计算机网络抓包分析实习报告

计算机网络抓包分析 实习报告 酒店前台实习报告法院实习报告铁路实习报告链家实习报告寒假实习报告 计算机网络实习 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 信息11-1 110814119 王朔 实习报告(一) 课 程 计算机网络 实验名称 使用Omnipeek软件做抓包分析 专业班级 信息管理与信息系统 姓 名 学 号 实习日期 2013.5.27-2013.5.31 2013年5月29日 1 计算机网络实习报告 信息11-1 110814119 王朔 目录 实习报告(一) ............................................................................................................................... 1 目录................................................................................................................................................... 2 一、实验目的和内容 ....................................................................................................................... 1 1.1、实验目的 .......................................................................................................................... 1 1.2、实验内容 .......................................................................................................................... 1 1.3、实验步骤 .......................................................................................................................... 1 二、实验环境 ................................................................................................................................... 2 三、实验分析 ................................................................................................................................... 2 3.1 分析以太网DIXv2帧格式 ............................................................................................... 2 3.1.1 以太网DIXv2帧格式 ............................................................................................ 2 3.1.2 太网DIXv2帧各字段大小及用途 ........................................................................ 2 3.1.3分析DIXv2帧 ......................................................................................................... 3 3.2 分析ARP的Request和Response报文; ...................................................................... 3 3.2.1 ARP报文结构 ......................................................................................................... 3 3.2.2ARP报文各字段大小及用途 .................................................................................. 3 3.2.3 ARP Request报文 ................................................................................................... 4 3.2.4 ARP Reply报文 ....................................................................................................... 5 3.3 分析TCP在连接建立阶段的3次握手和连接释放阶段的4次分手报文 ................... 6 3.3.1 TCP报文结构 ......................................................................................................... 6 3.3.2 TCP报文各字段大小及用途 .................................................................................. 6 3.3.3 TCP连接建立阶段的3次握手过程 ...................................................................... 7 3.3.4 TCP连接建立阶段的3次握手报文 ...................................................................... 8 3.3.5 TCP连接建立阶段的3次握手总结 .................................................................... 