,實驗一：一、實驗?zāi)康膶W(xué)習(xí)使用網(wǎng)絡(luò)協(xié)議分析工具Wireshark 的方法，并用它來分析一些協(xié)議。二、實驗原理和內(nèi)容1、tcp/ip協(xié)議族中網(wǎng)絡(luò)層傳輸層應(yīng)用層相關(guān)重要協(xié)議原

實驗一：

一、實驗?zāi)康?/p>

學(xué)習(xí)使用網(wǎng)絡(luò)協(xié)議分析工具Wireshark 的方法，并用它來分析一些協(xié)議。

二、實驗原理和內(nèi)容

1、tcp/ip協(xié)議族中網(wǎng)絡(luò)層傳輸層應(yīng)用層相關(guān)重要協(xié)議原理

2、網(wǎng)絡(luò)協(xié)議分析工具Wireshark 的工作原理和基本使用規(guī)則

三、實驗環(huán)境以及設(shè)備

Pc 機(jī)、雙絞線

四、實驗步驟（操作方法及思考題）

1. 用Wireshark 觀察ARP 協(xié)議以及ping 命令的工作過程：（20分）

（1）用“ipconfig ”命令獲得本機(jī)的MAC 地址和缺省路由器的IP 地址；

（2）用“arp ”命令清空本機(jī)的緩存；

（3）運(yùn)行Wireshark ，開始捕獲所有屬于ARP 協(xié)議或ICMP 協(xié)議的，并且源或目的MAC 地址是本機(jī)的包（提示：在設(shè)置過濾規(guī)則時需要使用（1）中獲得的本機(jī)的MAC 地址）;

（4）執(zhí)行命令：“ping 缺省路由器的IP 地址” ；

寫出（1），（2）中所執(zhí)行的完整命令（包含命令行參數(shù)），（3）中需要設(shè)置的Wireshark 的Capture Filter 過濾規(guī)則，以及解釋用Wireshark 所觀察到的執(zhí)行

（4）時網(wǎng)絡(luò)上出現(xiàn)的現(xiàn)象。

--------------------------------------------------------------------------------

（1） ipconfig/all

（2） arp –d

（3） ( arp or icmp ) and ether host 18-03-73-BC-70-51,

ping 192.168.32.254 后的截包信息圖片：

首先，通過ARP 找到所ping 機(jī)器的ip 地址，本機(jī)器發(fā)送一個廣播包，在子網(wǎng)中查詢192.168.32.254的MAC 地址，然后一個節(jié)點發(fā)送了響應(yīng)該查詢的ARP 分組，告知及其所查詢的MAC 地址。接下來，本機(jī)器發(fā)送3個請求的ICMP 報文，目的地段回復(fù)了三個響應(yīng)請求的應(yīng)答ICMP 報文。在最后對請求主機(jī)對應(yīng)的MAC 地址進(jìn)行核查。

2. 用Wireshark 觀察tracert 命令的工作過程：（20分）

（1） 運(yùn)行Wireshark , 開始捕獲tracert 命令中用到的消息；

（2） 執(zhí)行“tracert -d www.dlut.edu.cn”

根據(jù)Wireshark 所觀察到的現(xiàn)象思考并解釋tracert 的工作原理。

-----------------------------------------------------------

實驗室路由跟蹤顯示有6個路由器

TTL 指數(shù)據(jù)包還要經(jīng)過的路由器數(shù)。tracert 命令可以用來跟蹤一個報文從一臺計算機(jī)到另一臺計算機(jī)所走的路徑。要在轉(zhuǎn)發(fā)數(shù)據(jù)包上的TTL 之前至少遞減1，必需路徑上的每個路由器，所以TTL 是有效的躍點計數(shù)。數(shù)據(jù)包上的TTL 到達(dá)0時，路由器應(yīng)該將“ICMP已超時”的消息發(fā)送回源系統(tǒng)。tracert 首先發(fā)送TTL 為1 的數(shù)據(jù)包，之后發(fā)送TTL 遞加1的回顯數(shù)據(jù)包，直到TTL 達(dá)到最大值，從而確定路由信息。圖中顯示了到202.118.66.66的五個路由的請求與恢復(fù)。

3. 用Wireshark 觀察TCP 連接的建立過程和終止過程：（30分）

（1）啟動Wireshark , 配置過濾規(guī)則為捕獲所有源或目的是本機(jī)的Telnet 協(xié)議中的包（提示：Telnet 使用的傳輸層協(xié)議是TCP ，它使用TCP 端口號23）；

