TCPIP网络协议分析报告
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《TCP/IP网络协议分析》实验报告学号:
姓名:
班级:
时间:2015年5月12
一、Wireshark 使用
1.实验步骤(附上图片)
1. 启动 Web 浏览器(如 IE);
2. 启动 Wireshark;
3.开始分组捕获:单击工具栏的按钮,出现如图 3 所示对话框,[options]按钮可以进行系统参数设置,在绝大部分实验中,使用系统的默认设置即可。
当计算机具有多个网卡时,选择其中发送或接收分组的网络接口(本例中,第一块网卡为虚拟网卡,第二块为以太网卡)。
单击“ Start”开始进行分组捕获;
4.在运行分组捕获的同时,在浏览器地址栏中输入某个网页的 URL,如:
5. 当完整的页面下载完成后,单击捕获对话框中的“ stop”按钮,停止分组捕获。
此时, Wireshark 主窗口显示已捕获的你本次通信的所有协议报文
6.在协议筛选框中输入“ http”,单击“ apply”按钮,分组列表窗口将只显示 HTTP协议报文。
7. 选择分组列表窗口中的第一条 http 报文,它是你的计算机发向服务器(
2.实验思考题(标题宋体四号)
(1) 列出在第 5 步中分组列表子窗口所显示的所有协议类型;
(2)从发出 HTTP GET 报文到接收到对应的 HTTP OK 响应报文共需要多长时间?(分组列表窗口中 Time 列的值是从 Wireshark 开始追踪到分组被捕获的总的时间数,以秒为单位)
(3)你主机的 IP 地址是什么?你访问的服务器的 IP 地址是什么?
二、使用Wireshark 分析以太网帧与ARP 协议
1.实验步骤(附上图片)
1、俘获和分析以太网帧
( 1)选择工具->Internet 选项->删除文件
( 2)启动 Wireshark 分组嗅探器
( 3)在浏览器地址栏中输入如下网址:
/wireshark-labs 会出现美国权利法案。
( 4)停止分组俘获。
在俘获分组列表中( listing of captured packets)中
找到 HTTP GET 信息和响应信息,(如果你无法俘获此分组,在 Wireshark 下打开文件名为ethernet--ethereal-trace-1 的文件进行学习)。
HTTP GET 信息被封装在 TCP 分组中, TCP 分组又被封装在 IP 数据报中, IP 数据报又被封装在以太网帧中)。
在分组明细窗口中展开 Ethernet II 信息( packet details window)。
回答下面的问题:
1、你所在的主机 48-bit Ethernet 地址是多少?
2、 Ethernet 帧中目的地址是多少?这个目的地址是 的Ethernet
2、分析地址 ARP 协议
( 1)清除 ARP cache,具体做法:在 MSDOS 环境下,输入命令 arp –d * command ,
The –d 表示清除操作, * 删除 all table entries.
(2)选择工具->Internet 选项->删除文件
( 3)启动 Wireshark 分组俘获器
( 4)在浏览器地址栏中输入如下网址:
/wireshark-labs/
HTTP-wireshark-lab-file3.html
( 5)停止分组俘获。
( 6)选择 Analyze->Enabled Protocols->取消 IP 选项->选择 OK
2.实验思考题(标题宋体四号)
根据实验,回答下面问题:由于此实验是关于 Ethernet 和 ARP 的,所以,只需在分组俘获列表中显示IP 层下面的协议,具体做法为:选择Analyze->Enabled Protocols->不选择 IP 协议->selec
三、使用 Wireshark 分析 IP 协议
1、实验步骤
2、分析IPv4 中的分片在第二个实验中,我们将考察IP 数据报首部。
俘获此分组的步骤如下:
(1)启动Wireshark,开始分组俘获(“Capture”-----“interface…”----“start”)。
(2)启动pingplotter (pingplotter 的下载地址为),在“Addressto trace:”下面的输入框里输入目的地址,选择菜单栏
“Edit”---“Options”---“Packet”,在“Packet size(in bytes defaults=56):”右边输入IP
数据报大小:5000,按下“OK”。
最后按下按钮“Trace”,你将会看到pingplotter 窗口显示如下内容,
( 3)停止 Wireshark。
设置过滤方式为: IP,在 Wireshark 窗口中将会看到如下情形
2、实验报告内容
打开文件 dhcp_isolated.cap、 fragment_5000_isolated.cap,回答以下问题:
1、 DHCP服务器广播的本地路由器或默认网关的IP地址是多少?
2、在dhcp_isolated.cap中,由DHCP服务器分配的域名是多少?
3、在fragment_5000_isolated.cap中,我们看到通过UDP数据报发送的5000字节被分成了多少分片?在网络中,一次能传输且不需要分片的最大数据单元
有多大?
分成17片,最大1515
四、利用Wireshark 分析ICMP
1、实验步骤
1、 ping 和 ICMP 利用 Ping 程序产生 ICMP 分组。
Ping 向因特网中的某个特定主机发送特殊的探测报文并等待表明主机在线的回复。
具体做法:( 1)打开 Windows 命令提示符窗口( Windows Command Prompt)。
( 2)启动 Wireshark 分组嗅探器,在过滤显示窗口( filter display window)中输入 icmp,开始 Wireshark 分组俘获。
( 3)输入“ ping –n 10 hostname” 。
其中“-n 10”指明应返回10条ping
信息。
( 4)当ping程序终止时,停止Wireshark 分组俘获。
停止分组俘获后,
在实验报告中回答下面问题:
( 1)你所在主机的IP地址是多少?目的主机的IP地址是多少?
( 2)查看ping请求分组, ICMP的type 和code是多少?
( 3)查看相应得ICMP响应信息, ICMP的type 和code又是多少?
2.ICMP和Traceroute 在Wireshark 下,用Traceroute程序俘获ICMP分组。
Traceroute能够映射出通往特定的因特网主机途径的所有中间主机。
源端发送一串ICMP分组到目的端。
发送的第一个分组时, TTL=1;发送第二个分组时,TTL=2,依次类推。
路由器把经过它的每一个分组TTL字段值减1。
当一个分组到达了路由器时的TTL字段为1时,路由器会发送一个ICMP错误分组( ICMP error packet)给源端。
(1) 启动Window 命令提示符窗口
(2) 启动Wireshark分组嗅探器,开始分组俘获。
( 3)Tracert命令在c:\windows\system32下,所以在MS-DOS 命令提示行或者输入“ tracert hostname” or “c:\windows\system32\tracert hostname” (注意在Windows 下, 命令是“tracert” 而不是“traceroute”。
)
( 4)当Traceroute 程序终止时,停止分组俘获。
在实验报告中回答下面问题:
( 1)查看ICMP echo 分组,是否这个分组和前面使用 ping命令的ICMP echo 一样?
不一样
前者32位,后者64位
( 2)查看ICMP错误分组,它比ICMP echo 分组包括的信息多。
ICMP错误分组比 ICMP echo 分组多包含的信息有哪些?
Type:8 code:0 还多了一部分是原数据包的头部:20bytes
2.实验思考题(标题宋体四号)
回答下列问题:
1、 DHCP是基于UDP还是TCP发送的?
udp
2、连接层的IP地址是多少?
10.68.246.141
3、 DHCP服务器的IP地址是多少?
10.68.246.107。