网络协议分析与应用实验指导书.doc

《网络协议分析与应用实验指导书.doc》由会员分享，可在线阅读，更多相关《网络协议分析与应用实验指导书.doc（32页珍藏版）》请在三一办公上搜索。

1、?Y32、简单邮件传输协议 33、非对称数字用户线45. 在SQL的SELECT查询结果中，消除重复记录的方法是_。21、以下选项不属于以太网的“”原则是指？_D_A. HAVING子句必须与GROUP BY子句同时使用，不能单独使用9在关系数据库的基本操作中，从表中选出满足条件的元组的操作称为_；从表中抽取属性值满足条件的列的操作称为_；把两个关系中相同属性的元组连接在一起构成新的二维表的操作称为_。A. 表 B. 视图 C. 图形 D. 报表13、VLAN（虚拟局域网）是一种将局域网从_逻辑上划分网段，而不是从_物理上划分网段，从而实现虚拟工作组的新兴数据交换技术。第五章课后习题答案stu

2、d2.dbf的表中的记录：网络协议分析与应用实验指导书 陕西科技大学电气信息工程学院2013.6目 录实验一 Wireshark的安装与使用1实验二 使用Wireshark分析以太网帧与ARP协议5实验三 使用Wireshark分析IP协议9实验四 利用Wireshark分析ICMP16实验五 使用Wireshark分析UDP协议22实验六 使用Wireshark分析TCP协议26实验七 利用Wireshark分析协议HTTP（选作）31实验八 利用Wireshark分析DNS协议（选作）36实验九 使用Wireshark分析FTP协议（选作）40实验十 使用Wireshark分析SMTP和P

3、OP3协议（选作）44实验一 Wireshark的安装与使用一、实验目的1、熟悉并掌握Wireshark的基本使用；2、了解网络协议实体间进行交互以及报文交换的情况。二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。三、预备知识要深入理解网络协议，需要观察它们的工作过程并使用它们，即观察两个协议实体之间交换的报文序列，探究协议操作的细节，使协议实体执行某些动作，观察这些动作及其影响。这种观察可以在仿真环境下或在因特网这样的真实网络环境中完成。观察正在运行的协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer），又称分组捕获器

4、。顾名思义，分组嗅探器捕获（嗅探）你的计算机发送和接收的报文。图1-1显示了一个分组嗅探器的结构。图1-1 分组嗅探器的结构图1右边是计算机上正常运行的协议和应用程序（如：Web浏览器和FTP客户端）。分组嗅探器（虚线框中的部分）主要有两部分组成：第一是分组捕获器，其功能是捕获计算机发送和接收的每一个链路层帧的拷贝；第二个组成部分是分组分析器，其作用是分析并显示协议报文所有字段的内容（它能识别目前使用的各种网络协议）。Wireshark是一种可以运行在Windows、UNIX、Linux等操作系统上的分组嗅探器，是一个开源免费软件，可以从http:/www.wireshark.org下载。运行

5、Wireshark程序时，其图形用户界面如图1-2所示。最初，各窗口中并无数据显示。Wireshark的界面主要有五个组成部分：命令和菜单协议筛选框捕获分组列表选定分组首部明细分组内容左：十六进制右：ASCII码图1-2 图形用户界面l 命令菜单（command menus）：命令菜单位于窗口的最顶部，是标准的下拉式菜单。l 协议筛选框（display filter specification）：在该处填写某种协议的名称，Wireshark据此对分组列表窗口中的分组进行过滤，只显示你需要的分组。l 捕获分组列表（listing of captured packets）：按行显示已被捕获的分组内

6、容，其中包括：分组序号、捕获时间、源地址和目的地址、协议类型、协议信息说明。单击某一列的列名，可以使分组列表按指定列排序。其中，协议类型是发送或接收分组的最高层协议的类型。l 分组首部明细（details of selected packet header）：显示捕获分组列表窗口中被选中分组的首部详细信息。包括该分组的各个层次的首部信息，需要查看哪层信息，双击对应层次或单击该层最前面的“”即可。l 分组内容窗口（packet content）：分别以十六进制（左）和ASCII码（右）两种格式显示被捕获帧的完整内容。四、 实验步骤1. 启动Web浏览器（如IE）；2. 启动Wireshark；3

