TCP IP网络协议分析实验报告.docx

TCP/IP网络协议分析实验一、实验目的1. 通过实验，学习和掌握TCP/IP协议分析的方法及其相关工具的使用;2. 熟练掌握TCP/IP体系结构；3. 学会使用网络分析工具；4. 网络层、传输层和应用层有关协议分析。二、实验类型分析类实验三、实验课时2学时四、准备知识1. Windows 2003 server 操作系统2. TCP/IP 协议3. Sniffer工具软件五、实验步骤1. 要求掌握网络抓包软件Wireshark。内容包括： 捕获网络流量进行详细分析 利用专家分析系统诊断问题 实时监控网络活动 收集网络利用率和错误等2. 协议分析（一）：IP协议，内容包括： IP头的结构 IP数据报的数据结构分析3. 协议分析（二）：TCP/UDP协议，内容包括： TCP协议的工作原理 TCP/UDP数据结构分析六、实验结果1. IP协议分析：(1) 工作原理：IP协议数据报有首部和数据两部分组成，首部的前一部分是固定长度， 共20字节，是IP数据报必须具有的。首部分为，版本、首部长度、服务类型、总长度、标 识、标志、片偏移、生存时间、协议、首部检验和、源地址、目的地址、可选字段和数据部 分(2) IPV4数据结构分析：internet Protocol Version 4, sri 10； 4.10. 6 CIO. 4.10. 6(, Ds t；: ;-2 5 55.255.25Vers-：on; 4Header length.: 20 bytes+ Differenti ated servi ces Fi el d: 0X00 (_dscp 0x00.: Default; ecn : 0X00; Not-ECTotal Length.: 68Identif 1 cati on.: Qlad4 (6868)+ Flags: 000Fragment offset: 0Time to live: 64Protocol: udp <17)+ Header Checks；um.: QX4bcc:; correctjsource: 10.4.10. 6 <10；4.10；：6)Destination.: 2 5 5.2 5 2 5 5.2 5 5 <2 5 5.2 5 5. 2 5 5. 2 5 5source GeolP: unknownDestination GeolP: unknown000000100020003000400050开 wtBO44fflaffuo_lu10119C11ccIdId181016-Q 6 o-o f 6101010101010122151a751131810dllJ dObo do _dOe9o f do d 4o c 7+ Differentiated erUlces：' Field!. O-X0O (dscp OxOO：. Default; ecn：' 0X00'- Not-00mEff 00 <id 74D-6KU-(.-6-i#忑-U.-m.-t5 f Q £ 9 4 f o f d o 6 o o d o o o o _d8 _d 1 o d o o 1 o b c 4 Q o d9 o 0 0 6 -y _d 8 2 8 2 0 2 0 1 d c 0 0 36 c d o 1 1 b cJ o 5 14 7-0 55 1 o o o 2 13 0 9 o o o o 1 o 4 o o 5- f o o o 9 f o 1 o e f o e o 7 f o o o -d f 4 1 o 1 f d 1 o 5 f _d e o 1 f 1 o o 2 f 4 f o 6 o f 4 f o f 6 f o f o f o f o f o c 3000000100020003000400050Header length: 20 byteS- ij - c - if -Ku u% 1- o-© q .-oo f o d 4 o f o 7 Ent o s 9 3t o f d o Sood o Q o o _d8 _d 1 o d o o lob c 4 o o d9 0 0 . 6 9 _d 8 2 8 2 o 2 o 1 d c 0 0 3 6 c d o 1 1 b 5 o 5 14 7 0 55 1 o o o 2 13 0 9 o o o o 1 o 4 o o CJ f 0 0 0 9 f o 1 o e f o e o 7- f o o o aff ff ff 44 la d4 ff Oe 11 00 00 00 f6 21 51 600000 ft0010 000020 ff0030 000040 cf0050 30Versi on f 4.%.rn-g1-D.-.©6KU.C-6-1Q. Q-U-rn.-to f o d 4 o f o c 7 Ht - u e 9 WMt of d o 6 o od o o o o _d _y a 1 od o o 1 o b c 4 o o d 9 o o o 6 9 -d 8 2 8 2 0 2 0 1 d c OOB Ltlcd o 1 1 b CJ o CJ 14 7 0 CJc J 1 o o o 2 13 0 9 o o o o 1 o 4 0 0 5 f o o o 9 f o 1 o s f oeo 7 f o o o _d f 4 1 o 1 f d 1 o CJ f _deo 1 f 1 o o 2 f 4 f o 6 o f 4 f o f 6 f o f 0 f o f o f o c 3000000100020003000400050Source: 10.4.10.6 (10.4.10.6)45 00%.).%ff ff . D. . . .