实验四 网络层协议分析

实验四、传输层协议分析【实验目的】1. 通过捕获TCP 包并进行分析，了解传输层协议的工作过程，加深对TCP 及面向连接的服务的工作原理的理解与掌握，2. 观察简单的TCP 流传输，理解其首部各字段的变化。

3. 理解UDP 数据报的传输特点。

【实验原理】【实验内容】1、查看分析TCP 链路管理(1)、在PC2(192.168.2.24)中安装有FTP 服务端程序。

(2)、在PC1 中开启协议分析软件，进行数据包抓包。

(3)、在PC1 中的协议分析软件中利用工具栏中的TCP 连接工具对PC2 发起连接，如下图所示。

PC1 主动打开连接请求确认PC2 被动打开确认确认SYN ，SEQ = xACK,SEQ = x+1,ACK = y +1SYN,ACK,SEQ = y , ACK = x+1图 4-12 TCP连接工具在IP地址中填入PC2地址192.168.2.24，端口填入FTP服务端口21，然后点击连接。

分析捕获到的三次握手报文。

图 4-13 三次握手第一次连接查看上图TCP报文中的报头部分：源端口：3241，由于发起连接的是客户端，因此源端口为TCP程序随机出的短暂端口，在此连接中是3241。

目的端口：21，由于是向FTP服务发起连接，因此目的端口为FTP服务的熟知端口，为21。

序列号：0X732020CD，此序列号为TCP程序随机出的字节编号。

确认序号：0X00000000，第一个发出的连接请求中，确认号为0。

TCP首部长度：7，TCP首部长度包括TCP报头长度和数据长度，这个字段表示TCP报头长度，其中20字节为标准TCP报头长度，另有8字节选项字段长度，选项字段中和服务器端协商了最大报文段长度。

标识位：SYN位置1，只有TCP连接中三次握手第一次连接的报文段中SYN位置1。

窗口大小：65535，默认大小。

校验和：0X5D64，校验和是对TCP报头、数据和伪首部进行计算得出的校验和。

计算机网络实验指导书-TCP协议分析及应用层命令实验指导教师：韩家伟孙玉钰实验4TCP报文段分析及应用层命令实验1．实验目的1．掌握使用IRIS工具对TCP与UDP协议进行抓包分析的方法。

2．掌握TCP协议的报文格式及其优缺点。

3．熟悉应用层命令。

2．实验设备与环境1．Iris网络分析软件2．网络数据包捕获3．捕获TCP报文段并分析（一）实验内容1．启动网络嗅探工具，设置好过滤条件，捕获UDP用户数据报和TCP报文段。

2．分析UDP与TCP协议。

（二）TCP协议实验指导传输控制协议(Transmission Control Protocol，TCP)是一种可靠的面向连接的传送协议。

它在传送数据时是分段进行的，主机之间交换数据必须建立一个会话。

它用比特流通信，即数据被作为无结构的字节流。

通过每个TCP传输的字段指定顺序号，以获得可靠性。

它是在OSI参考模型的第4层，TCP是使用IP的网际间互联功能而提供可靠的数据传输，IP不停地把报文放到网络上，而TCP负责确信报文到达。

在协同IP的操作中TCP负责握手过程、报文管理、流量控制、错误检测和处理(控制)，并根据一定的编号顺序对非正常顺序的报文给予重新排列顺序。

TCP是面向连接的协议。

在面向连接的环境中，开始传输数据之前，在两个终端之间必须先建立一个连接。

对于一个要建立的连接，通信双方必须用彼此的初始化序列号seq和来自对方成功传输确认的应答号ack(指明希望收到的下一个八位组的编号)来同步，习惯上将同步信号写为SYN，应答信号写为ACK。

整个同步的过程称为三次握手，如图4-1所示。

图4-1 TCP连接的建立对于一个已经建立的连接，TCP使用四次握手来结束通话（使用一个带有FIN附加标记的报文段）。

如图4-2所示。

图4-2 TCP连接的释放TCP每发送一个报文段，就对这个报文段设置一次计时器。

只要计时器设置的重传时间到期，但还没有收到确认，就要重传这一报文段。

►►计算机网络实验与学习指导基于Cisco Packet Tracer模拟器计算机科学与技术学院计算机网络实验报告年级2013 学号2013434151 姓名汪凡成绩专业计算机科学与技术实验地点C1-422 指导教师常卓实验项目实验3.3：ARP分析实验3.5：路由协议分析实验日期2016/5/6实验3.3：ARP分析一、实验目的1.掌握基本的ARP命令。