7、. 开始分组捕获：单击工具栏的按钮，出现如图1-3所示对话框，options按钮可以进行系统参数设置，在绝大部分实验中，使用系统的默认设置即可。当计算机具有多个网卡时，选择其中发送或接收分组的网络接口（本例中，第一块网卡为虚拟网卡，第二块为以太网卡）。单击“Start”开始进行分组捕获；图1-3 分组捕获对话框4. 在运行分组捕获的同时，在浏览器地址栏中输入某个网页的URL，如：5. 当完整的页面下载完成后，单击捕获对话框中的“stop”按钮，停止分组捕获。此时， Wireshark主窗口显示已捕获的你本次通信的所有协议报文；6. 在协议筛选框中输入“http”，单击“apply”按钮，分组列

8、表窗口将只显示HTTP协议报文。7. 选择分组列表窗口中的第一条http报文，它是你的计算机发向服务器（）的HTTP GET报文。当你选择该报文后，以太网帧、IP数据报、TCP报文段、以及HTTP报文首部信息都将显示在分组首部子窗口中，其结果如图1-4。图1-4 捕获结果五、实验报告内容在实验基础上，回答以下问题：（1） 列出在第5步中分组列表子窗口所显示的所有协议类型；答：tcp,http,tlsvl（2） 从发出HTTP GET报文到接收到对应的HTTP OK响应报文共需要多长时间？（分组列表窗口中Time列的值是从Wireshark开始追踪到分组被捕获的总的时间数，以秒为单位）答：125

9、.534691-125.531870s=0.002821s=2.821*10（3） 你主机的IP地址是什么？你访问的服务器的IP地址是什么？答：本机IP：10.43.47.15 服务器IP:111.13.100.92 实验二 使用Wireshark分析以太网帧与ARP协议一、实验目的分析以太网帧，MAC地址和ARP协议二、实验环境与因特网连接的计算机网络系统；主机操作系统为windows；使用Wireshark、IE等软件。三、实验步骤：IP地址用于标识因特网上每台主机，而端口号则用于区别在同一台主机上运行的不同网络应用程序。在链路层，有介质访问控制（Media Access Control,

10、MAC）地址。在局域网中，每个网络设备必须有唯一的MAC地址。设备监听共享通信介质以获取目标MAC地址与自己相匹配的分组。Wireshark 能把MAC地址的组织标识转化为代表生产商的字符串，例如，00:06:5b:e3:4d:1a也能以Dell:e3:4d:1a显示，因为组织唯一标识符00:06:5b属于Dell。地址ff:ff:ff:ff:ff:ff是一个特殊的MAC地址，意味着数据应该广播到局域网的所有设备。在因特网上，IP地址用于主机间通信，无论它们是否属于同一局域网。同一局域网间主机间数据传输前，发送方首先要把目的IP地址转换成对应的MAC地址。这通过地址解析协议ARP实现。每台主机

11、以ARP高速缓存形式维护一张已知IP分组就放在链路层帧的数据部分，而帧的目的地址将被设置为ARP高速缓存中找到的MAC地址。如果没有发现IP地址的转换项，那么本机将广播一个报文，要求具有此IP地址的主机用它的MAC地址作出响应。具有该IP地址的主机直接应答请求方，并且把新的映射项填入ARP高速缓存。发送分组到本地网外的主机，需要跨越一组独立的本地网，这些本地网通过称为网关或路由器的中间机器连接。网关有多个网络接口卡，用它们同时连接多个本地网。最初的发送者或源主机直接通过本地网发送数据到本地网关，网关转发数据报到其它网关，直到最后到达目的主机所在的本地网的网关。1、俘获和分析以太网帧（1）选择

