ARP攻防技术&MAC协议分析

longjilongjilongji

ARP攻击

什么是ARP

ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的底层协议，负责将某个IP地址解析成对应的MAC地址。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。

ARP协议：

是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。所以说从某种意义上讲ARP协议是工作在更低于IP协议的协议层。这也是为什么ARP欺骗更能够让人在神不知鬼不觉的情况下出现网络故障，他的危害更加隐蔽。

ARP攻击原理

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP 通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP 缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP 木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

ARP攻击后现象与危害

ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。

ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。

基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到ARP攻击的计算机会出现两种现象：

1.不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。

2.计算机不能正常上网，出现网络中断的症状。

因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击。

ARP攻击导致广播风暴：

计算机不断出现IP地址冲突的提示，重启后不久就重新出现这种情况，升级到最新病毒库却未查出病毒。这种现象，是因为局域网中有计算机感染了病毒，不断的向局域网发送广播，并采用了IP地址欺骗和MAC地址欺骗的方法以躲过扫描。也有可能是有人在局域网中使用了黑客软件，如网络执法官、网络剪刀手等黑客软件，对局域网进行攻击，也是采用了ARP攻击导致了广播风暴。

对策：激活防止ARP病毒攻击。在路由器中打开该选项，或者为计算机安装防范ARP攻击的软件，如360安全卫士的局域网ARP攻击拦截的保护功能等；对局域网内每一台计算机绑定网管的IP和其mac地址；给每一台计算机安装最新补丁，最好通过在局域网内架设补丁服务器（WSUS）来确保每一台计算机都能打上最新的补丁程序，如关键更新、安全更新和Service Pack；给系统管理员帐户设置足够复杂的强密码；经常更新杀毒软件的病毒库和网

络软件防火墙的规则库；关闭一些不需要的服务；不随意点击聊天工具里出现的超链接、邮件的附件和来历不明的程序。

1) 网络视频引发广播风暴

部分视频网络传输设备为了便于网络视频点播，常常采用UDP的方式，以广播数据包的形式对外进行发送，如果在专用网络中也使用这种方式，很容易引发广播风暴，导致网络阻塞，因此必须通过相关设置来杜绝这类故障。

对策：将视频网络传输设备所连接的交换机端口进行一些设置，对设备本身的网络传输模式以及传送协议类型进行更改，消除网络广播风暴。

2) 恶劣环境引发广播风暴

如不合适的温度、湿度、震动和电磁干扰等，尤其是电磁干扰比较严重的环境下，同样也有可能会使网络变得不稳定，造成数据传输错误，引发广播风暴。

对策：要严格执行接地要求，特别是涉及远程线路的网络转接设备，否则达不到规定的连接速度，导致在联网过程中产生莫名其妙的故障；另外在建网之初必须考虑尽量避免计算机或者网络介质直接暴露强磁场中，如电磁炉、高压电缆、电源插头处等等；定期对计算机进行清洁工作。

ARP病毒

传奇外挂携带的ARP木马攻击,当局域网内使用外挂时，外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，致同一网段地址内的其它机器误将其作为网关，掉线时内网是互通的，计算机却不能上网。方法是在能上网时，进入MS-DOS窗口，输入命令：arp –a查看网关IP对应的正确MAC地址，将其记录，如果已不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网，一旦能上网就立即将网络断掉，禁用网卡或拔掉网线，再运行arp –a。

如已有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。可在MS-DOS窗口下运行以下命令：arp –s 网关IP 网关MAC。如被攻击，用该命令查看，会发现该MAC已经被替换成攻击机器的MAC，将该MAC记录，以备查找。找出病毒计算机：如果已有病毒计算机的MAC地址，可使用NBTSCAN软件找出网段

内与该MAC地址对应的IP，即病毒计算机的IP地址。

ARP欺骗

网吧是最常见的局域网，相信很多读者都曾经到网吧上网冲浪。不过在使用过程中是否出现过别人可以正常上网而自己却无法访问任何页面和网络信息的情况呢？虽然造成这种现象的情况有很多，但是目前最常见的就是ARP欺骗了，很多黑客工具甚至是病毒都是通过ARP欺骗来实现对主机进行攻击和阻止本机访问任何网络信息的目的。

ARP欺骗的原理：

首先我们可以肯定一点的就是发送ARP欺骗包是通过一个恶毒的程序自动发送的，正常的TCP/IP网络是不会有这样的错误包发送的，而人工发送又比较麻烦。也就是说当黑客没有运行这个恶毒程序的话，网络上通信应该是一切正常的，保留在各个连接网络计算机上的ARP缓存表也应该是正确的，只有程序启动开始发送错误ARP信息以及ARP欺骗包时才会让某些计算机访问网络出现问题。接下来我们来阐述下ARP欺骗的原理。

第一步：假设这样一个网络，一个Hub或交换机连接了3台机器，依次是计算机A，B，C。A的地址为：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA

B的地址为：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB

C的地址为：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC

第二步：正常情况下在A计算机上运行ARP -A查询ARP缓存表应该出现如下信息。Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 CC-CC-CC-CC-CC-CC dynamic

第三步：在计算机B上运行ARP欺骗程序，来发送ARP欺骗包。

B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3

（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP 缓存（A可不知道被伪造了）。而且A不知道其实是从B发送过来的，A这里只有192.168.10.3（C的IP地址）和无效的DD-DD-DD-DD-DD-DD mac地址。

第四步：欺骗完毕我们在A计算机上运行ARP -A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 DD-DD-DD-DD-DD-DD dynamic

从上面的介绍我们可以清楚的明白原来网络中传输数据包最后都是要根据MAC地址信息的，也就是说虽然我们日常通讯都是通过IP地址，但是最后还是需要通过ARP协议进行地址转换，将IP地址变为MAC地址。而上面例子中在计算机A上的关于计算机C的MAC地址已经错误了，所以即使以后从A计算机访问C计算机这个192.168.1.3这个地址也会被ARP 协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。

问题也会随着ARP欺骗包针对网关而变本加厉，当局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网。这就造成了无法访问外网的问题，另外由于很多时候网关还控制着我们的局域网LAN上网，所以这时我们的LAN访问也就出现问题了。

ARP欺骗的危害：

前面也提到了ARP欺骗可以造成内部网络的混乱，让某些被欺骗的计算机无法正常访问内外网，让网关无法和客户端正常通信。实际上他的危害还不仅仅如此，一般来说IP地址的冲突我们可以通过多种方法和手段来避免，而ARP协议工作在更低层，隐蔽性更高。系统并不会判断ARP缓存的正确与否，无法像IP地址冲突那样给出提示。而且很多黑客工具例如网络剪刀手等，可以随时发送ARP欺骗数据包和ARP恢复数据包，这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否，甚至

