实验一、用抓包工具学习TCP/IP

 

拓扑：

主要内容：

1. 学习ICMP协议

（1） 配置两台主机的IP地址，并在XP主机上ping windows server 2008，测试是否连通；

图1：网络正常连通

分析：上图中显示了哪些信息？

图2：请求超时

分析：上图中显示了哪些信息？这个操作结果是在开启了windows2008的防火墙之后产生的，此时网络是连通的吗？说明了防火墙的作用是什么？

（2） 修改参数，使得ping操作每次发送的报文大小从默认的32字节变成10字节；

图3：测试数据包的大小改为10字节

（3） 在XP上安装抓包软件，选择合适的网络接口，并配置捕获条件；

图4：配置抓包条件

图5：为减少其他干扰数据，采用非混杂模式

（4） 启动抓包软件，监测ping报文传输的数据。

图6：未筛选的数据包

图7：为有效分析数据包，配置筛选条件

图8：配置筛选条件后显示的数据包

分析：上图中，数据包的数量有几个？点击其中的任一数据包，在下方会显示数据包的组成，分析其具体内容。

图9：ICMP数据包的内容

练习：将ping操作每次发送的数据包改为默认的32字节，再次抓包，看看每个数据包里包含的内容是什么。

 

 

2. 了解TCP的三次握手过程

（1） 在win2008上搭建一个简单的测试网站；

图1：访问正常的网站

（2） 清空XP的浏览器访问记录和历史文件。在XP上启动抓包软件后，访问测试网站；在访问成功后停止抓包；

图2：访问网站时所捕获的数据包

（3） 选择其中的两个HTTP报文，点击后查看报文内容；

图3：捕获的数据包里含有网站内容

（4） 注意在HTTP报文之前有三个TCP报文，为什么会有三个？每个报文里的具体内容是什么（注意每个报文里包含的源地址、目的地址）？表达什么意思？

图4：捕获的TCP报文

图5： TCP报文的组成

3. 学习ARP报文格式

（1） 在源主机XP上查看arp缓存表，检查该表中是否含有win2008的物理地址；

            两条命令：arp   �Ca；

                               arp   -d

（2） 在源主机上ping目的主机，再次查看arp缓存表，并对照win2008本机的查看结果，检查在XP中找到的目的主机win2008硬件地址是否正确；

（3） 再次在XP上清空arp缓存表，启动抓包软件后，从XP上对win2008执行ping命令，捕获数据包，在结果中应该能够看到相邻的两个数据包如下所示；

图1：ARP数据包

（4） 分析ARP请求数据包和arp应答数据包的组成。

图2：ARP请求数据包

图3：ARP应答数据包

参考：Arp协议格式：

本文出自 “网络蜗牛” 博客，转载请与作者联系！