[互联网]计算机网络——实验二.doc

《[互联网]计算机网络——实验二.doc》由会员分享，可在线阅读，更多相关《[互联网]计算机网络——实验二.doc（32页珍藏版）》请在三一文库上搜索。

1、实验二 计算机网络抓包实验分析Wireshark工具是常用的网络监测工具，通过对Wireshark截获的数据包进行分析，使学生能够更加清楚地掌握网络分层的思想，同时通过对捕获各个具体协议的数据包分析，可加强对TCP/IP协议的分析与理解，掌握协议的实现过程。另外，本实验也可以采用IP TOOLS、EtherDetect 等其他流行的网络监测工具。1 实验目的1) 了解常用的网络监测工具和管理工具。2) 了解Internet网际层协议如IP、ICMP、ARP的工作原理。3) 了解Internet传输层协议TCP和UDP的工作原理。4) 了解Internet应用层协议HTTP、FTP、DNS、SM

2、TP、POP3的工作原理。5) 了解并熟悉使用常用的网络命令如ipconfig，net，tracert , ping等。2 具体要求1) 任意捕获一个数据包，分析其数据链路层格式、网络层格式和传输层格式，加深对计算机网络分层概念的理解。2) 在IE中输入，分析相应TCP连接的前10个报文的TCP头、IP头; 截取抓包结果，分析其工作过程。3) 抓取www服务的HttP包，找到http协议的典型数据请求和接收包，截取抓包结果，分析关键字段如标志字段的值。4) 通过IE登录邮箱收发邮件，截取抓包结果，分析SMTP/POP3协议交互过程；5) 抓取一个FTP或者其他网络服务的TCP包，读取其包信息，

3、截取抓包结果，并画出该包的包结构。（参考书中TCP包结构图，给出各字段的具体值）6) 抓取FTP或者其他网络服务的TCP包，找到tcp三次握手和四次挥手的计算机网络包，截取抓包结果，分析关键字段如序列号、标志字段的变化规律。7) 抓取一个DNS或者其他网络服务的UDP包，读取其包信息，截取抓包结果，并画出该包的包结构。（参考书中UDP包结构图，给出各字段的具体值）。8) 抓取FTP服务的ftp包，找到ftp协议的典型数据请求和接收包,截取抓包结果，分析关键字段如标志字段的值。9) 捕获并分析地址解析协议（ARP）。10)发PING检测报文，捕获ICMP请求数据包和应答数据包，截取抓包结果，画出

4、该ICMP包的包结构，记录并分析各字段的含义。（参考书中包结构图，给出各字段的具体值）11)熟悉使用网络命令netstat net net user ipconfig tracert ping，尝试使用其各类参数。3、实验步骤（1）安装wireshark软件，并运行。（2）开始抓包实验。4、实验结果（1）捕获一个数据包上面是用Wireshark软件进行抓包数据分析的截屏，下面将选取1号帧作为代表分析相应的数据： 数据帧的相关信息此帧编号为0；获取时间为0；源地址为115.25.3.36；目的地址为119.75.220.47；高层协议为TCP；包长度为66个字节；包内信息概况：源端口：upgra

5、de；目的端口：http；upgradehttpSYN表示源端口向目的端口请求建立TCP连接。 物理层的数据帧状况从图中可以看出：1号帧，线路上有66字节，实际捕获66字节，捕获时间为2012年4月2日10:27:29，测试时间为1333333649.249710000秒，此包与前一捕获帧的时间间隔为0秒，与前一个显示帧时间间隔为0秒，与第一帧的时间间隔为0秒，帧号为1，帧长为66字节，捕获长度为66字节，此帧没有被标记且没有被忽略，帧内封装的协议结构为TCP数据协议，用不同颜色染色标记的协议名为HTTP，染色显示规则字符串为http|tcp.port=80。 数据链路层以太网帧头部信息此包为

6、以太网协议版本2，源地址为Asustekc_73:83:e2(48:5b:39:73:83:e2)，说明本机的网卡是由华硕厂家提供的，其网卡地址为48:5b:39:73:83:e2；目标地址为Hangzhou_3b:1c:72 (00:23:89:3b:1c:72)，说明本机的网卡是Hangzhou厂家生产的，网卡地址为00:23:89:3b:1c:72。帧内封装的上层协议类型为IP，十六进制代码为0800。 互联网层IP报头信息互联网协议IPv4，源地址为115.25. 3.36，目标地址为119.75.220.47，IP版本号为4，包头部长度为20字节，差分服务字段为0x00 (DSCP

