福建农林大学计算机网络《网络监听实验》上机指导

1、实验三 网络监听实验（二）一、实验目的1、掌握ICMP协议原理2、了解TELNET应用二、实验原理1、ICMP协议ICMP协议是配合IP协议使用的网络层协议，它的报文不是直接传送到数据链路层，而是封装成IP数据报后再传送到数据链路层。分组网间探测PING是ICMP协议的一个重要应用，它使用ICMP回送请求与回送应答报文，用来测试两个主机之间的连通性。命令格式为：ping 目的IP地址。ICMP回送请求与回送应答报文格式如下：类型：8或0代码：0校验和标识符序号可选数据 说明：类型为8-回送请求，为0-回送应答TRACERT程序是ICMP协议的另一个应用，命令格式为：tracert 目的地址。T

2、racert从源主机向目的主机发送一连串的IP数据报P1，P1的TTL设置为1，当它到达路径上的第一个路由器R1时，R1先收下它，把P1的TTL值减1，变成0，R1丢弃P1，并向源主机发送一个ICMP超时差错报告报文。源主机接着又发送第二个TTL值为2的IP数据报P2，路径上的第一个路由器把P2的TTL值减小1，当P2到达路径上第二个路由器时，第二个路由器把P2丢弃，并向源主机发送一个ICMP超时差错报告报文。如此继续，最后一个IP数据报到达目的主机时，目的主机和源主机间发送ICMP回送请求与回送应答报文。路径上的这些路由器和目的主机向源主机发送的ICMP报文告诉源主机，到达目的主机所经过的路

3、由器的IP地址及往返时间。2、远程终端协议TELNETTelnet协议基于TCP协议，默认端口号为23。应用Telnet协议能够把本地用户所使用的计算机变成远程主机系统的一个终端。Telnet远程登录服务分为以下4个过程：1）本地与远程主机建立连接。该过程实际上是建立一个TCP连接，用户必须知道远程主机的Ip地址或域名；2）将本地终端上输入的用户名和口令及以后输入的任何命令或字符以NVT（Net Virtual Terminal）格式传送到远程主机。该过程实际上是从本地主机向远程主机发送一个IP数据报；3）将远程主机输出的NVT格式的数据转化为本地所接受的格式送回本地终端，包括输入命令回显和命

4、令执行结果；4）最后，本地终端对远程主机进行撤消连接。该过程是撤销一个TCP连接。本次上机建议采用WireShark软件（网络协议分析器）。官方下载地址：/三、实验步骤1、ICMP的应用ping用ping命令去ping某主机B，保存监听记录为3-1.pcap。结合ICMP协议的工作原理对监听记录进行分析。l 选择一条记录，分析IP数据报的格式。分析：IP报文格式版本字段：占4比特。用来表明IP协议实现的版本号报头长度字段：占4比特。是头部占32比特的数字，包括可选项。服务类型字段：占8比特。总长度字段：占16比特。指明整个数据报的长度。标志字段：占

5、16比特。用来唯一地标识主机发送的每一份数据报。段偏移字段：占13比特。生存期字段：占8比特。用来设置数据报最多可以经过的路由器数协议字段：占8比特。指明IP层所封装的上层协议类型。头部校验和字段：占16比特。内容是根据IP头部计算得到的校验和码。源IP地址字段：各占32比特。用来标明发送IP数据报文的源主机地址。目标IP地址字段：占32比特。用来标明接收IP报文的目标主机地址。可选项字段：占32比特。用来定义一些任选项：如记录路径、时间戳等。l 选择一条记录，分析ICMP询问报文的格式；查看ICMP询问报文的数据部分。分析ICMP询问报文的格式：各种ICMP报文的前32bits都是三个长度固

6、定的字段：type类型字段(8位)、code代码字段(8位)、checksum校验和字段(16位)。 数据部分：2、ICMP的应用tracert（1）监听准备运行WireShark软件，选择capture-options，在capture filter文本框中输入icmp，点击start开始监听。（2）运行命令tracert打开命令行程序，输入命令：tracert ，观察返回信息。并且可以发现WireShark中收集了一连串记录。保存监听记录为3-2.pcap。（3）分析监听结果利用监听结果，分析ICMP超时差错报告报文：l 选择一条“Time to live exceed

7、ed”记录，分析ICMP超时差错报告报文的格式。分析ICMP超时差错报告报文的格式：Type字段和code字段。当type为11,code为0就代表超时。l 选择一条“Time to live exceeded”记录，其中的两个IP首部是一样的吗？为什么？ 不一样。第一个首部是包装在ICMP报文上的，第二个首部是从出现超时报文的IP首部中提取出来的。 l 针对“Echo(ping) request”记录，观察每个IP数据报的初始TTL值及数据部分内容； TTL值为 1-19，数据部分全为0.数据部分：l 记录源主机到目的主机所经过的路径及花费的时间。经过路径为 8到172

