实验2－协议分析软件Ethereal

1、课程名称:姓 名:学 院:系: 专 业:号:指导教师:本科实验报告计算机网络基础计算机学院软件学院软件工程陆魁军陈辉2013年1月4 日浙江大学实验报告课程名称：计算机网络基础实验类型：综合性实验实验项目 名称：使用 ethereal 分析 ethernet帧及高层i办议学生姓名：专业：软件工程学号:同组学生姓名：无指导老师： 陆魁军实验地点：曹曲软件学院机房实验日期:2013年 丄月-日一、实验目的和要求：熟悉掌握ethereal软件的使用，并皿用该软件分析ethernet帧以及高级协议，从而能够加 深对tcp/ip协议栈上的参与通信的网络数据包结构以及通信方式有进-步的了解。二、实验内容和

2、原理1. 安装 windows f的 ethereal 及 winpcap 软件。2. 捕捉任何主机发出的ethernet 802.3格式的帧(帧的长度字段<=1500),ethereal的capture filter 的 filter string 设置为：ether12:2j <= 1500捕捉任何主机发出的dix ethernet v2 (即ethernet ii)格式的帧(帧的长度字段>1500, 帧的长度字段实际上是类型字段)，ethereal的capture filter的filter string设置为： etherfl2:21> 1500(1) 观察并分

3、析帧结构，802.3格式的帧的上一层主要是哪些pdu?是ip、llc还是 其它哪种？(2) 观察并分析帧结构，ethernet ii的帧的上一层主要是哪些pdu?是ip、llc还是 其它哪种？3. 捕捉并分析局域网上的所冇 cthcmct broadcast 帧，ethereal 的 capture filter 的 filter string 设置为：ether broadcast(1) .观察并分析哪些主机在发广播帧，这些帧的高层协议是什么？(2) .你的lan的共享网段上连接了多少台计算机？ 1分钟内有几个广播帧？有否发 生广播风暴？4. 捕捉局域网上的所有 etheniet multi

4、cast 帧，ethereal 的 capture filter 的 filter string 设 置为：ether multicast(1) .观察并分析哪些节点在发multicast帧，这些帧的高层协议是什么？5. 捕捉局域网上主机3发出或接受的所有arp包,ethereal的capture filter的 filter siring 设置为：arp host 1().14.26.53.主机 3 ± 执行"a 卬-d * ''清楚 arp cache.(2) 在主机3上ping局域网上的另一主

5、机(例如4)(3) 观察并分析主机3发出或接受的所冇arp包，及arp包结构。6. 捕捉局域网上的所有ip广播包,ethereal的capture filter的filter string设置为：ipbroadcast(i) .观察并分析哪些节点在发广播包，这些包的高层协议是什么？7. 捕捉局域网上的所有ip纽播包，ethereal的capture filter的filter string设置为：ip multicast(1).观察并分析哪些节点在发组播包，这些包的高层协议是什么？8. 捕捉局域网上的所有icmp包，ethereal的capture fi

6、lter的filter string设置为:icmp(1) .在主机3 ± ping局域网上的另一主机(例如4)。(2) .观察并分析主机3发出或接受的所有icmp包,及icmp包的类型和结 构。9. 捕捉主机3和www服务器之间的通信(这里主机 3 nj*以是口身，也可以是通过普通hub (而不是交换机)本机相连的lan 上的其它主机或路由器,ip地址也不要求一定是3,下同)，ethereal的capture filter 的 filter string 设置为：

7、host 104.26.53 and (1)主机 3 用 ie 访问 www 服务器 。观察并分析3和www服务器之j'可传输的ethernet ii (b|j dix ethernet v2)帧结构，ip 数据报结构，tcp segment 结构，http pdu 结构。(3) 观察并分析3和www服务器 z间建立tcp连接时的三 次握手过程。10. 捕捉局域网上主机3发出或接受的所有ftp包(即sre or dst port = 21), ethereal 的 capture filter 的 filt

8、er string 设置为:tep port 21 and host 3(1) .在主机3上用ftp客户端软件访问ftp server。(2) .观察并分析 3 和 ftp server z间传输的 ethernet ii (即 dix ethernet v2) 帧结构，ip数据报结构，tcp segment结构。(3) .观察并分析ftp pdu名称和结构。注意3发岀的ftp request pdu + 以user开头、以pass开头的两个pdu,他们包含了什么信息？对internet的 ftp协议的安全性作出评

