协议数据分析
- 實(shí)驗(yàn)?zāi)康?/strong>
了解協(xié)議分析儀的使用方法和基本特點(diǎn)。
增強(qiáng)對(duì)網(wǎng)絡(luò)協(xié)議的理解。?
- 實(shí)驗(yàn)要求
要求在進(jìn)行協(xié)議數(shù)據(jù)分析后,能夠?qū)⒕W(wǎng)絡(luò)數(shù)據(jù)與具體的網(wǎng)絡(luò)操作相互映證,如實(shí)的記錄實(shí)驗(yàn)結(jié)果,完成實(shí)驗(yàn)
- 實(shí)驗(yàn)環(huán)境
1.一臺(tái)運(yùn)行Windows 2000的計(jì)算機(jī)
2.各計(jì)算機(jī)已通過網(wǎng)卡、雙絞線、集線器實(shí)現(xiàn)網(wǎng)絡(luò)硬件連接。
- 實(shí)驗(yàn)步驟
?
由上,我們可以看出:
IP地址:10.1.246.149
物理地址:C8-D3-FF-3D-89-8B
網(wǎng)關(guān)地址:10.1.244.1
DNS服務(wù)器地址:10.1.244.18
實(shí)驗(yàn)探究:什么是DNS服務(wù)器?
通過查閱相關(guān)資料和自己理解總結(jié)如下:
DNS(Domain Name Server,域名服務(wù)器)是進(jìn)行域名(domain name)和與之相對(duì)應(yīng)的IP地址 (IP address)轉(zhuǎn)換的服務(wù)器。DNS中保存了一張域名(domain name)和與之相對(duì)應(yīng)的IP地址 (IP address)的表,以解析消息的域名。 域名是Internet上某一臺(tái)計(jì)算機(jī)或計(jì)算機(jī)組的名稱,用于在數(shù)據(jù)傳輸時(shí)標(biāo)識(shí)計(jì)算機(jī)的電子方位(有時(shí)也指地理位置)。域名是由一串用點(diǎn)分隔的名字組成的,通常包含組織名,而且始終包括兩到三個(gè)字母的后綴,以指明組織的類型或該域所在的國家或地區(qū)。
?
屏幕參數(shù)解析如下:
通過arp -a可以看到此處我們的網(wǎng)關(guān)的物理地址為:00-00-5e-00-01-06.
2.1 在捕獲的網(wǎng)絡(luò)數(shù)據(jù)中通過對(duì)“協(xié)議”字段排序(用鼠標(biāo)左鍵點(diǎn)擊protocol字段兩次),找到這次ping操作產(chǎn)生的8個(gè)ICMP數(shù)據(jù),其中有四個(gè)ICMP請(qǐng)求,四個(gè)ICMP響應(yīng),請(qǐng)求與響應(yīng)應(yīng)該是交替出現(xiàn)。
實(shí)驗(yàn)探究:什么是ICMP?
???通過查閱相關(guān)資料和自己理解總結(jié)如下:
?
ICMP是(Internet Control Message Protocol)Internet控制報(bào)文協(xié)議。它是TCP/IP協(xié)議族的一個(gè)子協(xié)議,用于在IP主機(jī)、路由器之間傳遞控制消息。控制消息是指網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶數(shù)據(jù),但是對(duì)于用戶數(shù)據(jù)的傳遞起著重要的作用。
?
由上可以看出:ICMP請(qǐng)求與ICMP響應(yīng)的確是交替出現(xiàn)的。由圖我們可以看到我們的主機(jī)第一次ICMP請(qǐng)求網(wǎng)關(guān)地址,網(wǎng)管地址給予回應(yīng):這里主要是說明偵測(cè)遠(yuǎn)端主機(jī)存在。
第二次ICMP請(qǐng)求網(wǎng)關(guān)地址,網(wǎng)管地址給予回應(yīng):這里作用是在建立及維護(hù)路由資料。
第三次ICMP請(qǐng)求網(wǎng)關(guān)地址,網(wǎng)管地址給予回應(yīng):這里是重導(dǎo)資料傳送路徑(ICMP重定向)。
第四次ICMP請(qǐng)求網(wǎng)關(guān)地址,網(wǎng)管地址給予回應(yīng):這里主要是進(jìn)行資料流量控制。
2.2選擇第一個(gè)ICMP請(qǐng)求,檢查這個(gè)網(wǎng)絡(luò)數(shù)據(jù)的整體封裝關(guān)系——應(yīng)該是ICMP數(shù)據(jù)封裝在IP數(shù)據(jù)報(bào)中,IP數(shù)據(jù)報(bào)封裝在幀中。
從以上三張截圖可以看出:從上到下分別是幀以太網(wǎng)協(xié)議、鏈路層協(xié)議、IP協(xié)議、網(wǎng)際報(bào)文控制協(xié)議,這三張圖對(duì)應(yīng)著看的確ICMP數(shù)據(jù)封裝在IP數(shù)據(jù)報(bào)中,IP數(shù)據(jù)報(bào)封裝在幀中。
?
