網(wǎng)絡(luò)協(xié)議抓包實(shí)驗(yàn)

《網(wǎng)絡(luò)協(xié)議抓包實(shí)驗(yàn)》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)。

1、中國(guó)礦業(yè)大學(xué)《網(wǎng)絡(luò)協(xié)議》姓名：班級(jí)：學(xué)號(hào)：實(shí)驗(yàn)一：抓數(shù)據(jù)鏈路層的幀一、實(shí)驗(yàn)?zāi)康姆治鯩AC層幀結(jié)構(gòu)二、準(zhǔn)備工作本實(shí)驗(yàn)需要2組試驗(yàn)主機(jī)，在第一組上安裝銳捷協(xié)議分析教學(xué)系統(tǒng)，使用其中的協(xié)議數(shù)據(jù)發(fā)生器對(duì)數(shù)據(jù)幀進(jìn)行編輯發(fā)送，在第二組上安裝銳捷協(xié)議分析教學(xué)系統(tǒng)，使用其中的網(wǎng)絡(luò)協(xié)議分析儀對(duì)數(shù)據(jù)幀進(jìn)行捕獲分析。三、實(shí)驗(yàn)內(nèi)容及步驟步驟一：運(yùn)行ipconfig命令步驟二：編輯LLC信息幀并發(fā)送步驟三：編輯LLC監(jiān)控幀和無(wú)編號(hào)幀，并發(fā)送和捕獲：步驟四：保存捕獲的數(shù)據(jù)幀步驟五：捕獲數(shù)據(jù)幀并分析使用iptool進(jìn)行數(shù)據(jù)報(bào)的捕獲：報(bào)文如下圖：根據(jù)所抓的數(shù)據(jù)幀進(jìn)行分析：（1）MAChe

2、ader目的物理地址：00:D0:F8:BC:E7:06源物理地址：00:16:EC:B2:BC:68Type是0x800：意思是封裝了ip數(shù)據(jù)報(bào)（2）ip數(shù)據(jù)報(bào)由以上信息可以得出：①版本：占4位，所以此ip是ipv4②首部長(zhǎng)度：占4位，可表示的最大十進(jìn)制數(shù)值是15。此ip數(shù)據(jù)報(bào)沒(méi)有選項(xiàng)，故它的最大十進(jìn)制為5。③服務(wù)：占8位，用來(lái)獲得更好的服務(wù)。這里是0x00④總長(zhǎng)度：總長(zhǎng)度指首都及數(shù)據(jù)之和的長(zhǎng)度，單位為字節(jié)。因?yàn)榭傞L(zhǎng)度字段為16位，所以數(shù)據(jù)報(bào)的最大長(zhǎng)度為216-1=65535字節(jié)。此數(shù)據(jù)報(bào)的總長(zhǎng)度為40字節(jié)，數(shù)據(jù)上表示為0x0028。⑤標(biāo)識(shí)(Identi

3、fication)：占16位。IP軟件在存儲(chǔ)器中維持一個(gè)計(jì)數(shù)器，每產(chǎn)生一個(gè)數(shù)據(jù)報(bào)，計(jì)數(shù)器就加1，并將此值賦給標(biāo)識(shí)字段。但這個(gè)“標(biāo)識(shí)”并不是序號(hào)，因?yàn)镮P是無(wú)連接的服務(wù)，數(shù)據(jù)報(bào)不存在按序接收的問(wèn)題。當(dāng)數(shù)據(jù)報(bào)由于長(zhǎng)度超過(guò)網(wǎng)絡(luò)的MTU而必須分片時(shí)，這個(gè)標(biāo)識(shí)字段的值就被復(fù)制到所有的數(shù)據(jù)報(bào)的標(biāo)識(shí)字段中。相同的標(biāo)識(shí)字段的值使分片后的各數(shù)據(jù)報(bào)片最后能正確地重裝成為原來(lái)的數(shù)據(jù)報(bào)。在這個(gè)數(shù)據(jù)報(bào)中標(biāo)識(shí)為18358，對(duì)應(yīng)報(bào)文16位為47b6⑥標(biāo)志(Flag)：占3位，但目前只有2位有意義。標(biāo)志字段中的最低位記為MF(MoreFragment)。MF=1即表示后面“還有分片”的數(shù)