2.熟悉ARP报文格式和数据封装方式。

3.理解ARP的工作原理。

二、实验原理(1)ARP简介1.什么是ARPARP，即地址解析协议。

TCP/IP网络使用ARP实现IP地址到MAC地址的动态解析。

网络层使用逻辑地址（IP地址）作为互联网的编址方案，但实际的物理网络（以太网）采用硬件地址（MAC地址）来唯一识别设备。

因此在实际网络的链路上传送数据帧时，最终还是必须使用硬件地址（MAC地址)。

①ARP工作原理每个主机和路由器的内存中都设有一个ARP高速缓存，用于存放其他设备的IP地址到物理地址的映射表。

当主机欲向本局域网上其他主机发送IP包时，先在本地ARP缓存中查看是否有对方的MAC地址信息。

如果没有，则ARP会在网络中广播一个ARP请求，拥有该目标IP地址的设备将自动发回一个ARP回应，对应的MAC地址将记录到主机的ARP缓存中。

考虑到一个网络可能经常有设备动态加入或者撤出，并且更换设备的网卡或IP地址也都会引起主机地址映射发生变化，因此，ARP缓存定时器将会删除在指定时间段内未使用的ARP条目，具体时间因设备而异。

例如，有些Windows操作系统存储ARP缓存条目的时间为2mim但如果该条目在这段时间内被再次使用，其ARP定时器将延长至lOmin。

ARP缓存可以提高工作效率。

如果没有缓存，每当有数据帧进入网络时，ARP都必须不断请求地址转换，这样会延长通信第3章网络层协议实验螭◄◄时间，甚至造成网络拥塞。

反之，保存时间过长也可能导致离开网络或者更改第3层地址的设备出错。

1、网络层协议分析1.A 数据包捕获分析部分1.A.1、实验目的1)、了解ICMP 协议报文类型及作用。

2）、理解IP协议报文类型和格式。

3）、分析ARP 协议的报文格式，理解ARP 协议的解析过程。

1.A.2、实验内容介绍1)、ICMP协议分析实验执行ping 和tracert 命令，分别截获报文，分析截获的ICMP 报文类型和ICMP 报文格式，理解ICMP 协议的作用。

2)、IP协议分析实验使用Ping 命令在两台计算机之间发送数据报，用Wireshark 截获数据报，分析IP 数据报的格式，理解IP V4 地址的编址方法，加深对IP 协议的理解。

3)、IP 数据报分片实验我们已经从前边的实验中看到，IP 报文要交给数据链路层封装后才能发送。

理想情况下，每个IP 报文正好能放在同一个物理帧中发送。

但在实际应用中，每种网络技术所支持的最大帧长各不相同。

例如：以太网的帧中最多可容纳1500 字节的数据，这个上限被称为物理网络的最大传输单元（MTU，MaxiumTransfer Unit）。

TCP/IP 协议在发送IP 数据报文时，一般选择一个合适的初始长度。

当这个报文要从一个MTU 大的子网发送到一个MTU 小的网络时，IP 协议就把这个报文的数据部分分割成能被目的子网所容纳的较小数据分片，组成较小的报文发送。

每个较小的报文被称为一个分片（Fragment）。

每个分片都有一个IP 报文头，分片后的数据报的IP 报头和原始IP 报头除分片偏移、MF 标志位和校验字段不同外，其他都一样。

重组是分片的逆过程，分片只有到达目的主机时才进行重组。

当目的主机收到IP 报文时，根据其片偏移和标志MF 位判断其是否一个分片。

若MF 为0，片偏移为0，则表明它是一个完整的报文；否则，则表明它是一个分片。

当一个报文的全部分片都到达目的主机时，IP 就根据报头中的标识符和片偏移将它们重新组成一个完整的报文交给上层协议处理。

实验四IEEE 协议分析和以太网一、实验目的1、分析协议2、熟悉以太网帧的格式二、实验环境与因特网连接的计算机网络系统；主机操作系统为windows；Ethereal、IE 等软件。