9、价。11. 捕捉局域网上主机3发岀或接受的所有pop包(即sre port 110 or dst port 110), ethereal fl'j capture filter 的 filter string 设置为:tep port 110 and host 3(1) .在主机 3 上用 outlook express 或 foxmail 收取邮件。(2) .观察并分析 3 和 mail server 之间传输的 ethernet ii (即 dix ethernet v2) 帧结构，ip数据报结构，tc

10、p segment结构。(3) .观察并分析pop3 pdu名称和结构。注意3发出的pop3 request pdu 中以user开头、以pass开头的两个pdu,他们包含了什么信息？对internet 的email软件的安全性作出评价。三、主要仪器设备包嗅探及协议分析软件ethereal,联网的pc机。四、操作方法与实验步骤使用wireshark替代ethereal,在win7 64为系统上运彳亍。1.打开软件，点击“木地连接” the wireshark network analyzer wireshark 1.11.2 (svn rev 53411 from /tru

11、nlfie edt y»ew go capture analyze statistics telephony tools internals heb白議xq q电冷苓曇（5回題0®凸 回帕餡i国alter: | expression. c ear apply savedevelopment versionwiresharkthe world's most popular network protocol analyzerversion 1.11.2 (svn rev 53411 from /trunk)capturefilesonliopenopart prnouw

12、y e«plur*d fik£ websiteth* preset',open recent:sample capturesa rich jwftmenf o< example capture on the »vkiuser's guidem uwri gukte (2 vinicn, f inssecuritywork wlh v/irechark m mca"/ minterface listlive ktofth* ciptix* (counts incoming pdck«ts)fct无炭环a连接 国无戋网capt

13、ure optionsstart a capture wih decked otiomcapture helphow to capturestep by s?ep to a sccessfu! captxe setupnetwork mediaspec民 nformabcn for cipturr on:2输入每一题相应的filter string3.开始进行抓包并进行相应操作 the wireshark network analyzerwireshark 1.11.2 (svn rev 53411 from /trunk)4 停止抓包并保存五、实验数据记录和处理no. timesourced

14、esbnatiocprotocol length wo5 7.9993310cxcisco_90:ea:91spanning-tree*(f or-bridges).005tpnw"：%咳"貝详口£ w4i 丄 hd id 勰儿!9 14.850647000c1$co.90:ta:9lcop/vtp/dtp/fagp/udldcop 419 mvlct xo： cgb-x- rort id: fasteth<rn<to/17e "mt $: 60 bytes on wirt (480 bits). 60 t>yt«3 capt

15、ured (480 bits) on interface 0 a xckc 802.3 ethernet (m$t1nat1on: spann1n9-tre«-(for-br1d9«$).00 (01:80:c2:00:00:00) source: clsco.90:«a:91 (00:ll:93:90:ea:91)length: )padding： 0000000000000000(fi logical-link control. spanning trtt protocol0000 u b001000?00030心分析选屮的那一行，数据包以ieee 802.

16、3 ethernet帧格式封装。从屮间的协议树窗口 可以得知,帧格式第一个字段destination address（6字节）为01:80:c2:00:00:00,第二 个字段 source address （6 字节）为 00:11:93:90:ea:91,第三个字段 length（2 字节）为 380 帧的上一层协议是 logical-link contorl （llc）。2.2b 0.心“go4 0. tosmooo> l.vmrw 2.mu/m00 r 2.0m0mq00 2.ui21moo 9 2. unmoo10 2.m411moo11 ?.m444$00012 j.7m1s

17、m00 1) ).<nt74*x)o 14 l.ommko 1) 1.1m)51xx)o xe ).5$5)0«000 17 >. m05j000 is a. q6m000 ! 1.m1m4000io :u.ii.imiithitiltbrio.?14.ii.u«1o.2w.|>i0.h4.11.1w10.h4 11 ?$u.h4.11.m. ni.ll.jis10. /14.11.1mm.0. tufmo：:rm：mo：mjrroj x iio. n4.n.im 10m4. 11 i"10.m4.il.imqumacl47,林io.a4.n.m

18、30scny":yoc qujm jco.4/：cr：«r2?m. !.>$10. m4.il. ms roaott roatfemtxo.tm.ll.lss 10.z14.u.255 roedcot10.214.u.1x>10. a<.u.2$=ei三zawaar query mi mfacko*3 ham query ml io«oo>3 *n query mi mpacroo*3 *i4» mw«fy w 10川m >lw4rd0x0x4 a mm stftndurd wutry oxo

19、u a <>«)m t<4hdjrd uery oxclla a <>"h st«adare n 0x013 a mw *e query mi l0.?14«00»3 z»r query mi atao<0 «ho 10.214.11.f»h 10.114.11.imo who has 70$. 12). 17 t»h 222.2w.121.192 wv query mo 1o.214*«o>92 ham query he afadcoo*60 who

