实验一 数据报文分析.doc

实验一 数据报文分析 一、实验目的 1、深入理解以太网原理； 2、理解ARP协议、ICMP协议、IP协议和TCP协议的原理； 3、掌握wireshark软件的使用方法。 二、实验原理 1、 以太网的工作原理 (1) 在以太网中是基于广播方式传输数据的，即所有的物理信号都要经过同一网段的所有设备。 (2) 网卡可设置成混杂模式，在这种模式下网卡能接收到一切通过它的数据，能不管实际上的数据的目的地址是不是它。计算机直接传输的数据是大量的二进制数据，因此一个网络监听程序还必须使用特定的网络协议来分解嗅探到的数据，嗅探器通过解析数据包头部的各字段含义，能够识别出这个数据片段对应于哪个协议，实现正确得解码。 图 TCP/IP 协议族中不同层次的协议 2、 协议标识 由于TCP、UDP、ICMP和IGMP都向IP传输数据，因此IP头部必须加入标识字段，以表明数据属于哪种协议，在IP的头部信息中有8bit长度的字段，称作协议域，其中1表示为ICMP，2表示为IGMP，6表示为TCP，17表示为UDP协议。 三、实验所用设备 本实验中不需要动手连线，机房中所有主机均通过交换机相连，组成局域网。相邻的2名同学组成一个小组，完成本次实验。 四、实验步骤 1、网络命令学习 （1）点击“开始”→“运行”，输入cmd回车，打开的是dos的命令窗口，在命令行中输入ipconfig命令，查看计算机当前的IP地址、子网掩码和默认网关。添加上参数，输入ipconfig /all 记录本地连接中IP地址，MAC地址（Physical Address），网关（Default Gateway）等信息。如： MAC：00-98-99-00-EA-32 IP：222.28.78.X 网关：222.28.78.1 （2）在命令行下输入route print命令，查看本机上路由表信息。 （3）输入arp –a 命令，查看本地高速缓存中IP地址和MAC地址的信息，并记录下来。 （4）相邻的两位同学组成一组，输入命令ping 222.28.78.X（对方IP地址），如ping 222.28.78.100 ，测试当前主机到目的主机的网络连接状态。读懂ping包下面的统计信息，判断是否连通。 （5）再次输入arp –a 命令，查看本地高速缓存中IP地址和MAC地址的信息，并记录下来。 2、软件学习 （1）点击桌面图标“wireshark”，打开网络分析软件。 （2）点击菜单栏中的“capture” →“Interfaces”，查看网络接口的当前状态。在相应的接口后面点击“start”，即可开始抓包。点击菜单栏的“capture” →“stop”即可停止抓包。 （3）点击菜单栏的“capture” →“option”，在过滤器Capture Filter栏输入ether proto 0x0806 or ip proto 1，表明只抓取ARP和ICMP数据。点击“start”，开始抓包，在dos命令行下输入命令(ping+对方IP)，观察抓到的包，点击菜单栏的“capture” →“stop”停止抓包。 分析抓到的一组ARP数据包，即请求（request）和应答（reply）包，记录数据链路层的源地址和目的地址。 分析一组ICMP数据包，请求（request）和应答（reply），记录数据链路层的源地址和目的地址；IP协议的源地址和目的地址。 （4）抓取TCP协议的三次握手过程，并分析TCP数据包, 记录连接的序列号、确认号和标识符（即：seq、SYN、ACK、ack等）。 五、实验报告内容及要求 每人单独提交自己的实验报告，不要以小组为单位提交。 【一、实验环境】本组成员，设备连接情况（如：K001—交换机—K100）。 【二、实验过程】按实验步骤记录所有的配置，接口的MAC地址（如有），IP地址；端口号port number（如有）；配置的协议；失败的情况。 【三、数据分析】分析抓取的数据内容。 【四、实验总结】列出实验中未解决的问题，或观察到的异常现象，以及所学习到的知识、意见和建议等。 六、数据报文分析实例 1、数据链路层（以太网）数据帧分析： 字节 6 6 2 4 目的地址 源地址 类型 MAC客户数据（46~1500子节） FCS 以太网 MAC帧 类型：0800 IP数据包 类型：0806 ARP请求/应答 类型：0835 RARP请求/应答 所抓数据包为 00 02 A5 9C 25 97 00 0