网络基础实验1-协议分析(利用软件Ethereal).doc

1、一、 实验目的和要求： 熟悉掌握Ethereal软件的使用,并应用该软件分析Ethernet帧以及高级协议，从而能够加深对TCP/IP协议栈上的参与通信的网络数据包结构以及通信方式有进一步的了解。 二、 实验内容和原理 1. 安装windows下的Ethereal及WinPcap软件。 2. 捕捉任何主机发出的Ethernet 802.3格式的帧（帧的长度字段<=1500）， Ethereal的capture filter 的filter string设置为：ether[12:2] <= 1500 捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧

2、帧的长度字段>1500, 帧的长度字段实际上是类型字段）， Ethereal的capture filter 的filter string设置为：ether[12:2] > 1500 (1)观察并分析帧结构，802.3格式的帧的上一层主要是哪些PDU？是IP、LLC还是其它哪种？ (2)观察并分析帧结构，Ethernet II的帧的上一层主要是哪些PDU？是IP、LLC还是其它哪种？ 3. 捕捉并分析局域网上的所有ethernet broadcast帧，Ethereal的capture filter 的filter string设置为：ether broadcast (1). 观察并

3、分析哪些主机在发广播帧，这些帧的高层协议是什么？ (2). 你的LAN的共享网段上连接了多少台计算机？1分钟内有几个广播帧？有否发生广播风暴？ 4. 捕捉局域网上的所有ethernet multicast帧，Ethereal的capture filter 的filter string设置为：ether multicast (1). 观察并分析哪些节点在发multicast帧，这些帧的高层协议是什么？ 5. 捕捉局域网上主机10.14.26.53发出或接受的所有ARP包，Ethereal的capture filter 的filter string设置为：arp host 10.14.

4、26.53. (1)主机10.14.26.53上执行 ” arp –d * ” 清楚arp cache. (2)在主机10.14.26.53上 ping 局域网上的另一主机（例如10.14.26.54） (3)观察并分析主机10.14.26.53发出或接受的所有ARP包，及arp包结构。 6. 捕捉局域网上的所有IP广播包，Ethereal的capture filter 的filter string设置为：ip broadcast (1). 观察并分析哪些节点在发广播包，这些包的高层协议是什么？ 7. 捕捉局域网上的所有IP组播包，Ethereal的capture filte

5、r 的filter string设置为： ip multicast (1). 观察并分析哪些节点在发组播包，这些包的高层协议是什么？ 8. 捕捉局域网上的所有icmp包，Ethereal的capture filter 的filter string设置为：icmp (1). 在主机10.14.26.53上 ping 局域网上的另一主机（例如10.14.26.54）。 (2). 观察并分析主机10.14.26.53发出或接受的所有icmp包，及icmp包的类型和结构。 9. 捕捉主机10.14.26.53和www服务器之间的通信（这里主机10.14.26.53可以是自身，也可以是通过普通

6、HUB（而不是交换机）与本机相连的LAN上的其它主机或路由器, IP地址也不要求一定是10.14.26.53, 下同），Ethereal的capture filter 的filter string设置为：host 10.14.26.53 and (1)主机10.14.26.53用IE访问www服务器。 (2)观察并分析10.14.26.53和www服务器之间传输的Ethernet II (即DIX Ethernet v2) 帧结构，IP数据报结构，TCP segment结构，HTTP PDU结构。 (3)观察并分析10.14.26.53和www服务器之间建立TCP连接时的三次握手过程

7、 10. 捕捉局域网上主机10.14.26.53发出或接受的所有FTP包（即src or dst port＝21），Ethereal的capture filter 的filter string设置为： tcp port 21 and host 10.14.26.53 (1). 在主机10.14.26.53上用FTP客户端软件访问FTP server。 (2). 观察并分析10.14.26.53和FTP server之间传输的Ethernet II (即DIX Ethernet v2) 帧结构，IP数据报结构，TCP segment结构。 (3). 观察并分析FTP PDU名称和结构

8、注意10.14.26.53发出的FTP request PDU中以USER开头、以PASS开头的两个PDU，他们包含了什么信息？对INTERNET的FTP协议的安全性作出评价。 11. 捕捉局域网上主机10.14.26.53发出或接受的所有POP包（即src or dst port＝110），Ethereal的capture filter 的filter string设置为： tcp port 110 and host 10.14.26.53 (1). 在主机10.14.26.53上用outlook express 或foxmail收取邮件。 (2). 观察并分析10.14.26.5

9、3和MAIL server之间传输的Ethernet II (即DIX Ethernet v2) 帧结构，IP数据报结构，TCP segment结构。 (3). 观察并分析POP3 PDU名称和结构。注意10.14.26.53发出的POP3 request PDU中以USER开头、以PASS开头的两个PDU，他们包含了什么信息？对INTERNET的EMAIL软件的安全性作出评价。 三、 主要仪器设备 包嗅探及协议分析软件Ethereal，联网的PC机。 四、 操作方法与实验步骤 1：安装Ethereal； 2：如图，设置capture filter： 3：设置