还可以直接对网关进行攻击，让所有连接网络的计算机都无法正常上网。这点在以前是不可能的，因为普通计算机没有管理权限来控制网关，而现在却成为可能，所以说ARP欺骗的危害是巨大的，而且非常难对付，非法用户和恶意用户可以随时发送ARP欺骗和恢复数据包，这样就增加了网络管理员查找真凶的难度。

ARP攻击的防护

防止ARP攻击是比较困难的,修改协议也是不大可能。但是有一些工作是可以提高本地网络的安全性。首先，你要知道，如果一个错误的记录被插入ARP或者IP route表，可以用两种方式来删除。

a. 使用arp –d host_entry

b. 自动过期，由系统删除

这样，可以采用以下的一些方法：

1）. 减少过期时间

#ndd –set /dev/arp arp_cleanup_interval 60000

#ndd -set /dev/ip ip_ire_flush_interval 60000

60000=60000毫秒默认是300000

加快过期时间，并不能避免攻击，但是使得攻击更加困难，带来的影响是在网络中会大量的出现ARP请求和回复，请不要在繁忙的网络上使用。

2）. 建立静态ARP表

这是一种很有效的方法，而且对系统影响不大。缺点是破坏了动态ARP协议。可以建立如下的文件。

https://www.360docs.net/doc/7d10820289.html, 08:00:20:ba:a1:f2

user. https://www.360docs.net/doc/7d10820289.html, 08:00:20:ee:de:1f

使用arp –f filename加载进去，这样的ARP映射将不会过期和被新的ARP数据刷新，除非使用arp –d才能删除。但是一旦合法主机的网卡硬件地址改变，就必须手工刷新这个arp文件。这个方法，不适合于经常变动的网络环境。

3）．禁止ARP

可以通过ipconfig interface –arp 完全禁止ARP，这样，网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表，如果不在apr表中的计算机，将不能通信。这个方法不适用与大多数网络环境，因为这增加了网络管理的成本。但是对小规模的安全网络来说，还是有效可行的。

但目前的ARP病毒层出不穷,已经不能单纯的依靠传统的方法去防范,比如简单的绑定本机ARP表,我们还需要更深入的了解ARP攻击原理,才能够通过症状分析并解决ARP欺骗的问题。

MAC地址

MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。IP地址与MAC地址在计算机里都是以二进制表示的，IP地址是32位的，而MAC地址则是48位的。MAC地址的长度为48位（6个字节），通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数08:00:20代表网络硬件制造商的编号，它由IEEE（电气与电子工程师协会）分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。只要不去更改MAC地址，那么MAC地址在世界是惟一的。

作用说明

IP地址就如同一个职位，而MAC地址则好像是去应聘这个职位的人才，职位可以既可以让甲坐，也可以让乙坐，同样的道理一个节点的IP地址对于网卡是不做要求，基本上什么样的厂家都可以用，也就是说IP地址与MAC地址并不存在着绑定关系。本身有的计算机流动性就比较强，正如同人才可以给不同的单位干活的道理一样的，人才的流动性是比较强的。职位和人才的对应关系就有点像是IP地址与MAC地址的对应关系。比如，如果一个网卡坏了，可以被更换，而无须取得一个新的IP地址。如果一个IP主机从一个网络移到另一个网络，可以给它一个新的IP地址，而无须换一个新的网卡。当然MAC地址除了仅仅只有

这个功能还是不够的，就拿人类社会与网络进行类比，通过类比，我们就可以发现其中的MAC地址的作用。

无论是局域网，还是广域网中的计算机之间的通信，最终都表现为将数据包从某种形式的链路上的初始节点出发，从一个节点传递到另一个节点，最终传送到目的节点。数据包在这些节点之间的移动都是由ARP（Address Resolution Protocol：地址解析协议）负责将IP地址映射到MAC地址上来完成的。其实人类社会和网络也是类似的，试想在人际关系网络中，甲要捎个口信给丁，就会通过乙和丙中转一下，最后由丙转告给丁。在网络中，这个口信就好比是一个网络中的一个数据包。数据包在传送过程中会不断询问相邻节点的MAC 地址，这个过程就好比是人类社会的口信传送过程。相信通过这两个例子，我们就可以进一步理解MAC地址的作用。

地址查看

在人类社会社交中，我们认识一个人往往只会知道他的姓名，而身份证号码在一般的人际交往中会被忽略。同样在网络中，我们往往只会知道同事或者网友的IP地址，并不会去过多地关心对方的MAC地址。要成长为网络高手，我们可以使用一些方法去了解对方的MAC 地址。

在这里介绍两种常用的方法，在Windows 9x 中可用WinIPcfg获得，在Windows 2000/XP 中可用IPconfig -all获得。

使用命令只能单条获得MAC地址，而且使用起来也是很麻烦的。对于网管人员，更希望有一款简单化操作的软件，我们可以利用“MAC扫描器”远程批量获取MAC地址。它是用于批量获取远程计算机网卡物理地址的一款网络管理软件。该软件运行于网络(局域网、Internet都可以)内的一台机器上，即可监控整个网络的连接情况，实时检测各用户的IP、MAC、主机名、用户名等并记录以供查询，可以由用户自己加以备注；能进行跨网段扫描，能和数据库中得IP和MAC地址进行比较，有修改IP的或使用虚假MAC地址的，都能报警。

地址更改

一般MAC地址在网卡中是固定的，当然也有网络高手会想办法去修改自己的MAC地址。修改自己的MAC地址有两种方法，一种是硬件修改，另外一种是软件修改。

硬件的方法就是直接对网卡进行操作，修改保存在网卡的EPROM里面的MAC地址，通过网卡生产厂家提供的修改程序可以更改存储器里的地址。那么什么叫做EPROM呢？EPROM是电子学中一种存储器的专业术语，它是可擦写的，也就是说一张白纸你用钢笔写了一遍以后就不能再用橡皮擦去了，而EPROM这张白纸用铅笔写后可以再擦去，可以反复改变其中数据的存储器。

当然软件修改的方法就相对来说要简单得多了，在Windows中，网卡的MAC保存在注册表中，实际使用也是从注册表中提取的，所以只要修改注册表就可以改变MAC。

Windows 9x中修改：打开注册表编辑器，在

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Service\Class\Net\下的0000，0001，0002。

Windows 2000/XP中的修改：同样打开注册表编辑器，

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\

Class\4D36E970-E325-11CE-BFC1-08002BE10318 中的0000，0001，0002中的DriverDesc，如果在0000找到，就在0000下面添加字符串变量，命名为“NetworkAddress”，值为要设置的MAC地址，例如：000102030405

完成上述操作后重启就好了。一般网卡发出的包的源MAC地址并不是网卡本身写上去的，而是应用程序提供的，只是在通常的实现中，应用程序先从网卡上得到MAC地址，每次发送的时候都用这个MAC作为源MAC而已，而注册表中的MAC地址是在Windows安装的时候从网卡中读入的，只要你的操作系统不重新安装应该问题不大。

