实验七 TCP/IP协议分析

实验名称：

TCP/IP协议分析

实验要求：

初步了解TCP/IP的主要协议和协议的层次结构；通过在位于同一网段和不同网段的主机之间执行Ping命令，截获报文，分析ARP协议报文结构，并分析ARP协议在同一网段内和不同网段间的解析过程；通过分析上述截获报文分析ICMP报文

实验过程：

1、打开终端，输入arp –d 删除ARP缓存，如果显示为not found 需要重新进行网络连接开始--控制面板—网络连接—本地连接将网络禁用后再启用

在访问网站之前先清除arp 缓存和dns缓存

arp –d 删除ARP缓存表

ipconfig /flushdns  删除dns缓存

2、打开wireshark软件，开始抓包

3、访问baidu网站

2、关闭浏览器停止抓包

5、需要分析的协议

（1）以太网数据帧

分析：分别是以太网数据帧，目的Mac地址：00:0c:29:5d:2f:65，源Mac地址：00:50:56:f7:b3:52

（2）ARP报文（请求和响应，包含数据链路层）

请求包：

分析：对ARP报文进行过滤，从上往下依次是：

1、数据包的大小和从哪个接口出现，

2、数据链路层：目的Mac地址：ff:ff:ff:ff:ff:ff（因不知道目的Mac地址，所以采用广播的模式对局域网内的所有设备发送请求包）源Mac地址：00:0c:29:5d:2f:65协议的类型：2054（ARP协议）（0x0806）

3、网络层：

ARP请求包标志为1

发送Mac地址：00:0c:29:5d:2f:65

发送者IP地址：192.2.2.128

目标Mac地址：00:00:00:00:00:00（由于目标Mac地址不知道，所以全部为0）

目标IP地址：192.2.2.2

响应包：

分析：对ARP报文进行过滤，从上往下分别是：

1、数据包的大小和从哪个接口出现，

2、数据链路层：目的Mac地址：00:0c:29:5d:2f:65源Mac地址：00:50:56:f7:b3:52协议的类型：2054（ARP协议）（0x0806）

3、网络层：ARP响应包标志为2

发送Mac地址：00:50:56:f7:b3:52

发送者IP地址：192.2.2.2

目标Mac地址：00:0c:29:5d:2f:65

目标IP地址：192.2.2.128

（3）DNS报文（请求和响应）IP，UDP

分析：网络层：

源IP：192.2.2.128

目的IP：192.2.2.2

运输层：

目的端口：53（DNS域名解析默认端口）

源端口：1028

应用层：

questions:1标识为请求一个域名地址

name:www.baidu.com

类型为A，主记录为（1）

响应包：

分析;

源端口：53

目的端口：1028

域名-别名

别名-IP地址

（4）TCP建立连接三次握手报文

分析：

第一个：请求连接报文seq=0;协商ack值为1

第二个：服务端seq(1)=0;ack=1;

第三个：请求端seq(2)=seq(1)+ack=1;ack=1;

(4)HTTP报文（请求和相应）

请求：

Get请求，http版本1.1

语言：中文

接受的编码：gzip

浏览器头部标识

主机：www.baidu.com

连接的状态：状态良好

cookie:访问用户标识

响应包：

网站状态码：200 正常