南郵2015IP實驗報告

1、 通信與信息工程學院2015 / 2016 學年第 一 學期實 驗 報 告課程名稱： IP網(wǎng)絡技術(shù)基礎(chǔ)（英） 實驗名稱： 實驗一：實驗工具軟件介紹 實驗二：以太網(wǎng)實驗 實驗三：TCP/IP協(xié)議分析實驗 班 級 學 號 B13011413 學 生 姓 名 陳超 指 導 教 師 劉啟發(fā) 實驗一：實驗工具軟件介紹一、 實驗目的和要求：1、 通過該實驗能掌握常用網(wǎng)絡工具的使用，為后面的實驗做準備。2、 能夠利用這些工具了解網(wǎng)絡的運行狀態(tài)。二、 實驗環(huán)境：1、采用方案一進行試驗，學生每人微機一臺和一個虛擬機編號，安裝光盤中的/book/tools目錄下的虛擬機和軟件工具，再次利用VMware運行光盤系統(tǒng)

2、并按照虛擬機編號選擇IP地址，另外教師可利用隨書光盤系統(tǒng)架設(shè)被觀測網(wǎng)絡（三物理機或三虛擬機，使用備用地址）。2、實驗設(shè)計軟件的列表如下：被動式工具：NetXray,Netmonitor,WinPcap/Ethereal,tcpdump主動式工具：ping，route, traceroute，nslookup, iperf，SNMP_utils，trapwatcher。綜合工具：solarwinds, IPSwitch。其中tcpdump、ping、route、traceroute、nslookup、SNMP_utils幾個軟件在隨書光盤系統(tǒng)中已經(jīng)安裝好了，無需額外安裝。請注意NetXray、N

3、etmonitor、solarwinds和IPSwitch有版權(quán)問題。三、 實驗原理：通過被動工具，獲得并分析數(shù)據(jù)包；通過主動工具發(fā)現(xiàn)網(wǎng)絡問題(可以手工制造)；通過強大的綜合工具對網(wǎng)絡進行分析。四、 實驗步驟：(包含結(jié)果分析)1、 軟件安裝：安裝各種工具軟件安裝各種供測試的應用軟件。2、 實驗環(huán)節(jié)：被動工具windows：Ethereal；主動工具windows：ping，ipconfig, tracert，iperf，trapwatcher.五、 實驗心得：此次實驗主要是對主動及被動工具的熟悉與使用，包括工具軟件Ethereal及windows運行的各種主動工具，利用這些常用的網(wǎng)絡工具進行數(shù)

4、據(jù)包的抓取與分析，從而了解網(wǎng)絡的運行狀態(tài)。通過此次實驗，直觀且深刻地了解到數(shù)據(jù)包的抓取方法與流程，更重要的是熟悉了一系列常用網(wǎng)絡工具，不僅僅為后續(xù)實驗打下基礎(chǔ)，更是為我們對互聯(lián)網(wǎng)的學習提供了很有利的幫助，實驗的內(nèi)容亦結(jié)合課本所學理論，獲益匪淺。實驗二：以太網(wǎng)實驗一、 實驗目的和要求：1、通過該實驗能加深對以太網(wǎng)的認識，特別是其封裝格式。2、通過該實驗能加深對ARP協(xié)議的認識。二、 實驗環(huán)境：1、準備用作服務器的微機一臺（使用隨書光盤系統(tǒng)構(gòu)建，手工配置成原網(wǎng)段的IP），學生每人微機一臺，在windows環(huán)境下即可完成本實驗，無需使用VMware。2、軟件：WinPcap，Ethereal。三、

5、實驗原理：通過抓包軟件ethereal獲得一些以太網(wǎng)數(shù)據(jù)包，并對其進行分析，從包的格式來認識以太網(wǎng)協(xié)議。四、 實驗步驟：(包含結(jié)果分析)1.1軟件安裝1.1.1安裝WinPcap軟件。1.1.2安裝Ethereal軟件。1.1.3在隨書光盤系統(tǒng)構(gòu)建的服務器上打開服務（由老師完成）。2.1 抓MAC包2.1.1 啟動Ethereal軟件。2.1.2 點擊Capture菜單。2.1.3 選Start菜單。（注：本彈出窗口里有Filter即過濾器輸入框，在后面的試驗里需要填寫過濾器。）2.1.4 在彈出窗口里點擊OK開始抓包（后面將2.1.1至2.1.4合稱為開始抓包）。2.1.5 在彈出窗口里看到

