etheral抓包分析.docVIP

辽宁工业大学 创新实验（论文） 题目 ethereal抓包分析 电子与信息工程学院 院（系）通信工程 专业 072 班 学生姓名 谭超 学 号 070305034 指导教师 李宁 开题日期：2010 年 6 月 10 日 实验目的： 本实验使用开源网络协议分析器Ethereal，从网络中抓包，并选择几种协议进行分析。 一、安装Ethereal、用Capture Options(捕获选项)对话框来指定跟踪记录的各个方面、开始抓包。 1、安装Ethereal 从网络下载得到该软件，并进行安装。过程略。 2、捕获选项 图1捕获选项的设置 3、开始抓包 点击上图中的“Start”开始抓包 图2 开始抓包 二、分析UDP、TCP、 ICMP协议 1、UDP协议 UDP 是User Datagram Protocol的简称， 中文名是用户数据包协议，是 OSI 参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。它是IETF RFC 768是UDP的正式规范。1） UDP是一个，传输数据之前源端和终端不建立连接，当它想传送时就简单地去抓取来自应用程序的数据，并尽可能快地把它扔到网络上。在发送端，UDP传送数据的速度仅仅是受应用程序生成数据的速度、计算机的能力和传输带宽的限制；在接收端，UDP把每个消息段放在队列中，应用程序每次从队列中读一个消息段。 　　（2） 由于传输数据不建立连接，因此也就不需要维护连接状态，包括收发状态等，因此一台服务机可同时向多个客户机传输相同的消息。 　　（3） UDP信息包的标题很短，只有8个字节，相对于TCP的20个字节信息包的额外开销很小。 　　（4） 吞吐量不受拥挤控制算法的调节，只受应用软件生成数据的速率、传输带宽、源端和终端主机性能的限制。 　　（5）UDP使用尽最大努力交付，即不保证可靠交付，因此主机不需要维持复杂的链接状态表（这里面有许多参数）。 　　（6）UDP是面向报文的。发送方的UDP对应用程序交下来的报文，在添加首部后就向下交付给IP层。既不拆分，也不合并，而是保留这些报文的边界，因此，应用程序需要选择合适的报文大小。 方框左边是十六进制的数据,右边是ASCII码。报文的二进制码，即发送的最原始内容。 选择其中第8个包进行分析。 图4 第8个Frame 第1行，现在此贞基本信息。名称，692字节。 第2行，显示到达时间2010.07.02。 第3、4行，现在使用时间。 第6、7行，现在贞长度和捕获长度，都是692字节。 第8、9、10行，现在此贞类型，为UDP类型。 图5 以太网”. 图6 Internet协议 第1行，给出了源地址和目的地址，分别为60.21.240.12；218.56.158.86。 第2行，Version＝4，表示IP协议的版本号为4，即IPV4,占4位，Header Length=20 Bytes，表示IP包头的总长度为20个字节，该部分占4个位。所以第一行合起来就是一个字节。 第3行，给出头长度，20字节。 第6行，Identification=40793，表示IP包识别号为40793。该部分占两个字节。 第7行，Flags，表示片标志，占3个位。各位含义分别为：第一个“0”不用，第二位为不可分片位标志位，此处值为“1”表示该数据表禁制分片。第三位为是否最后一段标志位，此处“0”表示最后一段。 第10行，给出贞类型，为UDP。 第11行，Header Checksun=0xf43c(correct)，表示IP包头校验和为0xf43c，括号内的Correct表示此IP数据包是正确的，没有被非法修改过。该部分占两字节。 图7 用户数据报协议 第2行，源端口：13237。2字节，源端口号，即发送这个TCP包的计算机所使用的端口号。 第3行，目的端口：10611。2字节，目标端口号，即接受这个TCP包计算机所使用的端口号。 第4行，长度658字节。 第5行，Checksum－检验和，校验和。在数据处理和数据通信领域中，用于校验目的的一组数据项的和。这些数据项可以是数字或在计算检验和过程中看作数字的其它字符串。在族（Internet protocol suite）中，TCP层是位于IP层之上，应用层之下的中间层。不同主机的应用层之间经常需要可靠的、像管道一样的连接，但是IP层不提供这样的流机制，而是提供不可靠的包交换。TCP建立连接之后，通信双方都同时可以进行数据的传输，其次，他是全双工的；在保证可靠性上，采用