一、安装 ethereal 软件
使用wireshark
注意: 在继续往下实验前,先说明一些情况。在做实验过程中,在运行cmd命令或在浏览器访问某网址前,须先打开wireshark让其捕获报文,尽管前边捕获的报文与实验不相关。因为你在cmd命令运行完毕或者访问网页完毕再去打开wireshark捕获,是捕获不到你想要的报文的。还有就是等命令执行完毕或访问网页完毕,你需要暂停wireshark,否则它会一直捕获报文,那你就要在上万条报文中找到实验想要的报文就太难了(就算可以使用过滤器)。一句话:执行命令前打开,执行完毕后暂停。
二、捕捉数据包,验证数据帧、IP 数据报、TCP 数据段的报文格式。
查看一条报文,格式如上图。
三、捕捉并分析 ARP 报文。
1.打开本机命令行输入:arp -d
2.在wireshark的过滤器输入:crp,捕抓到两条crp报文(注意在捕获前要清空crp缓存)
3.分析报文:
第二个报文:
四、捕捉 ping 过程中的 ICMP 报文, 分析结果各参数的意义。
1.ping baidu.com以获得ICMP报文
2.筛选报文
3.任意一对报文分析
五、捕捉 tracert 过程中的 ICMP 报文,分析跟踪的路由器 IP 是哪个接口的。
1.先打开终端进行tracert,让软件获得ICMP报文
2.过滤IP
3.找出对应的接口(三条黑色标记的对应一个路由)
4.验证是否正确对应(1ms=0.001s)
a.先记住第一个路由对应的时间
b.从下面三条黑色标记的报文分别验证(后面依次类推)
c.第一条对应3ms:
d.第二条对应1ms:
e.第三条对应1ms:
f.再看看第三个路由超时对应的时间:
六、捕捉并分析 TCP 三次握手建立连接的过程。
1.首先用浏览器访问一个使用ftp协议的服务器的网页,我这里使用的是老师提供的,不便给出。在打开网址前使用wireshark捕获报文。
a.使用tcp过滤。
b.在这些报文中找出三次握手报文(需满足下面验证方法的才是正确的三次握手)
c.验证这是三次握手报文需满足下面这些条件
第一条报文:
第二条报文:
第三条报文:
上面的方法确定很可能这是三次握手,但还需根据序列号来确认,下面依次查看三条报文序列号
第一条:
第二条:
第三条验证方法同上,不再显示
七、捕捉整个 FTP 工作工程的协议包
注意:由于我第六题是使用fpt协议的网址做实验,因此上面捕抓的报文可用于第七题。
a.FTP 控制连接建立过程
b.FTP 用户登录身份验证过程
c. FTP 数据连接建立过程
控制连接与数据连接使用的端口是不一样的。现在客户端端口:6655298 服务端端口:50022。可以根据端口号来判断第e步关闭的是什么连接。
d.FTP 数据传输过程
e.FTP 连接释放过程(包括数据连接和控制连接)
释放数据连接:
释放控制连接:
八、捕捉及研究 WWW 应用的协议报文,回答以下问题:
a.当访问某个主页时,从应用层到网络层,用到了哪些协议?
http用到了应用层http超文本协议,直接对用户提供信息;网页中信息的表示形式用到了表示层;而得到的信息是通过会话层与主机会话层进行对等层通信得到的;网址后面默认的端口号用到了传输层的tcp协议;网络的寻址用到了ip层寻址功能。
b. 对于用户请求的百度主页(www.baidu.com),客户端将接收到几个应答报文? 具体是哪几个?假设从本地主机到该页面的往返时间是 RTT,那么从请求该 主页开始到浏览器上出现完整页面,一共经过多长时间?
1.访问百度,等待页面加载完毕
2.过滤报文,共收到6个报文
3.往返时间不知道为什么用不了
c. 两个存放在同一个服务器中的截然不同的 Web 页 ( 例 如 , http://www.gzhu.edu.cn/index.jsp,和 http://www.gzhu.edu.cn/cn/research/index.jsp 可以在同一个持久的连接上发送吗?
d. 假定一个超链接从一个万维网文档链接到另一个万维网文档,由于万维网文 档上出现了差错而使超链接指向一个无效的计算机名,这时浏览器将向用户报 告什么?
报告:404 Not Found
e. 当点击一个万维网文档时,若该文档除了有文本外,还有一个本地.gif 图像和 两个远地.gif 图像,那么需要建立几次 TCP 连接和有几个 UDP 过程?
1.若使用HTTP/1.0,需要建立0次UDP连接,4次TCP连接
2.若使用HTTP/1.1,需要建立0次UDP连接,1次TCP连接