地址绑定

平日身份证的作用并不是很大，但是到了有的关键时刻，身份证就是用来证明你的

身份的。比如你要去银行提取现金，这时就要用到身份证。那么MAC地址与IP地址绑定就如同我们在日常生活中的本人携带自己的身份证去做重要事情一样的道理。有的时候，我们为了防止IP地址被盗用，就通过简单的交换机端口绑定（端口的MAC表使用静态表项），可以在每个交换机端口只连接一台主机的情况下防止修改MAC地址的盗用，如果是三层设备还可以提供：交换机端口/IP/MAC 三者的绑定，防止修改MAC的IP盗用。一般绑定MAC地址都是在交换机和路由器上配置的，是网管人员才能接触到的，对于一般电脑用户来说只要了解了绑定的作用就行了。比如你在校园网中把自己的笔记本电脑换到另外一个宿舍就无法上网了，这个就是因为MAC地址与IP地址（端口）绑定引起的。

安全问题

从上面的介绍可以知道，这种标识方式只是MAC地址基于的，如果有人能够更改MAC 地址，就可以盗用IP免费上网了，目前网上针对小区宽带的盗用MAC地址免费上网方式就是基于此这种思路。如果想盗用别人的IP地址，除了IP地址还要知道对应的MAC地址。举个例子，获得局域网内某台主机的MAC地址，比如想得到局域网内名为TARGET主机的MAC 地址，先用PING命令：PING TARGET，这样在我们主机上面的ARP表的缓存中就会留下目标地址和MAC映射的记录，然后通过ARP A命令来查询ARP表，这样就得到了指定主机的MAC 地址。最后用ARP -s IP 网卡MAC地址，命令把网关的IP地址和它的MAC地址映射起来就可以了。

如果要得到其它网段内的MAC地址，那么可以用工具软件来实现，我觉得Windows优化大师中自带的工具不错，点击“系统性能优化”→“系统安全优化”→“附加工具”→“集群Ping”，可以成批的扫出MAC地址并可以保存到文件。

计算机网络实验-HTTP、FTP协议分析

实验二HTTP、FTP协议分析 1. 本次实验包括HTTP、FTP两个协议的分析（详见一、二）。 2. 参考文档所述步骤，完成数据包的捕获并进行分析； 3. 认真撰写实验报告，叙述实验过程要层次分明，对关键的过程或结果截图说明、分析，回答实验文档所提的思考题、问题。一、超文本传输协议(HTTP)分析【实验目的】掌握HTTP协议的原理和报文格式；了解HTTP协议的工作过程；了解应用层协议与传输层协议的关系。【实验内容】用浏览器打开网页，捕获HTTP报文并进行分析编辑一个HTTP数据报文并进行发送，并捕获该报文进行分析。【实验步骤】步骤一：使用浏览器打开网页，捕获HTTP数据包并分析： (1) 在主机上打开协议分析仪，点击工具栏上的“过滤器”，“类型过滤器”的下拉列表中选择“HTTP协议”，确定后开始进行数据捕获：

(2) 使用实验室主机上的浏览器，例如IE，打开一个网页，如URL是 HTTP//https://www.360docs.net/doc/7d10820289.html, (3) 在协议分析器中找到捕获的数据包，观察HTTP请求报文和响应报文，以及其中所使用的命令:

【思考问题】结合实验过程中的实验结果，问答下列问题： 1. 当实验主机上同时打开多个浏览器窗口并访问同一WEB站点的不同页面时，系统是根据什么把返回的页面正确地显示到相应窗口的？一个主页是否只有一个连接？ 2. 请求主页后，返回的浏览器内容的字节长度是多少？ 3. 如果请求一个不存在的网页，服务器将会应答什么？答： 1. 当实验主机上同时打开多个浏览器窗口并访问同一WEB站点的不同页面时，系统是根据地址信息把返回的页面正确地显示到相应窗口的，一个主页是只有一个连接。 2. 请求主页后，返回的浏览器内容的字节长度是 3. 如果请求一个不存在的网页，服务器将会应答404错误。二、FTP协议分析【实验目的】 1、掌握FTP协议的工作原理； 2、了解FTP协议的常用命令，并领会其链路管理、理解FTP的主动模式和被动模式 3、了解应用层协议与传输层协议的关系；【实验内容】 1. 登录FTP服务器，并捕获FTP报文进行分析；

IEEE802.11协议详细介绍

协议X档案:IEEE 802.11协议详细介绍作为全球公认的局域网权威，IEEE 802工作组建立的标准在过去二十年内在局域网领域内独领风骚。这些协议包括了802.3 Ethernet协议、802.5 Token Ring协议、802.3z 100BASE-T快速以太网协议。在1997年，经过了7年的工作以后，IEEE发布了802.11协议，这也是在无线局域网领域内的第一个国际上被认可的协议。在1999年9月，他们又提出了802.11b"High Rate"协议，用来对802.11协议进行补充，802.11b在802.11的1Mbps和2Mbps 速率下又增加了 5.5Mbps和11Mbps两个新的网络吞吐速率,后来又演进到802.11g的54Mbps，直至今日802.11n的108Mbps。 802.11a 高速WLAN协议，使用5G赫兹频段。最高速率54Mbps，实际使用速率约为22-26Mbps 与802.11b不兼容，是其最大的缺点。也许会因此而被802.11g淘汰。 802.11b 目前最流行的WLAN协议，使用2.4G赫兹频段。最高速率11Mbps，实际使用速率根据距离和信号强度可变（150米内1-2Mbps，50米内可达到11Mbps） 802.11b的较低速率使得无线数据网的使用成本能够被大众接受（目前接入节点的成本仅为10-30美元）。另外，通过统一的认证机构认证所有厂商的产品，802.11b设备之间的兼容性得到了保证。兼容性促进了竞争和用户接受程度。 802.11e 基于WLAN的QoS协议，通过该协议802.11a,b,g能够进行VoIP。也就是说，802.11e是通过无线数据网实现语音通话功能的协议。该协议将是无线数据网与传统移动通信网络进行竞争的强有力武器。 802.11g 802.11g是802.11b在同一频段上的扩展。支持达到54Mbps的最高速率。