20、has * ttll 10. z14.ll.122o «tu> has 222.2os.12s.1t tell 222.20$. 123.1992 query ximk10： oudlhb c!d： 0001oooi 1 >«4bmo?mo?b7eml7 l! m bytet on " </m mis) w »y«ei cleared bits) 5 imerfme 0etherxx. s«:('4：8：»:工：“：九 ost:(ft：ff :ff ：ff iff ：ff) 0

21、r$«4nmlwv:(ff ;ff ff ;ff ；ff ；ff) 5q«：卩4；8：掩；“；)ryw： « (o»otoo)rrefetel vtlor tr<! 10.n4.ll.im儿 off! u (10.j14.ll.2s%) w«rfrmocele fre erti rw«b1wh« (!” 0»t vrti r«b1w*m cll) mtam mm mrvke0010 00 < u ftb 00 00 so 11oojo ob ff 00 59 00 s9

22、00 乂 u z00 >o 匚叙* ？分析选中的那一行，数据包以dix ethernet v2(ethernet ii)帧格式封装。从中间的 协议树窗口可以得知，帧格式第一个字段destination address(6字节)为 ff:ff:ff:ff:ff:ff,物理地址全为ff的是广播包,第二个字段source address (6字节) 为74:do:2b:7e:86:6b,第三个字段type是0x0800,表示帧的上一层协议是internet protocol(ip) ono. time1 0.0000000002 1.6384130003 2402455000source10.

23、214.11.1303030oestinabon555555protocol length929292nbnsnbn5nbnsinfoname query nb v»pad<00> nme query nb “ad<0oa name query nb wpad<00>arp60 who has 10.214.n.tell 225 3.1666740006 4.274751ooo7 5.0387310008 5.8o3o55o

24、oo9 5.840122000 5.84646000 5.847356000 5.847723ooo$.848089000s. 8484690001011111415 6. 30417400016 7.34780100017 8.11198600018 8.s7632oooo19 0.9022000303030302222210.214.ix.1222asusttlcc.7:s6:6b10.

25、214.11.13030)03055555555555555555555broadcast55555555nbns nbns nbns nbns db-lsp- db-lsp- dblsp db-lsp-

26、db-lsp- 08-lsp-92 name query nb tapad<00>929292154154154154154154name query nb wpad<00> name query nb v»pa£><00> name query nb 1rpad<00> oropbox dropbox dropbox dropbox oropbox oropboxlan lan lan lan lanlansync sync sync sync sync syncdiscovery discovery discover

27、y discovery discovery discovery ttllarp3 who has ?n8n592 name query nb wpad<00>nbns92 namt query nb wpad<00>nbns92 namt query nb wpad<00>nbns11192 name query nb wpad<00>protocolprotocolprotocolprotocol protocolprotocol29 frame 4: 60 bytes on wire (480 bi

28、ts). 60 bytes captured (480 bits) on interface 0 ethernet xi. src: sony_67:4c:0c (fo:bf:97:67:4c:0c) dst: broadcast (ff:ff:ff:ff:ff:ff) destination: broadcast (ff:ff:ff:ff:ff:ff)i source: sony_67：4c:0c (fo:bf:97:67:4c:0c) type： arp (oxosoe)padding： oooooooooooooooooooooooooooooooooooo address resolu

29、tion protocol (request)0000001000200030:oc :oc )0008 06oa d600 0000 01ob 7aoo oo)ocflf i矗匚7邮时jt mg(1 )可以看到，这些广播帧的高层协议为address resolution protocol (arp)和netbios name server (nbns) (2)我的lan的共享网段上连接了 2台计算机。1分钟内冇8个广播帧。没冇发生广播风暴。no. timesourcedestination2 0659057000fe80：:f4ee：8a49：cffffo2：1：23 1422249000f

30、e80：453f：934d：5ccffo2：1：2protocol length infodhcpv6150 solicit xid： 0x74aad4 cid： 0001000119a6b09474d02b7e85b3dicpv6150 solicit xid： ox3ab939 cid： 0001000119a6bcdd74do2b7ai77b6 5.431357000fe80：453f：934d：5ccffo2：1：2dhcpv6 150 solicit xid： ox3ab939 cid： 0001000119a6bcdd74d02b7al77b9 8.466881000sony_67

31、:4c:0cbroadcastarp60 who has?tell 2211 10.47070800012 11.28667500013 11.28902000014 11.28911700015 11.28914900016 11.289318000fe80:9cb8:9aa5:934ff02:222222255.255255.255255.255255.255255.255255.255255.255255.255255.255