©.oo oo o u.g77.fe cd d9 74.!Q.Q. U.m.t0s2511 6d 299c 08 00114b cc gFl04 Oa 063075 dO 2800 11 000000 00 0200 00 009055 13 186d bd ad0000ff ff ffff ffff 00001000 44 lad4 0000 400020ff ff Oe11 Oe10 00003000 00 0000 0000 000040Cf f6 2151 a7e9 51005030 60|+ Header checksum: 0x4bcc correct%m)ED. .0 u. C4 5 00 ff ff 00 00 00 00 fe cd060ooosalool9 as2 0 2！ Q.Q.U. .m. .t %. Q u. .m. . .tbd ad d9 74of od 4 of o c 7 5f oe9 4fofd O6ood o o o o a8 -d 1 od o o 1 Ob C4ood9 0 0 0 6- 9 2 8 2 8 2 0 2 0 1 d co 03 6 cd o 1 lb 5 o 5 14 7 0 54 5 00 ff ff D. 00 00 fe cd d9 74 . !Q入%060 od000 0 a8 d 1 odool Ob9c0400009 -d 8 2 82 0 2 0 1 d c o o 36 cd o 1 lb 5 o 514 7 0 5OOOOrr rr rrrr rr rr0025001000 44 lad4 00 004011002 0ff ff Oe11 Oe 100030003 000 00 0000 00 000000004 0Cf f6 2151 a7 e95190005030 6000 00 02 0055 13 18 6dProtocol : UDP (17)500 o o 2 S13 o 9- ooo O1 0 4 0 0 5 too 09 t O1 o e r o e 07 t o o o a 141 O1 tdl 05 t a e o 1 M o o 2 t 4f 0 6-0 r4fof6 t of of o t o f o c 3Time to live: 645 10 0 0 2 13 0 9 OEO o 1 0 30 o 5 4-0009 f o 1 o e r o e 07 f o o o d f 41 O1 f dlo5 f -d e o 1 f 1 o o 2 f 4f o 6- o t 4f of 6 r of of o f o f o c 3of od 4 of o c 7 5f o e 9 4f of d 06 ood o o o o a8 a 1 od o o 1 Ob C4ood9 0 0 0 6 9 3 8 2 8 2 0 2 0 1 d c o o 3 6cdol lb 5 o 5 14 7 0 55 10 0 02 13 0 9 ? c m - Ku © - <B of od 4 of o C7 oe9 4f of d Q6ood o o o o a8 a 1 od o o 1 Ob c 4 o od9 0 0 0 6 9 3 8 2 8 2 0 2 0 1 d c o o 3 $cdol lb 5 o 5 14 7 0 5%.EDfl. K0 u. C.!Q. .Q. U. .m. . .t%E.3000 0010 002 0 003 0 004 0 0050000。00100020003000400050Fragment offset: 0jo100 0 9 loe e o 7 oo a4 101d 1 o 5aeol10 0 24f 06 o4f of 6tr00 ff 00cf3000Q000100020003000400050;+ Flags: 0x005 10 0 0 2 13 0 9 o o o o 1 0 4 0 0 5 4-0009 f o 1 o e TB e o 7 t so o a f4 1ol rdlo5 T a e o 1 f 1 o o 2 t 4f 06 o r 4f of 6ooqo rr00 ff 00 cf00100020003000400050 30Identification: 0xlad4 (6868)of od 4 of o c 7 5f o e9 4f of d o 6 o od o o o o a8 -d 1 od o o 1 Ob C4ood9 0 0 0 6 9 a 8 2 8 2 0 2 0 1 d c o o 3 6 cd O1 lb 5 o 5 14 7 0 5510 00 2 13 0 9 ooo O1 0 4 0 0 5 4-00 09 r O1 o e t o e o 7 t o o o a rrrrt 4f 0 6 0 t4f of6 t of of o t o f o c 3lol 10 5 e O1 0 0 2000000100020003000400050Total Length: 68of od 4 of o c 7 5f o e 9 4f of d 06 ood o o o o a8 a 1 od o o 1 Ob c 4 o od9 0 0 0 6 9 3 8 2 8 2 0 2 0 1 d c o o 3 6 cdol lb 5 o 5 14 7055 10 0 02 13 0 94-0009下 010 eT4 lolt d 1 o 5T a e o 14-100206 0of 6of oo c 3OOOO001000200030004000506 o _d o14 _d oo od o o a 1 Qd1 o b o od o o 68 N 82 o 11 b c J o 51 4 ? o 55 1 o o o 7Z- 1 3 o 9 Q o o o 1 o 4 Q o 5 f o o o 9 f o 1 o e f o e o 7 f o o o _dffd4ll0051f _d e o 1 f 1 Q o 2 f 4 f o 6 o f 4 f o f 6 f o f o f o f Q f o c 3000000100020003000400050I Desfination GeolP: Unknown000000100020tt tt00 44ffla0pff d4 _1ff00Opff00J 0004000251130114b75ccdo290a2S9c0400os45 00.D.