4、據(jù)報(bào)。MF=0表示這已是若干數(shù)據(jù)報(bào)片中的最后一個(gè)。標(biāo)志字段中間的一位記為DF(Don'tFragment)，意思是“不能分片”。只有當(dāng)DF=0時(shí)才允許分片。這個(gè)報(bào)文的標(biāo)志是010，故表示為不分片！對(duì)應(yīng)報(bào)文16位為0x40。⑦片偏移：因?yàn)椴环制蚀藬?shù)據(jù)報(bào)為0。對(duì)應(yīng)報(bào)文16位為0x00。⑧生存時(shí)間：占8位，生存時(shí)間字段常用的英文縮寫是TTL(TimeToLive)，其表明數(shù)據(jù)報(bào)在網(wǎng)絡(luò)中的壽命。每經(jīng)過(guò)一個(gè)路由器時(shí)，就把TTL減去數(shù)據(jù)報(bào)在路由器消耗掉的一段時(shí)間。若數(shù)據(jù)報(bào)在路由器消耗的時(shí)間小于1秒，就把TTL值減1。當(dāng)TTL值為0時(shí)，就丟棄這個(gè)數(shù)據(jù)報(bào)。經(jīng)分析，這個(gè)

5、數(shù)據(jù)報(bào)的的TTL為64跳！對(duì)應(yīng)報(bào)文16位為0x40。⑨協(xié)議：占8位，協(xié)議字段指出此數(shù)據(jù)報(bào)攜帶的數(shù)據(jù)是使用何種協(xié)議，以便使目的主機(jī)的IP層知道應(yīng)將數(shù)據(jù)部分上交給哪個(gè)處理過(guò)程。這個(gè)ip數(shù)據(jù)報(bào)顯示使用得是TCP協(xié)議對(duì)應(yīng)報(bào)文16位為0x06。⑩首部檢驗(yàn)和：占16位。這個(gè)字段只檢驗(yàn)數(shù)據(jù)報(bào)的首部，但不包括數(shù)據(jù)部分。這是因?yàn)閿?shù)據(jù)報(bào)每經(jīng)過(guò)一個(gè)路由器，都要重新計(jì)算一下首都檢驗(yàn)和(一些字段，如生存時(shí)間、標(biāo)志、片偏移等都可能發(fā)生變化)。不檢驗(yàn)數(shù)據(jù)部分可減少計(jì)算的工作量。對(duì)應(yīng)報(bào)文16位為0x8885。⑾源地址：占32位。此報(bào)文為219.219.61.32對(duì)應(yīng)數(shù)據(jù)為DB:DB:3D

6、:20⑿目的地址：占32位。此報(bào)文為199.75.218.77對(duì)應(yīng)數(shù)據(jù)為77:4B:DA:4D（13）選項(xiàng)：這里是無(wú)！（2）TCP報(bào)頭TCP報(bào)文首部格式l源端口（SourcePort）：16位的源端口字段包含初始化通信的端口號(hào)。源端口和IP地址的作用是標(biāo)識(shí)報(bào)文的返回地址。這個(gè)報(bào)文是3204對(duì)應(yīng)的數(shù)據(jù)報(bào)中的16位為0x0c84。l目的端口(DestinationPort):16位的目的端口字段定義傳輸?shù)哪康摹＿@個(gè)端口指明接收方計(jì)算機(jī)上的應(yīng)用程序接口。這個(gè)報(bào)文的目的端口是80（代表了http協(xié)議）對(duì)應(yīng)的數(shù)據(jù)報(bào)中的16位為0x0050l序列號(hào)（SequenceN

7、umber）:該字段用來(lái)標(biāo)識(shí)TCP源端設(shè)備向目的端設(shè)備發(fā)送的字節(jié)流，它表示在這個(gè)報(bào)文段中的第幾個(gè)數(shù)據(jù)字節(jié)。序列號(hào)是一個(gè)32位的數(shù)。這個(gè)報(bào)文的sequencenumber是2416921514對(duì)應(yīng)的數(shù)據(jù)報(bào)中的16位為0x900f4baal確認(rèn)號(hào)（AcknowledgeNumber）：TCP使用32位的確認(rèn)號(hào)字段標(biāo)識(shí)期望收到的下一個(gè)段的第一個(gè)字節(jié)，并聲明此前的所有數(shù)據(jù)已經(jīng)正確無(wú)誤地收到，因此，確認(rèn)號(hào)應(yīng)該是上次已成功收到的數(shù)據(jù)字節(jié)序列號(hào)加1。收到確認(rèn)號(hào)的源計(jì)算機(jī)會(huì)知道特定的段已經(jīng)被收到。確認(rèn)號(hào)的字段只在ACK標(biāo)志被設(shè)置時(shí)才有效。這個(gè)報(bào)文的ACK是28030245

8、19對(duì)應(yīng)的數(shù)據(jù)報(bào)中的16位為0xa712c287l首部長(zhǎng)度（hea