32、255.25517 11.289447000255v6spspspspspsp p l l l l l i dhcde-de-s:豐154 solicitxid： 0xc760c7 cid： 000100011saooaf4e89a8f470fef154 dropbox154 dropbox154 dropbox154 dropbox154 oropbox154 oropboxlam lan lan lan lan i amsync discovery sync discovery sync discovery sync discovery syn

33、c discovery sync discoveryprotocol protocol protocol protocol protocol protocolfrate 2: 1.50 bytgs on wire (1200 bits) 150 bytes captured (1200 bits) on ，皿厂#3619 13.4m264000f*80： ：453f ：934d：5ccff02： ：1：2dhcpv6 150 solicit xto： ox3ab939 cid： 0001000119a6bcdd74d02b7al77bethernet src: asustekc_7e:85:b

34、3 (74:do:2b:7e:85:b3), ost: ipv6kast_01:00:02 (33:33:00:01:00:02) destination: ipv6®cast_01:00:02 (33:33:00:01:00:02)j source: asustekc_7e:85:b3 (74:do:2b:7e:85:b3)type: ipv6 (ox86dd)j internet protocol version 6. src: fe80:f4ee:8a49:cff2:abb6 (feso:f4ee:8a49:cff2:abb6), dst: ffo2:1:2 (ffo2:1:2

35、) j user datagram protocolt src port: dhcpv6-client (546) dst port: dhcpv6-server (547)i dhcpv60000001000?000300040ccuc00 cf 0000go f2 01 0811ab000001 b6 02 02ff02188002229c0000020000000100000000000060oe0000e7000000 2e 01000100i：. j7401o 哲 france (frame), 150 bytespackets: 122 dfiptayed: 122 (100.0%

36、 load ume: 0:00.003profte: deult©中j可以看到这些组播帧的高层协议冇arp协议、llc协议以及stp协议。(1)timesourcedestination1 0.000000000 asustekc_7e:86:79 broadcast2 0.000500000 cisco_90:ea:803 4.9817200004 4.982384000asustekc_7e:86:79asustekc_7e:86:79 broadcast cisco.90:ea:80asustekc_7e:86:79protocol length infoarparparpar

37、p42 who has ? tell 3360 is at 00:11:93:90:ea:8042 who has ? tell 3360 is at 00:ll:93:90:ea:80-i address resolution protocol (request)hardware type: ethernet (1)protocol type: ip (0x0800) hardware size: 6protocol size: 4opcode: reque

38、st (1)sender mac address: asu$tekc_7e:86:79 (74：d0:2b:7e：86:79) sender ip address: 33 (33)target mac address: 00:00:00.00:00:00 (00:00:00:00:00:00)target ip address: ()0000 ff ff ff ff ft ff 74 do 2b 7e 86 79 08 06 00 01 t. l.y.0010 08 00 06 04 00 01 74 d

39、o 2b 7e 86 79 oa d6 ob 85 t. s.y0020 00 00 00 00 00 00 oa d6 ob 01第一个arp包:长度2 bytes2 bytes1 byte1 byte2 bytes字段hardware typeprotocoltypehardware sizeprotocol sizeopcode值0x00010x0800640x0002长度6 bytes4 bytes6 bytes4 bytes字段sender mac addresssender tp addresstarget mac addresstarget tp address值74:d0:2b

40、:7e:86:7910.214. 11. 13300:00:00:00:00:0010. 214. 11. 1第二个arp包:长度2 bytes2 bytes1 byte1 byte2 bytes字段hardware typeprotocoltypehardware sizeprotocol sizeopcode值0x00010x0800640x0002长度6 bytes4 bytes6 bytes4 bytes字段sender mac addresssender tp addresstarget mac addresstarget tp address值00:11:93:90:ea:8010

41、.214. 11. 13374:d0:2b:7e:86:7910.214. 11. 133第三个arp包:长度2 bytes2 bytes1 byte1 byte2 bytes字段hardware typeprotocoltypehardware sizeprotocol sizeopcode值0x00010x0800640x0002长度6 bytes4 bytes6 bytes4 bytes字段sender mac addresssender ip addresstarget mac addresstarget ip address值74:d0:2b:7e:86:7910.214. 11.