6、total數(shù)據(jù)發(fā)生變化則點擊Stop，結(jié)束抓包。2.1.6 分析所抓的數(shù)據(jù)包。所抓數(shù)據(jù)包截圖如下：2.1.7分析內(nèi)容：1、 數(shù)據(jù)報里的Destination，Source等字段。2、 不同的MAC包字段不一樣，有Type，Length，Trailer等字段。3 、在第三個窗口可以看到對應字段的16進制數(shù)字以及在整個包中的位置。圖11.2 數(shù)據(jù)幀、數(shù)據(jù)報的封裝格式如下圖所示，我們選取2號幀作為代表分別分析相應的數(shù)據(jù)：（1）由上圖總覽，可知數(shù)據(jù)幀的相關(guān)信息：此幀的編號為2；獲取時間為0.383444；源地址為40；目的地址為0；高層協(xié)議為TCP；包內(nèi)

7、信息概況為：源端口為6950，目標端口為1212。（2）物理層的數(shù)據(jù)幀概況：（將部分數(shù)據(jù)放大如下圖所示）從上圖中可以看出：2號幀，線路上有60字節(jié)，實際捕獲60字節(jié)；捕獲時間為2015年12月1日15 : 49 : 22，此包與前一捕獲數(shù)據(jù)包的時間間隔為0.383444000秒，與第一幀的時間間隔為0.383444000秒；幀號為2，幀長為60字節(jié)，捕獲長度為60字節(jié)，此幀沒有被標記且沒有被忽略，幀內(nèi)封裝的協(xié)議結(jié)構(gòu)為TCP數(shù)據(jù)協(xié)議。（3）數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息（將部分數(shù)據(jù)放大如下圖所示）從上圖可以看出，此包為以太網(wǎng)協(xié)議版本2，源地址為40，其網(wǎng)卡地址為00:22:1

8、9:a5:d3:d4；目標地址為0，網(wǎng)卡地址為c0:3f:d5:b3:89:c9。幀內(nèi)封裝的上層協(xié)議類型為IP，十六進制代碼為0800。Trailer為0000000000。（4）互聯(lián)網(wǎng)層IP包頭部信息（將部分數(shù)據(jù)放大如下圖所示）從上圖可以看出，互聯(lián)網(wǎng)協(xié)議IPv4，源地址為40，目標地址為0，IP包頭部長度為20字節(jié)；差分服務字段為0x00 (DSCP 0x00 : Default; ECN : 0x00)，表示一個特定的上層協(xié)議所分配的重要級別，默認的DSCP值是0，相當于盡力傳送，ECN字段被分為ECN-Capable

9、 Transport (ECT) bit和CE bit，ECT bit設(shè)置為“ 0 ”表明該傳輸協(xié)議將忽略ignore CE bit，CE bit將由路由器設(shè)置，設(shè)置為0說明對末端節(jié)點不擠塞；IP包的總長度為41字節(jié)，標志字段為32964，標記字段為0x86c4，沒有分片（Dont Fragment），分片的偏移量為0，生存期為128，當減少為0時，該數(shù)據(jù)包將被丟棄以保證數(shù)據(jù)包不會無限制的循環(huán)，上層協(xié)議為TCP，報頭的檢驗和顯示為正確correct。（5）TCP協(xié)議信息（將部分數(shù)據(jù)放大如下圖所示）從上圖可以看出，用戶數(shù)據(jù)包協(xié)議的源端口為6950，目標端口為1212，序號為0，ACK序號為0，首

10、部長度為20字節(jié)，標志字段0x0010，窗口大小65535 ，報頭的檢驗和顯示為正確correct。（6） 對應十六進制代碼（將部分數(shù)據(jù)放大如下圖所示）2.2 抓ARP包2.2.1 點擊開始菜單里的運行。2.2.2 輸入cmd命令（如果是windwos98則輸入command命令）并運行。2.2.3 輸入arp d *命令并運行。（在后面將2.2.1至2.2.3合稱為在命令窗運行××命令。）運行此命令截圖如下：2.2.4 填寫過濾器 arp and （(dst 本機IP and src 目的IP) or （src 本機IP and dst 目的IP) 開始抓包（本報告中目的

