網(wǎng)絡(luò)協(xié)議分析課程設(shè)計(jì)

1、網(wǎng)絡(luò)協(xié)議分析與仿真課程設(shè)計(jì)報(bào)告 網(wǎng)絡(luò)流量分析一、課程設(shè)計(jì)目的-J- 加深對(duì)IP、DSN、TCP、UDP、HTTP等協(xié)議的理解；i 掌握流量分析工具的使用，學(xué)習(xí)基本的流量分析方法。二、課程設(shè)計(jì)內(nèi)容 流量分析 工具： Wireshark（Windows 或 Linux）， tcpdump（Linux）要求：使用過濾器捕獲特定分組；用腳本分析大量流量數(shù)據(jù)（建議用perl）。內(nèi)容：Web流量分析清除本機(jī)DNS緩存，訪問某一網(wǎng)站主頁，捕獲訪問過程中的所有分組，分析并回答下列 問題（以下除1、3、8、11夕卜，要求配合截圖回答）：（1）簡述訪問web頁面的過程。（2）找出DNS解析請(qǐng)求、應(yīng)答相關(guān)分組，傳輸

2、層使用了何種協(xié)議，端口號(hào)是多少？ 所請(qǐng)求域名的IP地址是什么？（3）統(tǒng)計(jì)訪問該頁面共有多少請(qǐng)求IP分組，多少響應(yīng)IP分組？（提示：用腳本編 程實(shí)現(xiàn)）（4）找到TCP連接建立的三次握手過程，并結(jié)合數(shù)據(jù)，繪出TCP連接建立的完整過 程，注明每個(gè)TCP報(bào)文段的序號(hào)、確認(rèn)號(hào)、以及SYNACK的設(shè)置。（5）針對(duì)（4）中的TCP連接，該TCP連接的四元組是什么？雙方協(xié)商的起始序號(hào) 是什么？TCP連接建立的過程中，第三次握手是否帶有數(shù)據(jù)？是否消耗了一個(gè) 序號(hào)？（6）找到TCP連接的釋放過程，繪出TCP連接釋放的完整過程，注明每個(gè)TCP報(bào)文 段的序號(hào)、確認(rèn)號(hào)、以及FINACK的設(shè)置。（7）針對(duì)（5）中的TCP

3、連接釋放，請(qǐng)問釋放請(qǐng)求由服務(wù)器還是客戶發(fā)起？FIN報(bào) 文段是否攜帶數(shù)據(jù)，是否消耗一個(gè)序號(hào)？ FIN報(bào)文段的序號(hào)是什么？為什么是 這個(gè)值？（8）在該TCP連接的數(shù)據(jù)傳輸過程中，找出每一個(gè)ACK報(bào)文段與相應(yīng)數(shù)據(jù)報(bào)文段的 對(duì)應(yīng)關(guān)系，計(jì)算這些數(shù)據(jù)報(bào)文段的往返時(shí)延RTT （即RTT樣本值）。根據(jù)課本 200頁5.6.2節(jié)內(nèi)容，給每一個(gè)數(shù)據(jù)報(bào)文段估算超時(shí)時(shí)間RTO。（提示：用腳本 編程實(shí)現(xiàn)）（9）分別找出一個(gè)HTTP請(qǐng)求和響應(yīng)分組，分析其報(bào)文格式。參照課本243頁圖 6-12,在截圖中標(biāo)明各個(gè)字段。（10）訪問同一網(wǎng)站的不同網(wǎng)頁，本次訪問中的TCP連接是否和上次訪問相同？（與上次頁面訪問時(shí)間間隔不能過長，

