实验2 协议分析.docVIP

实验目的 1.了解网络协议的分析方法 2.掌握协议分析软件ETHEREAL或者SNIFFER的使用 3.巩固对Ethernet II 封包、ARP 分组及IP、ICMP 数据包的认识 实验要求 学会使用协议分析软件ETHEREAL或者SNIFFER 完成报告 实验过程 打开Ethereal，在菜单 Capture 下点击Interfaces， 选取要抓包的网卡， 这里选取地址为 的这个网卡抓取数据包，如图1-4： 图1-4 选择抓取数据包网卡之后在主操作系统 中使用ping 28 –t 的命令，来ping 虚拟机。好，我们来看看抓取的数据包。图1-5 ARP 广播包从Ethereal 的第一栏中，我们看到这是个ARP 解析的广播包，如图1-5。由于这个版本的Ethereal 使用的是Ethernet II 来解码的，我们先看看Ethernet II 的封装格式。如下图1-6： 图1-6 以太网封包格式注意这个和802.3 是有区别的，802.3 的封包格式如图1-7：图1-7 802.3 封包格式尽管 Ethernet II 和802.3 的封包格式不同，但Ethereal 在解码时，都是从“类型”字段来判断一个包是IP 数据报还是ARP 请求/应答或RARP 请求/应答。从Ethernet II 知道了是ARP 解析以后，我们来看看Ethereal 是如何判断是ARP 请求呢还是应答的。我们先复习一下以太网的ARP 请求和应答的分组格式，如图1-8。图1-8 分组格式从上图中我们了解到判断一个 ARP 分组是ARP 请求还是应答的字段是“op”，当其值为0×0001 时是请求，为0×0002 时是应答。如图1-9、1-10。图1-9 ARP 请求 图1-10 ARP 应答 我们看看第三个帧的 内容。第三帧“类型”显示是IP 数据报，如图1-11： 图1-11 ICMP ping 包同样，我们 先复习一下IP 包的封包格式，如图1-12：图1-12 IP 封包格式关于IP 封包各字段的内容及意义，这里就不再详述了，可以参见三卷本的TCP/IP， 的“资源共享”版里有下载。我们主要看看TTL，从图1-13 和1-14 的比较来看，图1-13 中的TTL 是128，而图1-14 中的TTL 却是64，什么原因呢？原来图1-13 中的主机是Windows2000 ，而1-14 中的主机是Linux，看来不同操作系统的TTL 是不同的。图1-13 Windows 主机的TTL 图1-14 Linux 主机的TTL 好了我 们来看看ICMP 报文吧，先看看它的封包格式，如图1-15： 图1-15 ICMP 封包类型关于ICMP 的“类型”和“代码”字段，这里有一个表，如图1-16： 图1-16 ICMP 报文类型ICMP 报文，我们主要对照图1-16 看抓包的情况。 图1-17 ping 请求图1-18 ping 应答