7、0x00: Default; ECN: 0x00)，表示一个特定的上层协议所分配的重要级别，默认的DSCP值是0，相当于尽力传送，ECN字段被分为ECN-Capable Transport (ECT) bit和CE bit，ECT bit设置为“ 0 ”表明该传输协议将忽略ignore CE bit，CE bit将由路由器设置，设置为0说明对末端节点不挤塞，IP包的总长度为52字节，标志字段为18330，标记字段为0x02，没有分片，分片的偏移量为0，生存期为64，当减少为0时，该数据包将被丢弃以保证数据包不会无限制的循环，上层协议为TCP，报头的检验和显示为正确。 传输层TCP头部信息用户数

8、据包协议的源端口为upgrade（2537），目标端口为http（80），序列号（相对序列号）为0，长度为32字节，标记字段为0x02（SYN），表示请求建立TCP连接，流量控制窗口大小为8192，TCP校验和为0xf834，报头的检验和显示为正确。可选项为12字节。 对应的十六进制代码该段十六进制代码对应着上述的相关信息，例如：选择第一行的00 23 89 3b 1c 72，对应的是目标地址的网卡地址；第一行48 5b 39 73 83 e2对应的是源地址的网卡地址；08 00对应的是IP的类型；45对应的是报头信息的长度等。(2) 在IE中输入，分析相应TCP连接的前10个报文的TCP头、

9、IP头; 截取抓包结果，分析其工作过程。捕获的数据包截图由17号帧可知，新浪的IP地址为121.194.0.203通过在filter框中输入过滤表达式：ip.addr=121.194.0.103,得到下图：下面将对其前十个的tcp头、ip头进行分析。 2号帧2号帧基本信息：此帧编号为2；获取时间为3.103588；源地址为115.25.3.36；目的地址为121.194.0.203；包长度为66个字节；源端口：street-stream；目的端口：http； SYN表示源端口向目的端口请求建立TCP连接，即tcp第一次握手。Ip报头分析：互联网协议IPv4，源地址为115.25. 3.36，目

10、标地址为121.194.0.203，IP版本号为4，包头部长度为20字节，差分服务字段为0x00，IP包的总长度为52字节，标志字段为0x2c10（11280），标记字段为0x02，没有分片，分片的偏移量为0，生存期为64，上层协议为TCP，报头的检验和显示为正确。Tcp报头分析：用户数据包协议的源端口为street-stream（1736），目标端口为http（80），序列号（相对序列号）为0，长度为32字节，标记字段为0x02（SYN），表示请求建立TCP连接，流量控制窗口大小为8192，TCP校验和为0x4455，报头的检验和显示为正确。可选项为12字节。 3号帧3号帧基本信息：此帧编号

11、为3；获取时间为3.104157；源地址为115.25.3.36；目的地址为121.194.0.203；包长度为66个字节；源端口：ultimad；目的端口：http； SYN表示源端口向目的端口请求建立TCP连接，即tcp第一次握手。Ip报头分析：互联网协议IPv4，源地址为115.25. 3.36，目标地址为121.194.0.203，IP版本号为4，包头部长度为20字节，差分服务字段为0x00，IP包的总长度为52字节，标志字段为0x2c11（11281），标记字段为0x02，没有分片，分片的偏移量为0，生存期为64，上层协议为TCP，报头的检验和显示为正确。Tcp报头分析：用户数据包协

12、议的源端口为ultimad（1737），目标端口为http（80），序列号（相对序列号）为0，长度为32字节，标记字段为0x02（SYN），表示请求建立TCP连接，流量控制窗口大小为8192，TCP校验和为0x4455，报头的检验和显示为正确。可选项为12字节。 4号帧4号帧基本信息：此帧编号为4；获取时间为3.104978；源地址为121.194.0.203；目的地址为115.25.3.36；包长度为62个字节；源端口：http；目的端口：street-stream； SYN,ACK表示目的端口向源端口确认SYN，即tcp第二次握手。Ip报头分析：互联网协议IPv4，源地址为121.194.