（2）在Windows 命令行窗口中執(zhí)行命令 “telnet bbs.dlut.edu.cn”，登錄后再退出。

請在實驗報告中：

a. 寫出步驟（1）中需要設(shè)置的Wireshark 的Capture Filter過濾規(guī)則； b. 根據(jù)Wireshark 所觀察到的現(xiàn)象解釋TCP 三次握手的連接建立過程； c. 根據(jù)Wireshark 所觀察到的現(xiàn)象解釋TCP 的連接終止過程；

d. 根據(jù)Wireshark 所觀察到的現(xiàn)象說出是哪一方首先發(fā)起連接關(guān)閉；

--------------------------------------------------------------------------------

a. ether host 18-03-73-BC-70-51 and (tcp port 23)

b. TCP 三次握手的連接建立過程：

第一次握手：192.168.32.85向202.118.66.5發(fā)送了一個SYN = 0的報文后

進(jìn)入SYN_SEND狀態(tài)，等待服務(wù)器確認(rèn)。

第二次握手：服務(wù)器收到SYN 包，ACK =1，同時發(fā)送SYN= 0的包，進(jìn)

入SYN_RECV狀態(tài)。

第三次握手：收到上部報文后，本地主機(jī)回復(fù)了ACK=1的確認(rèn)報文段，

至此，鏈接建立。

c. TCP的連接終止過程：

第一次：本地主機(jī)向目的主機(jī)發(fā)送[FIN，ACK]報文，seq=16452,ack =

58,FIN =1,請求中斷鏈接

第二次：目的主機(jī)發(fā)送[ACK]報文，ACK =16452 1，seq = 58回復(fù)收到 第三次：目的主機(jī)發(fā)送[FIN，ACK]報文，F(xiàn)IN =1，seq =58,確認(rèn)終止

第四次：本地主機(jī)發(fā)送[ACK]報文，對終止報文進(jìn)行確認(rèn)

d. 首先終止方：

由于目的主機(jī)首先發(fā)送FIN 為1的報文段，由此可知目的主機(jī)首先發(fā)

起鏈接的終止。

4. 用Wireshark 觀察使用DNS 來進(jìn)行域名解析的過程：（30分）

（1）在Windows 命令窗口中執(zhí)行命令“nslookup ↙”，進(jìn)入該命令的交互模式；

（2）啟動Wireshark , 配置過濾規(guī)則為捕獲所有源或目的是本機(jī)的DNS 協(xié)議中的包（提示：DNS 使用的傳輸層協(xié)議是UDP ，它使用UDP 端口號53）；

（3）在提示符“>”下直接鍵入域名www.dlut.edu.cn ，解析它所對應(yīng)的IP 地址；

（4）在提示符“>”下鍵入命令“set type=mx”，設(shè)置查詢類型為MX 記錄;

（5）在提示符“>”下鍵入域名“tom.com ”, 解析它所對應(yīng)的MX 記錄；

（6）在提示符“>”下鍵入命令“set type=a”，恢復(fù)查詢類型為A 記錄;

（7）在提示符“>”下鍵入MX 記錄的查詢結(jié)果，從而查出“tom.com ”郵件服務(wù)器的IP 地址；

（8）在提示符“>”下鍵入“exit ”，退出nslookup 的交互模式。

請在實驗報告中回答：

a. 寫出步驟（2）中需要設(shè)置的Wireshark 的Capture Filter過濾規(guī)則； ether host 18-03-73-BC-70-51 and (udp port 53)

b. 解釋解析域名“www.dlut.edu.cn ”所對應(yīng)IP 地址的過程。

首先，發(fā)出對應(yīng)ptr 請求，解析目的主機(jī)的IP 。之后對www .dlut.edu.cn.OurEDA.cn進(jìn)行A 記錄的查詢請求，結(jié)果為無此域名。在最后向相關(guān)的DNS 服務(wù)器發(fā)送查詢www.dlut. edu. Cn ，得到對應(yīng)A 記錄IP 202.118.66.66

c. 根據(jù)Wireshark 所觀察到的現(xiàn)象解釋解析域名“tom.com ”所對應(yīng)MX 記錄的過程。

本地主機(jī)的DNS 客戶端發(fā)送了一個查詢tom.com 且資源記錄類型為MX 的DNS 查詢報文。收到一個DNS 回答報文，告知其規(guī)范主機(jī)名為tommx.cdn163.net 。

d. “tom.com ”域有幾個郵件服務(wù)器？它們的IP 地址分別是什么？

由上圖易知，進(jìn)行A 記錄 的查詢后，得到一個IP ，為202.108.252.141

五、討論、建議、質(zhì)疑