网络数据捕获及分析实验报告

广西民族大学

网络数据捕获及分析实验报告

学院：信息科学与工程学院

班级 10网络姓名郭璇学号 110263100129 实验日期 2012年10月19日指导老师周卫

实验名称网络数据捕获及分析实验报告

一、实验目的

1、通过捕获网络通信数据，使学生能够真实地观察到传输层（TCP）和应用层（HTTP）

协议的数据，对计算机网络数据传输有感性的认识。

2、通过对捕获的数据的分析，巩固学生对这些协议制定的规则以及工作的机制理解，

从而对计算机网络数据传输有初步的认识，以便为之后通信协议设计以及通信软件设计打下

良好的基础。

二、协议理论

TCP：

1、Transmission Control Protocol 传输控制协议TCP是一种面向连接（连接导向）的、

可靠的、基于字节流的运输层（Transport layer）通信协议，由IETF的RFC 793说明（specified）。在简化的计算机网络OSI模型中，它完成第四层传输层所指定的功能，UDP

是同一层内另一个重要的传输协议。

2、TCP所提供服务的主要特点：（1）面向连接的传输；（2）端到端的通信；（3）高可

靠性，确保传输数据的正确性，不出现丢失或乱序；（4）全双工方式传输；（5）采用字节流

方式，即以字节为单位传输字节序列；（6）紧急数据传送功能。

3、TCP连接的建立与终止

TCP连接的建立：TCP协议通过三个报文段完成连接的建立，这个过程称为三次握手（three-way handshake），过程如下图所示。

TCP连接的终止：建立一个连接需要三次握手，而终止一个连接要经过四次握手，这是由TCP的半关闭（half-close）造成的。具体过程如下图所示。

4、服务流程

TCP协议提供的是可靠的、面向连接的传输控制协议，即在传输数据前要先建立逻辑连接，然后再传输数据，最后释放连接3个过程。TCP提供端到端、全双工通信；采用字节流方式，如果字节流太长，将其分段；提供紧急数据传送功能。

尽管TCP和UDP都使用相同的网络层（IP），TCP却向应用层提供与UDP完全不同的服务。

TCP提供一种面向连接的、可靠的字节流服务。

面向连接意味着两个使用TCP的应用（通常是一个客户和一个服务器）在彼此交换数据之前必须先建立一个TCP连接。这一过程与打电话很相似，先拨号振铃，等待对方摘机说“喂”，然后才说明是谁。

在一个TCP连接中，仅有两方进行彼此通信。广播和多播不能用于TCP。

TCP通过下列方式来提供可靠性：

（1）应用数据被分割成TCP认为最适合发送的数据块。这和UDP完全不同，应用程序产生的数据报长度将保持不变。由TCP传递给IP的信息单位称为报文段或段（segment）TCP如何确定报文段的长度。

（2）当TCP发出一个段后，它启动一个定时器，等待目的端确认收到这个报文段。如果不能及时收到一个确认，将重发这个报文段。当TCP收到发自TCP连接另一端的数据，它将发送一个确认。这个确认不是立即发送，通常将推迟几分之一秒。

（3）TCP将保持它首部和数据的检验和。这是一个端到端的检验和，目的是检测数据在传输过程中的任何变化。如果收到段的检验和有差错，TCP将丢弃这个报文段和不确认收到此报文段（希望发端超时并重发）。

（4）既然TCP报文段作为IP数据报来传输，而IP数据报的到达可能会失序，因此TCP报文段的到达也可能会失序。如果必要，TCP将对收到的数据进行重新排序，将收到的数据以正确的顺序交给应用层。

（5）既然IP数据报会发生重复，TCP的接收端必须丢弃重复的数据。

（6）TCP还能提供流量控制。TCP连接的每一方都有固定大小的缓冲空间。TCP的接收端只允许另一端发送接收端缓冲区所能接纳的数据。这将防止较快主机致使较慢主机的缓冲区溢出。

两个应用程序通过TCP连接交换8bit字节构成的字节流。TCP不在字节流中插入记录标识符。我们将这称为字节流服务（bytestreamservice）。如果一方的应用程序先传10字节，又传20字节，再传50字节，连接的另一方将无法了解发方每次发送了多少字节。收方可以分4次接收这80个字节，每次接收20字节。一端将字节流放到TCP连接上，同样的字节流将出现在TCP连接的另一端。

另外，TCP对字节流的内容不作任何解释。TCP不知道传输的数据字节流是二进制数据，还是ASCⅡ字符、EBCDIC字符或者其他类型数据。对字节流的解释由TCP连接双方的应用层解释。

这种对字节流的处理方式与Unix操作系统对文件的处理方式很相似。Unix的内核对一个应用读或写的内容不作任何解释，而是交给应用程序处理。对Unix的内核来说，它无法区分一个二进制文件与一个文本文件。

TCP是因特网中的传输层协议，使用三次握手协议建立连接。当主动方发出SYN连接请求后，等待对方回答SYN，ACK。这种建立连接的方法可以防止产生错误的连接，TCP 使用的流量控制协议是可变大小的滑动窗口协议。第一次握手：建立连接时，客户端发送SYN包（SEQ=x）到服务器，并进入SYN_SEND状态，等待服务器确认。第二次握手：

服务器收到SYN包，必须确认客户的SYN(ACK=x+1），同时自己也送一个SYN包（SEQ=y），即SYN+ACK包，此时服务器进入SYN_RECV状态。第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ACK=y+1），此包发送完毕，客户端和服务器进入Established状态，完成三次握手。

HTTP：

1、超文本传送协议(HTTP-Hypertext transfer protocol) 是分布式，协作式，超媒体系统应用之间的通信协议。是万维网（world wide web）交换信息的基础。它允许将超文本标记语言 (HTML) 文档从Web 服务器传送到Web 浏览器。HTML 是一种用于创建文档的标记语言，这些文档包含到相关信息的链接。您可以单击一个链接来访问其它文档、图像或多媒体对象，并获得关于链接项的附加信息。HTTP工作在TCP/IP协议体系中的TCP协议上。

2、HTTP协议的主要特点：（1）支持客户/服务器模式；（2）简单快速：客户向服务器请求服务时，只需传送请求方法和路径。请求方法常用的有GET、HEAD、POST。每种方法规定了客户与服务器联系的类型不同。由于HTTP协议简单，使得HTTP服务器的程序规模小，因而通信速度很快；（3）灵活：HTTP允许传输任意类型的数据对象。正在传输的类型由Content-Type加以标记；（4）无连接：无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求，并收到客户的应答后，即断开连接。采用这种方式可以节省传输时间；（5）无状态：HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息，则它必须重传，这样可能导致每次连接传送的数据量增大。

3、请求信息

发出的请求信息包括以下几个：

（1）请求行，例如GET /images/logo.gif HTTP/1.1，表示从/images目录下请求logo.gif这个文件。

（2）（请求）头，例如Accept-Language: en

（3）空行

（4）可选的消息体请求行和标题必须以作为结尾（也就是，回车然后换行）。空行内必须只有而无其他空格。在HTTP/1.1协议中，所有的请求头，除post外，都是可选的。

3、请求方法