13、0.203，目标地址为115.25. 3.36，IP版本号为4，包头部长度为20字节，差分服务字段为0x00，IP包的总长度为48字节，标志字段为0xb2b1（45745），标记字段为0x02，没有分片，分片的偏移量为0，生存期为55，上层协议为TCP，报头的检验和显示为正确。Tcp报头分析：用户数据包协议的源端口为http（80），目标端口为street-stream（1736），序列号（相对序列号）为0，确认序号：1（相对确认号）；长度为28字节，标记字段为0x12（SYN，ACK），表示确认TCP连接，流量控制窗口大小为8192，TCP校验和为0x9289，报头的检验和显示为正确。可选项

14、为8字节。 5号帧5号帧基本信息：此帧编号为5；获取时间为3.105042；源地址为115.25.3.36；目的地址为121.194.0.203；包长度为54个字节；源端口：street-stream；目的端口：http；ACK表示源端口向目的端口应答SYN，即tcp第三次握手。Ip报头分析：互联网协议IPv4，源地址为115.25. 3.36，目标地址为121.194.0.203，IP版本号为4，包头部长度为20字节，差分服务字段为0x00，IP包的总长度为40字节，标志字段为0x2c12（11282），标记字段为0x02，没有分片，分片的偏移量为0，生存期为64，上层协议为TCP，报头的检

15、验和显示为正确。Tcp报头分析：用户数据包协议的源端口为street-stream（1736），目标端口为http（80），序列号（相对序列号）为1，确认序号：1（相对确认号）；长度为20字节，标记字段为0x10（ACK），表示应答TCP连接，流量控制窗口大小为16425，TCP校验和为0x9e24，报头的检验和显示为正确。 8号帧8号帧基本信息：此帧编号为8；获取时间为3.105397；源地址为121.194.0.203；目的地址为115.25.3.36；包长度为62个字节；源端口：http；目的端口：ultimad； SYN,ACK表示目的端口向源端口确认SYN，即tcp第二次握手。Ip报

16、头分析：互联网协议IPv4，源地址为121.194.0.203，目标地址为115.25. 3.36，IP版本号为4，包头部长度为20字节，差分服务字段为0x00，IP包的总长度为48字节，标志字段为0xb2b2（45746），标记字段为0x02，没有分片，分片的偏移量为0，生存期为55，上层协议为TCP，报头的检验和显示为正确。Tcp报头分析：用户数据包协议的源端口为http（80），目标端口为ultimad(1737)，序列号（相对序列号）为0，确认序号：1（相对确认号）；长度为28字节，标记字段为0x12（SYN，ACK），表示确认TCP连接，流量控制窗口大小为8192，TCP校验和为0x

17、9289，报头的检验和显示为正确。可选项为8字节。 9号帧9号帧基本信息：此帧编号为9；获取时间为3.105429；源地址为115.25.3.36；目的地址为121.194.0.203；包长度为54个字节；源端口：ultimad；目的端口：http；ACK表示源端口向目的端口应答SYN，即tcp第三次握手。Ip报头分析：互联网协议IPv4，源地址为115.25. 3.36，目标地址为121.194.0.203，IP版本号为4，包头部长度为20字节，差分服务字段为0x00，IP包的总长度为40字节，标志字段为0x2c15（11285），标记字段为0x02，没有分片，分片的偏移量为0，生存期为64

18、，上层协议为TCP，报头的检验和显示为正确。Tcp报头分析：用户数据包协议的源端口为ultimad（1737），目标端口为http（80），序列号（相对序列号）为1，确认序号：1（相对确认号）；长度为20字节，标记字段为0x10（ACK），表示应答TCP连接，流量控制窗口大小为16425，TCP校验和为0x9e24，报头的检验和显示为正确。 16号帧16号帧基本信息：此帧编号为16；获取时间为3.108733；源地址为115.25.3.36；目的地址为121.194.0.203；包长度为1514个字节；TCP配置协议数据单元。Ip报头分析：互联网协议IPv4，源地址为115.25. 3.36，

19、目标地址为121.194.0.203，IP版本号为4，包头部长度为20字节，差分服务字段为0x00，IP包的总长度为1500字节，标志字段为0x2c1b（11291），标记字段为0x02，没有分片，分片的偏移量为0，生存期为64，上层协议为TCP，报头的检验和显示为正确。Tcp报头分析：用户数据包协议的源端口为ultimad（1737），目标端口为http（80），序列号（相对序列号）为1，确认序号：1（相对确认号）；长度为20字节，标记字段为0x10（ACK），表示TCP连接，流量控制窗口大小为16425，TCP校验和为0x2c1f，报头的检验和显示为正确。 17号帧17号帧基本信息：此帧编