11、IP均指服務器的IP，由老師給出）。2.2.5 運行ping 目的IP，完成后點擊STOP停止抓包。首先我們需要知道本機的 IP 地址，在命令提示符下輸入 ipconfig命令，運行此命令結(jié)果如下：本機的 IP 地址為 0，子網(wǎng)掩碼為 ，默認網(wǎng)關(guān)為54。在命令提示符下輸入 ping54，顯示能夠 ping 通，如下圖：回到Ethereal界面，按下stop鍵，抓包如下：2.2.6 分析所抓的數(shù)據(jù)包。1.能看到本機IP發(fā)出的ARP請求和目的IP發(fā)出的ARP應答。2.注意幀首部，ARP是直接封裝在MA

12、C包中的。3.注意ARP報文的各個字段內(nèi)容及意義。如下圖所示，我們選取44號幀作為代表分別分析相應的數(shù)據(jù)：（1）由上圖總覽，可知數(shù)據(jù)幀的相關(guān)信息：此幀的編號為44； 獲取時間為0.484173000； 源地址2； 目的地址為Broadcast； 高層協(xié)議為ARP； 包內(nèi)信息概況為：誰有IP地址為54主機的mac地址的話，請告訴IP地址為2的主機（2）物理層的數(shù)據(jù)幀概況：（將部分數(shù)據(jù)放大如下圖所示）從上圖可知，該物理幀為44號幀，線路上有60字節(jié)，實際捕獲60字節(jié)，捕獲時間為2015年12月1日16:54:09，此包與前一捕

13、獲幀的時間間隔為0.484173000秒，與第一幀的時間間隔為4.148297000秒，幀號為44，幀長為60字節(jié)，捕獲長度為60字節(jié)，此幀沒有被標記且沒有被忽略，幀內(nèi)封裝的協(xié)議結(jié)構(gòu)為ARP數(shù)據(jù)協(xié)議，用不同顏色染色標記的協(xié)議名為ARP，染色顯示規(guī)則字符串為arp。（3）數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息（將部分數(shù)據(jù)放大如下圖所示）從上圖可知，此包為以太網(wǎng)協(xié)議版本2，源地址為2，其網(wǎng)卡地址為00:10:5c:cc:58:a0；目標地址為廣播地址，其網(wǎng)卡地址為ff : ff : ff : ff : ff : ff。幀內(nèi)封裝的上層協(xié)議類型為ARP，十六進制代碼為0806。（4）ARP

14、請求報文信息（將部分數(shù)據(jù)放大如下圖所示） 由上圖可知，ARP硬件類型是以太網(wǎng)(0x0001)，硬件地址長度是6個字節(jié)；協(xié)議類型是IP協(xié)議，協(xié)議地址長度是4個字節(jié)；操作類型是0x0001(ARP請求)；發(fā)送方的硬件地址是2（c0:3f:d5:b3:98:20），發(fā)送方的協(xié)議地址是2（2），目的硬件地址是00 : 00 : 00_00 : 00 : 00(00 : 00 : 00 : 00 : 00 : 00)，目的協(xié)議地址是54（54）。（5） 對應十六進制代碼（將部分數(shù)據(jù)放大

15、如下圖所示）三、 實驗心得：此次實驗的內(nèi)容主要是運用實驗一中所熟練使用的常用網(wǎng)絡工具進行數(shù)據(jù)包的抓取與分析，與計算機網(wǎng)絡理論課息息相關(guān)，通過Ethereal軟件對數(shù)據(jù)包的捕獲與我們通過數(shù)據(jù)包對其格式的分析與研究，更加直觀且清晰地了解到網(wǎng)絡傳輸協(xié)議的分層與格式要求，是對所學知識的極大鞏固與深化。實驗三：TCP/IP協(xié)議分析實驗一、 實驗目的和要求：1. 通過該實驗能加深對TCP/IP協(xié)議的認識，特別是其封裝格式。2. 通過該實驗能加深對ICMP協(xié)議的認識。4. 通過該實驗能加深對TCP協(xié)議的認識。5. 通過該實驗能加深對UDP協(xié)議的認識。6. 通過該實驗能加深對應用層協(xié)議Http、Ftp、Tel