4、可連續(xù)訪問，分別分析。）（11）請(qǐng)描述HTTP協(xié)議的持續(xù)連接的兩種工作方式。訪問這些頁面（同一網(wǎng)站的不 同頁面）的過程中，采用了哪種方式？（參考課本241頁）三、設(shè)計(jì)與實(shí)現(xiàn)過程簡述訪問web頁面的過程。瀏覽器分析鏈接指向頁面的url瀏覽器向dns請(qǐng)求解析url的ip地址Dns解析出ip地址瀏覽器與服務(wù)器建立tcp連接（ip地址，端口 80）瀏覽器發(fā)出取文件命令服務(wù)器給出響應(yīng)，將指定文件發(fā)給瀏覽器釋放tcp連接瀏覽器顯示文件內(nèi)容找出DNS解析請(qǐng)求、應(yīng)答相關(guān)分組，傳輸層使用了何種協(xié)議，端口號(hào)是多少？所請(qǐng) 求域名的IP地址是什么？訪問Filter：V Eipressicn. . . dearTime

5、SourceH e e t i. iLati onProtocol Length Infoh23g75； 8874eo1S1202.117.128- 2ns76- standard qdi&ry a nww.)l290 75.8B8&3L202.117,izar?192.166,1.11DNS128 St andard query respons31 75. 335111192.L68.1.11202.L1-.1Z8.?DN575 5tanclard query A taw. x372 76. 33614 0192-168.1.11DNS127 STandaird query respons請(qǐng)

6、求分組F，微 22: 76 bytes on wire (603 bits), 76 bytes captured (60S bi:si on interface 0Ethernet II, Src;藥叩alii牌渺;a4 (dc;0e;al;69;09;a4), DellPcba_64:l:c0 (00;Od;55;64;a：;tO) Hornet Protoccl vrsior 4, 5r http sw seq=0 wM2.117.12B.fi192.168.L11TCP62 http，ias-admind syn? ack 5e12D2.117.128.fiTCP54 ias-admi

7、 nd http ACK 5ec=l A3.繪圖如下:針對(duì)(4)中的TCP連接，該TCP連接的四元組是什么？雙方協(xié)商的起始序號(hào)是什 么？TCP連接建立的過程中，第三次握手是否帶有數(shù)據(jù)？是否消耗了一個(gè)序號(hào)？該tcp連接的四元組為：本機(jī)IP： 1. 端口： 80，目的 IP： . 端口： 2141第三次握手包的len為0，沒有攜帶數(shù)據(jù)第四個(gè)包的seq與第三次握手報(bào)的seq相同為1，沒有消耗序號(hào)。src Fort: i A5-adn)ind (2141), dst potz: http (BO), seq: 1, Ack: 1, Len: 365找到TCP連接的釋放過程，繪出TCP連接釋放的完整過程

8、，注明每個(gè)TCP報(bào)文 段的序號(hào)、確認(rèn)號(hào)、以及FINACK的設(shè)置。情況一(谷歌瀏覽器):Filter:過濾：找到fin包如下圖:tcp.Uream eq 255W.168.1D0.204TCP54 http 57046 FIN, AfK謎q=?l陌？ A婦WirH邸 Len=O04202.117.12B.8TCP54 57N6 http ACK Seq=15O3利 Ni同01M Len=019L153.LW.204202.117.1215TCP54旬FIN, MK 5tq=J08wi頃 1164 _en=0B2.168.1D0.204TCP54 http ACK 5tq=Z18V Ack=150

9、9 W1M5535 Lffl=fl3.繪圖如下:情況二（用IE瀏覽器）:1.過濾:tcp.stream eq 52.找到fin包如下圖：毗11以M說膈5KF刑的 監(jiān)疝ndFIN, 51361：- M裁HirH仞H睛現(xiàn)IfitLll淵我例8KP54藩疝M 卿耿:辯淵礎(chǔ)4如W、源LM說喊I耽,皿皿 丑帽疝M -口 町虬K解胞址小/ 也一藺繪圖如下:|Z I MdArfcT-1tc-d T8 J口針對(duì)（5）中的TCP連接釋放，請(qǐng)問釋放請(qǐng)求由服務(wù)器還是客戶發(fā)起？FIN報(bào)文 段是否攜帶數(shù)據(jù)，是否消耗一個(gè)序號(hào)？FIN報(bào)文段的序號(hào)是什么？為什么是這個(gè)值？釋放連接是由服務(wù)器發(fā)起的，F(xiàn)IN報(bào)文段不攜帶數(shù)據(jù)。（l