20、号为17；获取时间为3.108772；源地址为115.25.3.36；目的地址为121.194.0.203；包长度为505个字节；http数据请求。Ip报头分析：互联网协议IPv4，源地址为115.25. 3.36，目标地址为121.194.0.203，IP版本号为4，包头部长度为20字节，差分服务字段为0x00，IP包的总长度为491字节，标志字段为0x2c1c（11292），标记字段为0x02，没有分片，分片的偏移量为0，生存期为64，上层协议为TCP，报头的检验和显示为正确。Tcp报头分析：用户数据包协议的源端口为ultimad（1737），目标端口为http（80），序列号（相对序列号

21、）为1461，确认序号：1（相对确认号）；长度为20字节，标记字段为0x18（PSH，ACK），表示接收方收到数据后尽快交给应用程序，流量控制窗口大小为16425，TCP校验和为0x3214，报头的检验和显示为正确。 Http报头分析：客户端接受信息的类型为text/html，application/xhtml+xml，*/*；自然语言为zh-CN；可接受的内容编码为gzip，deflate；被请求资源的Internet主机为；允许发送指定连接的选项为keep-Alive。 18号帧18号帧基本信息：此帧编号为18；获取时间为3.111387；源地址为121.194.0.203；目的地址为11

22、5.25.3.36；包长度为60个字节；TCP窗口更新；源端口：http；目的端口：ultimad； ACK表示目的端口向源端口应答TCP连接。Ip报头分析：互联网协议IPv4，源地址为121.194.0.203，目标地址为115.25. 3.36，IP版本号为4，包头部长度为20字节，差分服务字段为0x00，IP包的总长度为40字节，标志字段为0xb2bd（45747），标记字段为0x02，没有分片，分片的偏移量为0，生存期为55，上层协议为TCP，报头的检验和显示为正确。Tcp报头分析：用户数据包协议的源端口为http（80），目标端口为ultimad(1737)，序列号（相对序列号）为1

23、，确认序号：1（相对确认号）；长度为20字节，标记字段为0x10（ACK），表示应答TCP连接，流量控制窗口大小为8760，TCP校验和为0x7c6d，报头的检验和显示为正确。 19号帧19号帧基本信息：此帧编号为19；获取时间为3.111562；源地址为121.194.0.203；目的地址为115.25.3.36；包长度为60个字节；源端口：http；目的端口：ultimad； ACK表示目的端口向源端口应答TCP连接。Ip报头分析：互联网协议IPv4，源地址为121.194.0.203，目标地址为115.25. 3.36，IP版本号为4，包头部长度为20字节，差分服务字段为0x00，IP包

24、的总长度为40字节，标志字段为0xb2be（45748），标记字段为0x02，没有分片，分片的偏移量为0，生存期为55，上层协议为TCP，报头的检验和显示为正确。Tcp报头分析：用户数据包协议的源端口为http（80），目标端口为ultimad(1737)，序列号（相对序列号）为1，确认序号：1912（相对确认号）；长度为20字节，标记字段为0x10（ACK），表示应答TCP连接，流量控制窗口大小为6849，TCP校验和为0x7c6d，报头的检验和显示为正确。(3) 抓取www服务的Http包，找到http协议的典型数据请求和接收包，截取抓包结果，分析关键字段如标志字段的值。打开WireSha

25、rk，选择菜单命令“Capture”“Options”，弹出对话框，在“Capture filter”字段中输入“tcp port http”，单击“Start”按钮。单击“Stop”按钮，截图如上。在上图中，可以发现19号帧是http协议的数据请求包，30号帧是http协议的数据接收包。下面将对其依次进行分析： http协议的数据请求包源地址：115.25.3.36目的地址：119.75.217.109请求行：Request Method表示请求方法（GET：请求获取Request-URI所标识的资源）；Request URI是一个统一资源标识符（/）；Request Version表示请求

26、的HTTP协议版本（HTTP/1.1）；Accept用于指定客户端接受哪些类型的信息（*/*）；Referer指定请求URI的源资源地址（http:/ 此处使用缺省端口号80）；Connection允许发送指定连接的选项（keep-Alive）；Cookie：最重要的请求头信息之一。 http协议的数据接收包源地址：119.75.217.109目的地址：115.25.3.36状态行：Request Version表示服务器HTTP协议的版本（HTTP/1.1）；Status Code表示服务器发回的响应状态代码（200）；ResponsePhrase表示状态代码的文本描述（OK）说明客户端请求