16、net等的認識。二、 實驗環(huán)境：1. 用作服務器的微機一臺（使用隨書光盤系統(tǒng)構(gòu)建，手工配置成原網(wǎng)絡的IP），學生每人微機一臺，在windows環(huán)境下即可完成本實驗，無需使用VMware。2. 軟件：WinPcap，Ethereal，QQ。三、 實驗原理：通過抓包軟件ethereal獲得一些數(shù)據(jù)包，并對其進行分析，從包的格式來認識TCP/IP協(xié)議。本實驗抓取的數(shù)據(jù)包包括對應于Http、Telnet、Ftp、TCP、UDP、IP、ARP協(xié)議的數(shù)據(jù)包以及MAC包。四、 實驗步驟：(包含結(jié)果分析)1、 軟件安裝1.1 安裝WinPcap軟件。1.2 安裝Ethereal軟件。1.3 在隨書光盤系統(tǒng)構(gòu)建

17、的服務器上打開Http、Telnet、Ftp等服務，安裝并使用QQ。2、 實驗環(huán)節(jié)2.1 抓IP包2.1.1 填寫過濾器 IP；開始抓包。2.1.2 運行ping 目的IP命令，完成后點STOP停止抓包。命令：ping 40 ，顯示能夠ping通。2.1.3 分析所抓的數(shù)據(jù)包。2.1.4 分析內(nèi)容：IP包中的各個字段。圖11.3 IP數(shù)據(jù)報的數(shù)據(jù)格式 16位標識用來標識惟一的IP包，每發(fā)一個，該值加1。 當把一個IP包分片時，就可以用3位標志和13位片偏移重組。各個片的16位標識是一樣的。如下圖所示，我們選取1號幀作為代表分別分析相應的數(shù)據(jù)：（1）由上圖總覽，可知數(shù)據(jù)幀

18、的相關(guān)信息：此幀的編號為1； 獲取時間為0.000000000； 源地址4； 目的地址為40； 高層協(xié)議為IP； （2）物理層的數(shù)據(jù)幀概況（將部分數(shù)據(jù)放大如下圖所示）從圖中可以看出：1號幀，線路上有55字節(jié)，實際捕獲55字節(jié)，捕獲時間為2015年12月8日15 : 56 : 23，此包與前一捕獲幀的時間間隔為0.000000000秒，與第一幀的時間間隔為0.000000000秒，此幀沒有被標記且沒有被忽略，幀內(nèi)封裝的協(xié)議結(jié)構(gòu)為IP數(shù)據(jù)協(xié)議，用不同顏色染色標記的協(xié)議名為IP，染色顯示規(guī)則字符串為ip。（3） 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息（將部分數(shù)據(jù)放

19、大如下圖所示）從上圖可知，此包為以太網(wǎng)協(xié)議版本2，源地址為c0:3f:d5:b3:96:c5，目標地址為00:22:19:a5:d3:d4，幀內(nèi)封裝的上層協(xié)議類型為IP，十六進制代碼為0800。 （4）互聯(lián)網(wǎng)層IP包頭部信息（將部分數(shù)據(jù)放大如下圖所示）由上圖，互聯(lián)網(wǎng)協(xié)議IPv4，源地址為4，目標地址為40，IP包頭部長度為20字節(jié)，差分服務字段為0x00 (DSCP 0x00 : Default; ECN : 0x00)，表示一個特定的上層協(xié)議所分配的重要級別，默認的DSCP值是0，相當于盡力傳送，ECN字段被分為ECN-Capable Tran

20、sport (ECT) bit和CE bit，ECT bit設(shè)置為“ 0 ”表明該傳輸協(xié)議將忽略ignore CE bit，CE bit將由路由器設(shè)置，設(shè)置為0說明對末端節(jié)點不擠塞，IP包的總長度為41字節(jié)，標志字段為11302，標記字段為0x2c26，沒有分片，分片的偏移量為0，生存期為64，當減少為0時，該數(shù)據(jù)包將被丟棄以保證數(shù)據(jù)包不會無限制的循環(huán)，上層協(xié)議為IP，報頭的檢驗和顯示為正確correct。（5）對應十六進制代碼（將部分數(shù)據(jù)放大如下圖所示）2.2 抓ICMP包2.2.1 填寫過濾器ICMP and (dst 本機IP and src 目的IP) or (src 本機IP and