2.3記錄該網(wǎng)絡(luò)數(shù)據(jù)塊“幀”層次的目的物理地址、源物理地址、幀類型,印證與前面得到的本機(jī)物理地址、網(wǎng)關(guān)物理地址是否一致,幀類型是否是“0800”,思考一下為什么是這樣。
從鏈路層協(xié)議可以看出:源物理地址c8:d3:ff:3d:89:8b與我本機(jī)物理地址c8:d3:ff:3d:89:8b一樣;目的物理地址00-00-5e-00-01-06與網(wǎng)關(guān)物理地址00-00-5e-00-01-06也一樣。幀類型是0800。
實(shí)驗(yàn)探究:幀類型為什么是“0800”?
?????EtherType 是以太幀里的一個(gè)字段,用來指明應(yīng)用于幀數(shù)據(jù)字段的協(xié)議。該類字段值取自 IEEE EtherType 字段寄存器。EtherType 字段是個(gè)極限空間,因此其分配是有限的。所以Ethernet II類型以太網(wǎng)幀格式用2個(gè)字節(jié)標(biāo)識(shí)出以太網(wǎng)幀所攜帶的上層數(shù)據(jù)類型,而16進(jìn)制數(shù)0x0800代表IP協(xié)議數(shù)據(jù),所以在此幀類型是0800,因?yàn)樗荌P協(xié)議數(shù)據(jù)。
?
2.4記錄該網(wǎng)絡(luò)數(shù)據(jù)塊“IP數(shù)據(jù)報(bào)”層次的目的IP地址、源IP地址,印證與前面得到的本機(jī)IP地址、網(wǎng)關(guān)IP地址是否一致,記錄“協(xié)議”字段的值。
屏幕參數(shù)說明:源IP地址10.1.246.149與我本機(jī)IP地址10.1.246.149一樣;目的IP地址10.1.244.1與網(wǎng)關(guān)IP地址10.1.244.1也一樣。
協(xié)議字段值說明如下:
version:版本號(hào)4;header length:IP報(bào)文頭部20字節(jié)(說明選項(xiàng)字段為0);
Different iated services Field(區(qū)分服務(wù)領(lǐng)域):它包括DSCP:區(qū)分服務(wù)代碼點(diǎn),即DS標(biāo)記值字段,它在每個(gè)數(shù)據(jù)包IP頭部的服務(wù)類別TOS標(biāo)識(shí)字節(jié)中,利用已使用的6比特和未使用的2比特字節(jié),通過編碼值來區(qū)分優(yōu)先級(jí)。用于選擇PHB(單中斷段行為)和CU(顯示擁塞通知):總的概括就是前6位表示的優(yōu)先級(jí)這里是0,后兩位表示擁塞控制:00代表Non-ECT非ECN-Capable運(yùn)輸。
Total Length:IP數(shù)據(jù)報(bào)數(shù)據(jù)加首部總長(zhǎng)度60字節(jié)。
Identification(標(biāo)識(shí)):占16位。IP軟件在存儲(chǔ)器中維持一個(gè)計(jì)數(shù)器,每產(chǎn)生一個(gè)數(shù)據(jù)報(bào),計(jì)數(shù)器就加1,并將此值賦給標(biāo)識(shí)字段。這里總共1590個(gè)數(shù)據(jù)報(bào)。
Flags(標(biāo)志):為0代表表示這已是若干數(shù)據(jù)報(bào)片中的最后一個(gè)。
從上可以得到關(guān)鍵信息:
??此同學(xué)的IP地址為:10.1.246.199物理地址為:C-8-D-3-F-F-3-D-7-1-7-7
3.1記錄ARP請(qǐng)求在幀層次的目的物理地址、源物理地址、幀類型,并印證相關(guān)數(shù)據(jù)。記錄ARP請(qǐng)求具體數(shù)據(jù)印證相關(guān)數(shù)據(jù)。
實(shí)驗(yàn)探究:什么是ARP協(xié)議?