网络协议分析软件的使用实验报告

实验报告项目名称：网络协议分析工具的使用课程名称：计算机网络B 班级：姓名：学号：教师：信息工程学院测控系

一、实验目的基于网络协议分析工具Wireshark（原为Ethereal），通过多种网络应用的实际操作，学习和掌握不同网络协议数据包的分析方法，提高TCP/IP协议的分析能力和应用技能。二、实验前的准备 ● 二人一组，分组实验； ● 熟悉Ping、Tracert等命令，学习FTP、HTTP、SMTP和POP3协议； ● 安装软件工具Wireshark，并了解其功能、工作原理和使用方法； ● 安装任一种端口扫描工具； ● 阅读本实验的阅读文献；三、实验内容、要求和步骤 3.1 学习Wireshark工具的基本操作学习捕获选项的设置和使用，如考虑源主机和目的主机，正确设置Capture Filter；捕获后设置Display Filter。 3.2 PING命令的网络包捕获分析 PING命令是基于ICMP协议而工作的，发送4个包，正常返回4个包。以主机210.31.40.41为例，主要实验步骤为：（1）设置“捕获过滤”：在Capture Filter中填写host 210.31.38.94；（2）开始抓包；（3）在DOS下执行PING命令；（4）停止抓包。（5）设置“显示过滤”: IP.Addr=210.31.38.94 （6）选择某数据包，重点分析其协议部分，特别是协议首部内容，点开所有带+号的内容。（7）针对重要内容截屏，并解析协议字段中的内容，一并写入WORD文档中。

分析：从这个数据包的分析结果来看我们可以得知：数据包的到达时间为2013年11月28日14：43：15 帧的序号为20411 帧的长度为74bytes（592bits），同时抓取的长度也是74bytes，说明没有丢失数据目的MAC地址为00：25：11:：4b：7a：6e 源MAC地址为00：25：11：4b：7d：6e 使用的协议为Ipv4 网络层的首部长度为20bytes 目的Ip地址为222.31.38.94 源Ip地址为222.31.38.93 数据没有分片说明数据大小没有超过最大传输单元MUT，其中用到了ICMP协议，数据包的生存周期为128 头部校验和为0x01正确 ICMP的校验和为0x01序列号为2304 数据有32bytes 3.3 TRACERT命令数据捕获观察路由跳步过程。分别自行选择校内外2个目标主机。比如，（1）校内：tracert 210.31.32.8 （2）校外：tracert https://www.360docs.net/doc/7d10820289.html,

80211协议简述

第一课IEEE 802.11协议简述作为全球公认的局域网权威，IEEE 802工作组建立的标准在过去二十年内在局域网领域内独领风骚。这些协议包括了802.3 Ethernet协议、802.5 Token Ring协议、802.3z 100BASE－T快速以太网协议。在1997年，经过了7年的工作以后，IEEE发布了802.11协议，这也是在无线局域网领域内的第一个国际上被认可的协议。在1999年9月，他们又提出了802.11b"High Rate"协议，用来对802.11协议进行补充，802.11b在802.11的1Mbps和2Mbps速率下又增加了5.5Mbps和11Mbps两个新的网络吞吐速率。利用802.11b，移动用户能够获得同Ethernet一样的性能、网络吞吐率、可用性。这个基于标准的技术使得管理员可以根据环境选择合适的局域网技术来构造自己的网络，满足他们的商业用户和其他用户的需求。802.11协议主要工作在ISO协议的最低两层上，并在物理层上进行了一些改动，加入了高速数字传输的特性和连接的稳定性。主要内容： 1.80 2.11工作方式 2.802.11物理层 3.802.11b的增强物理层 4.802.11数字链路层 5.联合结构、蜂窝结构和漫游 1. 80 2.11工作方式 802.11定义了两种类型的设备，一种是无线站，通常是通过一台PC机器加上一块无线网络接口卡构成的，另一个称为无线接入点(Access Point, AP)，它的作用是提供无线和有线网络之间的桥接。一个无线接入点通常由一个无线输出口和一个有线的网络接口(802.3接口)构成，桥接软件符合802.1d桥接协议。接入点就像是无线网络的一个无线基站，将多个无线的接入站聚合到有线的网络上。无线的终端可以是802.11PCMCIA卡、PCI接口、ISA接口的，或者是在非计算机终端上的嵌入式设备(例如802.11手机)。 2. 802.11物理层在802.11最初定义的三个物理层包括了两个扩散频谱技术和一个红外传播规范，无线传输的频道定义在2.4GHz的ISM波段内，这个频段，在各个国际无线管理机构中，例如美国的USA，欧洲的ETSI和日本的MKK都是非注册使用频段。这样，使用802.11的客户端设备就不需要任何无线许可。扩散频谱技术保证了802.11的设备在这个频段上的可用性和可靠的吞吐量，这项技术还可以保证同其他使用同一频段的设备不互相影响。802.11无线标准定义的传输速率是1Mbps和2Mbps，可以使用FHSS(frequency hopping spread spectrum)和DSSS(direct sequence spread spectrum)技术，需要指出的是，FHSS和DHSS技术在运行机制上是完全不同的，所以采用这两种技术的设备没有互操作性。

利用wireshark分析HTTP协议实验报告

利用wireshark分析HTTP协议实验报告姓名：杨宝芹学号：2012117270 班级：电子信息科学与技术时间：2014.12.26

利用wireshark分析HTTP协议实验报告一、实验目的分析HTTP协议。二、实验环境连接Internet的计算机，操作系统为windows8.1； Wireshark，版本为1.10.7； Google Chrome，版本为39.0.2171.65.m；三、实验步骤 1.清空缓存在进行跟踪之前，我们首先清空Web 浏览器的高速缓存来确保Web网页是从网络中获取的，而不是从高速缓冲中取得的。之后，还要在客户端清空DNS 高速缓存，来确保Web服务器域名到IP地址的映射是从网络中请求。 2.启动wireshare 3.开始俘获 1)在菜单中选择capture-options，选择网络，打开start。如下图：

2)在浏览器地址栏中输入https://www.360docs.net/doc/7d10820289.html,，然后结束俘获，得到如下结果： 3)在过滤器中选择HTTP，点击apply，得到如下结果：

在菜单中选择file-save，保存结果，以便分析。（结果另附）四、分析数据在协议框中选择“GET/HTTP/1.1”所在的分组会看到这个基本请求行后跟随着一系列额外的请求首部。在首部后的“\r\n”表示一个回车和换行，以此将该首部与下一个首部隔开。“Host”首部在HTTP1.1版本中是必须的，它描述了URL 中机器的域名，本实验中式https://www.360docs.net/doc/7d10820289.html,。这就允许了一个Web服务器在同一时间支持许多不同的域名。有了这个数不，Web服务器就可以区别客户试图连接哪一个Web服务器，并对每个客户响应不同的内容，这就是HTTP1.0到1.1版本的主要变化。User-Agent首部描述了提出请求的Web浏览器及客户机器。接下来是一系列的Accpet首部，包括Accept（接受）、Accept-Language（接受语言）、 Accept-Encoding（接受编码）、Accept-Charset（接受字符集）。它们告诉Web