21、 dst 目的IP)，開始抓包。2.2.2 運行 tracert目的IP2 命令，完成后停止抓包。運行命令截取如下：所抓數(shù)據(jù)包截取如下：2.2.3 分析所抓的數(shù)據(jù)包。2.2.4 分析內(nèi)容： 1.ICMP報文是封裝在IP報文內(nèi)的。 2.第一個抓包能得到TTL過期（類型11）的報文。 3. 第二個抓包能得到ICMP請求（類型8）和ICMP應答（類型0）的報文。代碼端均為0。 4.注意以上報文的對應字段。5. 請求和應答緊跟的是16位標識符、16位序號、可選數(shù)據(jù)部分。 6. TTL過期報文的類型是11，代碼字段為 0，緊跟的是32為全0、IP首部IP數(shù)據(jù)部分。圖11.4 ICMP報文的數(shù)據(jù)格式 如下

22、圖所示，我們選取435號幀作為代表分別分析相應的數(shù)據(jù)：（1）由上圖總覽，可知數(shù)據(jù)幀的相關(guān)信息：此幀的編號為435； 獲取時間為14.148271； 源地址4； 目的地址為4； 高層協(xié)議為ICMP； （2）物理層的數(shù)據(jù)幀概況：1號幀，線路上有106字節(jié)，實際捕獲106字節(jié)，捕獲時間為2015年12月8日14 : 13 : 23，此包與前一捕獲幀的時間間隔為14.148271000秒，與第一幀的時間間隔為14.148271000秒，此幀沒有被標記且沒有被忽略，幀內(nèi)封裝的協(xié)議結(jié)構(gòu)為ICMP數(shù)據(jù)協(xié)議，用不同顏色染色標記的協(xié)議名為ICMP，染色顯示規(guī)則字符

23、串為icmp。（3） 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息：此包為以太網(wǎng)協(xié)議版本2，源地址為00 : 10 : 5c : cc : 3c : 12，目標地址為00 : 10 : 5c : cc : 52 : 07，幀內(nèi)封裝的上層協(xié)議類型為ICMP，十六進制代碼為0800。 （4）互聯(lián)網(wǎng)層IP包頭部信息（將部分數(shù)據(jù)放大如下圖所示）由上圖，互聯(lián)網(wǎng)協(xié)議IPv4，源地址為4，目標地址為4，IP包頭部長度為20字節(jié)，差分服務字段為0x00 (DSCP 0x00 : Default; ECN : 0x00)，表示一個特定的上層協(xié)議所分配的重要級別，默認的DSCP值是0

24、，相當于盡力傳送，ECN字段被分為ECN-Capable Transport (ECT) bit和CE bit，ECT bit設(shè)置為“ 0 ”表明該傳輸協(xié)議將忽略ignore CE bit，CE bit將由路由器設(shè)置，設(shè)置為0說明對末端節(jié)點不擠塞，IP包的總長度為92字節(jié)，標志字段為19445，標記字段為0x4bf5，沒有分片，分片的偏移量為0，生存期為1，當減少為0時，該數(shù)據(jù)包將被丟棄以保證數(shù)據(jù)包不會無限制的循環(huán)，上層協(xié)議為ICMP，報頭的檢驗和顯示為正確correct。（5）對應十六進制代碼（將部分數(shù)據(jù)放大如下圖所示）（6）第二個抓包能得到ICMP請求（類型8）和ICMP應答（類型0）的報

25、文。ICMP報文字段信息分析（將部分數(shù)據(jù)放大如下圖所示）所抓類型8截取如下：從上圖可知，數(shù)據(jù)包類型為8，表示ICMP回應請求報文，代碼段為0，檢驗和顯示為正確correct，數(shù)據(jù)部分共64字節(jié)。所抓類型0截取如下：從上圖可知，數(shù)據(jù)包類型為0，表示ICMP回應應答報文，代碼段為0，檢驗和顯示為正確correct，數(shù)據(jù)部分共64字節(jié)。2.3 抓TCP包2.3.1 填寫過濾器 tcp and (dst 本機IP and src 目的IP) or (src 本機IP and dst 目的IP)，開始抓包。2.3.2 運行 telnet 目的IP命令，登陸telnet后退出，完成后點STOP停止抓包。2

