用Ethereal进行协议分析.docVIP

用Ethereal进行协议分析 5.1 实验性质 本实验为操作分析性实验。 5.2 实验目的 1. 掌握Ethereal软件的基本使用方法 2. 掌握基本的网络协议分析方法 3. 通过抓包工具，分析Mac帧的格式、ARP分组的格式、IP数据报的格式、ICMP报文的格式、TCP报文段的格式、UDP数据报的格式。 5.3 实验环境 1. 分组实验，每组4~8人 2. 设备：计算机4~8台 3. 网络环境:LAN或Internet 4. Ethereal软件 5.4 实验用时 .5 实验内容与要求 5.5.1 下载、安装Ethereal Ethereal下载网址: /download.html 到Ethereal的站站后，点击download，接着选择要安装的系统平台，如Windows或Linux（Red Hat / Fedora），然后点击下载链接即可进行下载。 Ethereal的安装非常简单，只要执行ethereal-setup-0.99.0.exe），然后按提示操作。 注意：安装时，要勾选Install　Winpcap。WinPcap是libpcap library的Windows版本。Ethereal可透过WinPcap来劫取网络上的数据包。在安装Ethereal的过程中也会一并安装WinPcap，不需要再另外安装。…项。 打开如下图所示窗口。 选择要抓包的接口右边的Capture按钮，本例选择了抓取IP地址为6的接口。 点击Capture按钮后将启动抓包过程。 注意：为配合抓包，需要进行网络通信。 1）要抓ARP分组的包、ICMP报文的包、UDP数据报，在CMD窗口中，使用命令删除当前ARP缓存,使用PING命令PING某台主机IP（例如PING 网关IP），使用TRACERT命令跟踪分组从源点到终点的路径（例如TRACERT 网关IP）。 2）要抓取TCP报文段，需打开IE浏览器，访问一个WWW网站（例如）。 将窗口切换到Ethereal，可以看到抓到了TCP、UDP、ICMP、ARP的包，如下图所示。）–D”命令删除ARP缓存，用以抓取ARP分组; (3)在CMD窗口运行“PING 54”，用以抓取ICMP报文； (4)在CMD窗口运行“TRACERT 54”，用以抓取UDP数据报和ICMP报文； (5)在浏览器窗口打开HTTP://WWW.BAIDU.COM网站，用以抓取TCP报文段。 点击Stop按钮完成抓包。如下图所示。 5.5.4 分析 1. 分析MAC帧（以太网帧）格式 点击窗口中ARP请求分组所在的行，展开下面的EthernetII。分析MAC帧的格式，如下图所示。 目的地址（广播地址）：Destination :Broadcast 2．分析ARP请求分组和应答分组格式 点击窗口中ARP请求分组所在的行，分析所捕获的ARP请求分组。如下图所示。 点击窗口中ARP应答分组所在的行，分析所捕获的ARP应答分组。如下图所示。 3．分析IP数据报格式 点击ICMP报文所在的行，展开Internet Protocol。分析IP数据报。如下图所示。 4．分析ICMP报文格式 点击ICMP报文所在的行，展开Internet Control Message Protocol分析ICMP报文。如下图所示。 5．分析UDP数据报格式 点击DNS协议所在的行，展开User Datagram Protocol。分析UDP数据报格式。如下图所示。 6．分析TCP报文段格式 点击DNS协议所在的行，展开User Datagram Protocol。分析TCP报文段的格式。如下图所示。 5.6 实验总结 “名字指出我们所要寻找的那个资源，地址指出那个资源在何处，路由告诉我们如何到达该处。” --------《SHOC78》 21世纪的一些重要特征就是数字化、网络化和信息化，它是一个以网络为核心的信息时代。要实现信息化就必须依靠完善的网络，因为网络可以非常迅速地传递信息。因此网络上面已经成为信息社会的命脉和发展知识经济的重要基础。 通过本次试验，我们了解到只有更深入地掌握了IP协议的主要内容，才能理解因特网是怎样工作的。IP地址放在IP数据报的首部，而硬件地址（MAC地址）则放在MAC帧的首部。在网络层和网络层以上使用的是IP地址，而数据链路层及以下使用的是硬件地址。当IP数据报放入数据链路曾的MAC帧中以后，整个的IP数据报就成为MAC帧的数据。因而在数据链路层看不见数据报的IP地址。地址解析协议ARP,逆地址解析协议RARP。IP地址-(ARP-(物理地址（MAC），物理地址-(RARP