網(wǎng)絡(luò)協(xié)議數(shù)據(jù)獲取與TCP/IP協(xié)議分析一、 實(shí)驗(yàn)環(huán)境介紹網(wǎng)絡(luò)接入方式：校園網(wǎng)寬帶接入，IP 獲取方式：DHCP ； 操作系統(tǒng)為windows7旗艦版；本機(jī)MAC 地址為5c:f9:dd:70:6a:8

網(wǎng)絡(luò)協(xié)議數(shù)據(jù)獲取與TCP/IP協(xié)議分析

一、 實(shí)驗(yàn)環(huán)境介紹

網(wǎng)絡(luò)接入方式：校園網(wǎng)寬帶接入，IP 獲取方式：DHCP ； 操作系統(tǒng)為windows7旗艦版；

本機(jī)MAC 地址為5c:f9:dd:70:6a:89，IP 地址為10.104.5.53。

圖1 網(wǎng)絡(luò)狀態(tài)截圖

二、實(shí)驗(yàn)步驟

1. 啟動(dòng)wireshark ；

2. 啟動(dòng)一個(gè)網(wǎng)頁瀏覽器，并鍵入一個(gè)URL 地址，如：www.baidu.com

。注

意此時(shí)不要按下回車鍵；

3. 清除電腦中的DNS 緩存，啟動(dòng)wireshark ，開始抓包；

4. 在瀏覽期網(wǎng)頁位置按下回車鍵，開始訪問指定的網(wǎng)頁。

5. 一旦網(wǎng)頁內(nèi)容下載完畢，立即停止Microsoft Network Monitor 抓包，并將抓到的數(shù)據(jù)包存入文件中，同時(shí)將顯示的網(wǎng)頁存儲(chǔ)下來，以便后面參考。

三、實(shí)驗(yàn)過程

使用wireshark 前清除DNS 緩存截圖如下。

圖2 清除DNS 緩存

抓取協(xié)議如下圖所示：

圖3 抓取協(xié)議

四、協(xié)議分析

1. 抓取的協(xié)議類型

檢查在Microsoft Network Monitor 頂端窗口的協(xié)議一列，確認(rèn)你已經(jīng)抓到了DNS 、TCP 和HTTP 數(shù)據(jù)包。

答：由圖3可看出抓到了DNS 、TCP 、HTTP 數(shù)據(jù)包。

2. 以太網(wǎng)幀，IP 分組和UDP 數(shù)據(jù)報(bào)

(1) 檢查客戶端發(fā)出的第一個(gè)DNS 分組

a. 確定客戶端的以太網(wǎng)地址和IP 地址

答：如圖4，客戶端的MAC 地址為5c:f9:dd:70:6a:89；

IPv4地址為：10.104.5.53。

b. 以太網(wǎng)幀結(jié)構(gòu)的TYPE 字段是什么內(nèi)容？

答：如圖所示，以太網(wǎng)幀結(jié)構(gòu)的TYPE 字段為：0x0800，表示該幀是IP 協(xié)議。

c. 目的以太網(wǎng)地址和目的IP 地址分別是什么？這些地址對(duì)應(yīng)哪些計(jì)算機(jī)？解釋這些結(jié)果與你連接到Internet 的計(jì)算機(jī)有關(guān)系。

答：目的以太網(wǎng)地址：00: 0f:e2:d7:ef:f9，目的IP 地址：10. 0. 0.10

對(duì)應(yīng)的計(jì)算機(jī)：以太網(wǎng)地址對(duì)應(yīng)要訪問的www.bitren.com 的源地址，IP 地址是本地局域網(wǎng)域名服務(wù)器的IP 地址。因?yàn)槲覀冊(cè)L問網(wǎng)絡(luò)時(shí)用的是域名，只有經(jīng)過域名服務(wù)器經(jīng)過域名解析得到要訪問的網(wǎng)絡(luò)IP 地址，才能進(jìn)行交換數(shù)據(jù)。不同的局域網(wǎng)的域名服務(wù)器IP 地址不同。

圖4 dns分組

（2）檢查客戶端發(fā)出的第一個(gè)DNS 分組的IP 報(bào)頭

a 包頭的長度是多少？分組的總長度是多少？

b 確定協(xié)議類型字段。載荷數(shù)據(jù)中協(xié)議的編號(hào)和類型是什么？

圖5 IP報(bào)頭

答：報(bào)頭的長度是20 bytes，分組的總長度是60bytes 。

協(xié)議類型字段如圖所示0x11，協(xié)議編號(hào)為17，類型為UDP 。

3). 檢查客戶端發(fā)出的第一個(gè)DNS 分組的UDP 報(bào)頭

a. 確定客戶端臨時(shí)端口號(hào)和服務(wù)器端的默認(rèn)端口號(hào)。載荷數(shù)據(jù)中應(yīng)用層協(xié)議的類型是什么？

b. 確定UDP 報(bào)頭中的長度字段是否與IP 報(bào)頭長度信息一致。

圖6 UDP報(bào)頭

由圖6知，客戶端臨時(shí)端口號(hào)為62063，服務(wù)器端的默認(rèn)端口號(hào)為53。 UDP 報(bào)頭中的長度字段為40bytes ，根據(jù)40 20(IP報(bào)頭長度)=60(IP分組總長度) ，故UDP 報(bào)頭中的長度字段與IP 報(bào)頭長度信息一致。