26、.3.3 分析所抓的數(shù)據(jù)包。所抓數(shù)據(jù)包截取如下：2.3.4 分析內(nèi)容： 1. TCP報文是封裝在IP報文內(nèi)部。2.TCP報文的各個字段。圖11.5 TCP分組的封裝格式 3TCP建立一個連接采用3次握手機制，注意這3個TCP包的發(fā)送序列號和接收序列號字段。 4 . TCP關(guān)閉一個連接采用4次握手機制，注意這4個TCP包的發(fā)送序列號和接收序列號字段。圖10.6 TCP的握手過程如下圖所示，我們選取147號幀作為代表分別分析相應的數(shù)據(jù)：（1）由上圖總覽，可知數(shù)據(jù)幀的相關(guān)信息：此幀的編號為147； 源地址為4； 目的地址為18； 高層協(xié)議為TCP； （

27、2）物理層的數(shù)據(jù)幀概況：該幀147號幀，線路上有66字節(jié)，實際捕獲66字節(jié)，此幀沒有被標記且沒有被忽略，幀內(nèi)封裝的協(xié)議結(jié)構(gòu)為TCP數(shù)據(jù)協(xié)議，用不同顏色染色標記的協(xié)議名為TCP，染色顯示規(guī)則字符串為tcp。（3） 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息：此包為以太網(wǎng)協(xié)議版本2，源地址為c0:3f:d5:b3:96:c5，目標地址為00:00:5e:00:01:01，幀內(nèi)封裝的上層協(xié)議類型為TCP，十六進制代碼為0800。 （4）互聯(lián)網(wǎng)層IP包頭部信息：互聯(lián)網(wǎng)協(xié)議IPv4，源地址為4，目標地址為18，IP包頭部長度為20字節(jié)；差分服務字段為0x00 (DSCP

28、0x00 : Default; ECN : 0x00)，表示一個特定的上層協(xié)議所分配的重要級別，默認的DSCP值是0，相當于盡力傳送，ECN字段被分為ECN-Capable Transport (ECT) bit和CE bit，ECT bit設(shè)置為“ 0 ”表明該傳輸協(xié)議將忽略ignore CE bit，CE bit將由路由器設(shè)置，設(shè)置為0說明對末端節(jié)點不擠塞；IP包的總長度為41字節(jié)，標志字段為32964，標記字段為0x86c4，沒有分片（Dont Fragment），分片的偏移量為0，生存期為128，當減少為0時，該數(shù)據(jù)包將被丟棄以保證數(shù)據(jù)包不會無限制的循環(huán)，上層協(xié)議為TCP，報頭的檢驗和

29、顯示為正確correct。（5）傳輸協(xié)議信息報文（將部分數(shù)據(jù)放大如下圖所示）此幀源端口4844，目的端口80，序號為0，首部長度32字節(jié)，窗口大小65535，校驗和為正確correct，12字節(jié)選項字段。（6）對應十六進制代碼（將部分數(shù)據(jù)放大如下圖所示）（7）TCP建立一個連接采用3次握手機制，注意這3個TCP包的發(fā)送序列號和接收序列號字段。（相應過程截取如下）第一步，4向40發(fā)起連接請求，發(fā)送一個SYN段，源端口為6950，目的端口為1394，通告自己的初始序號（ISN，由協(xié)議棧 隨機產(chǎn)生的一個32位數(shù)），設(shè)置確認序號為0(因為還沒有收到過對端

30、的數(shù)據(jù))，通告自己的滑動窗口大小為65535，窗口擴大因子為2(在首部選項中)，通告最大報文段長度為1460(本地局域網(wǎng))；第二步，40收到請求包，檢查標志位，發(fā)現(xiàn)SYN=1，認為這是一個初始化連接的請求，回應這個SYN，同時也發(fā)送自己的SYN段(即 ACK,SYN同時置位)。因為SYN本身要占用一個序號（還有標志FIN也要占用一個序號）。所以，確認序號設(shè)置為的ISN加1 (即期望收到來自的下一個包的第一個序號為0x8c6c。同時也要通告自己的初始序號，滑動窗口大小，窗口擴大因子，最大報文段長度等第三步，