42、13300:00:00:00:00:0010.214. 11. 1长度2 bytes2 bytes1 byte1 byte2 bytes字段hardware typeprotocoltypehardware sizeprotocol sizeopcode值0x00010x0800640x0002长度6 bytes4 bytes6 bytes4 bytes字段sender mac addresssender ip addresstarget mac addresstarget ip address值00:ll:93:90:ea:8010.214. 11. 174:d0:2b:7e:86:7910

43、.214. 11. 133第四个arp包:sourcedestinationprotocol length infono. time1 0.000000000 asust elcc_7e: 86:79 broadcast3 0.0011510004 o.oo1183oooasustekc_7e:86:6b broadcastasustekc.7e:s6:79 asustekc.7e:86:6barparp60 who has 33? tell 2942 33 is at 74:d0:2b:7e:86:79arp42whonas

44、29? tell 33s frame 1: 42 bytes on wire (336 bits), 42 bytes captured (336 bits) on interface 0 ethernet llt src: asustekc.7e:86:79 (74:do:2b:7e:86:79), ost: broadcast (ff:ff:ff:ff:ff:ff) 曰 address resolutlcxi protocol (request)hardware type: ethernet (1)protocol type: ip (0x080

45、0)hardware size: 6protocol size: 4opcode: request (1)sender mac address: asustekc_7e:86:79 (74:d0:2b:7e:86:79)sender ip address: 33 (33)trnpr mat address： o6：oo：oo oo：oo：on0000 ff ff ff ff ff ff 74 do . 二 86 79 08 06 00 01t?0010 08 00 06 04 00 01 74 do 2b 7e 86 79 oa d6 ob 85t.

46、 iy0020 00 00 00 00 00 00 oa d6 ob 81第一个arp包:长度2 bytes2 bytes1 byte1 byte2 bytes字段hardware typeprotocoltypehardware sizeprotocol sizeopcode值0x00010x0800640x0002长度6 bytes4 bytes6 bytes4 bytes字段sender mac addresssender ip addresstarget mac addresstarget ip address值74:d0:2b:7e:86:7910.214. 11. 13300:00

47、:00:00:00:0010.214. 11. 129第二个arp包:长度2 bytes2 bytes1 byte1 byte2 bytes字段hardware typeprotocoltypehardware sizeprotocol sizeopcode值0x00010x0800640x0002长度6 bytes4 bytes6 bytes4 bytes字段sender mac addresssender ip addresstarget mac addresstarget ip address值74:d0:2b:7e:86:6b10.214. 11. 12974:d0:2b:7e:86:

48、7910.214. 11. 133第三个arp包:t度2 bytes2 bytes1 byte1 byte2 bytes字段hardware typeprotocoltypehardware sizeprotocol sizeopcode值0x00010x0800640x0002长度6 bytes4 bytes6 bytes4 bytes字段sender mac addresssender ip addresstarget mac addresstarget ip address值74:d0:2b:7e:86:6b10.214. 11. 12900:00:00:00:00:0010.214.

49、11. 133第四个arp包:no. time1 0.0000000002 0.0020990003 0.0021000004 o.oo2262ooo$ 0.0022640006 0.610s9s0007 286613960008 30.0181740009 3o.o2o437ooo10 3o.o2o595ooo11 30.02080400012 3o.o2o9o5ooo13 60.03646700014 60.03930400015 60.03930500016 60.03940300017 60.039695000source22 22 10.2

50、14.11.122 22 22 28 35 22 22 22 22 22 22222 22oesbnmon555555555555

51、55555555 255255255255555555 2552552552555555length intoimdropboxlan1s4dropboxlan154dropboxlan154dropboxlan154dropboxlan342dhcp inform342dhcp informimdropboxlan154dropboxlan154dropboxl

52、an154dropboxlan154dropboxlan1s4dropboxlan154dropboxlan154dropboxlan154dropboxlan1s4dropboxlankolspspspspspspspspspspspspspspsp wlllllppllllllllll "d8d6d6dbd6dtkdhcd8d6d6dbd6d6dbd8(>bd5sync sync sync sync syncolscovery discovery discovery discovery discoveryprotocol protocol protocol protocol

53、 protocol transaction id 0x9e774c37 transaction id 0x3ede6781sync olscovery sync discovery sync discovery sync discovery sync discovery sync discovery sync discovery sync discovery sync discovery sync discoveryprotocol protocol protocol protocol protocol protocol protocol protocol protocol protocol154 bytes on wire (1232 bits). 1s4 bytes captured (1232 bits) on interfacec xx, src: sony_67:4c:0c (fo bf: 9764).* internet protocol version 4t src: 22 (22), ost: 25s.2ss.25s.2ss (2ss.2s5.25s.255)* user datagram protocol, src port: db-lsp-disc (17soo). dst port: db-lsp-d