10、capture opinion： 4：单击start，开始捕获帧： 5：分析捕获结果； 6：接下去的方法大同小异，除开capture filter的设置有区别，不再重复叙述。 注意：一些要用本机IP操作的部分，IP全部换成了自己电脑的IP 10.110.38.82 五、 实验数据记录和处理 2（1）：帧结构如下 （2）：抓包结果显示如下 帧结构如下： 3：捕获结果如下 主机会话分析数据如下： 4：捕获结果如下： 5：捕获结果如下： 6：捕获结果如下： 7：捕获结果如下： 8：捕获结果

11、如下： 9：捕获结果如下： 10：捕获结果如下： 11：捕获结果如下： 六、 实验结果与分析 2（1）：LLC； （2）：IP 3（1）：主要有88:ae:1d:3c:43:0b、54:42:49:67:e2:57、f0:de:f1:3b:da:15、00:23:8b:df:3e:4b、00:1f:29:9f:7e:f9、00:1a:80:ed:6a:4f等这些主机在广播，采用ARP协议； （2）： 在一分钟内有292台主机；1716个广播帧，没有发生广播风暴。 4（1）：一分钟有691个节点在进行multicast，这些帧的高层协议有UDP、AR

12、P、SSDP、ICMPv6等 5（1）：因为本地连接IP为10.110.38.82，所以改成了这个IP。 ARP包结果如下： 6（1）： 主要是210.32.163.226、10.110.39.19、10.110.39.24、10.110.36.181等这些节点在发送IP广播包，高层协议为UDP。 7（1）：主要是10.110.38.219、10.110.52.70、10.110.67.34等10.110.*.*网段的主机在发送ip multicast，这些包的高层协议为SSDP和UDP。 8（1）： 10.110.38.82->10.110.38.219，4

13、个icmp包 10.110.38.82->10.110.38.176，18个icmp包 9（2）： Ethernet V2帧中，00 23 8b e8 54 c0这段是目的地，00 12 44 cb 18 40 这段是来源，08 00这段表明上层协议类型是IP 这是IP数据包的内容，版本占4bits，header长度占4位，区分服务占8bits，总长度16位，标识占16位，标志(flag)占3位，片位移占13位，存活时间占8位，协议占8位，首部检验和（header checksum）占16位，源地址32位，目的地址32位。 这是TCP segment的内容

14、 其中source port占16位，目的端口16位，序号32位，确认号32位，header长度占8位，标志占8位，窗口16位，检验和16位。 这是HTTP PDU的内容，包含请求行/状态行、消息头、消息体，图中是一个Request Message。 （3）： 图中为三次握手的过程，先是主机给服务器发送一个TCP段，等待服务器的相应，服务器接受请求后，也发一个TCP段回应主机，主机接受后，再次发送一个TCP段告知服务器自己已准备好同步。 10（2）： 这是ethernet V2帧的内容，其中destination占48位，source占48位，剩余16位表示类型

15、为IP。 这时IP包的内容，其中版本占4bits，header长度占4位，区分服务占8bits，总长度16位，标识占16位，标志(flag)占3位，片位移占13位，存活时间占8位，协议占8位，首部检验和（header checksum）占16位，源地址32位，目的地址32位。 这是TCP段的内容，其中source port占16位，目的端口16位，序号32位，确认号32位，header长度占8位，标志占8位，窗口16位，检验和16位。 （3）： 这两个PDU分别包含了命令类型和用户名和密码的信息，这些信息都是明文传送，未经加密的，说明FTP协议传输的安全性并没有保证。

16、 11（2）： Ethernet V2帧结构，其中目的地48位，来源占48位，最后16位表明类型是IP IP数据包结构，其中版本占4bits，header长度占4位，区分服务占8bits，总长度16位，标识占16位，标志(flag)占3位，片位移占13位，存活时间占8位，协议占8位，首部检验和（header checksum）占16位，源地址32位，目的地址32位。 TCP段结构，其中source port占16位，目的端口16位，序号32位，确认号32位，header长度占8位，标志占8位，窗口16位，检验和16位。端口位110表明在用pop方式收取邮件 （3）： （自己邮箱的密码就打码处理了） 包含了命令类型和具体参数的值。用户名和密码都是明文方式传送的，这说明单纯的POP3协议不够安全，实际使用中最好用SSL等方式进行加密。 七、 讨论、心得 通过这次试验我学会了ethereal软件抓取包的方式，并对各种协议类型与结构有了初步的了解，能够通过该软件大概分析数据包的结构。刚开始走了不少歪路，导致完全捕捉不到数据包，但经过自己的摸索终于明白了软件的正确使用方法。