10 3.3.6 TCP连接释放阶段的4分手过程 ........................................................................ 10 3.3.7 TCP连接释放阶段的4次分手报文 .................................................................... 11 3.3.8 TCP连接释放阶段的4次分手总结 .................................................................... 13 3.4分析DNS以及UDP的Query和Response报文 .......................................................... 13 3.4.1 DNS Query报文结构 ............................................................................................ 13 3.4.2 DNS Query报文各字段大小及用途 .................................................................... 13 3.4.3 DNS Query报文 .................................................................................................... 14 3.4.4 DNS Response报文结构....................................................................................... 15 3.4.5 DNS Response报文各字段大小及用途 ............................................................... 15 3.4.6 DNS Response报文 .............................................................................................. 17 3.4.7 UDP的Query报文 ............................................................................................... 17 3.4.8UDP的Response报文 .......................................................................................... 18 3.5分析HTTP GET、POST和HTTP Response报文 ........................................................ 18 3.5.1 HTTP Request报文格式 ....................................................................................... 18 3.5.2 HTTP Request报文各字段大小及用途 ............................................................... 19 3.5.3 HTTP GET报文 .................................................................................................... 20 3.5.4 HTTP POST报文 .................................................................................................. 21 2 计算机网络实习报告 信息11-1 110814119 王朔 3.5.5 HTTP Response报文格式 ..................................................................................... 21 3.5.6 HTTP Response报文各字段大小及用途 ............................................................. 22 3.5.7 HTTP Response报文 ............................................................................................. 23 3.6 分析FTP过程;要列举出你都用到了/找到了哪些FTP命令原语 ........................... 24 3.7 分析在发送、接收email过程中的SMTP、POP3报文; ......................................... 27 3.7.1 SMTP报文结构 .................................................................................................... 27 3.7.2 SMTP报文字段及用途 ........................................................................................ 27 3.7.3 SMTP连接建立过程及报文分析 ........................................................................ 28 3.7.4 POP3报文字段及用途 ......................................................................................... 30 3.8 分析ICMP echo报文...................................................................................................... 32 3.8.1 ICMP报文格式 ..................................................................................................... 