12、工具-Internet 选项-删除文件（2）启动Wireshark分组嗅探器（3）在浏览器地址栏中输入如下网址：http:/gaia.cs.umass.edu/wireshark-labs 会出现美国权利法案。（4）停止分组俘获。在俘获分组列表中（listing of captured packets）中找到HTTP GET信息和响应信息，如图2-1所示。（如果你无法俘获此分组，在Wireshark下打开文件名为ethernet-ethereal-trace-1的文件进行学习）。HTTP GET信息被封装在TCP分组中，TCP分组又被封装在IP数据报中，IP数据报又被封装在以太网帧中）。在分组

13、明细窗口中展开Ethernet II信息（packet details window）。回答下面的问题：1、你所在的主机48-bit Ethernet地址是多少？2、Ethernet 帧中目的地址是多少？这个目的地址是gaia.cs.umass.edu的Ethernet地址吗？图2-1 HTTP GET信息和响应信息2、分析ARP协议（1）ARP CachingARP协议用于将目的IP转换为对应的MAC地址。ARP命令用来观察和操作缓存中的内容。虽然arp命令和ARP有一样的名字，很容易混淆，但它们的作用是不同的。在命令提示符下输入arp可以看到在你所在电脑中ARP缓存中的内容。为了观察到你所

14、在电脑发送和接收ARP信息，我们需要清除ARP缓存，否则你所在主机很容易找到已知IP和匹配的MAC地址。步骤如下：（1）清除ARP cache，具体做法：在MSDOS环境下，输入命令arp d * command，The d 表示清除操作，*删除all table entries.（2）选择 工具-Internet 选项-删除文件（3）启动Wireshark分组俘获器（4）在浏览器地址栏中输入如下网址：http:/gaia.cs.umass.edu/wireshark-labs/ HTTP-wireshark-lab-file3.html（5）停止分组俘获。（6）选择Analyze-Enabl

15、ed Protocols-取消IP选项-选择OK。如图2-2所示： 图2-2 利用Wireshark俘获的ARP分组四、实验报告根据实验，回答下面问题：源主机在什么情况下才会发送ARP请求？每次发送数据都需要发送ARP请求吗？答：当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址；并不是每次都需要发送请求，如果自己 ARP列表中存在该 IP地址对应的MAC地址就直接将数据包发送到这个MAC地址。由于此实验是关于Ethernet和ARP的，所以，只需在分组俘

16、获列表中显示IP层下面的协议，具体做法为：选择Analyze-Enabled Protocols-不选择IP协议-select ok，如图2-3所示。图2-3 操作界面实验三 使用Wireshark分析IP协议一、实验目的1、分析IP协议2、分析IP数据报分片二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。三、实验步骤IP协议是因特网上的中枢。它定义了独立的网络之间以什么样的方式协同工作从而形成一个全球户联网。因特网内的每台主机都有IP地址。数据被称作数据报的分组形式从一台主机发送到另一台。每个数据报标有源IP地址和目的IP地址，然后被发送到网

17、络中。如果源主机和目的主机不在同一个网络中，那么一个被称为路由器的中间机器将接收被传送的数据报，并且将其发送到距离目的端最近的下一个路由器。这个过程就是分组交换。IP允许数据报从源端途经不同的网络到达目的端。每个网络有它自己的规则和协定。IP能够使数据报适应于其途径的每个网络。例如，每个网络规定的最大传输单元各有不同。IP允许将数据报分片并在目的端重组来满足不同网络的规定。打开已俘获的分组，分组名为dhcp_isolated.cap。感兴趣的同学可以在有动态分配IP的实验环境下俘获此分组，此分组具体俘获步骤如下：1、使用DHCP获取IP地址（1）打开命令窗口，启动Wireshark。（2）输入

18、“ipconfig /release”。这条命令会释放主机目前的IP地址，此时，主机IP地址会变为0.0.0.0（3）然后输入“ipconfig /renew”命令。这条命令让主机获得一个网络配置，包括新的IP地址。（4）等待，直到“ipconfig /renew”终止。然后再次输入“ipconfig /renew”命令。（5）当第二个命令“ipconfig /renew” 终止时，输入命令“ipconfig /release”释放原来的已经分配的IP地址（6）停止分组俘获。如图3-1所示： 图3-1 Wireshark俘获的分组下面，我们对此分组进行分析：IPconfig 命令被用于显示机器

