拓扑:

clip_p_w_picpath001

主要内容:

1. 学习ICMP协议

(1) 配置两台主机的IP地址,并在XP主机上ping windows server 2008,测试是否连通;

clip_p_w_picpath003

图1:网络正常连通

分析:上图中显示了哪些信息?

clip_p_w_picpath005

图2:请求超时

分析:上图中显示了哪些信息?这个操作结果是在开启了windows2008的防火墙之后产生的,此时网络是连通的吗?说明了防火墙的作用是什么?

(2) 修改参数,使得ping操作每次发送的报文大小从默认的32字节变成10字节;

clip_p_w_picpath007

图3:测试数据包的大小改为10字节

(3) 在XP上安装抓包软件,选择合适的网络接口,并配置捕获条件;

clip_p_w_picpath009

图4:配置抓包条件

clip_p_w_picpath011

图5:为减少其他干扰数据,采用非混杂模式

(4) 启动抓包软件,监测ping报文传输的数据。

clip_p_w_picpath013

图6:未筛选的数据包

clip_p_w_picpath015

图7:为有效分析数据包,配置筛选条件

clip_p_w_picpath017

图8:配置筛选条件后显示的数据包

分析:上图中,数据包的数量有几个?点击其中的任一数据包,在下方会显示数据包的组成,分析其具体内容。

clip_p_w_picpath019

图9:ICMP数据包的内容

练习:将ping操作每次发送的数据包改为默认的32字节,再次抓包,看看每个数据包里包含的内容是什么。

 

 

2. 了解TCP的三次握手过程

(1) 在win2008上搭建一个简单的测试网站;

clip_p_w_picpath021

图1:访问正常的网站

(2) 清空XP的浏览器访问记录和历史文件。在XP上启动抓包软件后,访问测试网站;在访问成功后停止抓包;

clip_p_w_picpath023

图2:访问网站时所捕获的数据包

(3) 选择其中的两个HTTP报文,点击后查看报文内容;

clip_p_w_picpath025

图3:捕获的数据包里含有网站内容

(4) 注意在HTTP报文之前有三个TCP报文,为什么会有三个?每个报文里的具体内容是什么(注意每个报文里包含的源地址、目的地址)?表达什么意思?

clip_p_w_picpath027

图4:捕获的TCP报文

clip_p_w_picpath029

图5: TCP报文的组成

3. 学习ARP报文格式

(1) 在源主机XP上查看arp缓存表,检查该表中是否含有win2008的物理地址;

            两条命令:arp   –a;

                               arp   -d

(2) 在源主机上ping目的主机,再次查看arp缓存表,并对照win2008本机的查看结果,检查在XP中找到的目的主机win2008硬件地址是否正确;

(3) 再次在XP上清空arp缓存表,启动抓包软件后,从XP上对win2008执行ping命令,捕获数据包,在结果中应该能够看到相邻的两个数据包如下所示;

clip_p_w_picpath031

图1:ARP数据包

(4) 分析ARP请求数据包和arp应答数据包的组成。

clip_p_w_picpath033

图2:ARP请求数据包

clip_p_w_picpath035

图3:ARP应答数据包

参考:Arp协议格式:

clip_p_w_picpath037