32 3.8.2 ICMP报文字段及用途 ......................................................................................... 33 3.8.3 ICMP Request报文 ............................................................................................... 33 3.8.4 ICMP Reply报文................................................................................................... 33 3.9 考察tcp的连接无法建立的场景 ................................................................................... 34 四、实习总结 ................................................................................................................................. 36 3 计算机网络实习报告 信息11-1 110814119 王朔 一、实验目的和内容 1.1、实验目的 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 分析是网络工程师必须掌握的技能，本实验使用Omnipeek软件对捕获的网络数据包进行分析;熟悉基本协议的报文格式、了解协议的工作机制。学会虚拟机的配置、网络连接方式等，学会对Win Server平台常用的服务配置:IIS、FTP、DNS、MAIL等。 1.2、实验内容 1.虚拟机的配置及网络连接方式; 2.Win server平台常用服务的配置:IIS、FTP、DNS、MAIL; 3.通过抓包，了解协议的运行机制; 1.3、实验步骤 1. 使用IE浏览器，菜单—工具/Internet选项-删除，将―删除文件‖―删除cookie‖―清 除历史 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 ‖选中。 删除浏览器中原有的记录。 2. 清空arp缓存，在DOS模式下，使用命令―arp –d ‖。 3. 设置好DNS服务器，域名是―www.liujia.com‖。DNS服务器中至少要包含A 记录、MX记录。其中A记录用于所搭建的web服务器的域名解析、记录用于你所搭建 的mail服务器的解析。 4. 做一个简单的静态网页，网页内容中包含个人的基本信息;之后在IIS中发布。 5. 架设好FTP服务器，安装如Server-U/ FTP服务器端软件. 6. 启动Omnipeek抓包程序。 7. 从Host OS 发起针对Guest OS的ping命令，此时捕获ARP报文、IP报文、 ICMP报文; 8. 在Host OS中的浏览器的地址栏，输入 www.liujia.com，回车，会返回你在上 一步发布的网页; 9. 在第7步的过程中，会捕获ARP报文、DNS报文、UDP报文、TCP连接建立 的三次握手报文、HTTP报文、TCP连接释放的四次握手报文等; 10. 对POP3、SMTP报文的捕获:必须采用如下方式:在Guest OS中配置邮件 服务器，安装 Imail软件。在所搭建的邮件服务器中配置2个帐户，user1、user2。 11. 在Host OS上，使用Outlook Express、邮件客户端，来完成在ueser1、user2 之间互相收发邮件。在收发邮件过程中，同时启动抓包分析。 12. 关闭Omnipeek，把捕获到的数据包保存为文件。 1 计算机网络实习报告 信息11-1 110814119 王朔 二、实验环境 虚拟机:VMware 数据包捕获软件:Omnipeek 截图软件:Hypersnap 系统软件:Windows 2000 Advanced Server 三、实验分析 3.1 分析以太网DIXv2帧格式 3.1.1 以太网DIXv2帧格式 前同步码 目的地址 源地址 类型 数据 FCS 3.1.2 太网DIXv2帧各字段大小及用途 字段 字段长度(字节) 用途 前七个字节用来―唤醒‖接受适配 前同步码 器;第八个字节的最后两个比特警8 (preamble) 告适配器，―重要的内容‖就要到来 了 目的地址 6 包含目的适配器的MAC地址 (destination address) 源地址 包含传输该帧到LAN上的适配器6 (source address) 的MAC地址 该字段允许以太网复用多种网络协类型字段 2 议(常见:0x0800:IP;0x0806:(type field) 地址解析协议ARP) 数据字段 46~1500 承载IP数据报 (data field) 对接收网卡提供判断是否传输错误帧校验序列 4 的一种方法，如果发现错误，丢弃(FCS) 此帧 2 计算机网络实习报告 信息11-1 110814119 王朔 3.1.3分析DIXv2帧 总结: ARP request包 字段 前同步码 Packet Info (preamble) 目的地址 FF:FF:FF:FF:FF:FF (destination 是广播地址 address) 14 Ethernet 源地址 02:00:4C:4F:4F:50 bytes Header (source address) Host OS MAC地址 类型字段 0x0806 64 (type field) bytes 28 ARP ARP包大小为28bytes，小bytes 数据字段 于最小数据字段大小(data field) 18 46bytes，以18bytes―0‖填充 Extra bytes bytes 4 帧校验序列 FCS 0xAF746242 bytes (FCS) 3.2 分析ARP的Request和Response报文; ARP(Address Resolution Protocol)，地址解析协议，用于控制网络层地 址和链路层地址之间的转换。 