19、的IP地址及修改IP地址的配置。当输入命ipconfig /release命令时，用来释放机器的当前IP地址。释放之后，该机没有有效的IP地址并在分组2中使用地址0.0.0.0作为源地址。分组2是一个DHCP Discover（发现）报文，如图3-2所示。当一台没有IP地址的计算机申请IP地址时将发送该报文。DHCP Discovery报文被发送给特殊的广播地址：255.255.255.255，该地址将到达某个限定广播范围内所有在线的主机。理论上，255.255.255.255能够广播到整个因特网上，但实际上并不能实现，因为路由器为了阻止大量的请求淹没因特网，不会将这样的广播发送到本地网之外。

20、在DHCP Discover报文中，客户端包括自身的信息。特别是，它提供了自己的主机名(MATTHEWS)和其以太网接口的物理地址（00:07:e9:53:87:d9）。这些信息都被DHCP用来标识一个已知的客户端。DHCP服务器可以使用这些信息实现一系列的策略，比如，分配与上次相同的IP地址，分配一个上次不同的IP地址，或要求客户端注册其物理层地址来获取IP地址。在DHCP Discover报文中，客户端还详细列出了它希望从DHCP服务器接收到的信息。在Parameter Request List中包含了除客户端希望得到的本地网络的IP地址之外的其他数据项。这些数据项中许多都是一台即将连入因

21、特网的计算机所需要的数据。例如，客户端必须知道的本地路由器的标识。任何目的地址不在本地网的数据报都将发送到这台路由器上。也就是说，这是发向外网的数据报在通向目的端的路径上遇到的第一台中间路由器。 图3-2 DHCP Discovery客户端必须知道自己的子网掩码。子网掩码是一个32位的数，用来与IP地址进行“按位逻辑与运算”从而得出网络地址。所有可以直接通信而不需要路由器参与的机器都有相同的网络地址。因此，子网掩码用来决定数据报是发送到本地路由器还是直接发送到本地目的主机。客户端还必须知道它们的域名和它们在本地域名服务器上的标识。域名是一个可读的网络名。IP地址为192.168.0.1的DHC

22、P服务器回复了一个DHCP OFFER报文。该报文也广播到255.255.255.255，因为尽管客户端还不知道自己的IP地址，但它将接收到发送到广播地址的报文。这个报文中包含了客户端请求的信息，包括IP地址、本地路由器、子网掩码、域名和本地域名服务器。 图3-3 Parameter Request List在分组5中，客户端通过发送DHCP Request（请求）报文表明自己接收到的IP地址。最后，在分组6中DHCP服务器确认请求的地址并结束对话。此后，在分组7中客户端开始使用它的新的IP地址作为源地址。在分组3和分组7到12的地址ARP协议引起了我们的注意。在分组3中，DHCP服务器询问是

23、否有其它主机使用IP地址192.168.0.100（该请求被发送到广播地址）。这就允许DHCP服务器在分配IP之前再次确认没有其它主机使用该IP地址。在获取其IP地址之后，客户端会发送3个报文询问其他主机是否有与自己相同的IP地址。前4个ARP请求都没有回应。在分组1013中，DHCP服务器再次询问哪个主机拥有IP地址192.168.0.100，客户端两次回答它占有该IP同时提供了自己的以太网地址。通过DHCP分配的IP地址有特定的租用时间。为了保持对某个IP的租用，客户端必须更新租用期。当输入第二个命令ipconfig /renew后，在分组14和15中就会看到更新租用期的过程。DHCP R