27、成功。Date表示消息产生的日期和时间（2012年4月8日12点14分16秒，星期日）Server包含了服务器用来处理请求的软件信息（BWS/1.0）；Content-Length用于指明实体正文的长度（6781）；Content-Type用于指明发送给接收者的实体正文的媒体类型（text/html；charset=utf-8）；Cache-Control 用于指定缓存指令（private）；Content-Encoding用作媒体类型的修饰符，它的值指示了已经被应用到实体正文的附加内容的编码（gzip）；Expires给出响应过期的日期和时间（2012年4月8日12点14分16秒，星期日）C

28、onnection允许发送指定连接的选项（keep-Alive）。4) 通过IE登录邮箱收发邮件，截取抓包结果，分析SMTP/POP3协议交互过程； SMTP协议打开WireShark，选择菜单命令“Capture”“Options”，弹出对话框，单击“Start”按钮。在filter字段中输入“smtp”。单击“stop”按钮，截图如下。截图中，客户端（C：ip地址为115.25.3.36）通过浏览器访问FTP服务器（S:ip地址为123.125.50.133）。从618号帧开始，客户端和服务器对话如下：【618】C：MAIL FROM：,发送者邮箱；【619】S：250 Mail OK，操

29、作完成；【620】C：RCPT TO：,接收者邮箱；【621】S：250 Mail OK，操作完成；【622】C：DATA，请求发送数据；【623】S：354 End data with ,开始邮件输入，以 符号结束；【624】C：DATA fragment，418 bytes，请求发送数据帧，418字节；【626】from：zhou429234821 subject,邮件来自429234821账号；【629】S：250 Mail OK queued as smtp3，操作成功；【630】C：QUIT；取消连接；【631】S：221 bye，服务关闭。下面针对一些帧进行具体分析：618号帧：源

30、地址：115.25.3.36；目的地址：123.125.50.133；命令：MAIL 邮件命令请求参数：FROM 发送者邮箱。619号帧：源地址：123.125.50.133；目的地址：115.25.3.36；回应代码：250，请求邮件操作成功；回应参数：MAIL OK，操作成功。 POP3协议：打开WireShark，选择菜单命令“Capture”“Options”，弹出对话框，单击“Start”按钮。在filter字段中输入“pop”。单击“stop”按钮，截图如下。截图中，客户端（C：ip地址为115.25.3.36）通过浏览器访问FTP服务器（S:ip地址为123.125.50.29）

31、。从357号帧开始，客户端和服务器对话如下：【357】S：+OK Welcome to coremail Mail Pop3 Server（163coms），命令成功，欢迎使用coremail邮件pop3协议服务器（163）；【358】C：USER ，用户名：，采用明文认证；【360】S：+OK core mail；【361】C：PASS *，密码：*；【362】S: +OK 12 message(s)72805 byte(s),认证成功，转入处理状态；【363】C：STAT,处理请求服务器回送邮箱统计资料，如邮件总数和总字节数；【364】S：+OK 12 72805,共有12封邮件，总字节数

32、72805字节；【365】C：LIST，显示邮件信息；【366】S：+OK 12 72805，共有12封邮件，总字节数72805字节；【367】C：UIDL，返回邮件的唯一标识符；【368】S：+OK 12 72805，共有12封邮件，总字节数72805字节；【369】C：QUIT 退出连接针对其中的一些帧进行具体分析：367号帧：源地址：115.25.3.36；目的地址：123.125.50.29；请求命令：UIDL，返回邮件的唯一标识。368号帧：源地址：123.125.50.29目的地址：115.25.3.36；回应指示：+OK，请求成功；回应描述：12 72805，共有12封邮件，共有

33、72805字节；下面列出的内容，即12封邮件的唯一标识符。5) 抓取一个FTP或者其他网络服务的TCP包，读取其包信息，截取抓包结果，并画出该包的包结构。（参考书中TCP包结构图，给出各字段的具体值）打开WireShark，选择菜单命令“Capture”“Options”，弹出对话框，在“Capture filter”字段中输入“tcp”，单击“Start”按钮。单击“Stop”按钮，截图如上。选6号帧进行分析：数据帧的相关信息：此帧编号为6；获取时间为5.529539；源地址为115.25.3.36；目的地址为123.125.114.101；高层协议为TCP；包长度为62个字节；包内信息概况