3.2.1 ARP报文结构 硬件类型(Hardware) 协议类型(Protocol) 硬件地址长度(Hardware Addr Length) 协议地址长度(Protocol Addr Length) 操作类型(Operation) 发送端硬件地址(Sender Hardware Addr) 发送端网络地址(Sender Internet Addr) 目标硬件地址(Target Hardware Addr) 目标网络地址(Target Internet Addr) 3.2.2ARP报文各字段大小及用途 字段 长度(字节) 用途 3 计算机网络实习报告 信息11-1 110814119 王朔 硬件类型 2 发送方想知道的硬件地址的类型 协议类型 2 要映射的协议地址类型 硬件地址长度 1 指明硬件地址和高层协议的长度，这样ARP帧 就看可以在任意硬件和任意协议的网络中使用协议地址长度 1 (以太网中，分别为6和4) 用来表示报文的类型(ARP请求:1;ARP响应:操作类型 2 2;R ARP请求:3;RARP响应:4) 发送端硬件地址 6 源主机硬件地址 发送端网络地址 4 源主机的MAC地址 目标硬件地址 6 目的端的硬件地址 目标网络地址 4 目的端的MAC地址 3.2.3 ARP Request报文 报文分析: 字段 ARP的Request报文 硬件类型 1 以太网卡(10Mb) 协议类型 0x0800(IP协议) 硬件地址长度 6 协议地址长度 4 操作类型 1(ARP Request) 发送端硬件地址 02:00:4C:4F:4F:50(Host OS MAC) 发送端网络地址 192.168.119.1(Host OS IP) 目标硬件地址 00:00:00:00:00:00(广播帧) 目标网络地址 192.168.119.2(Guest OS IP) 从帧的destination mac字段来看为00:00:00:00:00:00，为全0，因此是广播帧。 4 计算机网络实习报告 信息11-1 110814119 王朔 3.2.4 ARP Reply报文 ARP Reply报文分析: 字段 ARP的Reply报文 硬件类型 1 以太网卡(10Mb) 协议类型 0x0800(IP协议) 硬件地址长度 6 协议地址长度 4 操作类型 2(ARP Response) 发送端硬件地址 00:0C:29:3F:6C:48(Guest OS MAC) 发送端网络地址 192.168.119.2(Guest OS IP) 目标硬件地址 02:00:4C:4F:4F:50(Host OS MAC) 目标网络地址 192.168.119.1(Host OS IP) 从帧的destination mac字段来看为02:00:4C:4F:4F:50，为A类地址，是Host OS 的物理地址，是单播帧。 5 计算机网络实习报告 信息11-1 110814119 王朔 3.3 分析TCP在连接建立阶段的3次握手和连接释放阶段的4 次分手报文 3.3.1 TCP报文结构 3.3.2 TCP报文各字段大小及用途 字段 长度(bit) 用途 源端口号 16 TCP协议通过使用"端口"来标识源端和目标端的应用进 程，共同构成相当于传输层服务访问点的地址 目的端口号 16 用来标识从TCP源端向TCP目标端发送的数据字节流，序号 32 表示在这个报文段中的第一个数据字节 确认序号 32 包含目标端所期望收到源端的下一个数据字节 表示数据开始的地方离TCP 报文段的起始处有多远。即数据偏移 4 TCP报文段首部的长度 保留 6 供今后使用，目前置为0 表明此报文应尽快传输，而不按原来的 顺序来传送。与URG 1 ―紧急指针‖字段配合使用 6 计算机网络实习报告 信息11-1 110814119 王朔 ACK 1 只有ACK标志为1时，确认号字段才有效 当PSH=1时表明接收方应该尽快将这个报文段交给应用PSH 1 层 当RST=1时，表明出现严重差错，必须释放连接，然后RST 1 再重建传输连接 当SYN=1时，表明一个连接请求或连接接收报文。在建 立连接时使用，当SYN=1而ACK=0时，表明这是一个SYN 1 连接请求报文段。对方若同意建立连接，在发回的报文段 中使SYN=1和ACK=1。 用来释放一个连接，当FIN=1时，表明要发送的字节串FIN 1 已经发完，并要求释放传输连接 表示报文段发送方的接收窗口。此窗口告诉对方，―在未窗口 16 收到我的确认时，你能够发送的数据的字节数至多是此窗 口的大小。‖ 整个TCP报文段(TCP头部和TCP数据)进行校验和计TCP校验和 16 算，并由目标端进行验证 是一个偏移量，和序号字段中的值相加表示紧急数据最后紧急指针 16 一个字节的序号 选项和填充 32 可能包括"窗口扩大因子"、"时间戳"等选项 数据 3.3.3 TCP连接建立阶段的3次握手过程 图示过程: 7 计算机网络实习报告 信息11-1 110814119 王朔 3.3.4 TCP连接建立阶段的3次握手报文 在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。 第一次握手 报文分析: 此图为第一次握手的报文。客户机端的TCP首先向服务器端的TCP发送一个 特殊的TCP报文段。该报文段中不包含应用层数据，但是报文段的首部中的一个 标志位即SYN被置为1。客户端会选择一个起始序号，并将其置放到该起始的TCP SYN报文段的序号字段中，该报文段会被封装在一个IP数据中，并发送给服务器。 即由Host OS向Guest OS发送建立连接请求，此时SYN置为1，ACK为0。 8 计算机网络实习报告 信息11-1 110814119 王朔 第二次握手 报文分析: 此报文为第二次握手的报文。一旦包含TCP SYN报文段的IP数据报到达服务 器主机。服务器会从该数据报中提取TCP SYN报文段，为该TCP连接分配TCP 缓存和变量，并向客户机TCP发送允许连接的报文段。 即由Guest OS对之前Host OS的连接请求作出确认，ACK置为1，并向Host OS 发送建立连接请求，SYN置为1 第三次握手 报文分析: 此报文为第三次握手的报文。在收到SYN ACK报文段之后，客户机也要给该 连接分配缓存和变量。客户机主机还会向服务器发送另外一个报文段，这个报文段 对服务器的允许连接的报文段进行了确认。 即由Host OS对之前Guest OS的连接请求作出确认，ACK置为1 9 计算机网络实习报告 信息11-1 110814119 王朔 3.3.5 TCP连接建立阶段的3次握手总结 第一次握手: 建立连接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态， 等待服务器确认; 第二次握手: 服务器收到syn包，必须确认客户的SYN(ack=j+1)，同时自己也发送一个 SYN包(syn=k)，即SYN+ACK包，此时服务器进入SYN_RECV状态; 第三次握手: 客户端收到服务器的SYN，ACK包，向服务器发送确认包ACK(ack=k+1)， 此包发送完毕，客户端和服务器进入ESTABLISHED状态，即连接已经建立， 完成三次握手。 TCP建立连接的3次握手过程总结为: 握手次数 连接方向 syn ack fin Ack.no Seq.no 第一次握手 客户端—>服务端 1 0 0 0 2938090170 第二次握手 服务端—>客户端 1 1 0 2938090171 665059773 第三次握手 客户端—>服务端 0 1 0 665059774 2938090171 由上表对比可知，第一个次握手时Ack.no为0, Seq.no为3959762695，第二次握手的Ack.no为上一次握手的Seq.no+1。同理，第三次握手的Ack.no为第二次握手的Seq.no+1。 3.3.6 TCP连接释放阶段的4分手过程 图示过程: 10 计算机网络实习报告 信息11-1 110814119 王朔 3.3.7 TCP连接释放阶段的4次分手报文 数据传输结束后，通信的双方都可选择释放连接。