用协议分析工具EtherPeek捕获TCP、UDP数据包并分析.doc

实验-用协议分析工具EtherPeek捕获TCP、UDP数据包并分析实验目的：熟练掌握协议分析工具的使用 掌握TCP/UDP数据的头部信息的含义实验环境：学生机、Boson Netsim。实验内容1 捕获并分析传输控制协议。很多因特网服务，比如HTTP、FTP、SMTP和Telnet，都要依靠TCP来传输数据。2 捕获并分析用户数据报协议。UDP由很多上层协议使用，例如普通文件传输协议(TFTP)和DNS。实验步骤1 启动软件安装和启动EtherPeek2 捕获报文基本步骤（1） 打开程序后，选择Capture(捕获)Start(开始)，或者是工具栏上的开始箭头。（2） 数据传输实现后，再次进入Capture(捕获)菜单，然后选择Stop(停止)或者使用工具栏。（3）进入Capture(捕获)菜单，选择“停止并显示”。（4） 停止捕获后，在对话框最下角增加了一组窗口卷标，包括高级、解码、矩阵、主机表单、协议分布和统计信息。（5） 选择解码卷标，可以看到缓冲器中的所有实际“数据”。分析该卷标结构及其内容。3捕获并分析传输控制协议（1）进入“捕获”，“定义过滤器”。在定义过滤器窗口中，点击“文件”，“新建”。 （2） 转到“高级”卷标，点击IP协议标题旁边的“”号，到下面找到TCP，然后选中TCP。（3）点击OK，关闭定义过滤器窗口。（4）按F10开始捕获TCP流量。（5）分析捕获到的结果(即解释数据包的内容和协议具体实现过程)。4、捕获HTTP协议使用下层TCP协议通过三次握手建立连接的数据包，第1个数据包的长度为 个字节。第2个数据包的长度为 个字节。第3个数据包的长度为 个字节。下面先对第一个TCP包进行数据分析。（分别对三个数据包进行以下的分析，即重复三次）第一行（Source port）：2字节，源端口号 。第二行（Destination port）：2字节，目标端口号 。第三行（Initial Sequence number）：4字节，表示发送数据包的排序序列： 。第四行（Next expected seq number）：表示希望接收数据包的排序序列： 。第五行（Date offset）：1字节，用来说明数据包的大小 。第六行（Reserved Bit）：保留空间，以作未来用。第七至第十三行（Flags）：6字节，标志位，有控制功能。分别为URG，紧急指针为 ；ACK，确认指针为 ；PUSH，不用等待缓冲区装满而直接把报文交给应用层为 ；RST，复位指针为 ；SYN，同步信号为 ；FIN，完成或释放指针为 。此数据包的含义是 。第十四行（Windows）：2字节，发送方希望被接受的数据大小。第十五行（Checksum）：2字节，是根据报头和数据字段计算出的校验和，一定由发送端计算和存储的。校验和为 。第十六行（Urgent pointer）：2字节，紧急指针，告知紧急资料所在的位置。5、捕获并分析用户数据报协议（1） 进入“捕获”，“定义过滤器”。（2） 在定义过滤器窗口中，选择“高级”卷标。从协议列表中，打开IP对话框，然后点击UDP选择框。（3）选择OK按钮关闭定义过滤器窗口。（4）按F10开始捕获UDP流量。（5）现在用完整的域名来对主机执行Ping 命令。进入“开始”，“运行”，并输入ping 。现在按回车键，可以ping这个网站四次。（6）停止并显示捕获结果。（7）分析捕获到的结果。完成以下内容的填写。 第一行（Source port）：2字节，为发送进程的端口号： 。 第二行（Destination port）：2字节，为接