10、en=0）消耗一個(gè)序號(hào)（138124-138125）FIN報(bào)文段的序號(hào)是138124，因?yàn)榍耙粋€(gè)包對(duì)方給出的Ack數(shù)值是138124. 也就是說138124以前的數(shù)據(jù)包正確到達(dá)，F(xiàn)IN包從138124序號(hào)開始。在該TCP連接的數(shù)據(jù)傳輸過程中，找出每一個(gè)（客戶）發(fā)送的報(bào)文段與其ACK報(bào)文 段的對(duì)應(yīng)關(guān)系，計(jì)算這些數(shù)據(jù)報(bào)文段的往返時(shí)延RTT（即RTT樣本值）。根據(jù)課本200 頁5.6.2節(jié)內(nèi)容，給每一個(gè)數(shù)據(jù)報(bào)文段估算超時(shí)時(shí)間RTO。（提示：用腳本編程實(shí)現(xiàn)）公式：報(bào)文段的往返時(shí)間RTT（Round-Trip Time）新的RTTs =（1-a）* （舊的RTTs）+ a* （新的RTT樣本值）新的 R

11、TTD = （1-b） *（舊的 RTTD） + b*| RTTs -新的 RTT 樣本| 超時(shí)重傳時(shí)間RTO = RTTs + 4 * RTTD;1.過濾:Filte-n tcp.stream eq 7Si8itcp.analysis.aclc_rtt導(dǎo)出到rtt.txt文件中腳本編程如下：#!/bin/bashrtts=0rttd=0temp=0rto=0cat rtt.txt | grep The RTT to ACK the segment was: |cut -d: -f 2 |cut -d -f 2| while read rttdortts=echo 0.875*$rtts +

12、0.125*$rtt | bctemp=echo $rtts - $rtt | bc | tr -d -rttd=echo 0.75*$rttd + 0.25*$temp | bcrto=echo 4*$rttd + $rtts | bcecho $rtt $rto log.txtDone運(yùn)行結(jié)果RTTRTO0.001052000 0.0010520000.000019000 0.0009062450.005283000 0.0058746040.000027000 0.0051488310.000023000 0.0045154840.000016000 0.0039647090.00001

13、8000 0.0034783620.000016000 0.0030525590.000019000 0.002675983分別找出一個(gè)HTTP請(qǐng)求和響應(yīng)分組，分析其報(bào)文格式。參照課本243頁圖6-12，在截圖 中標(biāo)明各個(gè)字段。請(qǐng)求字段+ Expert znf Cchat. sequence） : get /basecoirponent. 1 ogo. gif http. 1.1 r n Request Method: get （方法）Request URZ： .basecoirponeHt Irirjn. gir m）Request version: http. 1.版本）Accept: V

14、Krri（表示搔受任何角質(zhì)）Ref er er : htt p: /www,. xl you. edu. cn r n （表示從哪里荻礙這個(gè) uel）Accept -Language: zh-cnr n 憂先選擇中文版本）Accept-Encoding: gzip, deflate r門（聲明自己接受豹編碼方技） zf-MocJif 1 ed-si nee: Tue, OS Feb 2013 03: 3S : 03 GMT r n Zf-None-Match: c000000a0a4e2-If7f-4d4fle524fd00rn user -Agent: Mozi Ha, 4.0 Ccorrp

15、atibl e; M5Z& 6. 0; windows NT 5.1; svi） r n Host: rnvw. xiyou. edu. cn r i c 至機(jī)域名）Connection: Keep-Alive r n【設(shè)定web服務(wù)器希望保持連接的時(shí)間）Cook-ie: Hm_lvt_2c4 50ab39ab305-SdOc5d44Sfbec982c9=L386031810,13660 32 740,138- rn （儲(chǔ)存用戶和服務(wù)器之間的認(rèn)證信息，Lrrhr rimrni r n應(yīng)答字段 http/1.1 304 Not Mod-if-iedrn+ Expert znfo （chat/se