现在服务器端和客户端都出入ESTABLISHED状态。下面分析的4次分手报文是基于客户端要求释放连接进行的分析。 第一次分手 报文分析: 此报文为第一次分手的报文。客户端的应用进程向其TCP发出连接释放报文 段，并停止发送数据，主动关闭TCP连接。发送一个FIN，用来关闭客户端到服务 器的数据传送。此时客户端进入FIN-WAIT-1状态，等待服务器端的确认。 即由Guest OS向Host OS发送释放连接请求，ACK置为1，FIN置为1 第二次分手 报文分析: 此报文为第二次分手的报文。服务器端收到这个FIN，它发回一个ACK，确认 序号为收到的序号加1。和SYN一样，一个FIN将占用一个序号。此时服务器端 11 计算机网络实习报告 信息11-1 110814119 王朔 就进入了CLOSE-WAIT状态。客户端收到来自服务器端的确认之后进入了FIN-WAIT-2状态，等待服务器端发出的连接释放报文段。 即由Host OS对之前Guest OS发送的释放连接请求作出确认，ACK置为1 第三次分手 报文分析: 此报文为第三次分手的报文。服务器端应用进程通知TCP释放连接，关闭与客户端的连接，发送一个FIN给客户端。服务端进入了LAST-ACK状态。等待客户端的确认。 即由Host OS向Guest OS发送释放连接请求，ACK置为1，FIN置为1 第四次分手 报文分析: 此报文为第四次分手的报文。客户端发回ACK报文确认，并将确认序号设置 12 计算机网络实习报告 信息11-1 110814119 王朔 为收到序号加1。进入到TIME-WAIT状态。此时TCP连接还没有释放掉。经过时 间等待计时器设置的2MSL后，客户端进入CLOSED状态。结束了这次TCP的连 接。 即由Guest OS对Host OS之前发送的释放连接请求作出确认，ACK置为1 3.3.8 TCP连接释放阶段的4次分手总结 TCP连接释放阶段的4次分手过程总结为: 分手次数 释放连接方向 syn ack fin Ack.no Seq.no 第一次分手 客户端—>服务端 0 1 1 2938090504 665063670 第二次分手 服务端—>客户端 0 1 0 665063671 2938090504 第三次分手 服务端—>客户端 0 1 1 665063671 2938090504 第四次分手 客户端—>服务端 0 1 0 2938090505 665063671 由上表可以看出，在TCP连接释放的4次分手阶段，第二次分手的Ack.no是第一次分手的Seq.no+1,Seq.no是第一个分手的Ack.no。而第三次分手仍是由服务端向客户端方向释放连接，因此Ack.no和Seq.no不变。第四次Ack.no为第三次Seq.no+1,Seq.no为第一次分手的Seq.no+1。 3.4分析DNS以及UDP的Query和Response报文 DNS(Domain Name System)，域名系统，是一个由分层的DNS服务器实现的分布式数据库，是一个允许主机查询分布式数据库的应用层协议。 DNS通常由其他应用层协议所使用，用于将用户提供的主机名解析为IP地址。 3.4.1 DNS Query报文结构 Header Question Section 3.4.2 DNS Query报文各字段大小及用途 Header format: Identification Flags Number of Question records Number of Answer records Number of Authoritative records Number of Addtional records Flags: 字段 Q/R opCode AA TC RD RA 0 0 0 rCode 大小(比特) 1 4 1 1 1 1 4 13 计算机网络实习报告 信息11-1 110814119 王朔 rCode: Value Meaning 0 无差错 1 格式差错 2 问题在域名服务器上 3 域参照问题 4 查询类型不支持 5 在管理上禁止 6-15 保留 Question Record: Query Name Query Type Query Category Query Type: 类型 助记符 说明 1 A 地址。IPv4地址。用来把域名转换成IPv4地址 2 NS 名字服务器。它标志区的授权服务器 5 CNAME 规范名称。定义主机的正式名字的别名 6 SOA 开始授权。它标记区的开始，通常是区文件的第一个记录 11 WKS 熟知服务。定义主机所提供的网络服务 12 PTR 指针。用来把IP地址转换成域名 13 HINFO 主机信息。给出主机使用的硬件和操作系统的描述 15 MX 邮件交换。把邮件改变路由送到邮件服务器 28 AAAA 地址。IPv6 252 AXFR 传送整个区的请求 255 ANY 对所有记录的请求 Query Category: 类型 助记符 说明 1 AN Internet 2 CSNET CSNET网络 3 CS COAS网络 4 HS MIT开发的Hesoid服务器 3.4.3 DNS Query报文 抓包结果: 14 计算机网络实习报告 信息11-1 110814119 王朔 报文分析: Header format: Identification:0xC7EB DNS Flags:0x0100 Q/R:0 Query 报文 opCode:000 0 Standard Query AA: 0 非权威答案 TC:0 消息不被截断 RD:1 期望递归 RA:0 不可用递归 rCode:0 无差错 Question Record: Query Name:www.wangshuo.com 为域名 Query Type: 1 将域名转化为IPv4格式 Query Class:1 Internet 3.4.4 DNS Response报文结构 Header Question Section Answer Section Authoritative Section Additional Section 3.4.5 DNS Response报文各字段大小及用途 Flags: 字段 Q/R opCode AA TC RD RA 0 0 0 rCode 大小(比特) 1 4 1 1 1 1 4 15 计算机网络实习报告 信息11-1 110814119 王朔 rCode: 值 意义 0 无差错 1 格式差错 2 问题在域名服务器上 3 域参照问题 4 查询类型不支持 5 在管理上禁止 6-15 保留 Question Record: Query Name Query Type Query Category Query Type: 类型 助记符 说明 1 A 地址。IPv4地址。用来把域名转换成IPv4地址 2 NS 名字服务器。它标志区的授权服务器 5 CNAME 规范名称。定义主机的正式名字的别名 6 SOA 开始授权。它标记区的开始，通常是区文件的第一个记录 11 WKS 熟知服务。