网络基础实验1-协议分析(利用软件Ethereal)

1、一、 实验目的和要求：熟悉掌握Ethereal软件的使用,并应用该软件分析Ethernet帧以及高级协议，从而能够加深对TCP/IP协议栈上的参与通信的网络数据包结构以及通信方式有进一步的了解。二、 实验内容和原理1. 安装windows下的Ethereal及WinPcap软件。2. 捕捉任何主机发出的Ethernet 802.3格式的帧（帧的长度字段<=1500）， Ethereal的capture filter 的filter string设置为：ether12:2 <= 1500捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧（帧的长度字段

2、>1500, 帧的长度字段实际上是类型字段）， Ethereal的capture filter 的filter string设置为：ether12:2 > 1500(1)观察并分析帧结构，802.3格式的帧的上一层主要是哪些PDU？是IP、LLC还是其它哪种？(2)观察并分析帧结构，Ethernet II的帧的上一层主要是哪些PDU？是IP、LLC还是其它哪种？3. 捕捉并分析局域网上的所有ethernet broadcast帧，Ethereal的capture filter 的filter string设置为：ether broadcast (1). 观察并分析哪些主机在发广播帧

3、，这些帧的高层协议是什么？(2). 你的LAN的共享网段上连接了多少台计算机？1分钟内有几个广播帧？有否发生广播风暴？ 4. 捕捉局域网上的所有ethernet multicast帧，Ethereal的capture filter 的filter string设置为：ether multicast (1). 观察并分析哪些节点在发multicast帧，这些帧的高层协议是什么？5. 捕捉局域网上主机3发出或接受的所有ARP包，Ethereal的capture filter 的filter string设置为：arp host 3.(1)主机10.14.26

4、.53上执行 ” arp d * ” 清楚arp cache.(2)在主机3上 ping 局域网上的另一主机（例如4）(3)观察并分析主机3发出或接受的所有ARP包，及arp包结构。6. 捕捉局域网上的所有IP广播包，Ethereal的capture filter 的filter string设置为：ip broadcast (1). 观察并分析哪些节点在发广播包，这些包的高层协议是什么？7. 捕捉局域网上的所有IP组播包，Ethereal的capture filter 的filter string设置为： ip multicast(

5、1). 观察并分析哪些节点在发组播包，这些包的高层协议是什么？8. 捕捉局域网上的所有icmp包，Ethereal的capture filter 的filter string设置为：icmp(1). 在主机3上 ping 局域网上的另一主机（例如4）。(2). 观察并分析主机3发出或接受的所有icmp包，及icmp包的类型和结构。9. 捕捉主机3和www服务器之间的通信（这里主机3可以是自身，也可以是通过普通HUB（而不是交换机）与本机相连的LAN上的其它主机或路由器, IP地址也不要求一定是1

6、3, 下同），Ethereal的capture filter 的filter string设置为：host 3 and (1)主机3用IE访问www服务器。(2)观察并分析3和www服务器之间传输的Ethernet II (即DIX Ethernet v2) 帧结构，IP数据报结构，TCP segment结构，HTTP PDU结构。(3)观察并分析3和www服务器之间建立TCP连接时的三次握手过程。10. 捕捉局域网上主机3发出或接受的所有FTP包（即src or dst po

7、rt21），Ethereal的capture filter 的filter string设置为：tcp port 21 and host 3(1). 在主机3上用FTP客户端软件访问FTP server。(2). 观察并分析3和FTP server之间传输的Ethernet II (即DIX Ethernet v2) 帧结构，IP数据报结构，TCP segment结构。(3). 观察并分析FTP PDU名称和结构。注意3发出的FTP request PDU中以USER开头、以PASS开头的两个PDU，他们包含了什么

8、信息？对INTERNET的FTP协议的安全性作出评价。11. 捕捉局域网上主机3发出或接受的所有POP包（即src or dst port110），Ethereal的capture filter 的filter string设置为：tcp port 110 and host 3(1). 在主机3上用outlook express 或foxmail收取邮件。(2). 观察并分析3和MAIL server之间传输的Ethernet II (即DIX Ethernet v2) 帧结构，IP数据报结构，TCP segmen