隧.宾.G.m).，K.LJ, < .E.00000 0000000000000000000200f pcd00400050cf f 630 602151a?e951905513186dddde.74O'u. .m.tsource GeolP: unknownDestination;:芸 5 .迂 5 5 :奁5 5 .：芸 5 (芸 5. N 5 5 上艺 5 .花 5 5E.二.t m - c - ij -K u - u% 1-0 ,ral o o54od 4 o c 7 o e 9 o f do 6 o od o o o o _d _y _d 1 o d o o lob c 4 o od 9II6O 6 9 _d 8 2 8 2 Q 2 o 1 d c o o 3 6 c d o 1 1 b 5 o 5 14 7 o 55 1 o o Q 2 1BO9 o o o o 1 o 4 o o 5 f o Q o 9 f o 1 o s f o s o 7 f o o o _df 41 o 1 fd 1 0 5 fdpo 1 f 1 o o 2 f 4f 4f of oo6o30000001000200030004000502. TCP协议分析：(1)工作原理：TCP连接是通过三次握手的三条报文来建立的。第一条报文是没有数 据的TCP报文段，并将首部SYN位设置为1。因此，第一条报文常被称为SYN分组，这个报 文段里的序号可以设置成任何值，表示后续报文设定的起始编号。连接时不能自动从1开始 计数，选择一个随机数开始计数可避免将以前连接的分组错误地解释为当前连接的分组。客户端TCP三次握手服努端客户端发送湖 报文，并置发送序 号为XSYN=1 汹"服务端发送SYN=1 ACK=X+1 = Y戴0±姒报文，并置 发送序号为Y,在确 认序号为X+1客户端发送M报文, 并置发送序号为乙 在确认序号为Y+1ACK=Y+1 汹=Z（2） TCP数据结构分析69 2.84818500 10.4.10.2270 2.90998000 183.203.8. 67183.203.8.6710.4.10. 2271 2.91000300 10.4.10.2272 2.91013400 10.4.10.22183.203.8.67183.203.8.67TCPTCPTCP HTTP78 husky > http SYN Seq=0 Win=65535 Len=0 MSS=1460 WS=8 TSval=0 TSecr=0 SACK_PERM=：66 http > husky SYN, ACK Seq=0 Ack=l Win=5840 Len=0 MSS=1408 SACK_PERM=1 WS=51254 husky > http ACK Seq=l Ack=l win=372296 Len=0195 GET /av32b-it_B0562/avx/Pl uqins/emalware.414. qzi p http/1.1第一次握手：E Transmission control Protocol, src Port: husky (1310), Dst Port: http (80), Seq source port: husky (1310) Destination port: http (80) Stream index: 6 sequence number: 0 (relative sequence number) Header length: 44 bytes田 Flags: 0x002 (SYN)windew size value: 65535calculated window size: 65 53 5日 checksum: 0x57c2 validation disabledGood checksum: FalseBad checksum: False日 opticins: (24 bytes), Maximum segment size, No-Operation (NOP), window seale, 日 Maximum segment size: 1460 bytesKind: MS5 size (2)Length: 4MS5 Value: 1460日 No-Operation (NOP)田 Type: 1日 window seale: 3 (multiply by 8) Kind: window seale (3) Length: 3 shift count: 3 Multiplier: 8日 No-Operation (NOP)田 Type: 1日 No-Operation (NOP)田 Type: 1El Timestamps: TSval 0, TSecr 0Kind: Timestamp (8)Length: 10Timestamp value: 0Timestamp echo reply: 0日 No-Operation (NOP)田 Type: 1日 No-Operation (NOP)田 Type: 1 TCP SACK Permitted option: True Kind: SACK Permission (4) Length: 2.