计算机网络之网络协议分析（三）

一、实验目的
1.学习协议分析软件；
2.学习网络嗅探及协议分析规则；
二、实验步骤及要求
学会使用Sniffer抓取ftp的数据报，截获ftp账号及密码，并分析TCP头的结构、分析TCP的三次“握手”和四次“挥手”的过程，熟悉TCP协议工作方式。
实验（软硬件以及网络）环境：
利用VMware虚拟机建立网络环境，并用Serv-U FTP Server在计算机上建立FTP服务器,用虚拟机进行登录。
实验工具：
sniffer嗅探器，VMware虚拟机，Serv-U FTP Server。
实验基本配置：
Micrsoft Windows 操作系统
实验步骤：

三、实验结果
1、在DOS命令窗口输入“ipconfig/release”。释放主机当前IP地址，会变为0.0.0

2、启动Wireshark分组俘获

3、在命令提示符窗口，输入“ipconfig/renew”，获得新的网络配置

4、再次输入“ipconfig/renew”

5、输入“ipconfig/release”释放分配的ip

6、最后输入“ipconfig/renew”，再给主机分配ip

7、分析TCP/IP，三次握手过程
（1）打开Wireshark，打开浏览器输入http://www.guet.edu.cn,回到Wireshark界面，点击左上角的停止按键。查看此时Wireshark的抓包信息。在看抓包信息之前，先简单介绍下Wireshark界面的含义。其中，封包列表的面板中显示编号、时间戳、源地址、目标地址、协议、长度，以及封包信息。
（2）在Wireshark输入http过滤，然后选中“GET”关键字的那条记录。

（3）第一次握手，客户端发送一个TCP，标志位为SYN=1，序号seq为Sequence number=0， 53992 -> 80，代表客户端请求建立连接。
（4）第二次握手，服务器向客户端返回一个数据包，SYN=1，ACK=1，80 -> 53992，将确认序号(Acknowledgement Number)设置为客户的序号seq(Sequence number)加1，即0+1=1。

（5）第三次握手，客户端收到服务器发来的包后检查确认序号(Acknowledgement Number)是否正确，即第一次发送的序号seq加1（X+1= 0+1=1）。以及标志位ACK是否为1。若正确，客户端会再向服务器端发送一个数据包，SYN=0，ACK=1，确认序号(Acknowledgement Number)=Y+1=0+1=1，并且把服务器发来ACK的序号seq(Sequence number)加1发送给对方，发送序号seq为X+1= 0+1=1。客户端收到后确认序号值与ACK=1，53992 -> 80，至此，一次TCP连接就此建立，可以传送数据了。

还可以通过直接看标志位查看三次握手的数据包，如下图所示，第一个数据包标志位(SYN)，这是第一次握手；第二个数据包标志位（SYN,ACK），这是第二次握手；第三个数据包标志位(ACK)，这是第三次握手。

在三次握手的三个数据包之后，第四个包才是HTTP的，说明HTTP的确是使用TCP建立连接的。

8、TCP的四次“挥手”
（1）TCP断开连接时，会有四次挥手过程，标志位是FIN，可在封包列表中找到对应位置

（2）第一次挥手：客户端给服务器发送TCP包，用来关闭客户端到服务器的数据传送。将标志位FIN和ACK置为1，序号seq=X=2242，确认序号ack=Z=17602，53992 -> 80；

（3）第二次挥手：服务器收到FIN后，服务器关闭与客户端的连接，发回一个FIN和ACK(标志位FIN=1,ACK=1)，确认序号ack为收到的序号加1，即X=X+1=2243。序号seq为收到的确认序号=Z=17602，80 -> 53992；

（4）第三次挥手：客户端收到服务器发送的FIN之后，发回ACK确认(标志位ACK=1),确认序号为收到的序号加1，即Y+1=17603。序号为收到的确认序号X=2243，53992 -> 80。