《计算机网络实验手册》

计算机网络实验手册

TCP/IPProtocolSuite

OSImodellayersDARPAlayers

ApplicahonLayer

ApplicationLayerHTTPFTPSMTPDNSRIPSNMP

PresentationLayer

SessionLayer

1TransportLayer।

1cpUDP

TianspoitLayer

IGMPICMPNDMLD

NehvoikLayerInternetLayerICMPv6

ARPIP(IPv4)IPv6

DataLinkLayei

NetworkInterface1802.11

LayerEthernetwirelessFrameRelayATM

PhysicalLayerLAN

L

《计算机网络》自顶向下和Internet特色实验手册

目录

实验一Ethereal和实验基础3

实验二HTTP协议分析11

实验三DNS协议分析17

实验四TCP协议分析23

实验五IP协议分析28

实验六ICMP协议分析32

实验七Ethernet和ARP35

实验八DHCP协议分析39

附录一TcpDump表达式介绍43

附录二Windows网络命令说明45

附录三实验数据分析和思考题回答样例47

附加实验一NAT协议分析48

附加实验二FTP协议分析50

《计算机网络》自顶向下和Internet特色实验手册

实验一Ethereal和网络实验基础

-、Ethereal基础

我们观察执行协议的实体之间如何交换信息的基本工具是packetsniffer,就如名字

所示这是个包嗅探器，它在你的电脑发送消息或者接收消息时进行协议数据的捕获，同时有

选择的显示这些协议数据的内容。包嗅探器本身是被动的，电脑所收发的数据包不写明是给

包嗅探器的，而是由应用程序发送和接收时产生的，在包嗅探器收到包的同时应用程序数据

收发仍然是正常进行的。

下图显示了一个包嗅探器的结构。在图的右侧是协议和运行的应用程序，包嗅探器显示

在用虚线围起来的框中，它侦听并接收每一个链路层帧的副本，当物理媒体是以太网时上层

协议最终都将生成以太帧，捕获所有的链路层帧就能收集所有在电脑上的应用程序和协议所

收发的消息。

packetsniffer

to/fromnetworkto/fromnetwork

包嗅探器的另一组成部分是包分析器，它显示•个协议消息中所有字段的内容，为了完

成这些任务包分析器必须了解所有通过协议交换的消息的结构。例如我们对上图中通过

HTTP协议交换的消息所显示的区域感兴趣，包分析器需要了解以太网帧的格式，这样可以

通过一个以太网帧来识别IP数据包，同时它也需要了解IP数据包的格式可以从IP数据包

中取出TCP段，它也必须了解TCP段的结构可以把包含在TCP段中的HTTP消息取出，最

后它需要了解HTTP协议等等，例如需要知道一个HTTP消息的第一个字节将包含“GET”、

“POST”或者是“HEAD”。

我们在实验中将使用Etherealpacketsniffer(或叫EtherealNetworkAnalyzer).这个软件

我们已下载好放在本地d:\ins,本实验需要的其他软件我们也都放在这个目录中，你也可

以在以下地址下载：

3

《计算机网络》自顶向下和Internet特色实验手册

/download.html

该网站上还有用户指南和任务专栏可以下载。为了运行Ethereal,你还需要支持Ethereal

和libpc叩包的捕获库，可以在安装Ethereal时的选项中钩选WinPcap来安装。

二、运行Ethereal

当你运行Ethereal程序时，将会看到如下图所示的用户图形界面，刚启动时在各窗口中

是没有数据显示的：

^ommand|令(UnSkd)Rhctcul

mentisHe0tVBWGa83tx.中dyrrSabstcsHe|>

企匕IB%电昌囱(中知事q&d国龄IBIS於S3

▼|♦.KRhn.J[7jpd>I

displayfilter-IOwU)«u)n["lccd|”g

19161106?19冰

•••s

6>-22408.F9922406.1srand"。queryAgaia.cs.ur：ss,edu

specification3118川s

1916''l018.1691M.501standardqueryrespor<eAITS.119.245.12

2大

»？81.11p

1•8.*1.1M2：874:Ftp[SVN]sw-357?eil696A<k-0wV-65555I

2110,.■9n.1481p

1•1e/-1-1.5http>1874LSVN,ACKjseq-4216539525A<m"1F

9»2.8.11o28.H921rcp

TC287^1>^trp[<CK]sec-3573611697

一.12

listingofEJyaipi

O.OM：31119.74«.i7192.1C9.1,101—hirp>1^74[«K]sefi-4216=.-9524A<k-357361724?<

0.0*808119.241.1?101HrHTTP/1.1200OKctexx/html)