24、equest请求更新租用期。DHCP ACK包括租用期的长度。如果在租用期到期之前没有DHCP Request发送，DHCP服务器有权将该IP地址重新分配给其他主机。最后，在分组16时输入命令ipconfig /release后的结果。在DHCP服务器接收到这个报文后，客户停止对该IP的使用。如有需要DHCP服务器有权重新对IP地址进行分配。2、分析IPv4中的分片在第二个实验中，我们将考察IP数据报首部。俘获此分组的步骤如下：（1） 启动Wireshark，开始分组俘获（“Capture”-“interface”-“start”）。（2） 启动pingplotter（pingplotter的

25、下载地址为），在“Address to trace：”下面的输入框里输入目的地址，选择菜单栏“Edit”-“Options”-“Packet”，在“Packet size(in bytes defaults=56)：”右边输入IP数据报大小：5000，按下“OK”。最后按下按钮“Trace”，你将会看到pingplotter窗口显示如下内容，如图3-4所示： 图3-4 ping plotter（3） 停止Wireshark。设置过滤方式为：IP，在Wireshark窗口中将会看到如下情形，如图3-5所示。在分组俘获中，你应该可以看到一系列你自己电脑发送的“ICMP Echo Request”和

26、由中间路由器返回到你电脑的“ICMP TTL-exceeded messages”。 图3-5 用Wireshark所俘获的分组（4） 如果你无法得到上图的分组信息，也可使用已经下载的IP分片分组文件：fragment_5000_isolated.cap。然后在Wireshark中，选择菜单栏“File”-“Open”导入上述文件进行学习。下面，我们来分析fragment_5000_isolated.cap中的具体分组：IP层位于传输层和链路层之间。在fragment_5000_isolated.cap中传输层协议是UDP，链路层协议是以太网。发送两个UDP数据报，每个包含5000个字节的数据

27、部分和8字节的UDP首部。在分组1到4和分组5到8分别代表了先后发送的两个UDP数据报。当IP层接收到5008字节的UDP数据报时，它的工作是将其作为IP数据报在以太网传输。以太网要求一次传输的长度不大于1514个字节，其中有14字节是以太网帧首部。IP被迫将UDP数据报作为多个分片发送。每个分片必须包含以太网帧首部、IP数据报首部。每个分片还会包含UDP数据报的有效负载（首部和数据）的一部分。IP将原始数据报的前1480个字节（含1472个字节的数据和含8个字节的UDP首部）放在第一个分片中。后面两个分片每个均含1480个字节的数据，最后一个分片中包含的数据为568个字节）。为了让接收段重组

28、原始数据，IP使用首部的特殊字段对分片进行了编号。标识字段用于将所有的分片连接在一起。分组1到4含有相同的标识号0xfd2b，分组5到8的标识号是0xfd2c，片偏移量指明了分组中数据的第一个字节在UDP数据报中的偏移量。例如分组1和分组5的偏移量都是0，因为它们都是第一个分片。最后在标识字段中有一位用来指明这个分片后是否还有分片。分组1到分组3和分组5到分组7均对该位置进行了置位。分组4和分组8由于是最后一个分片而没有对该位置位。四、实验报告内容打开文件dhcp_isolated.cap、fragment_5000_isolated.cap，回答以下问题：1、 DHCP服务器广播的本地路由器

29、或默认网关的IP地址是多少？本地路由器或默认网关的IP地址是：255.255.255.02、 在dhcp_isolated.cap中，由DHCP服务器分配的域名是多少？DHCP服务器分配的域名是：3、在fragment_5000_isolated.cap中，我们看到通过UDP数据报发送的5000字节被分成了多少分片？在网络中，一次能传输且不需要分片的最大数据单元有多大？发送的5000字节被分为4个分片一次能传输且不需要分片的最大数据单元有1480实验四 利用Wireshark分析ICMP 一、实验目的分析ICMP二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshar

30、k、IE等软件。三、实验步骤Ping和traceroute命令都依赖于ICMP。ICMP可以看作是IP协议的伴随协议。ICMP报文被封装在IP 数据报发送。一些ICMP报文会请求信息。例如：在ping中，一个ICMP回应请求报文被发送给远程主机。如果对方主机存在，期望它们返回一个ICMP回应应答报文。一些ICMP报文在网络层发生错误时发送。例如，有一种ICMP报文类型表示目的不可达。造成不可达的原因很多，ICMP报文试图确定这一问题。例如，可能是主机关及或整个网络连接断开。有时候，主机本身可能没有问题，但不能发送数据报。例如IP首部有个协议字段，它指明了什么协议应该处理IP数据报中的数据部分。