4) 畫出客戶端和服務(wù)器端從數(shù)據(jù)鏈路層到應(yīng)用層的協(xié)議棧，并解釋為什么各層的PDU 內(nèi)容能夠使得應(yīng)用層的進(jìn)程之間實(shí)現(xiàn)端到端通信。

圖7 客戶端和服務(wù)器端從數(shù)據(jù)鏈路層到應(yīng)用層的協(xié)議棧

實(shí)現(xiàn)各層的PDU 內(nèi)容能夠使得應(yīng)用層的進(jìn)程之間實(shí)現(xiàn)端到端通信的原因是網(wǎng)絡(luò)分層，每一層都會(huì)為從上一層接收到的信息塊添加一個(gè)報(bào)頭和報(bào)尾。在目標(biāo)端，每一層都讀出與其對(duì)應(yīng)的頭部，并決定采取何種操作，將數(shù)據(jù)頭部和尾部去掉，最終將數(shù)據(jù)塊提交給上一層。

3.DNS

1) 檢查客戶端發(fā)送的DNS 分組中的DNS 查詢報(bào)文

a) 哪個(gè)字段表明這個(gè)報(bào)文是DNS 查詢還是響應(yīng)？

b) 查詢的正文中傳送什么信息？

c) 查詢的交互ID 是什么？

d) 確定查詢的類型與級(jí)別的字段

圖8 DNS報(bào)文

a 查詢正文中flags 第一位為0，表明此DNS 分組為查詢報(bào)文。

b type A表示查詢是由域名查找IP 地址；Class:Internet(0x1)是指Internet 數(shù)據(jù)；Name 指要查詢域名。

c 查詢的交互ID 是0x64FC 。

d 類型字段Type ：A(0x1)，級(jí)別字段Class ：Internet(0x1)。

2) 現(xiàn)在檢查對(duì)上述查詢的DNS 響應(yīng)的分組

a) 這個(gè)分組中的以太網(wǎng)地址和IP 地址應(yīng)當(dāng)是什么？檢驗(yàn)這些地址是正確的 b) 傳送DNS 響應(yīng)的IP 分組和UDP 數(shù)據(jù)報(bào)的大小是多少？是否比查詢的長？ c) 確定在響應(yīng)報(bào)文中的交互ID 是正確的。

d) 在響應(yīng)報(bào)文中提供了多少個(gè)答案？比較這些答案及其TTL 值。

圖9 DNS報(bào)文

a 目的以太網(wǎng)地址：00: 0f:e2:d7:ef:f9，目的IP 地址：10. 0. 0.10，顯然是正確的。

b IP分組的長度124bytes ，UDP 數(shù)據(jù)報(bào)大小是104bytes ，要比查詢的長。 c 響應(yīng)報(bào)文中的交互ID 是0x64FC ，與查詢的交互ID 相同。

圖10 DNS nameservers

在響應(yīng)報(bào)文中共提供了2個(gè)答案，分別是dns13.hichina.com 和dns14.hichina.com ，TTL 分別都是40分49秒。

4 TCP 三次握手

1) 確定http 客戶端和服務(wù)器端建立廉潔的三次握手的第一個(gè)TCP 分段的幀結(jié)構(gòu)。

a) 在這個(gè)分段中你期望看到哪個(gè)源端以太網(wǎng)地址和IP 地址？你期望看到的協(xié)議和類型字段是什么內(nèi)容？確認(rèn)這些地址是正確的。

b) 解釋在第一個(gè)TCP 分段中的目的以太網(wǎng)地址和IP 地址的值。這些地址對(duì)應(yīng)什么計(jì)算機(jī)？

c) 確定客戶端使用的臨時(shí)端口號(hào)，確認(rèn)使用的默認(rèn)端口號(hào)是HTTP 默認(rèn)的。 d)TCP 分段的長度是多少？

e)

客戶端到服務(wù)器端分段的初始序列號(hào)是多少？初始窗口大小是多少？最

大分段尺寸是多少？

f) 找到包含SYN 標(biāo)志的十六進(jìn)制字符。

圖11 TCP三次握手第一次

A ）期望看到客戶端的MAC 地址和IP 地址，期望看到的協(xié)議和類型字段是IP （0x08000）。如圖由此可確認(rèn)地址的正確性。

B ）目的以太網(wǎng)地址為：00: 0F:E2:D7:EF:F9，它是服務(wù)器的MAC 地址，IP 地址為：10.1.10.253，它是服務(wù)器的IP 地址。