三、实验步骤（注：本次实验先完成前面的“1 俘获并分析以太网帧”，并回答好后面的第1-10 题，完成后看书学习一下arp的相关内容）1、俘获并分析以太网帧（1）清空浏览器缓存（在IE窗口中，选择“工具/Internet选项/删除文件”命令）。

（2）启动Ethereal，开始分组俘获。

（3）在浏览器的地址栏中输入：，浏览器将显示冗长的美国权力法案。

（4）停止分组俘获。

首先，找到你的主机向服务器发送的HTTP GET报文的分组序号，以及服务器发送到你主机上的HTTP 响应报文的序号。

其中，窗口大体如下。

选择“Analyze->Enabled Protocols”，取消对IP复选框的选择，单击OK （不这样设置也可，建议先不要这样操作）。

窗口如下。

（5）选择包含HTTP GET报文的以太网帧，在分组详细信息窗口中，展开Ethernet II信息部分。

根据操作，回答“四、实验报告内容”中的1-5题（6）选择包含HTTP 响应报文中第一个字节的以太网帧，根据操作，回答“四、实验报告内容”中的6-10题2、ARP（1）利用MS-DOS命令：arp 或 c:\windows\system32\arp查看主机上ARP缓存的内容。

根据操作，回答“四、实验报告内容”中的11题。

（2）利用MS-DOS命令：arp -d * 清除主机上ARP缓存的内容。

（3）清除浏览器缓存。

（4）启动Ethereal，开始分组俘获。

（5）在浏览器的地址栏中输入：，浏览器将显示冗长的美国权力法案。

（6）停止分组俘获。

选择“Analyze->Enabled Protocols”，取消对IP复选框的选择，单击OK。

窗口如下。

根据操作，回答“四、实验报告内容”中的12-15题。

协议分析实验报告协议分析实验报告引言：协议是计算机网络中实现通信的基础，各种协议的设计与实现直接影响着网络的性能和安全性。

为了深入了解协议的工作原理和性能特点，我们进行了一系列协议分析实验。

本报告将对我们的实验过程和结果进行详细介绍，并对协议分析的重要性进行探讨。

实验一：TCP协议分析我们首先选择了TCP协议作为实验对象，TCP协议是一种可靠的传输协议，在互联网中被广泛应用。

我们通过Wireshark工具对TCP协议的数据包进行抓取和分析。

通过观察数据包的头部信息，我们可以了解到TCP协议的各个字段的含义和作用。

同时，我们还分析了TCP协议的连接建立过程、数据传输过程以及连接释放过程，以便更好地理解TCP协议的工作原理。

实验二：UDP协议分析接着，我们选择了UDP协议进行分析。

与TCP协议不同，UDP协议是一种无连接的传输协议，在一些实时性要求较高的应用中被广泛使用。

我们通过对UDP协议的数据包进行抓取和分析，了解了UDP协议的头部格式和特点。

同时，我们还研究了UDP协议的优缺点，以及与TCP协议相比的适用场景。

实验三：HTTP协议分析HTTP协议是万维网中最为重要的协议之一，它负责在客户端和服务器之间传输超文本文档。

我们通过对HTTP协议的数据包进行抓取和分析，了解了HTTP协议的请求和响应的格式，以及常见的状态码的含义。

同时，我们还分析了HTTP协议的特点和应用场景，以便更好地理解和使用HTTP协议。

实验四：DNS协议分析DNS协议是域名解析系统中的重要组成部分，负责将域名转换为IP地址。

我们通过对DNS协议的数据包进行抓取和分析，了解了DNS协议的查询和响应的格式，以及常见的域名解析过程。

同时，我们还研究了DNS协议的安全性问题，以及一些常见的DNS攻击方式和防范措施。

实验五：SSL/TLS协议分析SSL/TLS协议是一种用于保护网络通信安全的协议，广泛应用于电子商务、在线支付等场景。

我们通过对SSL/TLS协议的数据包进行抓取和分析，了解了SSL/TLS协议的握手过程、密钥交换过程以及数据传输过程。

第1篇一、实验目的1. 理解网络层协议的基本概念和作用；2. 掌握IP协议、ARP协议和RIP协议的基本原理和配置方法；3. 通过实验验证网络层协议在实际网络中的应用。