31、IANA公布了代表协议的数字的列表。例如，如果该字段是6，代表TCP报文段，IP层就会把数据传给TCP层进行处理；如果该字段是1，则代表ICMP报文，IP层会将该数据传给ICMP处理。如果操作系统不支持到达数据报中协议字段的协议号，它将返回一个指明“协议不可达”的ICMP报文。IANA同样公布了ICMP报文类型的清单。Traceroute是基于ICMP的灵活用法和IP首部的生存时间字段的。发送数据报时生存时间字段被初始化为能够穿越网络的最大跳数。每经过一个中间节点，该数字减1。当该字段为0时，保存该数据报的机器将不再转发它。相反，它将向源IP地址发送一个ICMP生存时间超时报文。生存时间字段用

32、于避免数据报载网络上无休止地传输下去。数据报的发送路径是由中间路由器决定的。通过与其他路由器交换信息，路由器决定数据报的下一条路经。最好的“下一跳”经常由于网络环境的变化而动态改变。这可能导致路由器形成选路循环也会导致正确路径冲突。在路由循环中这种情况很可能发生。例如，路由器A认为数据报应该发送到路由器B，而路由器B又认为该数据报应该发送会路由器A，这是数据报便处于选路循环中。生存时间字段长为8位，所以因特网路径的最大长度为28 -1即255跳。大多数源主机将该值初始化为更小的值（如128或64）。将生存时间字段设置过小可能会使数据报不能到达远程目的主机，而设置过大又可能导致处于无限循环的选路

33、中。Traceroute利用生存时间字段来映射因特网路径上的中间节点。为了让中间节点发送ICMP生存时间超时报文，从而暴露节点本身信息，可故意将生存时间字段设置为一个很小的书。具体来说，首先发送一个生存时间字段为1的数据报，收到ICMP超时报文，然后通过发送生存时间字段设置为2的数据报来重复上述过程，直到发送ICMP生存时间超时报文的机器是目的主机自身为止。因为在分组交换网络中每个数据报时独立的，所以由traceroute发送的每个数据报的传送路径实际上互不相同。认识到这一点很重要。每个数据报沿着一条路经对中间节点进行取样，因此traceroute可能暗示一条主机间并不存在的连接。因特网路径经

34、常变动。在不同的日子或一天的不同时间对同一个目的主机执行几次traceroute命令来探寻这种变动都会得到不同的结果。为了体现Internet路由的有限可见性，许多网络都维护了一个traceroute服务器traceroute。Traceroute服务器将显示出从本地网到一个特定目的地执行traceroute的结果。分布于全球的traceroute服务器的相关信息可在http:/www.traceroute.org上获得。1、ping和ICMP利用ping程序产生ICMP分组。ping向因特网中的某个特定主机发送特殊的探测报文并等待表明主机在线的回复。具体做法：（1）打开Windows命令提示

35、符窗口（Windows Command Prompt）。（2）启动Wireshark分组嗅探器，在过滤显示窗口（filter display window）中输入icmp，开始Wireshark分组俘获。（3）输入“ping n 10 hostname”。其中“-n 10”指明应返回10条ping信息。（4）当ping程序终止时，停止Wireshark分组俘获。实验结束后会出现如图4-1所示的命令窗口：图4-1 命令窗口停止分组俘获后，会出现如图4-2所示的界面：图4-2 停止分组俘获后Wireshark的界面图4-3是在分组内容窗口中显示了ICMP协议的详细信息。观察这个ICMP分组，可以看