使用wireshark进行协议分析实验报告

1 深圳大学实验报告实验课程名称：计算机网络实验项目名称：使用wireshark进行协议分析学院：计算机与软件学院专业：计算机科学与技术报告人：邓清津学号：2011150146 班级：2班同组人：无指导教师：杜文峰实验时间：2013/6/10 实验报告提交时间：2013/6/10 教务处制

一、实验目的与要求学习使用网络数据抓包软件.学习使用网络数据抓包软件wireshark，并对一些协议进行分析。二、实验仪器与材料 Wireshark抓包软件三、实验内容使用wireshark分析各层网络协议 1.HTTP协议 2.ARP协议，ICMP协议 3.IP协议 4.EthernetII层数据帧为了分析这些协议，可以使用一些常见的网络命令。例如，ping等。四、实验步骤 1、安装Wireshark，简单描述安装步骤: 2、打开wireshark，选择接口选项列表。或单击“Capture”，配置“option” 选项。

3.点击start后，进行分组捕获，所有由选定网卡发送和接收的分组都将被捕获。 4. 开始分组捕获后，会出现如图所示的分组捕获统计窗口。该窗口统计显示各类已捕获分组的数量。在该窗口中有一个“stop”按钮，可以停止分组的捕获。

一、分析HTTP协议 1.在浏览器地址栏中输入某网页的URL，如：https://www.360docs.net/doc/7d10820289.html,。为显示该网页，浏览器需要连接https://www.360docs.net/doc/7d10820289.html,的服务器，并与之交换HTTP消息，以下载该网页。包含这些HTTP消息的以太网帧(Frame)将被WireShark捕获。 2. 在显示筛选编辑框中输入“http”，单击“apply”，分组列表窗口将只显示HTTP消息。 3.点击其中一个http协议包

IEEE802.11协议详细的介绍

协议X档案：IEEE 802.11协议详细介绍作为全球公认的局域网权威，IEEE 802工作组建立的标准在过去二十年内在局域网领域内独领风骚。这些协议包括了802.3 Ethernet 协议、802.5 Token Ring 协议、802.3z 100BASE-T快速以太网协议。在1997年，经过了7年的工作以后，IEEE发布了802.11协议，这也是在无线局域网领域内的第一个国际上被认可的协议。在1999年9月，他们又提出了802.11b"High Rate" 协议，用来对802.11 协议进行补充，802.11b 在802.11 的1Mbps 和 2Mbps速率下又增加了 5.5Mbps和11Mbps 两个新的网络吞吐速率，后来又演进到 802.11g 的54Mbps，直至今日802.11n 的108Mbps。 802.11a 高速WLAN协议，使用5G赫兹频段。最高速率54Mbps，实际使用速率约为22-26Mbps 与802.11b不兼容，是其最大的缺点。也许会因此而被802.11g淘汰。 802.11b 目前最流行的WLAN协议，使用2.4G赫兹频段。最高速率11Mbps，实际使用速率根据距离和信号强度可变（150米内1-2Mbps，50米内可达到11Mbps） 802.11b的较低速率使得无线数据网的使用成本能够被大众接受（目前接入节点的成本仅为10-30美元）。

另外，通过统一的认证机构认证所有厂商的产品，802.11b设备之间的兼容性得到了保证。兼容性促进了竞争和用户接受程度。 802.11e 基于WLAN的QoS协议，通过该协议802.11a,b,g能够进行VoIP。也就是说，802.11e是通过无线数据网实现语音通话功能的协议。该协议将是无线数据网与传统移动通信网络进行竞争的强有力武器。 802.11g 802.11g是802.11b在同一频段上的扩展。支持达到54Mbps的最高速率。兼容 802.11b。该标准已经战胜了802.11a成为下一步无线数据网的标准。 802.11h 802.11h是802.11a的扩展，目的是兼容其他5G赫兹频段的标准，如欧盟使用的HyperLAN2。 802.11i 802.11i是新的无线数据网安全协议，已经普及的WEP协议中的漏洞，将成为无线数据网络的一个安全隐患。802.11i提出了新的TKIP协议解决该安全问题。

协议分析综合实验报告

协议分析综合实验报告专业：电子信息科学与技术（1）班组员：学号：时间：2014-12-01 一、实验目的：利用wireshark 抓包工具，结合课本，分析分层的网络结构协议体系：二、基本步骤：一、利用任意一台能够访问互联网的主机，安装wireshark抓包工具。二、关闭所有应用层程序。如qq，ie浏览器，pptv等。三、打开抓包工具，开始抓包。四、打开IE浏览器，输入新浪WEB服务器的域名：https://www.360docs.net/doc/7d10820289.html,，回车。五、访问新浪主页成功后，立即停止抓包。六、分析所抓的数据包，找出主机跟新浪WEB服务器之间通信的数据包，按应用层、运输层、网络层、数据链路层这四个层次，分析其具体工作过程，分别各层用到了哪些协议。（新浪WEB服务器的IP地址是58.67.149.250）三、实验分析过程下图是用Wireshark软件进行抓包数据分析的截图，下面将选取1906号帧来进行相应的层次与过程分析：

1.数据链路层分析 PPPoE会话阶段以太网帧的协议填充为Ox8864.代码填充Ox00,整个会话的过程就是PPP的会话过程，但在PPPOE数据内的PPP数据帧是冲协议域开始的。此过程所用到的协议是IP协议。 2.网络层分析该层所涉及的协议是IP协议，源地址是121.14.1.190，目的地址是119.124.31.253，区分服务字段为Ox00（DSCP:Ox00：Default;ECN:Ox00）,默认的DSCP的值是0，相当于尽力传送。IP包的总长度为64，标志字段为Ox91d5,标记字段为Ox00，没有分片，其偏移量为0，生存时间为57，当减少为0时，该数据包将被丢弃以保证数据包不会无限制的循环，因为 wireshark不自动做TCP校验和的检验，所以显示为validation disabled

利用wireshark分析HTTP协议实验报告

用wireshark分析HTTP协议实验报告

2)在浏览器地址栏中输入https://www.360docs.net/doc/7d10820289.html,，然后结束俘获，得到如下结果： 3)在过滤器中选择HTTP，点击apply，得到如下结果：

