IP和TCP数据分组的捕获和解析.doc

实验二：IP和TCP数据分组的捕获和解析 1.实验类别 协议分析型 2.实验内容和实验目的 本次实验内容： 1）捕获在连接Internet过程中产生的网络层分组：DHCP分组，ARP分组，IP数据分组，ICMP分组。 2）分析各种分组的格式，说明各种分组在建立网络连接过程中的作用。 3）分析IP数据分组分片的结构。 通过本次实验了解计算机上网的工作过程，学习各种网络层分组的格式及其作用，理解长度大于1500字节IP数据组分片传输的结构。 4）分析TCP建立连接，拆除连接和数据通信的流程。 3.实验学时 4学时。 4.实验分组 单独完成。 5.实验设备环境 1台装有Windows XP 操作系统的pc机，要求能够连接到Internet，并安装WireShark软件。 6.实验步骤 6.1准备工作 启动计算机，连接网络确保能够上网，安装WireShark软件。 6.2 捕获DHCP报文并分析 DHCP报文格式 先介绍一下DHCP的报文格式，如图1 OP(1) Htype(1) Hlen(1) Hops(1) Transaction ID(4) Seconds(2) Flags(2) Ciaddr（4） Yiaddr（4） Siaddr（4） Giaddr（4） Chaddr（16） Sname（64） File（128） Options（variable） （图1 DHCP报文格式） OP：若是client送给server的封包，设为1，反向为2； Htype：硬件类别，ethernet为1； Hlen：硬件长度，ethernet为6； Hops：若数据包需经过router传送，每站加1，若在同一网内，为0； Transaction ID：事务ID，是个随机数，用于客户和服务器之间匹配请求和相应消息； Seconds：由用户指定的时间，指开始地址获取和更新进行后的时间； Flags：从0-15bits，最左一bit为1时表示server将以广播方式传送封包给 client，其余尚未使用； Ciaddr：用户IP地址； Yiaddr：客户IP地址； Siaddr：用于bootstrap过程中的IP地址； Giaddr：转发代理（网关）IP地址； Chaddr：client的硬件地址； Sname：可选server的名称，以0x00结尾； File：启动文件名； Options：，厂商标识，可选的参数字段 再执行ipconfig/renew，在WireShark上就看到了DHCP的四次握手获得IP地址，缺省路由DNS等参数的过程。 现在来详细分析下这四次握手的过程。 （1）第一次握手： 客户端首先向网络以广播形式发送DHCP discover报文，目的是发现网络中存在的DHCP server，并请求给出回应。图中可以看出DHCP discover数据包二层源mac地址为源端口mac，目的mac为广播地址ff:ff:ff:ff:ff:ff. 三层源地址为。目的地址为广播地址55 第二次握手： 向client端提供IP地址当 DHCP服务器监听到客户端发出的 Dhcpdiscover 广播后，它会从那些还没有租出的地址池内，选择最前面的的空置 IP ，连同其它 TCP/IP 设定，回应给客户端一个 DHCPOFFER 封包。由于客户端在开始的时候还没有 IP 位址，所以在其 Dhcpdiscover 封包内会带有其 MAC 位址信息，并且有一个 XID 编号来辨别该封包，DHCP服务器回应的 Dhcpoffer 封包则会根据这些资料传递给要求租约的客户。根据服务器端的设定，Dhcpoffer 封包会包含一个租约期限的信息,当客户端到了这个期限,会释放出IP,进行相同步骤的再次申请. 在DHCP offer包中我们可以获得以下的信息:信息类型为应答广播信息,客户端IP地址为.通过DHCP discover请求申请后,服务器端分配的IP地址为DHCP服务器的 IP地址为.租约时间为个小时 Client IP address =()表示客户机还没有使用该地址 Your(Client)IPaddress=36(36)表示DHCP Server分配给该客户机的IP地址 next Server IP address它标示了客户机下一次发出DHCP Request报文时，哪个DHCP Server会发出回应 DHCP Message Type＝DHCP Offer表示这是一个对DHCP Discover的回应报文 Subnet Mask=28表示分配的IP地址子网掩码为16位 Ip address lease time=4 hour 表示租期是4小时 Server identifier=表示服