定义主机所提供的网络服务 12 PTR 指针。用来把IP地址转换成域名 13 HINFO 主机信息。给出主机使用的硬件和操作系统的描述 15 MX 邮件交换。把邮件改变路由送到邮件服务器 28 AAAA 地址。IPv6 252 AXFR 传送整个区的请求 255 ANY 对所有记录的请求 Query Category: 类型 助记符 说明 1 AN Internet 2 CSNET CSNET网络 3 CS COAS网络 4 HS MIT开发的Hesoid服务器 Resource Record: 域名 域类型 域类 生存时间 资源数据长度 16 计算机网络实习报告 信息11-1 110814119 王朔 资源数据 3.4.6 DNS Response报文 报文分析: Header format: Identification: 0xC7EB DNS Flags: 0x8580 Q/R: 1 Response报文 opCode: 000 0 Standard Query AA: 1 权威答案 TC:0 消息不被截断 RD:1 期望递归 RA:1可用递归 rCode:0 无差错 Question Record: Query Name:www.wangshuocom Query Type: 1 ——将域名转化为IPv4格式 Query Class:1—— Internet Resource Record: 域名:www.wangshuo.com 类型:1 ——将域名转化为IPv4地址 类别:1 ——Internet 生存时间:3600ms 资源数据长度:4个字节 资源数据:IP地址为192.168.119.2 3.4.7 UDP的Query报文 17 计算机网络实习报告 信息11-1 110814119 王朔 报文分析: 源端口号:53088 目标端口号:53 UDP数据报长度:42 校验和:0xf632 3.4.8UDP的Response报文 报文分析: 源端口号:53 目标端口号:53088 UDP数据报长度:58 校验和:0x6bc3 3.5分析HTTP GET、POST和HTTP Response报文 HTTP报文是面向文本的，报文中的每一个整顿都是一些ASCII码串，各个字段的长 度都是不确定的。HTTP报文有两种:请求报文和相应报文。首先讨论请求报文格式。 3.5.1 HTTP Request报文格式 18 计算机网络实习报告 信息11-1 110814119 王朔 3.5.2 HTTP Request报文各字段大小及用途 HTTP Request line: Request type (method) sp URL sp HTTP Version GET/POST HTTP General Header: 首部 描述 Cache,control 指明关于告诉缓存的信息 Connection 指出连接是否应当关闭 Date 给出当前日期 MIME,version 给出所使用的MIME版本 Upgrade 指明优先使用的通信协议 HTTP Request Header: 首部 描述 Accept 给出客户能处理的媒体格式 Accept-charset 给出客户能接受的字符集 Accept-encoding 给出客户能理解的编码 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 Accetp-language 给出客户乐于接受的自然语言列表 Authorization 给出客户具有何种授权 From 给出用户的电子邮件地址 Host 给出客户的主机和端口号 If-modified-since 只当比指明日期更加新时才发送这个文档 If-match 只当与给定标记匹配时才发送文档 If-not-match 只当与给定标记不匹配时才发送文档 If-range 只发送缺少的那部分文档 If-unmodifed-since 若在指明日期之后未改变，则发送文档 Referrer 指明被链接的文档的URL User-agent 标识客户程序 HTTP Entity Header: 首部 描述 Allow 列出URL可使用的合法的方法 Content-encoding 指明编码方案 Content-language 指明语言 Content-length 指明文档长度 19 计算机网络实习报告 信息11-1 110814119 王朔 Content-range 指明文档范围 Content-type 表明发送或接受的实体的MIME类型 Etag 给出实体标记 Expires 给出当内容可能改变时的日期和时间 Last-modified 给出上次改变的日期和时间 Location 指明被创建和移走的文档的位置 3.5.3 HTTP GET报文 报文分析: HTTP Request line: Request type (method):GET URL:www.liujia.com HTTP Version: HTTP 1.1 版本 HTTP General Header: Connection:保持连接 HTTP Request Header: Accept:客户能接受的媒体格式为:*/*，即所有媒体格式 Accetp-language:客户能接受的语言为中文 Host:客户的主机为: www.wangshuo.com 它的端口号为默认的80 20 计算机网络实习报告 信息11-1 110814119 王朔 3.5.4 HTTP POST报文 报文分析: HTTP Request line: Request type (method):POST URL:www.liujia.com HTTP Version: HTTP 1.1 版本 HTTP General Header: Connection:保持连接 Cache,control:无缓存 HTTP Request Header: Accept:客户能接受的媒体格式为text/html,application/xhtml+xml,*/*\r\n等 Reference:被连接的文档的URL为www.wangshuo.com Accetp-language:客户能接受的语言为中文 Accept-encoding:客户能接受的编码方案为:gzip,deflate User-agent:标识客户程序为Mozilla/5.0 Host:客户的主机为: www.wangshuo.com HTTP Entity Header: Content-length:文档长度为6字节 3.5.5 HTTP Response报文格式 21 计算机网络实习报告 信息11-1 110814119 王朔 3.5.6 HTTP Response报文各字段大小及用途 HTTP Status line: Status Phrase HTTP Version sp Status code sp 200(OK)/400(Bad Request)/404(Not Found) HTTP General Header: 首部 描述 Cache,control 