9、t结构。(3). 观察并分析POP3 PDU名称和结构。注意3发出的POP3 request PDU中以USER开头、以PASS开头的两个PDU，他们包含了什么信息？对INTERNET的EMAIL软件的安全性作出评价。三、 主要仪器设备包嗅探及协议分析软件Ethereal，联网的PC机。四、 操作方法与实验步骤 1：安装Ethereal； 2：如图，设置capture filter：3：设置capture opinion：4：单击start，开始捕获帧：5：分析捕获结果；6：接下去的方法大同小异，除开capture filter的设置有区别，不再重复叙述。注意：一些要用本机

10、IP操作的部分，IP全部换成了自己电脑的IP 2五、 实验数据记录和处理2（1）：帧结构如下（2）：抓包结果显示如下帧结构如下：3：捕获结果如下 主机会话分析数据如下：4：捕获结果如下：5：捕获结果如下：6：捕获结果如下：7：捕获结果如下：8：捕获结果如下：9：捕获结果如下：10：捕获结果如下：11：捕获结果如下：六、 实验结果与分析2（1）：LLC； （2）：IP3（1）：主要有88:ae:1d:3c:43:0b、54:42:49:67:e2:57、f0:de:f1:3b:da:15、00:23:8b:df:3e:4b、00:1f:29:9f:7e:f9、00:1a:8

11、0:ed:6a:4f等这些主机在广播，采用ARP协议；（2）： 在一分钟内有292台主机；1716个广播帧，没有发生广播风暴。4（1）：一分钟有691个节点在进行multicast，这些帧的高层协议有UDP、ARP、SSDP、ICMPv6等5（1）：因为本地连接IP为2，所以改成了这个IP。ARP包结果如下：6（1）：主要是26、9、4、81等这些节点在发送IP广播包，高层协议为UDP。7（1）：主要是19、0、4等1

12、0.110.*.*网段的主机在发送ip multicast，这些包的高层协议为SSDP和UDP。8（1）：2->19，4个icmp包2->76，18个icmp包9（2）：Ethernet V2帧中，00 23 8b e8 54 c0这段是目的地，00 12 44 cb 18 40 这段是来源，08 00这段表明上层协议类型是IP这是IP数据包的内容，版本占4bits，header长度占4位，区分服务占8bits，总长度16位，标识占16位，标志(flag)占3位，片位移占13位，存活时间占8位，

13、协议占8位，首部检验和（header checksum）占16位，源地址32位，目的地址32位。这是TCP segment的内容，其中source port占16位，目的端口16位，序号32位，确认号32位，header长度占8位，标志占8位，窗口16位，检验和16位。这是HTTP PDU的内容，包含请求行/状态行、消息头、消息体，图中是一个Request Message。（3）：图中为三次握手的过程，先是主机给服务器发送一个TCP段，等待服务器的相应，服务器接受请求后，也发一个TCP段回应主机，主机接受后，再次发送一个TCP段告知服务器自己已准备好同步。10（2）：这是ethernet V2

14、帧的内容，其中destination占48位，source占48位，剩余16位表示类型为IP。这时IP包的内容，其中版本占4bits，header长度占4位，区分服务占8bits，总长度16位，标识占16位，标志(flag)占3位，片位移占13位，存活时间占8位，协议占8位，首部检验和（header checksum）占16位，源地址32位，目的地址32位。这是TCP段的内容，其中source port占16位，目的端口16位，序号32位，确认号32位，header长度占8位，标志占8位，窗口16位，检验和16位。（3）： 这两个PDU分别包含了命令类型和用户名和密码的信息，这些信息都是明文传送，未经加密的，说明FTP协议传输的安全性并没有保证。11（2）：Ethernet V2帧结构，其中目的地48位，来源占48位，最后16位表明类型是IPIP数据包结构，其中版本占4bits，header长度占4位，区分服务占8bits，总长度16位，标识占16位，标志(flag)占3位，片位移占13位，存活时间占8位，协议占8位，首部检验和（header checksum）占16位，源地址32位，目的地址32位。TCP段结构，其中source port占16位，目的端口16位，序号32位，确认号32位，header长度占8位，标志占8位，