16、quence）: http. 1.1 304 Not Modified r nRequest versi on: HTTP. L. L （版本）I status code:304 （狀態(tài)碼）Response Plirase: Not Moclif 1 ed （短諳）Date: rue, 03 Dec 2013 01:24 :48 GMT r n （應(yīng)答時(shí)間）server : Apache. 2.2.21Win） mod_jk. 1. 2. 2 5 r n （表明自己是什么軟件和版本信息）connect!on: Keep-Al 1ver nKeep-Al 1 ve: fiireout = 5,

17、max=100-rn 如果瀏覽器保持請(qǐng)求，設(shè)置時(shí)間）ETag: c00000000a4e2-lf7f-4d4fle524fd00rn （用來判斷一個(gè)對(duì)象是否改變）V n訪問同一網(wǎng)站的不同網(wǎng)頁，本次訪問中的TCP連接是否和上次訪問相同？（與上次頁面 訪問時(shí)間間隔不能過長，可連續(xù)訪問，分別分析。）情況一：短時(shí)間Filter: tcp.stream eq 3S SiSi http.reque&t= =1 過濾：在相同的tcp流中查找到了兩條不同的GET網(wǎng)頁分別為西郵主頁和“西郵機(jī)構(gòu)設(shè)置”網(wǎng)頁，由于兩個(gè)網(wǎng)頁在同一個(gè)網(wǎng)站中，所以 在同一個(gè)tcp連接中。（截圖如下）IL9；.3.100,204202.11

18、7,125.3HTTP 匚 352 GET / HTTP/1.1L92. lfi8.1DD, 204202.L17.12&.-S-TTP 舶 GEThim HTTP/1.1情況二：長時(shí)間一、上 Filter: ip.addr= = 2O2.117.12B.&http.reauest= = 11.過濾：2.在相隔了 0.0018個(gè)time段后，前3個(gè)包是一個(gè)tcp連接，第四個(gè)是另一個(gè)tcp 連接。如下圖所示。286=474050 ML 曲:LM9202.11?.121. EHTTP3 咬住T / HTTP/l. 1286-512127192,HTTP418 et /systemyr eswr c

19、e/j 5r js HTi286- 5791IS 192.143. L.fi92a2.n7.12a.fiHTTP住t /basecciffpontni/l ogo, g 1 f wnp/1.1|2E.5flffl91S192. Wfl.L 捎2O2.U7.1?fl.eHTTP431 SET /new/imaqes/an_sreach. gifr HTTP/1.1 |原因：http/1.1使用了持續(xù)連接，在發(fā)送響應(yīng)一段時(shí)間后任然保持連接，當(dāng)繼續(xù)訪問當(dāng)前服 務(wù)器其他資源時(shí)，不用建立新連接.請(qǐng)描述HTTP協(xié)議的持續(xù)連接的兩種工作方式。訪問這些頁面（同一網(wǎng)站的不同頁面）的 過程中，采用了哪種方式？（參考課本241頁）非流水線方式：客戶在收到前一個(gè)響應(yīng)之后才能發(fā)出下一個(gè)請(qǐng)求。流水線方式：客戶在受到HTTP響應(yīng)報(bào)文之前就能夠接著發(fā)送新的報(bào)文請(qǐng)求。流水線工作方式使TCP連接中的空閑時(shí)間減少，提高了傳輸效率訪問這些頁面（同一網(wǎng)站的不同頁面）的過程中，采用了流水線的方式，在同一網(wǎng) 站上的不同引用對(duì)象，可以進(jìn)行連續(xù)的請(qǐng)求，不一定非要等到確認(rèn)報(bào)文。如圖是連續(xù)請(qǐng)求的截圖.tcp.itre-sm eq 44&iSihttp117. 34. 65. 215192.16S.100. 2D4HTTP155 HTTP/1.1 204 Nd Content12.163. IDO. 204117.