指明关于告诉缓存的信息 Connection 指出连接是否应当关闭 Date 给出当前日期 MIME,version 给出所使用的MIME版本 Upgrade 指明优先使用的通信协议 HTTP Response Header: 首部 描述 Accept-range 给出服务器接受客户所请求的范围 Age 给出文档的使用期限 Public 给出可支持的方法清单 Retry-after 指明日期，在这个日期之后，服务器是可用的 Server 给出服务器名和版本号 22 计算机网络实习报告 信息11-1 110814119 王朔 HTTP Entity Header: 首部 描述 Allow 列出URL可使用的合法的方法 Content-encoding 指明编码方案 Content-language 指明语言 Content-length 指明文档长度 Content-range 指明文档范围 Content-type 表明发送或接受的实体的MIME类型 Etag 给出实体标记 Expires 给出当内容可能改变时的日期和时间 Last-modified 给出上次改变的日期和时间 Location 指明被创建和移走的文档的位置 3.5.7 HTTP Response报文 23 计算机网络实习报告 信息11-1 110814119 王朔 报文分析: HTTP Status line: HTTP Version:HTTP版本为1.1 HTTP Status :200(成功) Status Phrase:OK HTTP Response Header: Server: Microsoft-IIS/5.0 Accept-ranges:服务器接受客户所请求的范围为字节 HTTP Entity Header: Content-type: 表明接受的实体的MIME类型为text/htm Content-length:文档长度为600字节 HTTP Entity Body: Line1，Line2，Line3，Line4 是数据部分，所占字节总数为89byte Binary data:二进制数据，所占的字节数为511byte 3.6 分析FTP过程;要列举出你都用到了/找到了哪些FTP命令 原语 FTP命令原语: 通过help 命令，学到了FTP的一些命令原语，如下图。 使用Open 命令连接到192.168.119.2，即虚拟机。输入user-anonymous，password即可登录。用ls命令可以看到在虚拟机上设置的ftp文件夹内的内容。其中端口号是 24 计算机网络实习报告 信息11-1 110814119 王朔 200，文件夹中有一个文件1.bmp。用bye命令退出FTP。 在DOS中输入FTP命令之后，与192.161.17.2相连，当连接上之后，则完成了TCP 的3次握手。 R端返回FTP 连接信息: C端:以anonymous为用户登录。 R端:响应C端，表明用户已被允许连接，要求发送password。 C端:无密码，Enter， PASS，即登录通过。 25 计算机网络实习报告 信息11-1 110814119 王朔 R端:用户已登录。 C端:用户登录到FTP中，可以进行其他有权限的操作。登录的端口为192,161,17,1,4,29. R端:200 ——端口命令成功 C端:输入命令ls，要求查看ftp文件夹的内容。 R端:150——表明打开了文件列表。 R端:226——表明完成了传输。 C端:由于发送了bye命令，因此QUIT了此次连接。 之后，TCP进入连接释放阶段，发生四次分手 由于上面讨论过TCP的3次握手和4次分手，因此在这里就不再详细解释了。 26 计算机网络实习报告 信息11-1 110814119 王朔 3.7 分析在发送、接收email过程中的SMTP、POP3报文; SMTP(Simple Mail Transfer Protocol) ，简单邮件传输协议，用于从发送方的邮件服务器发送报文到接收方的邮件服务器。SMTP与HTTP比较，这两个协议都是用于从一台主机向另一台主机传送文件;HTTP从Web服务器向Web客户机(通常是浏览器)传送文件;SMTP从一个邮件服务器向另一个邮件服务器传送文件。当进行文件传送时，持久HTTP和SMTP都使用持久连接。因此，这两个协议有一些共同特征。然而两者之间也有一些重要区别。第一，HTTP主要是一个拉协议，而SMTP基本上是一个推协议。第二，SMTP要求每个报文都使用7位ASCII码格式。第三，在于如何处理一个既包含文本又包含图形的文档。 3.7.1 SMTP报文结构 To header From Subject the ―message‖ body ASCII characters only 3.7.2 SMTP报文字段及用途 Command: Keyword Variable HELO 发送端的主机名 MAIL 发信人 FROM 必须支 持 RCPT TO 预期的收信人 DATA 邮件的主体 QUIT RSET 推荐 VRFY 需要验证的收信人的名字 NOOP TURN EXPN 需要扩展的邮件发送清单 HELP 命令名 SEND 很少使预期的收信人 FROM 用 SMOL 预期的收信人 FROM SMAL 预期的收信人 FROM 27 计算机网络实习报告 信息11-1 110814119 王朔 Response: code Description Positive Completion Reply 211 系统状态或求助回答 214 求助报文 220 服务就绪 221 服务关闭传输信道 250 请求命令完成 251 用户不是本地的，报文将被转发 Positive Intermediate Reply 354 开始邮件输入 Transient Negative Completion Reply 421 服务不可用 450 邮箱不可用 451 命令异常终止;本地差错 452 命令异常终止;存储器不足 Permanent Negative Completion Reply 500 语法差错;不能识别的命令 501 语法的参数或变量差错 502 命令未实现 503 命令序列不正确 504 命令暂时未实现 550 命令未执行;邮箱不可用 551 用户非本地的 552 所请求的动作异常终止;存储位置超过 553 所请求的动作未发生;邮箱名不允许用 554 事务失败 3.7.3 SMTP连接建立过程及报文分析 在邮件发送的过程中，首先会发生TCP建立连接阶段的3次握手。 发送邮件: 首先，服务器端对发送邮件做好准备，进入Service Ready状态: 之后，客户端向服务器端发出HELO命令，用来识别SMTP客户端到SMTP服务 端: 28 计算机网络实习报告 信息11-1 110814119 王朔 随后，客户端向服务器端发出Mail From命令，其发件人为:user2@bjfuinfo-netlab: 之后，服务端对客户端的命令作出响应，OK，表明做好了接受邮件的准备: 客户端向服务器端发出命令，要求收件人为user1@bjfuinfo-netlab 服务器端表明可以接收user1@bjfuinfo-netlab 的邮件: 客户端与服务器端进行协商，决定用DATA命令发送邮件: 服务器端响应客户端，并且告知其接受邮件的起始符和结束符: 29 计算机网络实习报告 信息11-1 110814119 王朔 客户端开始通过outlook Express发送邮件，从user2@bjfuinfo-netlab发送到 user1@bjfuinfo-netlab: 客户端端发送.