36、出，此ICMP分组的“Type 8 and Code 0”即所谓的ICMP“echo request”分组。图4-3 ICMP协议详细信息在实验报告中回答下面问题：（1） 你所在主机的IP地址是多少？目的主机的IP地址是多少？192.168.1.101 143.89.14.43（2）查看ping请求分组，ICMP的type和code是多少？8 0（3）查看相应得ICMP响应信息，ICMP的type和code又是多少？8 0（4）ping命令的参数还有哪些？功能是什么？ping IP -t连续对IP地址执行Ping命令，直到被用户以Ctrl+C中断。 2. ICMP和Traceroute在Wir

37、eshark下，用Traceroute程序俘获ICMP分组。Traceroute能够映射出通往特定的因特网主机途径的所有中间主机。源端发送一串ICMP分组到目的端。发送的第一个分组时，TTL=1；发送第二个分组时，TTL=2，依次类推。路由器把经过它的每一个分组TTL字段值减1。当一个分组到达了路由器时的TTL字段为1时，路由器会发送一个ICMP错误分组（ICMP error packet）给源端。（1）启动Window命令提示符窗口（2）启动Wireshark分组嗅探器，开始分组俘获。（3）Tracert命令在c:windowssystem32下，所以在MS-DOS 命令提示行或者输入“tr

38、acert hostname” or“c:windowssystem32tracert hostname”（注意在Windows下，命令是“tracert”而不是“traceroute”。)如图4-4所示.（4）当Traceroute程序终止时，停止分组俘获。 图4-4 命令提示窗口显示Traceroute程序结果图4-5显示的是一个路由器返回的ICMP错误分组（ICMP error packet）。注意到ICMP错误分组中包括的信息比Ping ICMP中错误分组包含的信息多。在实验报告中回答下面问题：（1） 查看ICMP echo分组，是否这个分组和前面使用 ping命令的ICMP echo

39、 一样？不一样，前者data32，后者data64。（2） 查看ICMP错误分组，它比ICMP echo 分组包括的信息多。ICMP错误分组比ICMP echo 分组多包含的信息有哪些？多了20bytes的headerlength四、实验报告回答下列问题：1、 连接层的IP地址是多少？202.202.210.1042、 ICMP的type 和code是多少? 8 0图4-5 一个扩展ICMP错误分组信息的Wireshark 窗口实验五 使用Wireshark分析UDP协议一、实验目的比较TCP和UDP协议的不同二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark

40、、IE等软件。三、实验步骤1、打开TCP流的有关跟踪记录，保存在tcp_2transmit.cap中，并打开UDP流中的有关跟踪文件udp_2transmit.cap。如图5-1、5-2所示。图5-1 TCP 流跟踪记录图5-2 UDP流跟踪记录2、分析此数据包：（1）TCP传输的正常数据：tcp_2transmit.cap文件的分组1到13中显示了TCP连接。我们在分组1到分组3中看到了打开连接的三次握手。分组10到分组13显示的则是连接的终止。我们看到分组10既是一个带有FIN标志的请求终止连接的分组，又是一个最后1080个字节的（序号是39215000）的重传。TCP将应用程序写入合并到

41、一个字节流中。它并不会尝试维持原有应用程序写人的边界值。我们注意到TCP并不会在单个分组中传送1000字节的应用程序写入。前1000个字节会在分组4种被发送，而分组5则包含了1460个字节的数据一些来自第二个缓冲区，而另一些来自第三个缓冲区。分组7中含有1460个字节而分组8中则包含剩余的1080个字节。（5000-1000-1460-1460=1080）我们注意到实际报告上的2.48秒是从初始化连接的分组1开始到关闭连接的分组10结束。分组1113未必要计入接收端应用程序的时间内，因为一旦接收到第一个FIN，TCP层便马上发送一个关闭连接的信号。分组1113只可能由每台计算机操作系统得TCP

42、层后台传输。如果我们注意到第一个包含数据的分组4和最后一个分组8之间的时间，我们就大约计算出和由UDP接收端所报告的0.01秒相同的时间。这样的话，增加TCP传输时间的主要原因就是分组10中的重传。公平的说，UDP是幸运的，因为它所有的分组都在第一时间被接受了。在这个跟踪文件中，总的来说（包括重传）一共发送了6822个字节来支持5000个字节的数据传输。这个开销正好36。（2）UDP正常数据传输现在我们来观察UDP流，在udp_transmit.cap文件的分组1到分组11中显示。虽然像TCP流那样传输了相同的数据，但是在这个跟踪文件中还是很多的不同。和TCP不同，UDP是一个无连接的传输协议