通過查閱資料總結(jié)如下:
ARP(地址解析協(xié)議)它是根據(jù)IP地址獲取物理地址的一個(gè)TCP/IP協(xié)議。主機(jī)發(fā)送信息時(shí)將包含目標(biāo)IP地址的ARP請(qǐng)求廣播到網(wǎng)絡(luò)上的所有主機(jī),并接收返回消息,以此確定目標(biāo)的物理地址;收到返回消息后將該IP地址和物理地址存入本機(jī)ARP緩存中并保留一定時(shí)間,下次請(qǐng)求時(shí)直接查詢ARP緩存以節(jié)約資源。
?
屏幕參數(shù)說明:由上我們可以看到我本機(jī)先通過廣播的方式將10.1.146.149這個(gè)目的網(wǎng)絡(luò)進(jìn)行詢問,并接收返回消息,以此確定目的網(wǎng)絡(luò)的物理地址,然后目的網(wǎng)絡(luò)主機(jī)也對(duì)我的主機(jī)廣播詢問物理地址一次,就雙方都互相知道對(duì)方的物理地址,開始進(jìn)行通信。
源物理地址c8:d3:ff:3d:89:8b與我本機(jī)物理地址c8:d3:ff:3d:89:8b一樣;目的物理地址ff-ff-ff-ff-ff-ff與同學(xué)的物理地址不一樣。因?yàn)閺V播的時(shí)候還不知道目標(biāo)網(wǎng)絡(luò)的物理地址。
幀類型是0806。上文對(duì)幀類型進(jìn)行了詳解,可以看出此幀格式是Nthernet V2類型的幀。
3.2記錄ARP響應(yīng)在幀層次的目的物理地址、源物理地址、幀類型,并印證相關(guān)數(shù)據(jù)。記錄ARP響應(yīng)具體數(shù)據(jù)印證相關(guān)數(shù)據(jù)。
?
屏幕參數(shù)說明:由上我們可以看到目的網(wǎng)絡(luò)主機(jī)作為響應(yīng)回應(yīng)了我本機(jī)它的物理地址。
源物理地址c8:d3:ff:3d:71:77與同學(xué)本機(jī)物理地址c8:d3:ff:3d:71:77一樣;目的物理地址c8:d3:ff:3d:89:8b與我的物理地址一樣。因?yàn)閺V播的時(shí)候還不知道目標(biāo)網(wǎng)絡(luò)的物理地址。
幀類型是0806。上文對(duì)幀類型進(jìn)行了詳解,可以看出此幀格式是Nthernet V2類型的幀。
?
屏幕參數(shù)分析:
?Tracert:用來探測(cè)本機(jī)到目標(biāo)計(jì)算機(jī)之間的路由器IP地址,會(huì)從源主機(jī)到目標(biāo)主機(jī)之間的每一臺(tái)路由器都會(huì)返回響應(yīng)的報(bào)頭。最左側(cè)的,1,2,3,4~14,這標(biāo)明在我現(xiàn)在使用的寬帶(使用的是移動(dòng)寬帶)上,經(jīng)過11個(gè)路由節(jié)點(diǎn),可以到達(dá)騰訊的服務(wù)。
中間這三列,單位是ms,是表示我們連接到每個(gè)路由節(jié)點(diǎn)的速度,返回速度和多次鏈接反饋的平均值。后面的IP,就是每個(gè)路由節(jié)點(diǎn)對(duì)應(yīng)的IP,每個(gè)ip輸入什么,202開頭的ip地址是C類ip地址。在第7個(gè)路由節(jié)點(diǎn)上,返回消息是超時(shí),這表示這個(gè)路由節(jié)點(diǎn)和當(dāng)前使用的寬帶,是*和返回超時(shí),那就說明這個(gè)IP,在各個(gè)路由節(jié)點(diǎn)都有問題。
?
?
從以上三個(gè)圖我們能看到:
Tracert 先向目的主機(jī)發(fā)送三個(gè)?TTL 為?1 的封裝了ICMP回應(yīng)報(bào)文的IP數(shù)據(jù)報(bào),在第一個(gè)路由器IP數(shù)據(jù)報(bào)的TTL字段被減為0,數(shù)據(jù)報(bào)被丟棄,同時(shí)向源主機(jī)發(fā)送已超時(shí)的ICMP差錯(cuò)報(bào)告,源主機(jī)即可得到第一個(gè)路由器的IP地址。接下來Tracert向目的主機(jī)發(fā)送三個(gè)?TTL 為?2 的封裝了ICMP回應(yīng)報(bào)文的IP數(shù)據(jù)報(bào),在第二個(gè)路由器IP數(shù)據(jù)報(bào)的TTL字段被減為0,數(shù)據(jù)報(bào)被丟棄,同時(shí)向源主機(jī)發(fā)送已超時(shí)的ICMP差錯(cuò)報(bào)告,源主機(jī)即可得到第二個(gè)路由器的IP地址……最終,通過tracert可以探測(cè)本機(jī)到目的主機(jī)經(jīng)過的所有路由器的IP地址。
?
