大连理工大学

本科实验报告

课程名称： 网络工程实验 学院（系）： 软件学院 专 业： 软件工程 班 级： 0905 学 号： 200992 学生姓名：

2011年 6 月 22 日

大连理工大学实验报告

学院（系）： 软件学院 专业： 软件工程 班级： 0905（英） 姓 名： 学号： 200992 组： ___ 实验时间： 2011-06-20 实验室： C_310 实验台： 12 指导教师签字： 成绩：

实验一：网络协议分析工具Wireshark的使用

一、实验目的

学习使用网络协议分析工具Wireshark的方法，并用它来分析一些协议。

二、实验原理和内容

1、tcp/ip协议族中网络层传输层应用层相关重要协议原理 2、网络协议分析工具Wireshark的工作原理和基本使用规则

三、实验环境以及设备 Pc机、双绞线

四、实验步骤（操作方法及思考题）

1. 用Wireshark观察ARP协议以及ping命令的工作过程：（20分）

（1）用“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址； （2）用“arp”命令清空本机的缓存；

（3）运行Wireshark，开始捕获所有属于ARP协议或ICMP协议的，并且源或目的MAC地址是本机的包（提示：在设置过滤规则时需要使用（1）中获得的本机的MAC地址）; （4）执行命令：“ping 缺省路由器的IP地址” ； 写出（1），（2）中所执行的完整命令（包含命令行参数），（3）中需要设置的Wireshark的Capture Filter过滤规则，以及解释用Wireshark所观察到的执行（4）时网络上出现的现象。

答：(1)命令为：ipconfig/all

（2）命令为：arp -d

在（3）中进行capture的option设置，其中表示，捕获所有源或目的MAC地址是 “08:00:1B:D3:D3:61”（自己的机器）的arp或者icmp协议包。

上图为捕获内容。

其中两条ARP协议一次为自己主机发出广播寻找IP为192.168.32.254的方位，然后有信息返回其MAC地址。

ICMP协议为3--10，源端向目的端连续发送4个ICMP请求，分别为第3、5、7、9条，而且得到了目的端回答，分别为4、6、8、10条。

2. 用Wireshark观察tracert命令的工作过程：（20分）

（1） 运行Wireshark, 开始捕获tracert命令中用到的消息； （2） 执行“tracert -d www.dlut.edu.cn”

根据Wireshark所观察到的现象思考并解释tracert的工作原理。

其中wireshark的配置与上次相同，得到的捕获结果为：

源端向目的端发送一个IP生存时间(TTL)值的Internet 控制消息协议（ICMP）回应数据包，初次设置为TTL=1，要求路径上的每个路由器在转发数据包之前至少将数据包上的TTL递减1。数据包上的TTL减为0时，路由器应该将ICMP已超时的消息发回源系统。此过程体现在捕获包1——6上。

其后，源端每次发送过程将TTL递增1，直到目标响应或TTL达到最大值，从而确定路由。依次为TTL=2：捕获包7——12；TTL=3：包13——18；TTL=4:包19——24；TTL=5：包25——30。当TTL=6时，可见，到达了目的端。此时tracert过程结束，访问路由确定，顺序依次从上往下。

3. 用Wireshark观察TCP连接的建立过程和终止过程：（30分）

（1）启动Wireshark, 配置过滤规则为捕获所有源或目的是本机的Telnet协议中的包（提示：Telnet使用的传输层协议是TCP，它使用TCP端口号23）； （2）在Windows命令行窗口中执行命令 “telnet bbs.dlut.edu.cn”，登录后再退出。

请在实验报告中：

a. 写出步骤（1）中需要设置的Wireshark的Capture Filter过滤规则； b. 根据Wireshark所观察到的现象解释TCP三次握手的连接建立过程； c. 根据Wireshark所观察到的现象解释TCP的连接终止过程；

d. 根据Wireshark所观察到的现象说出是哪一方首先发起连接关闭； 答：a：

B

：

上图为三次“握手”过程。捕获包1表示源端向目的端发送一个包含SYN信息的请求包；包2为目的端返回包，包含接受信息ACK=1等，并将为此次连接建立缓存的物理条件；包3为源端接受信息，及发往目的端的序列号seq。连接建立成功。

c：d：

上图为连接终止过程。

其中捕获包76显示服务器向本机发送一个FIN信号，即请求关闭连接； 随后本机接受发送ack信号，Seq=66，而且发送FIN信号，79包显示服务器接受本机信号返回ack=67，连接关闭。

4. 用Wireshark观察使用DNS来进行域名解析的过程：（30分） （1）在Windows命令窗口中执行命令“nslookup↙”，进入该命令的交互模式； （2）启动Wireshark, 配置过滤规则为捕获所有源或目的是本机的DNS协议中的包（提示：DNS使用的传输层协议是UDP，它使用UDP端口号53）；

（3）在提示符“>”下直接键入域名www.dlut.edu.cn，解析它所对应的IP地址；

（4）在提示符“>”下键入命令“set type=mx”，设置查询类型为MX记录; （5）在提示符“>”下键入域名“tom.com”,解析它所对应的MX记录； （6）在提示符“>”下键入命令“set type=a”，恢复查询类型为A记录; （7）在提示符“>”下键入MX记录的查询结果，从而查出“tom.com”邮件服务器的IP地址；

（8）在提示符“>”下键入“exit”，退出nslookup的交互模式。

请在实验报告中回答：

a. 写出步骤（2）中需要设置的Wireshark的Capture Filter过滤规则；

b. 根据Wireshark所观察到的现象解释解析域名“www.dlut.edu.cn”所对应IP地址的过程。

c. 根据Wireshark所观察到的现象解释解析域名“tom.com”所对应MX记录的过程。

d. “tom.com”域有几个邮件服务器？它们的IP地址分别是什么？ A.

B.

上图显示当前的DNS服务器：202.118.66.6

前两条捕获包表示该域名的注册主DNS非提交查询的DNS服务器 。

后两条显示上层DNS服务器解析后返回给本机要解析域名的IP为：202.118.66.66

C.(MX)

同上文，此次解析后两条有效，第10条本机得到返回信息：tom.com的邮件服务器为tommx.cdn.163.net （A）

将上文得到的邮件服务器输入后，a命令下降得到其IP地址，捕获包14显示为：202.108.252.141.

D.由解析，tom.com只有一个邮件服务器，IP为：202.108.252.141

五、讨论、建议、质疑

这是第一次的网络实验，我们暂时还没有对老师及课程有多么深入的了解。就预习报告来看，应该是在计算机网络课程的基础上进行的，希望能够得到对接触不多的，想交换机，路由器有更加深入的接触与了解。