43、。TCP用SYN分组和SYN ACK分组来显示地打开一个连接，而UDP却直接开始发送包含数据的分组。同样，TCP用FIN分组和FIN ACK分组来显示地关闭一个连接，而UDP却只简单地停止包含数据的分组的传输。为了解决这个问题，在文件udp_2transmit.cap俘获的分组中，采取的办法是ttcp发送端发送一个只包含4个字节的特殊UDP 数据报来模拟连接建立和连接终止。在发送任何数据之前，发送端总是发送一个只包含4个字节的特殊数据报（分组1），而在发送完所有的数据之后，发送端又发送额外的5个分组（分组7-11）。接收端也使用第一个特殊的数据报来启动数据传输的计时器。如果这个特殊的数据报丢失

44、了，它可能用真实数据的第一个分组计时器。不过，如果接收端没有看到这个特殊的数据报，它就不能精确地确定数据传输的开始和传输的所有时间。与TCP不同，UDP 在传输的数据中，不会加上序号，因此对于接收端来说不可能确定丢失和重排序重传的情况。类似的，接收端根据最后的特殊数据报来停止数据传输计时器。当接收端接收到这5个包中的任一个便停止计时，但是发送5个分组是因为在传输的过程中可能丢失其中的一些。如果5个分组全部丢失了，那么接收端便会无限制的等待更多数据的到来达。实际数据的传输是在分组2-6里。每一个分组都包含1000个字节。1000个字节的应用程学写入直接转换成UDP数据报。另一方面，TCP并不打算

45、保存应用程序写入边界而只是将它们并入一个字节流中。与TCP不同，UDP没有提供接收端到发送端的反馈。在TCP的例子里，接收端返回只包含有TCP报文段首部而没有数据的报文段。首部本身则携带着关于哪些数据已经被成功接收以及接收端能够接收多少数据的信息。我们已经知道UDP不提供可靠的数据传输，因此并不要求什么数据已经被成功接收的信息。它也不提供任何信息高速发送端降低速率，因为接收端或者网络本身已经淹没。虽然UDP本身并不提供接收端到发送端的反馈，但是我们确实看到几个从接收端到发送端的ICMP分组（分组1214）。ICMP是网络层协议（IP）的一个伴随协议，并且有提供一定控制和错误报告的功能。在这种情

46、况下，ICMP分组暗示一些UDP数据报没有被传送到，因为端口不可达。这就意味着当数据报到达那个端口的时候，没有接收端在那个端口监听。我们注意到ICMP分组携带着一些未传递UDP数据报的信息。当ttcp接收端看到一个只具有4个字节数据的特殊数据报时，它便会知道数据传输是完整的，并且会因此关闭正在监听的端口。事实上ttcp发送端发送5个这样的分组，并且后面的分组到达的时候发现接收端已经没有在监听了。当发送端发送所有的数据而没有相应的接收标志的时候，将会看到相似的行为。TCP和UDP的另外一个不同之处在于TCP连接时点对点的，换句话说，TCP的使用是在一个连接端和一个发送端之间的。而对于UDP来说，一个发送端可能发向多个接收端（例如广播和组播通信）或者多个发送端能够发送给一个接收端。如果多个发送端都发给这个接收端的话，这个接收端会为每个发送端报告统计信息。TCP和UDP的最后一个不同之处是它们首部的大小。UDP首部总是8个字节，而TCP首部大小是变化的，但是它绝对不会少于20个字节。四、实验报告回答下面的问题：1、在udp_2transmit.cap中观察UDP首部。长度字段是包括首部和数据还是只包括数据？包括首部和数据2、我们观察到使用ICMP报文来报告UDP数据报不可达。