二、实验环境1. 实验设备：一台安装有Cisco Packet Tracer软件的PC机；2. 实验软件：Cisco Packet Tracer 7.3.1模拟器；3. 实验拓扑：实验拓扑结构如图1所示，包括三台路由器（R1、R2、R3）和三台主机（H1、H2、H3）。

图1 实验拓扑结构图三、实验内容1. IP协议分析实验（1）实验目的：了解IP协议的基本原理和配置方法。

（2）实验步骤：① 在R1、R2、R3上配置IP地址、子网掩码和默认网关；② 在H1、H2、H3上配置IP地址、子网掩码和默认网关；③ 使用Ping命令测试H1与H2、H3之间的连通性；④ 分析实验结果，验证IP协议在网络层的作用。

（3）实验结果与分析：通过实验，验证了IP协议在网络层中实现数据包的传输和路由功能。

当H1与H2、H3之间进行通信时，数据包会按照IP地址进行路由，最终到达目标主机。

2. ARP协议分析实验（1）实验目的：了解ARP协议的基本原理和配置方法。

（2）实验步骤：① 在R1、R2、R3上配置IP地址、子网掩码和默认网关；② 在H1、H2、H3上配置IP地址、子网掩码和默认网关；③ 在H1上配置MAC地址与IP地址的静态映射；④ 使用Ping命令测试H1与H2、H3之间的连通性；⑤ 分析实验结果，验证ARP协议在网络层的作用。

（3）实验结果与分析：通过实验，验证了ARP协议在网络层中实现IP地址与MAC地址的映射功能。

当H1与H2、H3之间进行通信时，数据包会通过ARP协议获取目标主机的MAC地址，从而实现数据包的传输。

3. RIP协议分析实验（1）实验目的：了解RIP协议的基本原理和配置方法。

（2）实验步骤：① 在R1、R2、R3上配置IP地址、子网掩码和默认网关；② 在R1、R2、R3上配置RIP协议，使其相互通告路由信息；③ 在H1、H2、H3上配置IP地址、子网掩码和默认网关；④ 使用Ping命令测试H1与H2、H3之间的连通性；⑤ 分析实验结果，验证RIP协议在网络层的作用。

实验四TCP/UDP协议分析【实验目的】1、理解与掌握TCP协议2、UDP协议通信机制【预习要求】1、复习课堂上所学习的TCP协议、UDP协议方面基本知识。

【工具软件】协议解码工具：wireshark(或sniffer pro)【实验原理】（一）TCP说明：（1）每个TCP段都包括源端和目的端的端口号，用于寻找发送端和接收端的应用进程。

这两个值加上IP首部的源端IP地址和目的端IP地址唯一确定一个TCP连接。

（2）序号用来标识从TCP发送端向接收端发送的数据字节流，它表示在这个报文段中的第一个数据字节。

如果将字节流看作在两个应用程序间的单向流动，则TCP用序号对每个字节进行计数。

（3）当建立一个新连接时，SYN标志变1。

序号字段包含由这个主机选择的该连接的初始序号ISN，该主机要发送数据的第一个字节的序号为这个ISN加1，因为SYN标志使用了一个序号。

（4）既然每个被传输的字节都被计数，确认序号包含发送确认的一端所期望收到的下一个序号。

因此，确认序号应当时上次已成功收到数据字节序号加1。

只有ACK标志为1时确认序号字段才有效。

（5）发送ACK无需任何代价，因为32位的确认序号字段和ACK标志一样，总是TCP 首部的一部分。

因此一旦一个连接建立起来，这个字段总是被设置，ACK标志也总是被设置为1。

（6）TCP为应用层提供全双工的服务。

因此，连接的每一端必须保持每个方向上的传输数据序号。

（7）TCP可以表述为一个没有选择确认或否认的华东窗口协议。

因此TCP首部中的确认序号表示发送方已成功收到字节，但还不包含确认序号所指的字节。

当前还无法对数据流中选定的部分进行确认。

（8）首部长度需要设置，因为任选字段的长度是可变的。

TCP首部最多60个字节。

（9）6个标志位中的多个可同时设置为1◆URG－紧急指针有效◆ACK－确认序号有效◆PSH－接收方应尽快将这个报文段交给应用层◆RST－重建连接◆SYN－同步序号用来发起一个连接◆FIN－发送端完成发送任务（10）TCP的流量控制由连接的每一端通过声明的窗口大小来提供。