captured9TCp

C0.25575401138.119.24,126R1874?”rp[«<K]5«-357361224?A<k-42165J9890・

4.2251170155op'ocmaln/HorkorxipmnceocenenrWORKGROUP,、Tworksi

-*p“

packets-

26.a67413Ifrre1_52:M2?Broadcastpwhohar192.168.1.r»Tell02

36.47861nradcitARpwhohae192.1*8,1.1*>Tallx92.168.1.102

p

46.4)73238lnrel_S2;2o：23BroackastTCwhohas192.108.1.1^Tell02

TCp

510.08e2io22192.160.1.101http>1874[PIM,g]Seq-4216539890ACk-3573612；

1O.OH63O9128.119.24*.12187/1>http[<CK]Sec-3573612242"k"236519891W

Frare6《5的byteson-e,i99匕/tescapture。)

EthernetII.Src;00:08:74:4f:36:23,Dst;OO;C€:25:da:af:73

>internetprotocol.sr<a，Mr:197,168.1.101<192.168.1.101)，D5tAd<lr：128.119.2*5.12(1：$.119.245.12)

:，rractml”4arcontrolProtocol,srePert:LU74(1874).O«TPart:http(tso),"q:J5736U697,Ad:421S1Q5Z4.L

detailsofHyps-textTransferProtocol

|>GET/erb>feal-labs/iNTRc-erhereal-fnei.hTinlHrrp/i.iXr'Xn

selectedHost:ga1a.es.u«a^5.edu\r\n

packetU»*r-A4jw^;Mu2:'U/5.0U;window*errt>.>;an-U$;rvcl.O.2)-3fc-ko/20021120sC4p*/Z.(Il\r\n

AC<ept:app11<at1on/x-shockwaue-f1as»，匚exr/drappHtac1cc/xml,dppUcaTl-n/xtmo4.xm1,texr/hi»;q-0.■?,xexc/p1

Accept-Language:en-us.en;q=0.5O\r\n

headerAccept-Encoding:gzip.CsFl«tv.tompres»:q^Q.9Xr\n

Accept-ct，"sei::sc>-88S«i-l,urt-8;q-c.«6,*：q-0.66Xr\n

Keep-Alive:30D\r\n

Correction:kee；>-a1iveV\n

XfXn

packetcontentcu

o2□6daat7300csZ44fS608C：45OO..«..TC5*..P..

t&勺<:

)010-5<if40COROC6546<CO4801653077,119…Tn…e.w

inhexadecimal)020rfOc0752OO50dSCOfcblfbS349GJ5013...P.aSI.P.