這里看到,我訪問的是清華的網(wǎng)站。
?
首先可以看到的是:HTTP的數(shù)據(jù)報(bào),這里可以看到,我方的主機(jī)通過HTTP請(qǐng)求向清華網(wǎng)站服務(wù)器請(qǐng)求各種資源。我方主機(jī)發(fā)送HTTP請(qǐng)求?通過連接,客戶端寫一個(gè)ASCII文本請(qǐng)求行,后跟0或多個(gè)HTTP頭標(biāo),一個(gè)空行和實(shí)現(xiàn)請(qǐng)求的任意數(shù)據(jù)。一個(gè)請(qǐng)求由四個(gè)部分組成:請(qǐng)求行、請(qǐng)求頭標(biāo)、空行和請(qǐng)求數(shù)據(jù)。服務(wù)端接受請(qǐng)求并返回HTTP響應(yīng)清華服務(wù)器解析請(qǐng)求,定位指定資源。服務(wù)器將資源副本寫至套接字,在此處由客戶端讀取。一個(gè)響應(yīng)由四個(gè)部分組成;狀態(tài)行、響應(yīng)頭標(biāo)、空行、響應(yīng)數(shù)據(jù)。
UDP面向無連接的協(xié)議:這里看到:它的源端口號(hào)、目的端口號(hào)、長(zhǎng)度字段、域名系統(tǒng)字段。
這里主要找了一個(gè)數(shù)據(jù)幀進(jìn)行分析:幀以太網(wǎng)協(xié)議、鏈路層協(xié)議、IP協(xié)議
幀以太網(wǎng)協(xié)議:
到達(dá)時(shí)間參數(shù):就是這個(gè)數(shù)據(jù)包到達(dá)目的網(wǎng)絡(luò)的時(shí)間
幀數(shù):共有215個(gè)
數(shù)據(jù)包長(zhǎng)度:75字節(jié)
捕獲長(zhǎng)度:75字節(jié)
鏈路層協(xié)議:
原網(wǎng)絡(luò):10.1.244.149(本機(jī)網(wǎng)絡(luò)IP)
目的網(wǎng)絡(luò):10.1.244.1(可以看出此數(shù)據(jù)包是通過網(wǎng)管發(fā)出的)
幀類型:0x0800
IP協(xié)議:
version:版本號(hào)4;header length:IP報(bào)文頭部20字節(jié)(說明選項(xiàng)字段為0);
Different iated services Field(區(qū)分服務(wù)領(lǐng)域):它包括DSCP:區(qū)分服務(wù)代碼點(diǎn),即DS標(biāo)記值字段,它在每個(gè)數(shù)據(jù)包IP頭部的服務(wù)類別TOS標(biāo)識(shí)字節(jié)中,利用已使用的6比特和未使用的2比特字節(jié),通過編碼值來區(qū)分優(yōu)先級(jí)。用于選擇PHB(單中斷段行為)和CU(顯示擁塞通知):總的概括就是前6位表示的優(yōu)先級(jí)這里是0,后兩位表示擁塞控制:00代表Non-ECT非ECN-Capable運(yùn)輸。
Total Length:IP數(shù)據(jù)報(bào)數(shù)據(jù)加首部總長(zhǎng)度61字節(jié)。
Identification(標(biāo)識(shí)):占16位。IP軟件在存儲(chǔ)器中維持一個(gè)計(jì)數(shù)器,每產(chǎn)生一個(gè)數(shù)據(jù)報(bào),計(jì)數(shù)器就加1,并將此值賦給標(biāo)識(shí)字段。這里總共18880個(gè)數(shù)據(jù)報(bào)。
Flags(標(biāo)志):為0代表表示這已是若干數(shù)據(jù)報(bào)片中的最后一個(gè)。
- 參考文獻(xiàn)
?Kenneth D. Reed 著,孫坦等譯. 協(xié)議分析[M]. 北京:電子工業(yè)出版社,2002.
謝鯤,張大方. 共享網(wǎng)段網(wǎng)絡(luò)協(xié)議分析系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J]. 計(jì)算機(jī)工程與科學(xué),2002.24(2).
福祿克公司關(guān)于協(xié)議分析(測(cè)試)儀的網(wǎng)站. http://www.flukenetworks.com.cn/
總結(jié)
- 上一篇: RDD的依赖与分区
- 下一篇: extjs2.0 ie8 下拉树_Ext