TCP协议实验报告

学生实验报告姓名：_________ 学号：____________ 班级：________________ 指导老师：_______________ 内容摘要该实验报告了TCP协议分析实验相关分析； TCP协议分析是通过Wireshark分析TCP协议的报文格式，如理解TCP报文段首部各字段的含义，理解TCP建立连接的三次握手机制，了解TCP的确认机制，了解TCP的流量控制和拥塞控制实验目的 1. 通过协议分析软件掌握TCP协议的报文格式； 2. 理解TCP报文段首部各字段的含义； 3. 理解TCP建立连接的三次握手机制； 4. 了解TCP的确认机制，了解TCP的流量控制和拥塞控制；实验原理连上in ternet的PC机，并且安装有协议分析软件Wireshark 实验原理及概况 TCP是因特网中最主要的运输层协议，它能够在两个应用程序章提供可靠的、有序的数据流传输，能够检测传输过程中分组是否丢失、失序和改变，并利用重传机制保证分组可靠地传输到接收方； TCP首部格式如下图所示：位U 3 16 24 31 首先是源端口和目的端口，服务器提供服务的端口号是固定的，比如：Web服务端口号是80,而客户端的端口号是由操作系统随机分配一个用户端口号。TCP提供字节流服务，它为分组中的每个字节编号，首部中的序号表示分组中第一个字节的编号。接收方用确认号表示它期望接收的数据流中下一个字节编号，表明确认号之前的字节接收方都已经正确接收了。数据偏移字段表示报文段的首部长度。标志部分包含6个标志位，ACK位表明确认号字段是否有效；PUSH位表示发送端应用程序要求数据立即发送；SYN、FIN、RESET三位用来建立连接和关闭连接；URG和紧急指针通常较少使用。接收端利用窗口字段通知发送方它能够接收多大数据量。检验和字段是接收方用来检验接收的报文是否在传输过程中出

802.11MAC协议详解

第四章介质（媒体）访问控制子层这是广播网的数据链路层上特有的一个子层，用于解决共享信道的分配问题。广播信道有时也称为多重访问信道（multiaccess channel）或随机访问信道（random access channel），信道也称为介质或媒体（medium），使用信道发送数据称为介质（媒体）访问，所以决定信道分配的协议就称为介质（媒体）访问控制协议。由于大多数的局域网都使用多重访问信道作为通信的基础，而广域网大多采用点-点线路（卫星网络除外），因此本章还将讨论局域网的相关技术。 1.信道分配策略 ●静态分配：如FDM和同步TDM，这是一种固定分配信道的方式，适用于用户数少且数量固定、每个用户通信量较大的情况。由于每个节点被分配了固定的资源（频带，时隙），因而不会有冲突发生。 ●动态分配：如异步TDM，这是一种按需分配信道的方式，适用于用户数多且数量可变、突发通信的情况。 ◆竞争方式：各个用户竞争使用信道，不需要取得发送权就可以发送数据，这种方式会产生冲突。 ◆无冲突方式：每个用户必须先获得发送权，然后才能发送数据，这种方式不会产生冲突，如预约或轮转方式。 ◆有限竞争方式：以上两种方式的折衷。 2.多重访问协议 (1) ALOHA 纯ALOHA 任何用户有数据发送就可以发送，每个用户通过监听信道来判断是否发生了冲突，一旦发现有冲突则随机等待一段时间，然后再重新发送。假设：所有帧的长度都相同，且每个帧一产生出来后就立即发送。帧时（frame time）：发送一个标准长度的帧所需的时间； N：每帧时内系统中产生的新帧数目，一般应有0

80211协议

802.11b/g/n协议一、符合IEEE的移动通信技术二、802.11四种主要物理组件 1.工作站(Station) 构建网络的主要目的是为了在工作站间传送数据。所谓工作站，是指配备无线网络接口的计算设备，即支持802.11的终端设备。如安装了无线网卡的PC，支持WLAN的手机等。 2.接入点(Access Point) 802.11网络所使用的帧必须经过转换，方能被传递至其他不同类型的网络。具备无线至有线的桥接功能的设备称为接入点，接入点的功能不仅于此，但桥接最为重要。为STA提供基于802.11的接入服务，同时将802.11mac帧格式转换为以太网帧，相当于有限设备和无线设备的桥接器。 3.无线媒介(Wireless Medium) 802.11标准以无线媒介在工作站之间传递帧。其定义的物理层不只一种，802.11最初标准化了两种射频物理层(2.4GHz和5GHz)以及一种红外线物理层。 4.分布式系统(Distribution System) 当几个接入点串联以覆盖较大区域时，彼此之间必须相互通信以掌握移动式工作站的行踪。

分布式系统属于802.11的逻辑组件，负责将帧传送至目的地，将各个AP连接起来的骨干网络。三、无线局域网的网络类型 Infrastructure网络架构可以实现多终端共用一个AP。需要AP提供接入服务，AP负责基础结构型网络的所有通信。这种网路可以提供丰富的应用，较多的STA接入数量。 Ad-hoc网络没有有线基础设施，网络节点由移动主机构成，无线网卡之间的通讯，不需要通过AP。一般是少数几个STA为了特定目的而组成的一种暂时性网络，又称特设网络。

1、HTTP协议分析

开放式课题实验报告实验名称：基于Wireshark软件的HTTP协议分析学号：姓名：指导教师：宫婧指导单位：理学院

目录实验目的..........................................................错误！未定义书签。 1) 掌握Wireshark软件使用方法............. 错误！未定义书签。 2）理解HTTP协议工作原理..................................... 错误！未定义书签。实验任务.................................... 错误！未定义书签。 1) 抓取数据包........................... 错误！未定义书签。 2）分析数据包........................... 错误！未定义书签。实验环境.............................. 错误！未定义书签。软件介绍 (2) 1） wireshark软件简介 (2) 2） wireshark软件的应用 (2) 3） wireshark软件的价值 (2) 4） wireshark软件的操作简介 (3) HTTP协议详解............................... 错误！未定义书签。 1） HTTP协议基础概念....................... 错误！未定义书签。 2） HTTP协议工作流程....................... 错误！未定义书签。 3） HTTP协议请求响应信息 (6) HTTP请求报文信息．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．６ HTTP响应报文信息．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．７HTTP数据包分析 (8) 1）网络接口层信息 (10) 2）网络层信息 (11) 3）传输层信息 (12) 4）应用层信息 (13) 总结........................................ 错误！未定义书签。参考文献.. (14)

网络协议实验报告汇总

实验一以太网链路层帧格式分析一．实验目的分析MAC层帧结构二．实验内容及步骤步骤一：运行ipconfig命令在Windows的命令提示符界面中输入命令：ipconfig /all，会显示本机的网络信息：步骤二：编辑LLC信息帧并发送 1、打开协议数据发生器，在工具栏选择“添加”，会弹出“网络包模版”的对话框，在“选择生成的网络包”下拉列表中选择“LLC协议模版”，建立一个LLC帧。

2、在“网络包模版”对话框中点击“确定”按钮后，会出现新建立的数据帧，此时在协议数据发生器的各部分会显示出该帧的信息。 3、编辑LLC帧。 4、点击工具栏或菜单栏中的“发送”，在弹出的“发送数据包”对话框上选中“循环发送”，填入发送次数，选择“开始”按钮，即可按照预定的数目发送该帧。在本例中，选择发送10次。 5、在主机B的网络协议分析仪一端，点击工具栏内的“开始”按钮，对数据帧进行捕获，按“结束”按钮停止捕获。捕获到的数据帧会显示在页面中，可以选择两种视图对捕获到的数据帧进行分析，会话视图和协议视图，可以清楚的看到捕获数据包的分类统计结果。步骤三：编辑LLC监控帧和无编号帧，并发送和捕获步骤四：保存捕获的数据帧步骤五：捕获数据帧并分析 1、启动网络协议分析仪在网络内进行捕获，获得若干以太网帧。 2、对其中的5-10个帧的以太网首部进行观察和分析，分析的内容为：源物理地址、目的物理地址、上层协议类型。捕获到的数据报报文如下：