\JO3。e5ff398OO00474374GB0572..g…GET/ether

-

)0404616c2d6c61邑273524f2d65eal-1abs/iKTRO-e

andASCIIJh/、KC?1->■-AOTKrHzir-A->+,、z»，hr

Ethereal界面主要有5部分组成：

I.命令菜单(commandmenus),位于窗口顶部，其中File菜单允许保存获取的包数据

或者打开一个之前捕获的包数据文件，Capture菜单允许你开始一次包的捕获；

2.包列表窗口(packet-listingwindow),每一个包显示■行摘要，包括包的编号、包捕

获的时间、包的源地址和目的地址、协议类型以及在包中所包含协议的特定信息。包列

表可以通过点击一个纵列标题项来排序，协议类型字段列出了这个包发送和接收的各级

别的协议；

3.包头部信息窗口(packet-headerdetails),提供了在包列表窗口中被选中包的详细信

息，这些信息包括以太网帧和IP数据包。以太网和IP层详细信息的显示能够扩展或者

缩小，如果这个包中有TCP或者UDP,相应的协议详细信息也会被显示(也可以被扩

展和缩小)，发送或者接收这个包的最高层协议的详细信息也会被显示；

4.包内容窗口(packet-contentswindow),以ASCII和十六进制格式显示了捕获的帧的

4

《计算机网络》自顶向下和Internet特色实验手册

整个内容；

5.包过滤显示区域（packetdisplayfilter加1（1）,在Ethereal用户图形界面的顶部，在

这里可以输入协议名称或者其他信息来过滤包列表窗口中显示的信息。

三、使用Ethereal来做一个测试

学习任何一个新的软件的最好方法是实验它！

1.打开你的浏览器；

2.打开Ethereal软件，最初的时候窗口中都没

有数据，因为Ethereal还没有开始捕获包；

3.开始包的捕获，选中Capture下拉菜单，选

择Start,,将会出现"CaptureOptionsM窗

口，如右图所示：

4.你可以使用窗口中各选项的默认值，但网络接口（比如物理连接）要确认一下，如

果你的电脑拥有多个网络接口，请选择正在接入网络的一个接口用来发送和接收

包。选择网络接口（或者使用Ethereal的默认接口），使capturefilter保持为空，接

下来钩选updatelistofpacketinrealtime,Ethereal:CapturefromIntel(R)PRO/IOO...■日文

点击确认。包捕获现在将开始——你的电脑

发送和接收的所有包都会被Ethereal捕获；

5.当你开始包捕获，会出现一个包捕获摘要窗

口，如右图所示。这个窗口概述了被捕获的

各种类型包的量,Stop按钮允许你停止包的

捕获（现在还不要停止包的捕获）；

6.当Ethereal还在运行时，输入如下的URL

让它下载一个页面在你的浏览器中显示：

/ethereal-labs/INTRO-ethereal-file1.html

为了显示这个页面，你的浏览器将和的HTTP服务器进行联系，

和服务器进行HTTP消息的交换以卜载这个页面，包含这些HTTP消息的以太网帧

将会被Ethereal捕获：

7.你的浏览器显示了这个页面后，在Ethereal捕获窗口中按下stop按钮来停止Ethereal

的包捕获，Ethereal的主窗口将会显示所捕获的包。现在，你拥有了刚才在你的电

5

《计算机网络》自顶向下和Internet特色实验手册

脑通过网络进行交换的协议消息。HTTP消息和Web服务器之间

进行交换也在包捕获列表中出现，但是同样也有其他类型的包：

8.在Ethereal主窗口的顶部的Filter中，输入“http”，然后选择Apply,这样只有HTTP

消息会被显示在包列表窗口；

9.在包列表窗口中选择第一个HTTP消息，它应该是一个HTTPGET消息，是由你的

电脑发送给的HTTP服务器的。当你选中HTTPGET消息后，以

太网帧、IP数据包、TCP段以及HTTP消息的头部将会显示在包头部窗口中。在包

详细信息窗口的左边，选择扩展或收缩使显示的帧、以太网、IP协议以及TCP协

议缩小到最小而HTTP协议的信息被最大化。现在Ethereal显示的大致如下图所示:

Q(Untitled)-Ethereal

fileEdityiew§oCapturefinalyzeStatisticsHelp

翻翻即羽明23寻X麴）3回Q峰它）吞殳□□0Q

Filter:|http▼Expresston...ClearApply

No.•TimeSoireeDestinationProtocolInfo

80.73639302128.119.245.12HTTPGET/ethereal-labs/HTTP-etI

101.109093202HTTPHTTPA.1200OK(text/html；v

<1

+jFrame8(493bytesonwire,493bytescaptured)

+EthernetII,sre:lbm_3f:8b:2b(00:09:6b:3f:8b:2b),Dst:Shenzhen_dO:b4:4e(00:0a:eb:d0:b4:

