本 科 实 验 报 告
实验名称:
学 员:学 号: 专业:所属学院:
利用EtherPeek工具进行的网络抓包实验
国防科学技术大学训练部制
【实验名称】
利用Wireshark工具进行的抓包实验
【实验目的】
通过Wireshark软件捕获并观察ARP协议、ICMP协议、FTP协
议、HTTP协议以及TCP协议的工作原理,包括协议序列和报文内容
【实验内容】
实验环境描述:
网络环境:因特网 操作系统:Windows 7 软件: Wiresharkv1.12.4
实验步骤:
1. Ping命令(ARP, ICMP分析) 2. 在实验主机使用FTP应用(FTP分析) 3. 在实验主机使用web应用(HTTP分析)
【实验过程】
1. ping命令(ICMP、ARP分析)
实验主机的IP地址为:192.168.0.189 实验主机的MAC地址为:9c:4e:36:cf:db:e4 在实验主机的命令框内输入命令:ping121.14.1.189
Wireshark抓获的数据包如下:
观察可得,抓获的报文里协议类型有ICMP与ARP。(前12条是输入ping命令后抓取的) (1)ICMP分析:
首先明确一下ICMP的相关知识:
ICMP是(Internet Control Message Protocol)Internet控制报文协议。它是
TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。
各种ICMP报文的前32bits都是三个长度固定的字段:type类型字段(8位)、code代码字段(8位)、checksum校验和字段(16位) 8bits类型和8bits代码字段:一起决定了ICMP报文的类型。
常见的有:
类型0、代码0:回应应答。 类型3、代码0:网络不可达 类型3、代码1:主机不可达
类型5、代码1:为主机重定向数据包 类型8、代码0:回应
类型11、代码0:传输中超出TTL(常说的超时)
16bits校验和字段:包括数据在内的整个ICMP数据包的校验和,其计算方法和IP头部校验和的计算方法是一样的。
类型代码 类型描述