31、4對來自40的SYN段進行確認，至此，TCP三次握手協(xié)議完成，連接建立，在4收 到SYN段時，將自己對應的socket的狀態(tài)由TCP_SYN_SENT改為TCP_ESTABLISHED，進入連接建立狀態(tài)。2.4 抓UDP包2.4.1 填寫過濾器 udp and (dst or src 目的IP),開始抓包。2.4.2 啟動QQ，并發(fā)送消息，完成后停止抓包。2.4.3 分析所抓的UDP數(shù)據(jù)包。所抓數(shù)據(jù)包如下：如上圖所示，我們選取69號幀作為代表分別分析相應的數(shù)據(jù)：（1）由上圖總覽，可知數(shù)據(jù)幀的相關(guān)信息：此幀的編號為69； 源

32、地址為4； 目的地址為73； 高層協(xié)議為UDP； （2）物理層的數(shù)據(jù)幀概況：該幀69號幀，線路上有89字節(jié)，實際捕獲89字節(jié)，此幀沒有被標記且沒有被忽略，幀內(nèi)封裝的協(xié)議結(jié)構(gòu)為UDP數(shù)據(jù)協(xié)議，用不同顏色染色標記的協(xié)議名為UDP，染色顯示規(guī)則字符串為udp。（3） 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息：此包為以太網(wǎng)協(xié)議版本2，源地址為c0:3f:d5:b3:96:c5，目標地址為00:00:5e:00:01:01，幀內(nèi)封裝的上層協(xié)議類型為UDP，十六進制代碼為0800。 （4）互聯(lián)網(wǎng)層IP包頭部信息：互聯(lián)網(wǎng)協(xié)議IPv4，源地址為4，目標

33、地址為73，efault; ECN : 0x00)，表示一個特定的上層協(xié)議所分配的重要級別，默認的DSCP值是0，相當于盡力傳送，ECN字段被分為ECN-Capable Transport (ECT) bit和CE bit，ECT bit設(shè)置為“ 0 ”表明該傳輸協(xié)議將忽略ignore CE bit，CE bit將由路由器設(shè)置，設(shè)置為0說明對末端節(jié)點不擠塞；沒有分片（Dont Fragment），分片的偏移量為0，生存期為128，當減少為0時，該數(shù)據(jù)包將被丟棄以保證數(shù)據(jù)包不會無限制的循環(huán)，上層協(xié)議為UDP，報頭的檢驗和顯示為正確correct。（5）傳輸協(xié)議信息報文（將

34、部分數(shù)據(jù)放大如下圖所示）此幀源端口4007，目的端口8000，長度55字節(jié)，校驗和為正確correct，數(shù)據(jù)字段共47字節(jié)。（6）對應十六進制代碼（將部分數(shù)據(jù)放大如下圖所示）2.5 抓Http包2.5.1 填寫過濾器 tcp and (dst 本機IP and src 目的IP) or (src 本機IP and dst 目的IP),開始抓包。2.5.2 在IE里打開一個網(wǎng)頁，或輸入目的IP打開服務器提供的網(wǎng)頁。完成后停止抓包。2.5.3 分析所抓的數(shù)據(jù)包。所抓數(shù)據(jù)包如下：如上圖所示，我們選取49號幀作為代表分別分析相應的數(shù)據(jù)：（1）由上圖總覽，可知數(shù)據(jù)幀的相關(guān)信息：此幀的編號為49； 源地址

35、為4； 目的地址為 30； 高層協(xié)議為HTTP； （2）物理層的數(shù)據(jù)幀概況：該幀49號幀，線路上有446字節(jié)，實際捕獲446字節(jié)，此幀沒有被標記且沒有被忽略，幀內(nèi)封裝的協(xié)議結(jié)構(gòu)為HTTP數(shù)據(jù)協(xié)議，用不同顏色染色標記的協(xié)議名為HTTP，染色顯示規(guī)則字符串為http。（3） 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息：此包為以太網(wǎng)協(xié)議版本2，源地址為c0:3f:d5:b3:96:c5，目標地址為00:00:5e:00:01:01，幀內(nèi)封裝的上層協(xié)議類型為HTTP，十六進制代碼為0800。 （4）互聯(lián)網(wǎng)層IP包頭部信息：互聯(lián)網(wǎng)協(xié)議IPv4，源地址為4，目標地址為30，efault; ECN : 0x00)，表