網(wǎng)絡(luò)協(xié)議數(shù)據(jù)獲取與TCP/IP協(xié)議分析一、 實驗環(huán)境介紹網(wǎng)絡(luò)接入方式：校園網(wǎng)寬帶接入，IP 獲取方式：DHCP ； 操作系統(tǒng)為windows7旗艦版；本機(jī)MAC 地址為5c:f9:dd:70:6a:8

網(wǎng)絡(luò)協(xié)議數(shù)據(jù)獲取與TCP/IP協(xié)議分析

一、 實驗環(huán)境介紹

網(wǎng)絡(luò)接入方式：校園網(wǎng)寬帶接入，IP 獲取方式：DHCP ； 操作系統(tǒng)為windows7旗艦版；

本機(jī)MAC 地址為5c:f9:dd:70:6a:89，IP 地址為10.104.5.53。

圖1 網(wǎng)絡(luò)狀態(tài)截圖

二、實驗步驟

1. 啟動wireshark ；

2. 啟動一個網(wǎng)頁瀏覽器，并鍵入一個URL 地址，如：www.baidu.com

。注

意此時不要按下回車鍵；

3. 清除電腦中的DNS 緩存，啟動wireshark ，開始抓包；

4. 在瀏覽期網(wǎng)頁位置按下回車鍵，開始訪問指定的網(wǎng)頁。

5. 一旦網(wǎng)頁內(nèi)容下載完畢，立即停止Microsoft Network Monitor 抓包，并將抓到的數(shù)據(jù)包存入文件中，同時將顯示的網(wǎng)頁存儲下來，以便后面參考。

三、實驗過程

使用wireshark 前清除DNS 緩存截圖如下。

圖2 清除DNS 緩存

抓取協(xié)議如下圖所示：

圖3 抓取協(xié)議

四、協(xié)議分析

1. 抓取的協(xié)議類型

檢查在Microsoft Network Monitor 頂端窗口的協(xié)議一列，確認(rèn)你已經(jīng)抓到了DNS 、TCP 和HTTP 數(shù)據(jù)包。

答：由圖3可看出抓到了DNS 、TCP 、HTTP 數(shù)據(jù)包。

2. 以太網(wǎng)幀，IP 分組和UDP 數(shù)據(jù)報

(1) 檢查客戶端發(fā)出的第一個DNS 分組

a. 確定客戶端的以太網(wǎng)地址和IP 地址

答：如圖4，客戶端的MAC 地址為5c:f9:dd:70:6a:89；

IPv4地址為：10.104.5.53。

b. 以太網(wǎng)幀結(jié)構(gòu)的TYPE 字段是什么內(nèi)容？

答：如圖所示，以太網(wǎng)幀結(jié)構(gòu)的TYPE 字段為：0x0800，表示該幀是IP 協(xié)議。

c. 目的以太網(wǎng)地址和目的IP 地址分別是什么？這些地址對應(yīng)哪些計算機(jī)？解釋這些結(jié)果與你連接到Internet 的計算機(jī)有關(guān)系。

答：目的以太網(wǎng)地址：00: 0f:e2:d7:ef:f9，目的IP 地址：10. 0. 0.10

對應(yīng)的計算機(jī)：以太網(wǎng)地址對應(yīng)要訪問的www.bitren.com 的源地址，IP 地址是本地局域網(wǎng)域名服務(wù)器的IP 地址。因為我們訪問網(wǎng)絡(luò)時用的是域名，只有經(jīng)過域名服務(wù)器經(jīng)過域名解析得到要訪問的網(wǎng)絡(luò)IP 地址，才能進(jìn)行交換數(shù)據(jù)。不同的局域網(wǎng)的域名服務(wù)器IP 地址不同。

圖4 dns分組

（2）檢查客戶端發(fā)出的第一個DNS 分組的IP 報頭

a 包頭的長度是多少？分組的總長度是多少？

b 確定協(xié)議類型字段。載荷數(shù)據(jù)中協(xié)議的編號和類型是什么？

圖5 IP報頭

答：報頭的長度是20 bytes，分組的總長度是60bytes 。

協(xié)議類型字段如圖所示0x11，協(xié)議編號為17，類型為UDP 。

3). 檢查客戶端發(fā)出的第一個DNS 分組的UDP 報頭

a. 確定客戶端臨時端口號和服務(wù)器端的默認(rèn)端口號。載荷數(shù)據(jù)中應(yīng)用層協(xié)議的類型是什么？

b. 確定UDP 報頭中的長度字段是否與IP 報頭長度信息一致。

圖6 UDP報頭

由圖6知，客戶端臨時端口號為62063，服務(wù)器端的默認(rèn)端口號為53。 UDP 報頭中的長度字段為40bytes ，根據(jù)40 20(IP報頭長度)=60(IP分組總長度) ，故UDP 報頭中的長度字段與IP 報頭長度信息一致。

