TCPIP网络协议分析报告

《TCP/IP网络协议分析》实验报告学号：姓名:班级：时间：2015年5月12一、Wireshark使用1.实验步骤(附上图片)1.启动Web浏览器（如IE）；2.启动Wireshark；3.开始分组捕获：单击工具栏的按钮，出现如图3所示对话框，[options]按钮可以进行系统参数设置，在绝大部分实验中，使用系统的默认设置即可。当计算机具有多个网卡时，选择其中发送或接收分组的网络接口（本例中，第一块网卡为虚拟网卡，第二块为以太网卡）。单击“Start”开始进行分组捕获；4.在运行分组捕获的同时，在浏览器地址栏中输入某个网页的URL，如：当完整的页面下载完成后，单击捕获对话框中的“stop”按钮，停止分组捕获。此时，Wireshark主窗口显示已捕获的你本次通信的所有协议报文6.在协议筛选框中输入“http”，单击“apply”按钮，分组列表窗口将只显示HTTP协议报文。7.选择分组列表窗口中的第一条http报文，它是你的计算机发向服务器（实验思考题（标题宋体四号）(1)列出在第5步中分组列表子窗口所显示的所有协议类型；(2)从发出HTTPGET报文到接收到对应的HTTPOK响应报文共需要多长时间？（分组列表窗口中Time列的值是从Wireshark开始追踪到分组被捕获的总的时间数，以秒为单位）(3)你主机的IP地址是什么？你访问的服务器的IP地址是什么？二、使用Wireshark分析以太网帧与ARP协议1.实验步骤(附上图片)1、俘获和分析以太网帧（1）选择工具-Internet选项-删除文件（2）启动Wireshark分组嗅探器（3）在浏览器地址栏中输入如下网址：会出现美国权利法案。（4）停止分组俘获。在俘获分组列表中（listingofcapturedpackets）中找到HTTPGET信息和响应信息，（如果你无法俘获此分组，在Wireshark下打开文件名为ethernet--ethereal-trace-1的文件进行学习）。HTTPGET信息被封装在TCP分组中，TCP分组又被封装在IP数据报中，IP数据报又被封装在以太网帧中）。在分组明细窗口中展开EthernetII信息（packetdetailswindow）。回答下面的问题：1、你所在的主机48-bitEthernet地址是多少？2、Ethernet帧中目的地址是多少？这个目的地址是gaia.cs.umass.edu的Ethernet2、分析地址ARP协议（1）清除ARPcache，具体做法：在MSDOS环境下，输入命令arp–d*command，The–d表示清除操作,*删除alltableentries.（2）选择工具-Internet选项-删除文件（3）启动Wireshark分组俘获器（4）在浏览器地址栏中输入如下网址：（5）停止分组俘获。（6）选择Analyze-EnabledProtocols-取消IP选项-选择OK2.实验思考题（标题宋体四号）根据实验，回答下面问题：由于此实验是关于Ethernet和ARP的，所以，只需在分组俘获列表中显示IP层下面的协议，具体做法为：选择Analyze-EnabledProtocols-不选择IP协议-selec三、使用Wireshark分析IP协议1、实验步骤2、分析IPv4中的分片在第二个实验中，我们将考察IP数据报首部。俘获此分组的步骤如下：（1）启动Wireshark，开始分组俘获（“Capture”-----“interface…”----“start”）。（2）启动pingplotter（pingplotter的下载地址为）,在“Addresstotrace:”下面的输入框里输入目的地址，选择菜单栏“Edit”---“Options”---“Packet”,在“Packetsize(inbytesdefaults=56):”右边输入IP数据报大小：5000，按下“OK”。最后按下按钮“Trace”,你将会看到pingplotter窗口显示如下内容，（3）停止Wireshark。设置过滤方式为：IP，在Wireshark窗口中将会看到如下情形2、实验报告内容打开文件dhcp_isolated.cap、fragment_5000_isolated.cap，回答以下问题：1、DHCP服务器广播的本地路由器或默认网关的IP地址是多少？2、在dhcp_isolated.cap中，由DHCP服务器分配的域名是多少？3、在fragment_5000_isolated.cap中，我们看到通过UDP数据报发送的5000字节被分成了多少分片？在网络中，一次能传输且不需要分片的最大数据单元有多大？分成17片，最大1515四、利用Wireshark分析ICMP1、实验步骤1、ping和ICMP利用Ping程序产生ICMP分组。Ping向因特网中的某个特定主机发送特殊的探测报文并等待表明主机在线的回复。具体做法：（1）打开Windows命令提示符窗口（WindowsCommandPrompt）。（2）启动Wireshark分组嗅探器，在过滤显示窗口（filterdisplaywindow）中输入icmp,开始Wireshark分组俘获。（3）输入“ping–n10hostname”。其中“-n10”指明应返回10条ping信息。（4）当ping程序终止时，停止Wireshark分组俘获。停止分组俘获后，在实验报告中回答下面问题：（1）你所在主机的IP地址是多少？目的主机的IP地址是多少？（2）查看ping请求分组，ICMP的type和code是多少？（3）查看相应得ICMP响应信息，ICMP的type和code又是多少？2.ICMP和Traceroute在Wireshark下，用Traceroute程序俘获ICMP分组。Traceroute能够映射出通往特定的因特网主机途径的所有中间主机。源端发送一串ICMP分组到目的端。发送的第一个分组时，TTL=1；发送第二个分组时，TTL=2，依次类推。路由器把经过它的每一个分组TTL字段值减1。当一个分组到达了路由器时的TTL字段为1时，路由器会发送一个ICMP错误分组（ICMPerrorpacket）给源端。(1)启动Window命令提示符窗口(2)启动Wireshark分组嗅探器，开始分组俘获。（3）Tracert命令在c:\windows\system32下，所以在MS-DOS命令提示行或者输入“tracerthostname”or“c:\windows\system32\tracerthostname”(注意在Windows下,命令是“tracert”而不是“traceroute”。)（4）当Traceroute程序终止时，停止分组俘获。在实验报告中回答下面问题：（1）查看ICMPecho分组，是否这个分组和前面使用ping命令的ICMPecho一样？不一样前者32位，后者64位（2）查看ICMP错误分组，它比ICMPecho分组包括的信息多。ICMP错误分组比ICMPecho分组多包含的信息有哪些？Type:8code:0还多了一部分是原数据包的头部：20bytes2.实验思考题（标题宋体四号）回答下列问题：1、DHCP是基于UDP还是TCP发送的？udp2、连接层的IP地址是多少？10.68.246.1413、DHCP服务器的IP地址是多少？10.68.246.107