8、.31.6.27花费时间为 251-1=250ms3、远程登录Telnet应用本实验需要局域网环境下的两台PC机，主机A（设IP地址为：1）充当客户端，主机B（设IP地址为：3）充当服务器。（1）在主机B中创建管理员用户在主机B上创建一个新的用户名，并让它属于管理员组，用来进行登录测试。创建新用户的方法为：l “控制面板”-“管理工具”- “计算机管理”-“本地用户和组”-“用户”；l 在“操作”菜单中选择“新用户”，设置用户名为testuser，密码为fortest；把新用户添加进管理员组的方法：右击“testuser”项，选择“属性”-“隶属于”

9、-“添加”-“高级”-“立即查找“- 选择“Administrators”组-“确定”，即可把用户testuser添加到管理员组中。（2）在主机B上启动telnet服务启动方法：右击我的电脑，选择“管理”-“服务和应用程序”-“服务”，在列表中找到Telnet选项。右击Telnet属性，在启动类型中改禁用为手动，点击应用。最后再点击服务状态下的启动按钮，确定退出。（3）在主机A上监听启动监听软件WireShark，过滤条件（capture filters）设置为：port 23，点击start，开始监听。（4）在主机A上登录主机B“开始”-“运行”输入命令cmd，打开命令行窗口。输入命令：te

10、lnet 3，出现欢迎界面，并提示安全信息（如图所示），输入y后回车，进入登录界面，在login：处输入登录用户名testuser，在password：处输入密码fortest。（5）操作主机B中的数据主机B验证用户名和密码正确无误后，主机A可以进入主机B的目录c:Documents and Settingstestuser中，此时主机A即可任意操作主机B中所有的数据资料，包括创建、删除、修改、拷贝等操作，就像控制自己机器上的数据一样。例如，输入d：回车，可进入D盘。（6）输入dir命令，可以看到主机B上在D盘中的所有文件和文件夹信息。（7）输入help命令，显示可用的D

11、OS命令。然后，尝试删除D盘上某个文件或文件夹，如：type 1.txt ，del 1.txt等。输入exit命令，断开跟服务器的连接。（8）在主机A上点击stop，停止监听，保存监听结果为3-3.pcap。若第15条监听记录的窗口下文内容处看到登录提示login：，则从第16条记录开始查看远程登录所用的用户名和密码信息。还能在数据部分看到输入的各个命令。分析与思考：（1） 使用网络测试工具能做什么事情？不仅能检测并定位网络故障、了解本机网络配置、能申请和释放IP地址等，还能通过网络超时等反应推测网络负载。例如：Ping命令可以测试本机的TCP/IP协议的正确性，测试本地连接是否是连接上的，还

12、可以测试网络是否通畅。如果网络不通或者无法访问某网站，可以使用ping命令测试和定位故障位置。使用IPconfig命令可以获取主机IPv6地址，IPv4地址，子网掩码，默认网关，物理地址等详细信息。还可以向DHCP服务器归还或者申请IP地址。等等。（2）上网搜索还有哪些网络测试工具？电脑们各有什么应用特点？例如：netstart命令还有arp命令帮助用户了解arp信息，netstat命令帮助网络管理员了解网络的整体使用情况，winipcfg命令以窗口形式显示IP协议的具体配置信息。 其中arp命令和nestat命令均是命令行输出的形式给出结果，而winipcfg则是有图形界面的一个命令。它们与

13、实验中用到的的三个命令各不相同，而winipcfg可以看做是ipconfig命令的图形界面版。netstat命令功能是显示网络连接、路由表和网络接口信息，可以让用户得知有哪些网络连接正在运作。使用时如果不带参数，netstat显示活动的 TCP 连接。命令的一般格式为：netstat -a-e-n-o-p Protocol-r-sInterval。（3）Ping不通（Request timed out），并不一定意味着线路不通。可能有下几种情况： 对方已关机，或者网络上根本没有这个地址。 对方与自己不在同一网段内，通过路由也无法找到对方，但有时对方确实是存在的，当然不存在也是返回超时的信息。

14、对方确实存在，但设置了ICMP数据包过滤（比如防火墙设置）。那么怎样知道对方是存在，还是不存在呢，可以用带参数 -a 的Ping命令探测对方，如果能得到对方的NETBIOS名称，则说明对方是存在的，是有防火墙设置，如果得不到，多半是对方不存在或关机，或不在同一网段内。 错误设置IP地址（4）当某主机与网络的连接出现故障时，你会如何检测故障？试试以下方法是否可行。Ping Ping本地IPPing一台同网段计算机的IPPing默认网关Ping一个远程域名请说明原因。使用ping命令验证。首先ping ，然后ping本地IP。不能ping通表明网络适配器工作异常。ping一台同网段计算机的IP，不通则说明网络线路出现故障。第四步，ping默认网关，不通说明路由器出现故障。最后，ping一个远程域名。如果不通