34、：源端口：ipr-dglt；目的端口：http；ipr-dglt httpSYN表示源端口向目的端口请求建立TCP连接。下面对TCP协议进行分析：TCP包结构图如下图所示：源端口号目的端口号首字节序号接受字节序号TCP头长度URGACKPSHRSTSYNFIN发送字节数校验和紧急数据指针可选项（0或多个32位的数据）源端口：ipr-dglt（3678）；目标端口：http（80）；序列号：0（相对序列号）；长度：28字节；标记字段：0x02（SYN），表示请求建立TCP连接；流量控制窗口大小（发送字节数）：8192；TCP校验和：0xf834；可选项：8字节。6) 抓取FTP或者其他网络服务的

35、TCP包，找到tcp三次握手和四次挥手的计算机网络包，截取抓包结果，分析关键字段如序列号、标志字段的变化规律。 打开WireShark，选择菜单命令“Capture”“Options”，弹出对话框，在“Capture filter”字段中输入“tcp”，单击“Start”按钮。点击“Stop”按钮，截图如下。首先分析tcp三次握手。由上图观察到，2号帧、3号帧、4号帧就是三次握手过程。在下面分析中，为了简便化，我们将ip地址为115.23.3.36的设备记为A，把ip地址为121.194.0.185的设备记为B。下面对其依次分析:第一次握手：从上图知，第一次握手，SYN=1，Seq=0（相对序

36、号）；A发送SYN包到B，告诉B设备A要与其建立通信连接，该段首部的同步标志SYN被置为1,并在首部中填入本次连接的客户端的初始段序号Seq（本例中Seq=6955ac9，相对序号为0）；源端口号为A的端口号：1902，目的端口号为B的端口号：80，TCP FLAGS中ACK和SYN位是0、1。第二次握手：从上图知，第二次握手，SYN=1，ACK=1（相对确认序号），Seq=0（相对序号）；B收到请求后，发回连接确认（SYN+ACK），该段首部中的同步标志SYN被置为1，表示认可连接，首部中的确认标志ACK被置为1，表示对所接收的段的确认，与ACK标志相配合的是准备接收的下一个序号（Ack=6

37、955acda，相对确认序号1），该段还给出了自己的初始序号（Seq=07e3ebf2，相对序号0），对请求段的确认完成了一个方向上的连接；源端口号为B的端口号：80，目的端口号为A的端口号：1902，TCP FLAGS中ACK和SYN位是1、1。第三次握手：由上图知，第三次握手，ACK=1（相对确认序号），Seq=1（相对序号）；a向B发出的确认段，段首部中的确认标志ACK被置为1，表示对所接收的段的确认，与ACK标志相配合的准备接收下一序号被设置为收到的段序号加1（Ack=07e3ebf3，相对确认序号1），完成了另一个方向上的连接；源端口号为A的端口号：1902，目的端口号为B的端口号：

38、80，TCP FLAGS中ACK和SYN位是1、0。第三次握手完成后，便可以开始实际数据的传输了。 打开WireShark，选择菜单命令“Capture”“Options”，弹出对话框，在“Capture filter”字段中输入“tcp”，单击“Start”按钮。点击“Stop”按钮，截图如下。分析tcp四次挥手。由上图观察到，24号帧、25号帧、26号帧、27号帧就是四次挥手过程。在下面分析中，为了简便化，我们将ip地址为114.245.180.153的设备记为A，把ip地址为115.23.3.36的设备记为B。下面对其依次分析：数据传输结束后，通信的双方都可释放连接。第一次挥手：由上图知

39、，第一次挥手，A先向其TCP发出连接释放报文段，并停止再发送数据，主动关闭TCP连接；A把连接释放报文段首部的FIN置为1，其序号Seq=ff57e06a（相对序号252），等待B的确认；此时ACK=1，FIN=1，Seq=u=252（相对序号），准备释放连接。源端口号为A的端口号：7004，目的端口号为B的端口号：2434，TCP FLAGS中ACK和FIN位是1、1。第二次挥手：从上图知，ACK=1，Seq=v=a0db446c（相对序号245），Ack= u+1=ff57e06b（相对确认序号253）B发出确认，确认号Ack为u加1（Ack=ff57e06b,相对确认序号253）；此时，

