协议数据分析
- 實驗目的
了解協議分析儀的使用方法和基本特點。
增強對網絡協議的理解。?
- 實驗要求
要求在進行協議數據分析后,能夠將網絡數據與具體的網絡操作相互映證,如實的記錄實驗結果,完成實驗
- 實驗環境
1.一臺運行Windows 2000的計算機
2.各計算機已通過網卡、雙絞線、集線器實現網絡硬件連接。
- 實驗步驟
?
由上,我們可以看出:
IP地址:10.1.246.149
物理地址:C8-D3-FF-3D-89-8B
網關地址:10.1.244.1
DNS服務器地址:10.1.244.18
實驗探究:什么是DNS服務器?
通過查閱相關資料和自己理解總結如下:
DNS(Domain Name Server,域名服務器)是進行域名(domain name)和與之相對應的IP地址 (IP address)轉換的服務器。DNS中保存了一張域名(domain name)和與之相對應的IP地址 (IP address)的表,以解析消息的域名。 域名是Internet上某一臺計算機或計算機組的名稱,用于在數據傳輸時標識計算機的電子方位(有時也指地理位置)。域名是由一串用點分隔的名字組成的,通常包含組織名,而且始終包括兩到三個字母的后綴,以指明組織的類型或該域所在的國家或地區。
?
屏幕參數解析如下:
通過arp -a可以看到此處我們的網關的物理地址為:00-00-5e-00-01-06.
2.1 在捕獲的網絡數據中通過對“協議”字段排序(用鼠標左鍵點擊protocol字段兩次),找到這次ping操作產生的8個ICMP數據,其中有四個ICMP請求,四個ICMP響應,請求與響應應該是交替出現。
實驗探究:什么是ICMP?
???通過查閱相關資料和自己理解總結如下:
?
ICMP是(Internet Control Message Protocol)Internet控制報文協議。它是TCP/IP協議族的一個子協議,用于在IP主機、路由器之間傳遞控制消息。控制消息是指網絡通不通、主機是否可達、路由是否可用等網絡本身的消息。這些控制消息雖然并不傳輸用戶數據,但是對于用戶數據的傳遞起著重要的作用。
?
由上可以看出:ICMP請求與ICMP響應的確是交替出現的。由圖我們可以看到我們的主機第一次ICMP請求網關地址,網管地址給予回應:這里主要是說明偵測遠端主機存在。
第二次ICMP請求網關地址,網管地址給予回應:這里作用是在建立及維護路由資料。
第三次ICMP請求網關地址,網管地址給予回應:這里是重導資料傳送路徑(ICMP重定向)。
第四次ICMP請求網關地址,網管地址給予回應:這里主要是進行資料流量控制。
2.2選擇第一個ICMP請求,檢查這個網絡數據的整體封裝關系——應該是ICMP數據封裝在IP數據報中,IP數據報封裝在幀中。
從以上三張截圖可以看出:從上到下分別是幀以太網協議、鏈路層協議、IP協議、網際報文控制協議,這三張圖對應著看的確ICMP數據封裝在IP數據報中,IP數據報封裝在幀中。
?
2.3記錄該網絡數據塊“幀”層次的目的物理地址、源物理地址、幀類型,印證與前面得到的本機物理地址、網關物理地址是否一致,幀類型是否是“0800”,思考一下為什么是這樣。
從鏈路層協議可以看出:源物理地址c8:d3:ff:3d:89:8b與我本機物理地址c8:d3:ff:3d:89:8b一樣;目的物理地址00-00-5e-00-01-06與網關物理地址00-00-5e-00-01-06也一樣。幀類型是0800。
實驗探究:幀類型為什么是“0800”?
?????EtherType 是以太幀里的一個字段,用來指明應用于幀數據字段的協議。該類字段值取自 IEEE EtherType 字段寄存器。EtherType 字段是個極限空間,因此其分配是有限的。所以Ethernet II類型以太網幀格式用2個字節標識出以太網幀所攜帶的上層數據類型,而16進制數0x0800代表IP協議數據,所以在此幀類型是0800,因為他是IP協議數據。
?
2.4記錄該網絡數據塊“IP數據報”層次的目的IP地址、源IP地址,印證與前面得到的本機IP地址、網關IP地址是否一致,記錄“協議”字段的值。
屏幕參數說明:源IP地址10.1.246.149與我本機IP地址10.1.246.149一樣;目的IP地址10.1.244.1與網關IP地址10.1.244.1也一樣。
協議字段值說明如下:
version:版本號4;header length:IP報文頭部20字節(說明選項字段為0);
Different iated services Field(區分服務領域):它包括DSCP:區分服務代碼點,即DS標記值字段,它在每個數據包IP頭部的服務類別TOS標識字節中,利用已使用的6比特和未使用的2比特字節,通過編碼值來區分優先級。用于選擇PHB(單中斷段行為)和CU(顯示擁塞通知):總的概括就是前6位表示的優先級這里是0,后兩位表示擁塞控制:00代表Non-ECT非ECN-Capable運輸。
Total Length:IP數據報數據加首部總長度60字節。
Identification(標識):占16位。IP軟件在存儲器中維持一個計數器,每產生一個數據報,計數器就加1,并將此值賦給標識字段。這里總共1590個數據報。
Flags(標志):為0代表表示這已是若干數據報片中的最后一個。
從上可以得到關鍵信息:
??此同學的IP地址為:10.1.246.199物理地址為:C-8-D-3-F-F-3-D-7-1-7-7
3.1記錄ARP請求在幀層次的目的物理地址、源物理地址、幀類型,并印證相關數據。記錄ARP請求具體數據印證相關數據。
實驗探究:什么是ARP協議?
