-a—n命令查看（4）不指定IP地址时，为什么有的邻近主机捕获不到？答：网络协议（IP）是网络上信息从一台计算机传递给另一台计算机的方法或者协议。网络上每台计算机（主机）至少具有一个IP地址将其与网络上其他计算机区别开。当你发送或者接受信息时（例如，一个电子邮件信息或一个网页），信息被分成几个小块，称为信息包。每个信息包都包含了发送者和接受者的网络地址。网关计算机读到了目的地址，信息包继续向前到下一个邻近的网关照例读到目的地址，如此一直向前通过网络，直到一个网关确认这个信息包属于其最紧邻或者其范围内的计算机。最终直接进入到其指定地址的计算机。因为一个信息被分成了许多信息包，如果必要，每个信息包能够通过网络不同的路径发送。信息包能按照与它们发送时的不同顺序到达。网络协议（IP）仅仅是递送他们。另外一个协议，传输控制协议（TCP）才是能够将它们按照正确顺序组合回原样。IP是一个无连接协议，这就意味着在通信的终点之间没有连续的线路连接。每个信息包作为一个处理过的独立的单元在网络上传输，这些单元之间没有相互的联系。（信息包能放在正确的位置上是因为TCP，明了信息中信息包顺序的面向连接协议。）在开放的系统互连（OSI）通讯模式中IP位于第三层??网络层。如今最广泛应用的IP版本是IPv4。然而，IP版本6（IPv6）也已经开始使用了。IPv6为了更长的地址做准备，因此可以满足更多网络使用者的需要。IPv6包括了IPv4的功能，任何支持IPv6信息包的服务器同样也支持IPv4信息包。（5）PING命令操作时，为什么会捕获ARP协议的数据包？答：因为ARP协议是“AddressResolutionProtocol”的缩写。在局域网中，网络中实际传输的是帧，帧里面是有目标主机的MAC地址的。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址以保证通信的顺利进行。