40、从A到B这个方向的连接就释放了， TCP连接处于半关闭状态，即A已经没有数据要发送了，但是B若发送数据，A仍接收。源端口号为B的端口号：2434，目的端口号为A的端口号：7004，TCP FLAGS中ACK和FIN位是1、0。第三次挥手：从上图知，FIN再次被置为1，ACK=1，Seq=w=a0db446c（相对序号245），Ack=u+1=ff57e06b（相对确认序号253）；若B已经没有要向A发送的数据，其应用进程就通知TCP释放连接。这时，B发出的报文必须是FIN=1，B还必须重复上次已经发送过的确认号Ack=u+1。这时，B就进入了LAST-ACK状态，等待A的确认。源端口号为B的端

41、口号：2434，目的端口号为A的端口号：7004，TCP FLAGS中ACK和FIN位是1、1。第四次挥手：从上图知，ACK=1，Seq= u+1=ff57e06b（相对确认序号253），Ack=w+1=a0db446d（相对确认序号246）；当A收到B的连接释放报文后，必须对此发出确认。在确认报文段中，把ACK置为1，确认号Ack=w+1，而自己的序号是Seq=u+1。源端口号为A的端口号：7004，目的端口号为B的端口号：2434，TCP FLAGS中ACK和FIN位是1、0。此时，四次挥手结束。7) 抓取一个DNS或者其他网络服务的UDP包，读取其包信息，截取抓包结果，并画出该包的包结构

42、。（参考书中UDP包结构图，给出各字段的具体值）。打开WireShark，选择菜单命令“Capture”“Options”，弹出对话框，在“Capture filter”字段中输入“udp”，单击“Start”按钮。单击“Stop”按钮，获得如上截图。选4号帧进行分析：数据帧的相关信息：此帧编号为4；获取时间为7.030028；源地址为115.25.3.5；目的地址为224.0.0.100；高层协议为UDP；包长度为281个字节；包内信息概况：源端口：4466；目的端口：4466。下面对UDP协议进行分析：UDP包结构图如下图所示：源端口号目的端口号长度校验和应用数据（消息）源端口号：4466

43、（4466）目的端口号：4466（4466）长度：247校验和：0x6cae应用数据：经过编码后的多媒体数据：45bb0003000000ef83 长度：2398) 抓取FTP服务的ftp包，找到ftp协议的典型数据请求和接收包,截取抓包结果，分析关键字段如标志字段的值。打开WireShark，选择菜单命令“Capture”“Options”，弹出对话框，单击“Start”按钮。打开浏览器，输入ftp:/。之后单击“Stop”按钮，截图如下。截图中，客户端（C：ip地址为2001:da8:208:300c:24cd:7ab6:b511:6ef6）通过浏览器访问FTP服务器（S:ip地址为200

44、1:da8:208:10:11）。从59号帧开始，客户端和服务器对话如下：【59】S：220（USTB的FTP服务器ipv6模式准备就绪，执行新用户请求）【60】C：USER anonymous（系统登录用户名是匿名的）。【62】S：331（用户名正确，需要密码）。【63】C：PASS User（系统登录密码User）。【64】S：230（用户已登录）。【65】C：CWD /（更换文件目录，Change working directory）。【66】S：250（目录已成功更换）。【67】C：TYPE A（数据类型要求ASCII）。【68】S：200（确认命令，已经转换到ASCII模式）。【69

45、】C：EPSV（针对IPV6的被动模式。IPV4的主、被动模式分别为PORT、PASV，IPV6分别为EPRT、EPSV）。【70】S：229，Entering Extended Passive Mode（这是一个报错，在DOS环境下需Ctrl+C然后键入EPSV4 OFF，但浏览器下未进行操作）。【74】C：LIST（如果是文件名列出文件信息，如果是目录则列出文件列表）。【75】S：150（打开连接目录）。【76】S：FTP Data（411个字节）。【81】S：226（关闭数据连接，请求操作成功）。下面以63号帧、64号帧为例依次分析ftp协议的请求包和接收包。 ftp协议请求包Request command表示客户端的请求命令（PASS，表示系统登录密码）；Request arg表示客户端的请求参数（User，即要输入的登录密码）。 ftp协议接收包Response code表示服务器的响应代码（230，即用户已登录，继续进行）；Response arg表示服务器的响应参数（Login successful，登录成功）。(9) 捕获并分析地址解析协议（ARP）。打开“命令提示符”窗口，使用“C:WindowsSystem32ARP.EXE a”命令查看