通過查閱資料總結如下:
ARP(地址解析協議)它是根據IP地址獲取物理地址的一個TCP/IP協議。主機發送信息時將包含目標IP地址的ARP請求廣播到網絡上的所有主機,并接收返回消息,以此確定目標的物理地址;收到返回消息后將該IP地址和物理地址存入本機ARP緩存中并保留一定時間,下次請求時直接查詢ARP緩存以節約資源。
?
屏幕參數說明:由上我們可以看到我本機先通過廣播的方式將10.1.146.149這個目的網絡進行詢問,并接收返回消息,以此確定目的網絡的物理地址,然后目的網絡主機也對我的主機廣播詢問物理地址一次,就雙方都互相知道對方的物理地址,開始進行通信。
源物理地址c8:d3:ff:3d:89:8b與我本機物理地址c8:d3:ff:3d:89:8b一樣;目的物理地址ff-ff-ff-ff-ff-ff與同學的物理地址不一樣。因為廣播的時候還不知道目標網絡的物理地址。
幀類型是0806。上文對幀類型進行了詳解,可以看出此幀格式是Nthernet V2類型的幀。
3.2記錄ARP響應在幀層次的目的物理地址、源物理地址、幀類型,并印證相關數據。記錄ARP響應具體數據印證相關數據。
?
屏幕參數說明:由上我們可以看到目的網絡主機作為響應回應了我本機它的物理地址。
源物理地址c8:d3:ff:3d:71:77與同學本機物理地址c8:d3:ff:3d:71:77一樣;目的物理地址c8:d3:ff:3d:89:8b與我的物理地址一樣。因為廣播的時候還不知道目標網絡的物理地址。
幀類型是0806。上文對幀類型進行了詳解,可以看出此幀格式是Nthernet V2類型的幀。
?
屏幕參數分析:
?Tracert:用來探測本機到目標計算機之間的路由器IP地址,會從源主機到目標主機之間的每一臺路由器都會返回響應的報頭。最左側的,1,2,3,4~14,這標明在我現在使用的寬帶(使用的是移動寬帶)上,經過11個路由節點,可以到達騰訊的服務。
中間這三列,單位是ms,是表示我們連接到每個路由節點的速度,返回速度和多次鏈接反饋的平均值。后面的IP,就是每個路由節點對應的IP,每個ip輸入什么,202開頭的ip地址是C類ip地址。在第7個路由節點上,返回消息是超時,這表示這個路由節點和當前使用的寬帶,是*和返回超時,那就說明這個IP,在各個路由節點都有問題。
?
?
從以上三個圖我們能看到:
Tracert 先向目的主機發送三個?TTL 為?1 的封裝了ICMP回應報文的IP數據報,在第一個路由器IP數據報的TTL字段被減為0,數據報被丟棄,同時向源主機發送已超時的ICMP差錯報告,源主機即可得到第一個路由器的IP地址。接下來Tracert向目的主機發送三個?TTL 為?2 的封裝了ICMP回應報文的IP數據報,在第二個路由器IP數據報的TTL字段被減為0,數據報被丟棄,同時向源主機發送已超時的ICMP差錯報告,源主機即可得到第二個路由器的IP地址……最終,通過tracert可以探測本機到目的主機經過的所有路由器的IP地址。
?
這里看到,我訪問的是清華的網站。
?
首先可以看到的是:HTTP的數據報,這里可以看到,我方的主機通過HTTP請求向清華網站服務器請求各種資源。我方主機發送HTTP請求?通過連接,客戶端寫一個ASCII文本請求行,后跟0或多個HTTP頭標,一個空行和實現請求的任意數據。一個請求由四個部分組成:請求行、請求頭標、空行和請求數據。服務端接受請求并返回HTTP響應清華服務器解析請求,定位指定資源。服務器將資源副本寫至套接字,在此處由客戶端讀取。一個響應由四個部分組成;狀態行、響應頭標、空行、響應數據。
UDP面向無連接的協議:這里看到:它的源端口號、目的端口號、長度字段、域名系統字段。
這里主要找了一個數據幀進行分析:幀以太網協議、鏈路層協議、IP協議
幀以太網協議:
到達時間參數:就是這個數據包到達目的網絡的時間
幀數:共有215個
數據包長度:75字節
捕獲長度:75字節
鏈路層協議:
原網絡:10.1.244.149(本機網絡IP)
目的網絡:10.1.244.1(可以看出此數據包是通過網管發出的)
幀類型:0x0800
IP協議:
version:版本號4;header length:IP報文頭部20字節(說明選項字段為0);
Different iated services Field(區分服務領域):它包括DSCP:區分服務代碼點,即DS標記值字段,它在每個數據包IP頭部的服務類別TOS標識字節中,利用已使用的6比特和未使用的2比特字節,通過編碼值來區分優先級。用于選擇PHB(單中斷段行為)和CU(顯示擁塞通知):總的概括就是前6位表示的優先級這里是0,后兩位表示擁塞控制:00代表Non-ECT非ECN-Capable運輸。
Total Length:IP數據報數據加首部總長度61字節。
Identification(標識):占16位。IP軟件在存儲器中維持一個計數器,每產生一個數據報,計數器就加1,并將此值賦給標識字段。這里總共18880個數據報。
Flags(標志):為0代表表示這已是若干數據報片中的最后一個。
- 參考文獻
?Kenneth D. Reed 著,孫坦等譯. 協議分析[M]. 北京:電子工業出版社,2002.
謝鯤,張大方. 共享網段網絡協議分析系統設計與實現[J]. 計算機工程與科學,2002.24(2).
福祿克公司關于協議分析(測試)儀的網站. http://www.flukenetworks.com.cn/
總結
- 上一篇: RDD的依赖与分区
- 下一篇: extjs2.0 ie8 下拉树_Ext