实验七 TCP/IP协议分析
实验名称:
TCP/IP协议分析
实验要求:
初步了解TCP/IP的主要协议和协议的层次结构;通过在位于同一网段和不同网段的主机之间执行Ping命令,截获报文,分析ARP协议报文结构,并分析ARP协议在同一网段内和不同网段间的解析过程;通过分析上述截获报文分析ICMP报文实验过程:
1、打开终端,输入arp –d 删除ARP缓存,如果显示为not found 需要重新进行网络连接开始--控制面板—网络连接—本地连接将网络禁用后再启用
在访问网站之前先清除arp 缓存和dns缓存
arp –d 删除ARP缓存表
ipconfig /flushdns 删除dns缓存2、打开wireshark软件,开始抓包
3、访问baidu网站
2、关闭浏览器停止抓包
5、需要分析的协议
(1)以太网数据帧
分析:分别是以太网数据帧,目的Mac地址:00:0c:29:5d:2f:65,源Mac地址:00:50:56:f7:b3:52
(2)ARP报文(请求和响应,包含数据链路层)
请求包:
分析:对ARP报文进行过滤,从上往下依次是:
1、数据包的大小和从哪个接口出现,
2、数据链路层:目的Mac地址:ff:ff:ff:ff:ff:ff(因不知道目的Mac地址,所以采用广播的模式对局域网内的所有设备发送请求包)源Mac地址:00:0c:29:5d:2f:65协议的类型:2054(ARP协议)(0x0806)
3、网络层:
ARP请求包标志为1
发送Mac地址:00:0c:29:5d:2f:65
发送者IP地址:192.2.2.128
目标Mac地址:00:00:00:00:00:00(由于目标Mac地址不知道,所以全部为0)
目标IP地址:192.2.2.2
响应包:
分析:对ARP报文进行过滤,从上往下分别是:
1、数据包的大小和从哪个接口出现,
2、数据链路层:目的Mac地址:00:0c:29:5d:2f:65源Mac地址:00:50:56:f7:b3:52协议的类型:2054(ARP协议)(0x0806)
3、网络层:ARP响应包标志为2
发送Mac地址:00:50:56:f7:b3:52
发送者IP地址:192.2.2.2
目标Mac地址:00:0c:29:5d:2f:65
目标IP地址:192.2.2.128
(3)DNS报文(请求和响应)IP,UDP
分析:网络层:
源IP:192.2.2.128
目的IP:192.2.2.2
运输层:
目的端口:53(DNS域名解析默认端口)
源端口:1028
应用层:
questions:1标识为请求一个域名地址
name:www.baidu.com
类型为A,主记录为(1)
响应包:
分析;
源端口:53
目的端口:1028
域名-别名
别名-IP地址
(4)TCP建立连接三次握手报文
分析:
第一个:请求连接报文seq=0;协商ack值为1
第二个:服务端seq(1)=0;ack=1;
第三个:请求端seq(2)=seq(1)+ack=1;ack=1;
(4)HTTP报文(请求和相应)
请求:
Get请求,http版本1.1
语言:中文
接受的编码:gzip
浏览器头部标识
连接的状态:状态良好
cookie:访问用户标识
响应包:
网站状态码:200 正常