，表明邮件已发送结束: 服务器端回应Queued mail for deliver，表明邮件已送达: 邮件发送完毕后，TCP进入释放连接阶段的4次分手。 3.7.4 POP3报文字段及用途 接收邮件过程: 30 计算机网络实习报告 信息11-1 110814119 王朔 在TCP连接建立之后，服务器端作出了+OK X1 NT-P0P3 Server bjfuinfo-netlabd命 令，即已经做好了接收邮件的准备: 客户端根据服务器端发来的格式进行回复，首先发送USER user2: 服务器端接收到了USER 之后，请求密码登陆: 客户端发送密码user2: 服务器端接收到正确的密码后，登陆成功，准备接收邮件: 客户端发送STAT命令表示开始接收邮件: 服务器端返回+OK，表明可以传输: 客户端发送LIST命令，要求列出报文的编号: 31 计算机网络实习报告 信息11-1 110814119 王朔 服务器端响应客户端的请求，发送报文内容: 客户端发送QUIT命令，表明传输已完成: 服务器端发送+OK POP3 Server saying Good-Bye，表明POP3完成任务: 邮件传输结束后，TCP进入连接释放阶段，发生4次分手。 3.8 分析ICMP echo报文 ICMP协议是一种面向连接的协议，用于传输出错报告控制信息。它是一个非常重要的协议，它对于网络安全具有极其重要的意义。 它是TCP/IP协议族的一个子协议,属于网络层协议,主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时，会自动发送ICMP消息。 3.8.1 ICMP报文格式 Type code Checksum 32 计算机网络实习报告 信息11-1 110814119 王朔 Header's Other ICMP Data Area 3.8.2 ICMP报文字段及用途 Type: 种类 类型 报文 3 目的端不可达 4 源端抑制 差错报文 11 超时 12 参数问题 5 改变路由 8或0 回送请求或回答 13或14 时间戳请求或回答 查询报文 17或18 地址掩码请求或回答 10或19 路由器查询和通告 3.8.3 ICMP Request报文 报文分析: ICMP Type:8——回送请求报文，传递的ping命令通常用于测试信宿的可到达性 ICMP Code:0 ICMP Checksum:校验和为0x4d4e Sequence Number:13(0x000d) ICMP Data Area:32字节 3.8.4 ICMP Reply报文 33 计算机网络实习报告 信息11-1 110814119 王朔 报文分析: ICMP Type:0——回送回答报文 ICMP Code:0 ICMP Checksum:校验和为0x554e Sequence Number:13(0x000d) ICMP Data Area:32字节 总结:通过比较ICMP的Request报文和Reply报文，发现:其标识符和序列号是一样 的，且数据部分也是一样的。 3.9 考察tcp的连接无法建立的场景 由Host OS telnet Guest OS: 34 计算机网络实习报告 信息11-1 110814119 王朔 35 计算机网络实习报告 信息11-1 110814119 王朔 过程分析: 在输入ping命令之后，TCP开始尝试建立连接，发出第一次握手的TCP Request报文，会得到TCP Response报文的响应，要求重新建立连接，之后重新发出第一次握手的TCP Request报文，TCP Response报文仍发出请求——重新建立连接，直到发出三次第一次握手报文之后，TCP Response报文仍然回应建立不了连接，则结束了建立连接过程。 由服务器端响应客户端的请求，ack置为1;又因为建立不了连接，所以发出要求重新建立连接的请求，reset 置为1。 四、实习总结 本周的实习中,我们的主要任务就是使用Omnipeek软件对捕获的网络数据包进行分析;熟悉基本协议的报文格式、了解协议的工作机制。在一学期的课程学习中,老师讲过很多理论知识，使我们大致了解了了以太网帧、ARP、ICMP、TCP、HTTP、FTP、DNS、SMTP、POP3这些协议首部是如何封装的,又是怎样从应用层经过传输层和网络层最后封装到网络接口层的帧中的,学习过程中，总觉得老师讲的很抽象，自己很难理解透彻，是不能很准确的理解数据包和报文之间的关系,在没有真正的用Omnipeek 软件抓包之前，完全不了解该在什么环境下，什么时候抓什么样的包，但是通过实习中的实践，学会了Ping 命令、telnet 命令等，就抓到了想要得到的包，在Omnipeek 软件中，一定要使用过滤来得到目标数据包，清晰明了。捕获到的每个数据包中都携带了很多信息，可以根据自己的需要抓包为实验提供要分析的协议，当选择一个数据包后，它会把自己封装的协议很清晰的呈现出来，具有层次感，并验证了每一个协议的封装过程。协议包含了每一层每一个字段，一条一条列出来之后，特别清楚我要的信息是什么，没有想象中那么复杂和难懂。 实习的第一天我是在无奈中度过的，在安装VMWare时，我的电脑能安装成功，但是打开虚拟机的时候发现在开机之后会发生错误，不能正常的做桥连，导致接下来的环境没法 36 计算机网络实习报告 信息11-1 110814119 王朔 继续搭建，在重新安装两次无果之后，发现在安装过程中，我不能安装 VMware Bridge Protocol，所以导致桥连不能使用，然后根据老师的建议，我借了另一台电脑，在那台电脑上搭建环境成功，但在关机之后，那台电脑上的虚拟机又出现了和我电脑相同的问题，我认为是杀毒软件认为这个程序不安全，卸载了一部分必要功能，因此，关闭杀毒软件之后再开启虚拟机，我顺利的完成了环境的搭建，并且完成了实习一的内容。 在抓SMTP 和POP3的包的时候，刚开始，我只能一方发送成功，另一方不能发送，后来通过重新设置outlook，然后经过重启计算机，就能够发送接收成功了，但是有些迟缓。 通过实验一，我更加深刻的了解了网络层次。 网络层次: 应用层 HTTP FTP DNS 传输层 TCP UDP 网络层 ICMP IGMP IP ARP RARP 数据链路层 Ethernet X.25 FR Token 物理层 Ring 实习过程中，每个人出现的问题都是不同的，有的问题我遇到了，别人没遇到，一交流，两个人都有了经验，从而慢慢地查漏补缺，彼此都积累了很多的经验，我相信，在今后出现类似的问题时，我能凭借经验并积极尝试予以解决。不过，话说回来，这是最头疼但也是收获最多的一次实习啊~ 37