4) 畫出客戶端和服務(wù)器端從數(shù)據(jù)鏈路層到應(yīng)用層的協(xié)議棧，并解釋為什么各層的PDU 內(nèi)容能夠使得應(yīng)用層的進(jìn)程之間實現(xiàn)端到端通信。

圖7 客戶端和服務(wù)器端從數(shù)據(jù)鏈路層到應(yīng)用層的協(xié)議棧

實現(xiàn)各層的PDU 內(nèi)容能夠使得應(yīng)用層的進(jìn)程之間實現(xiàn)端到端通信的原因是網(wǎng)絡(luò)分層，每一層都會為從上一層接收到的信息塊添加一個報頭和報尾。在目標(biāo)端，每一層都讀出與其對應(yīng)的頭部，并決定采取何種操作，將數(shù)據(jù)頭部和尾部去掉，最終將數(shù)據(jù)塊提交給上一層。

3.DNS

1) 檢查客戶端發(fā)送的DNS 分組中的DNS 查詢報文

a) 哪個字段表明這個報文是DNS 查詢還是響應(yīng)？

b) 查詢的正文中傳送什么信息？

c) 查詢的交互ID 是什么？

d) 確定查詢的類型與級別的字段

圖8 DNS報文

a 查詢正文中flags 第一位為0，表明此DNS 分組為查詢報文。

b type A表示查詢是由域名查找IP 地址；Class:Internet(0x1)是指Internet 數(shù)據(jù)；Name 指要查詢域名。

c 查詢的交互ID 是0x64FC 。

d 類型字段Type ：A(0x1)，級別字段Class ：Internet(0x1)。

2) 現(xiàn)在檢查對上述查詢的DNS 響應(yīng)的分組

a) 這個分組中的以太網(wǎng)地址和IP 地址應(yīng)當(dāng)是什么？檢驗這些地址是正確的 b) 傳送DNS 響應(yīng)的IP 分組和UDP 數(shù)據(jù)報的大小是多少？是否比查詢的長？ c) 確定在響應(yīng)報文中的交互ID 是正確的。

d) 在響應(yīng)報文中提供了多少個答案？比較這些答案及其TTL 值。

圖9 DNS報文

a 目的以太網(wǎng)地址：00: 0f:e2:d7:ef:f9，目的IP 地址：10. 0. 0.10，顯然是正確的。

b IP分組的長度124bytes ，UDP 數(shù)據(jù)報大小是104bytes ，要比查詢的長。 c 響應(yīng)報文中的交互ID 是0x64FC ，與查詢的交互ID 相同。

圖10 DNS nameservers

在響應(yīng)報文中共提供了2個答案，分別是dns13.hichina.com 和dns14.hichina.com ，TTL 分別都是40分49秒。

4 TCP 三次握手

1) 確定http 客戶端和服務(wù)器端建立廉潔的三次握手的第一個TCP 分段的幀結(jié)構(gòu)。

a) 在這個分段中你期望看到哪個源端以太網(wǎng)地址和IP 地址？你期望看到的協(xié)議和類型字段是什么內(nèi)容？確認(rèn)這些地址是正確的。

b) 解釋在第一個TCP 分段中的目的以太網(wǎng)地址和IP 地址的值。這些地址對應(yīng)什么計算機(jī)？

c) 確定客戶端使用的臨時端口號，確認(rèn)使用的默認(rèn)端口號是HTTP 默認(rèn)的。 d)TCP 分段的長度是多少？

e)

客戶端到服務(wù)器端分段的初始序列號是多少？初始窗口大小是多少？最

大分段尺寸是多少？

f) 找到包含SYN 標(biāo)志的十六進(jìn)制字符。

圖11 TCP三次握手第一次

A ）期望看到客戶端的MAC 地址和IP 地址，期望看到的協(xié)議和類型字段是IP （0x08000）。如圖由此可確認(rèn)地址的正確性。

B ）目的以太網(wǎng)地址為：00: 0F:E2:D7:EF:F9，它是服務(wù)器的MAC 地址，IP 地址為：10.1.10.253，它是服務(wù)器的IP 地址。