©1 .©B©%,7n.E.P6iiOb o c 5 7 4b 0 6 o 1 8 a o o 4 4 b o fa o o eb 6f5 62 o o o o 42 o4 o d o f 45 51 99 e -d 2 a o1 4 o o o o2 1 . _u _u , o 1 b - u , 0 3 2 o o o 0 3 4 o o o 0 3 1 0002 4 0eb od 5 ocoo3 4 0 coo 6 2 0 3 0 0 o o o 5 0 0 o o o o o o e 2 o ICO 5 7 0 0 5 0Eflt a Mt o lat 8 st o00000010002000300040.B. % . n 7.CM. PG；.%- 恃 B - ©n % B.-p© -:c.wRC.W.P6.7；.:-B-.wE.C.对.c©p(&671 1-.w'I Source port: husky：(1310)U=o t 2 1 o c o o5 7 0 1 4 b b o 0 6 0 3 2 o 1 o o o 8 _d o 3 4 Q o o o o 4 4 0 3 1 b o o o o f a o 11 o o o o o e b 2 4 o6 f e b o 1 7d 5 o 1 3 c o o0 0 6£ o0 4 3 o o519 _d59 e2e 1 CJ oo o o o_d o 3f_d 1 4 4 f o o o 8 f 8 o o o f o00000010002000300040Desf!naf on port: http (80)o b 2 1 o c o o5 7 0 14 b b o0 6 0 3 2 o 1 o o Q 8 _d o 3 4 o o o o oe b 2 4 o 6f eb o1 7d 5 o1 3 c o oo o24CJ 1 9 a _d 1 o oc J 6 3 4 0 2 o c o o o400o59s2o4luo 5 o oe 1 5 o1210 o o :253 f4f8 f o fo o o o o o o o o o -d o 8 Q00000010002000300040sequence number : 0 Crelative sequence number)o Ku 2 1 Q c o o 5 7 0 1 4 b b o -u 6111 3 N o 1 o o o Ilodo 3 4 o o116 o4 4 0 3 1 b o o o oe b6f5 62 o o o o 42111 o o Q4 0 5 0 o d Q o o Q f 4 o o o5 5 s 2 o 19 1 c o 9 s rj 7 o _d 2 o 5 o_d 0 3 fa 1 4 4f o o o 8 f 8 o o o f oHeader length.: 44 bytes0000001000200050004 0o 2 -i o c o o 5 7 El 4 b 3-u 0 6 0 3 2 o 1 o o o 8 _d.-.UM 4 o o o o o 4 4 o 3 1 boo o o f a o 11 ODO o o e b 2 4 o 6f eb o 1 7 d 5 o 13 c o oc J 6 3 4 o 2 o c o o 0 0 6 2 0 0 4 3 o o 2 o o o o 4 o 5 o o d o o o o f 4 o o o CJ CJ p- 2 o 1-9 1 c o 9e5 7 o -d 7- o 5 o do 3f_d 1 4 4 f o o o 8 f 8 o o of oCOCO0010002000300040十 Fl ags'i O.002Obo c5714 b0 6 0 3 2 o 1 o o o 8 -d o 3 4 o o o o of a o 11 o o o o o s b 2 4 o 6f eb Q 1 7 d 5 o 1 3 c o Qo b 2 1 o c o o5 7- o 1 4 b b o 0 6 0 3 2 o 1 o o o 8 _d o 3 4 o o o o o 4 4 o 3 1 b o o o o f a o 11 Q o o o Q e b 2 4 o6 f e b o1 7 d 5 oIB coo5 6B4O 2 0 co o 0 0 6 2 o 0 4 3 0 0 2 0 0 0 04 o 5- o o d o o o o f 4 o o o5 5 p- 2 o 1 _y 1 c Q 9eLll-7，o _d 2 o 5 o do m fa 1 4 4 f o o o 8 f 8 o oof QW： n：io> size 订 alue: 655MW5 6 3 4 0 2 o c o o o o 6 2 0 0 4 3 0 0 2 oooo 4 0 5 0 0 d o o o o f 4 o o o CJ 5 P-2O 1 9 1 c o 925 7 D _d 2 o 5 o _d o 3 Mua 1 4 4HO o o 898 o o Q Ho0000 0010 0020 口碍口004000000010002000300040+ checksum: 0x57< validat1 on disabledE.B.