对所抓的数据帧进行分析： ①MAC header: 目的物理地址：00:D0:F8:BC:E7:08 源物理地址：00:13:D3:51:44:DD 类型：0800表示IP协议 ②IP header: IP协议报文格式如下：版本：4表示IPv4 首部长度：5表示5×4=20个字节。服务类型：00表示正常处理该数据报。总长度：0028表示此数据报的总长度为40字节。

实验1-Wireshark协议分析-HTTP协议

实验二利用Wireshark分析协议HTTP 一、实验目的分析HTTP协议二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。三、实验步骤 1、利用Wireshark俘获HTTP分组（1）在进行跟踪之前，我们首先清空Web 浏览器的高速缓存来确保Web网页是从网络中获取的，而不是从高速缓冲中取得的。打开浏览器，找到Internet选项，点击后出现如图1所示的界面。以IE浏览器为例，步骤为：点击浏览器右上角的“工具”-“Internet选项”。图1 Internet选项之后，还要在客户端清空DNS高速缓存，以确保Web服务器域名到IP地址的映射是从网络中请求的。在Windows系列的机器上，可在命令提示行输入ipconfig/flushdns 完成操作（如图2所示）；具体步骤及Linux、MAC等系统的清空方法请参见：

。图2 命令提示行输入ipconfig/flushdns完成操作（2）启动Wireshark 分组俘获器。（3）在Web 浏览器中输入： (重庆大学网站)。（4）停止分组俘获。图3 利用Wireshark俘获的HTTP分组在URL 中，是一个具体的web 服务器的主机名。最前面有两个DNS分组。第一个分组是将主机名转换成为对应的IP 地址的请求，第二个分组包含了转换的结果。这个转换是必要的，因为网络层协议——IP协议，是通过点分十进制来表示因特网主机的，而不是通过这样的主机名。当输入URL 时，将要求Web服务器从主机上请求数据，但首先Web浏览器必须确定这个主机的IP地址。小提示--域名和主机关系举例：域名https://www.360docs.net/doc/7d10820289.html,下,有主机server1和server2,其主机全名就是https://www.360docs.net/doc/7d10820289.html,和https://www.360docs.net/doc/7d10820289.html,。

DNS协议分析实验报告

工程类实验报告系：计算机与信息学院专业：网络工程年级： 09级姓名：学号：实验课程：实验室号：___ 实验设备号：实验时间：指导教师签字：成绩：实验四 DNS 协议分析实验 1．实验原理 DNS 是域名系统（Domain Name System）的缩写，是一种分层次的、基于域的命名方案，主要用来将主机名映射成 IP 地址。当用户在应用程序中输入域名时，DNS 通过一个分布式数据库系统将域名解析为相对应的IP 地址。（1）域名服务器和域名解析在互联网中，域名解析是通过域名服务器实现的。域名服务器构成对应的层次结构，每个域名服务器保存着它所管辖区域内的主机名和IP 地址的对照表。这组域名服务器是域名解析的核心。域名解析方式有两种：递归解析和迭代解析。（2）域名解析递归解析就是本地域名服务器系统一次性地完成域名到 IP 地址的转换，即使它没有所要查询的域名信息，它也会查询别的域名服务器。迭代解析则是当本地域名服务器中没有被查询的主机域名的信息时，它就会将一个可能有该域名信息的DNS 服务器的地址返回给请求域名解析的 DNS 客户，DNS 客户再向指定的 DNS 服务器查询。在实际应用中通常是将两种解析方式结合起来进行域名解析。当本地域名服务器没有所要查询的域名信息时，就请求根域名服务器，根域名服务器将有可能查到该域名信息的域名服务器地址返回给要求域名解析的本地域名服务器，本地域名服务器再到指定的域名服务器上查询，如指定域名服务器上还没有该域名信息，它再将它的子域名服务器的 IP 地址返回给要求域名解析的本地域名服务器，这样直到查询到待解析的域名的 IP 地址为止（没有注册的主机域名除外），本地域名服务器再将查询结果返回给DNS 客户，完成域名解析。（3）DNS 高速缓存每个域名服务器都维护着一个高速缓存，存放最近用到过的域名信息和此记录的来源。当客户请求域名解析时，域名服务器首先检查它是否被授权管理该域名，若未被授权，则查看自己的高速缓存，检查该域名是否最近被转换过。如果有这个域名信息，域名服务器就会将有关域名和IP 地址的绑定信息报告给客户，并标志为非授权绑定，同时给出获得此绑定的域名服务器的域名，本地域名服务器也会将该绑定通知客户。但该绑定信息可能是过时的。根据是强调高效还是准确性，客户可以选择接受该绑定信息还是直接与该绑定信息的授权服务器联系。 2．实验工具软件简介（1）Simple DNS Plus 软件 Simple DNS Plus 软件是一款简单的DNS 服务器，可以构架一个Intranet/Internet 域名服务器，也可以通过 DNS 缓存来提高你的网络访问速度，可以让你轻松配置域名与IP 地址对应关系。

TCP协议实验报告

学生实验报告：学号：班级：指导老师：内容摘要该实验报告了TCP协议分析实验相关分析； TCP协议分析是通过Wireshark分析TCP协议的报文格式，如理解TCP报文段首部各字段的含义，理解TCP建立连接的三次握手机制，了解TCP的确认机制，了解TCP的流量控制和拥塞控制实验目的 1.通过协议分析软件掌握TCP协议的报文格式； 2.理解TCP报文段首部各字段的含义； 3.理解TCP建立连接的三次握手机制； 4.了解TCP的确认机制，了解TCP的流量控制和拥塞控制；实验原理连上internet的PC机，并且安装有协议分析软件Wireshark 实验原理及概况 TCP是因特网中最主要的运输层协议，它能够在两个应用程序章提供可靠的、有序的数据流传输，能够检测传输过程中分组是否丢失、失序和改变，并利用重传机制保证分组可靠地传输到接收方； TCP首部格式如下图所示：首先是源端口和目的端口，服务器提供服务的端口号是固定的，比如：Web服务端口号是80，而客户端的端口号是由操作系统随机分配一个用户端口号。TCP提供字节流服务，它为分组中的每个字节编号，首部中的序号表示分组中第一个字节的编号。接收方用确认号表示它期望接收的数据流中下一个字节编号，表明确认号之前的字节接收方都已经正确接收了。数据偏移字段表示报文段的首部长度。标志部分包含6个标志位，ACK位表明确认号字段是否有效；PUSH位表示发送端应用程序要求数据立即发送；SYN、FIN、RESET三位用来建立连接和关闭连接；URG和紧急指针通常较少使用。接收端利用窗口字段通知发送方它能够接收多大数据量。检验和字段是接收方用来检验接收的报文是否在传输过程中出