% ©. . ©. C.P6.BM.o 2 1 o c o o 5 7 0 1 4 b b _u 0 6 0 3 2 o 1 o o o _y _d o 3 4 o o o o Q 4 4 0 3 1 boo o o f a o 11 o o o o o p- b 7- 4 o 6f eb o 1 7 d 5 o 1 3 c o o5 6 3 41112 o c o oo o 6 2111 o 4 3 o111 N o o o o 4 o 5 o o d o o o o f 4 o o o519 _d59 s2e 1 5 oo_u_d o 3 fa 1 4 4f o o o 8 f 8 o o o f o00000010002000300040+ checksumr Ox57c： validafion disabledLd-.u AJ匕 I o c o o5 7 0 1 4 b b o o 6 0 3 2 o 1 o o o 8 _d o B 4 o o o o o 4 4 0 3 1 b o o o o f a o 11 o o o o o p- b 2 4 o6 f e b o 1 7d 5 o 1 3 c o o5 6 3 4 0 XI o c o o o o 6£_.o o 4 3 0 0 2 o o o o 4 o 5 o o d o o o o f 4 o o oJ.c5700000010002000300040ao 3 fa 14 4 f oo o of oh Maximum segment size: 14 60 bytes每.C. .WnJ _Lj 1 o c o o 5 7 0 1 4bbo 0 6 0 3 2 o 1 o o o 8 _d o 3 4 o o o o o 4 4 0 3 1 b o o o o f a o 11 o o o o oeb 26f e1 7d5 6 32 o c o o 6 0 4 32 o o o o 4 o 5 o o d o o o o f 4 o o o cl- 5 p- 2 o 19 1 c o 9 p- 5 7 o a 2 0 5 o0000001000200000040:+ No-operat on Cnof:c.o b 2 1 o c o o5 7 0 1 4bb o o 6 o 3 2 o 1116 o 8 _duu3 4 o o o 0 o4 4 o 3 1 b o o 0 o f a o QI o o o 0O p- b N 4 o 6 f p-b o 1 7 d 5 o 1 3 c o o5 6 3 4 o 2 o c o o o o 6 2 o 0 4 3 o Q 2 o o o o 4 o 5 o Q d o o o o f 4 o o o cl- cl- s 2 Q 19 1 c o 9P5 y Q a 2111 5 o _d o B fa 1 4 4f o o o 8 f 8 o o o f o00000010002000300040+ Winaow. scale： ：3- (mult iply by 8j.C(&p(&6-7-.-wBBBo b 2 1 o c o o5 7- o 14bb o0 6 0 o 1 o8 -d oo1164 4 0 boo3 o Jjl o Jjl of a o 11 o o o o o s b 2 4 o 6f eb o 1 7 d 5 o 1 3 c o o0000a915fd42002500102e9540004006002005le005036cB003057c200000204004008 Oa000000000000+ No-Operafion (NOP)E - -B:c.wo b 2 1 o c o o 5 7 03 4bbs 0 6 0 3 2 o 1 o o o 8 _d o B 4 OII6OO 4 4 0 3 1 b o o o o f a o 11 OII6OO s b 2 4 o 6f ebo 1 7 d 5 o 1 3 c o o000000laa915fd 42002500100040.2e95400040060020OS4305le00503600030ffff57澎000002040040OSOa000000000000+： No-Operafion (NOP)-ra6 J p -©:c.wOb 2 0 o cos5 7 0 1 4bb o 0 6 0 3 2 o 1 o o o 8 _d o 3 4 OII6OO 4 4 0 3 1 b o o o o f a o 11 o o o o o p- b 2 4 o6 f ebo 1 7 d 5 o 13 coo5 6 3 4 0 2 Q c o o o Q 6 2 o 0 4 3 0 0 2 0 0 0 04 o 5 o o d o o o o f 4 0 0 05 5 p- 2 o 19 1 c o 9 E c J 7 o -d 2 0 5 0 -d o 3 fa 1 4 4 f o o o 8 f 8 o o of o00000010002000300040Tiniest amps-： TSval 0；r TSecr 0 InJ -Lj 1 o c o Q5 7 0 1 4bbo0 6 0 3 2 o 1 o o o 8 _d o 3 4 o o Q o Q4 4 0 3 1 b o Q o Q f a o 11 o o Q o o E b 2 4 6f e b 1 7d 5 1 3 c oo o o oo o N 4 d5 6 3 42 o c o o4 o o o459 e6 3 o 5 o o s 15 o2 o o o o o 2 c 57CJ9d_d o 3 f 1 4 4 f o o _y f o o o fo o o o o 0 o o o Q o o l.d 8 o0000001000200000040+