徐州工程学院计算机网络实验报告——HTTP协议

《计算机网络(II)》实验报告一、实验目的掌握HTTP协议的工作方式和原理，理解HTTP协议帧内容。二、实验内容练习一各主机打开协议分析器，进入相应的网络结构并验证网络拓扑的正确性，如果通过拓扑验证，关闭协议分析器继续进行实验，如果没有通过拓扑验证，请检查网络连接。本练习将主机A和B作为一组，主机C和D作为一组，主机E和F作为一组。现仅以主机A、B所在组为例，其它组的操作参考主机A、B所在组的操作。 1. 主机A清空IE缓存。 2. 主机B启动协议分析器开始捕获数据，并设置过滤条件（提取HTTP协议）。 3. 主机A启动IE浏览器，在“地址”框中输入http://172.16.1.100/experiment，并连接。 4. 主机B停止捕获数据，分析捕获到的数据，并回答以下问题： ●本练习使用HTTP协议的哪种方法？简述这种方法的作用。答：本练习使用HTTP的get的方法，这种方法的作用是请求读取URL所标志的信息。读取内容。 ●根据本练习的报文内容，填写下表。主机名172.16.1.100 URL http://172.16.1.100/exper iment 服务器类型Apache/2.2.3 (Cent OS) 传输文本类型text/html 访问时间Fri, 09 Dec 2011 12:34:07 ●参考“会话分析”视图显示结果，绘制此次访问过程的报文交互图（包括TCP协议）。 ●简述TCP协议和HTTP协议之间的关系。

http协议是TCP众多协议中的一种，它是支持超文本传输协议的。练习二本练习将主机A和B作为一组，主机C和D作为一组，主机E和F作为一组。现仅以主机A、B所在组为例，其它组的操作参考主机A、B所在组的操作。 1. 主机B启动协议分析器开始捕获数据，并设置过滤条件（提取HTTP协议）。 2. 主机A启动IE浏览器，在“地址”框中输入“http://172.16.1.100/experiment/post.html”，并连接。在返回页面中，填写“用户名”和“密码”，点击[确定]按钮。 3. 主机B停止捕获数据，分析捕获到的数据，并回答以下问题： ●本练习的提交过程使用HTTP协议的哪种方法？简述这种方法的作用。答：使用了POST报文的方法，此方法的作用是给服务器添加信息。 ●此次通信分几个阶段？每个阶段完成什么工作？答：四个阶段，分别是连接服务器，发送POST报文，服务器返回信息，断开连接 ●参考“会话分析”视图显示结果，绘制此次提交过程的报文交互图（包括TCP协议）。练习三本练习将主机A和B作为一组，主机C和D作为一组，主机E和F作为一组。现仅以主机A、B所在组为例，其它组的操作参考主机A、B所在组的操作。 1. 主机A启动“实验平台工具栏中的TCP工具”。 2. 主机B启动协议分析器开始捕获数据，并设置过滤条件（提取HTTP协议）。 3. 主机A在“TCP工具”上，选中“客户端”单选框，设置“IP地址”为服务器IP（172.16.1.100）；设置“端口”为80；单击[连接]按钮来和服务器建立连接。 4. 主机A在“TCP工具”上，设置“发送数据（文本）”为以下内容： HEAD /experiment/ HTTP/1.1 Host: 172.16.1.100 点击[发送]按钮。（注：是回车换行）点击[断开]按钮，断开TCP连接（由于不同http版本所遵循的规范不同，有些HTTP服务器不需要断开操作）。

实验七-HTTP协议分析实验报告

北京理工大学珠海学院实验报告 ZHUHAI CAMPAUS OF BEIJING INSTITUTE OF TECHNOLOGY 班级：学号：姓名：指导教师：成绩实验题目：HTTP协议分析实验时间：一、实验目的：掌握HTTP协议首部种类、格式、主要字段的含义。二、实验内容及步骤： 1.实验内容：用科莱网络分析系统捕获HTTP报文段，观察几种常用HTTP报文段的格式和主要字段的含义。2实验步骤：（１）实验准备打开浏览器，清空缓存，打开可来网络分析系统，开始捕获数据包，在浏览器地址栏输入https://www.360docs.net/doc/7d10820289.html,，页面显示完成后，停止捕获。（２）观察HTTP报文观察捕获到的HTTP报文中的HTTP请求和HTTP应答报文。（３）记录在HTTP请求报文和相应报文中个字段的名成个个字段的值，说明每个字段的含义。三、实验结果上图是实验请求报文。

上图是HTTP的响应报文。三、思考与讨论 1、通过实验和检查资料，写出HTTP协议的请求报文和响应报文都包括哪些字段？各个字段的含义和作用是什么？答：一个HTTP请求报文由请求行首部和实体主体3个部分组成：（1）请求行请求请求行由请求方法字段、URL字段和HTTP协议版本字段3个字段组成，它们用空格分隔。（2）首部行由关键字/值对组成，每行一对，关键字和值用英文冒号“:”分隔。请求头部通知服务器有关于客户端请求的信息，典型的请求头有： User-Agent：产生请求的浏览器类型。 Accept：客户端可识别的内容类型列表。 Host：请求的主机名，允许多个域名同处一个IP地址，即虚拟主机。首部行结束时，还有一行空行将首部行和后面的实体主体分开（3）实体主体实体主体不在GET方法中使用，而是在POST方法中使用。POST方法适用于需要客户填写表单的场合。与请求数据相关的最常使用的请求头是Content-Type和Content-Length. HTTP响应报文：HTTP响应报文也由三个部分组成，分别是：状态行、首部行和实体主体3个部分组成：状态行格式如下： HTTP-Version Status-Code Reason-Phrase CRLF 其中，H T T P-V e r s i o n表示服务器HTTP协议的版本；Status-Code表示服务器发回的响应状态代码；Reason-Phrase表示状态代码的文本描述。状态代码由三位数字组成，第一个数字定义了响应的类别，且有五种可能取值。 1xx：指示信息表示请求已接收，继续处理。 2xx：成功--表示请求已被成功接收、理解、接受。 3xx：重定向--要完成请求必须进行更进一步的操作。 4xx：客户端错误--请求有语法错误或请求无法实现。 5xx：服务器端错误--服务器未能实现合法的请求。 2、在捕获的HTTP请求报文和响应报文中，显示的HTTP版本号是多少？