+internetProtocol,Src:02(02),Dst:128.119.245.12(2：

上「TransmissioncontrolProtocol,srePort:1173(1173),DstPort:http(80),seq:175562758,

-iHypertextTransferProtocol

-GET/ethereal-1abs/HTTP-ethereal-filel.htmlHTTP/1.l\r\n

RequestMethod:GET

RequestURI:/ethereal-labs/HTTP-ethereal-filel.html

Requestversion:HTTP/1.1

Accept:1mage/gif,image/x-xb1tmap,image/jpeg,image/pjpeg,appl1cat1on/x-shockwave-f1as

Accept-Language:zh-cn\r\n

Accept-Encoding:gzip.deflate\r\n

user-Agent:Mozi11a/4.0(compatible;MSIE6.0;windowsNT5.1;svl;POTU(BeTaO.99);.NET

Host:\r\n

connection:Keep-Al1ve\r\n

\r\n

<l卜〉

0030—220855f20000H”.u…生T/etherl

0040CT1Iabs/HTTP-et

0050Ihereal-fi1el.htm|

006041636365HTTP/1.1..Acce

007070743a206966167652T6769662c2069:imaqe/gif,i

ccocGZeiCPT。ec编1-tcV

|p：11D：2M:ODrops：0

10.退出Ethereal«

恭喜你！现在，你已经完成了一次成功的协议数据捕获。

四、需要上交的东西

这个实验的主要目的是向你介绍和使你熟悉Ethereal软件，请回答以下问题：

Q1.列出在上面第7步骤中没有进行过滤时包列表窗口中所出现的全部的协议名称；

Q2.从发送HTTPGET消息一直到接收到HTTP回复的OK,持续了多久？

（默认time列显示的是开始捕获后的以秒为单位的持续时间，如果要在time列以time-of-day格式显

示，请选择Ethereal的View下拉菜单，然后选择时间显示格式为Time-of-day）

6

《计算机网络》自顶向下和Internet特色实验手册

Q3.的IP地址是多少？你的电脑IP地址是多少？

Q4.导出这两个HTTP消息，你可以在Ethereal的File命令菜单中选择save菜单，导出

的文件命名为ethereal-1。

五、WINDOWS网络命令

我们将在后面的实验和日常应用中经常用到WINDOWS的网络命令，请关注每个网络命

令的参数以及这些参数的组合，我们先来尝试用tracert和ping命令分析一下到

的路由情况，以后我们还要仔细研究。

Ping是个使用频率极高的实用程序，用于确定本地主机是否能与另一台主机交换数据

报，根据返回的信息我们就可以推断TCP/IP参数是否设置得正确以及运行是否正常。由于

很多路由器和服务器为了防止DDOS攻击会关闭ICMP功能，如果因此而造成你访问的节点

不响应ping的测试，你可以换一个IP或域名再试。

Ping是一个测试程序,如果Ping运行正确我们大体上就可以排除网络层、网卡、MODEM

的输入输出线路、电缆和路由器等存在的故障，从而减小了问题的范围。按照缺省设置，

Windows上运行的Ping命令发送4组ICMP32字节数据，如果一切正常我们能得到4个回

送应答。Ping能够以毫秒为单位显示发送请求到返回应答之间的时间。如果应答时间短，

表示数据报通过的路由器少或网络连接速度比较快。Ping还能显示TTL值（TimeToLive

生存时间），我们可以通过源地点TTL起始值减去返回包的TTL值从而推算数据包通过了

多少个路由器。例如，如果返回TTL值为249,TTL起始值是256,源地点到目标地点要

通过7个路由器（256-249）,一共是7个hop。

正常情况下，当我们使用Ping命令来查找问题或检验网络运行情况时，我们需要使用

一系列Ping命令，如果所有步骤都运行正确，我们就可以相信基本的连通性和配置参数没

有问题；如果某些Ping命令出现运行故障，它也可以指明到何处去查找问题。下面就给出

一个典型的检测次序及对应的可能故障：

ping

这个Ping命令被送到本地计算机的IP协议软件，如果没有成功就表示TCP/IP协议的

安装存在问题。

ping本机的IP

这个命令被送到我们计算机所配置的IP地址，计算机始终都应该对该Ping命令作出应

答，如果没有则表示本地配置或安装存在问题。出现此问题时，局域网用户请断开网络电缆,

7

《计算机网络》自顶向下和Internet特色实验手册

然后重新发送该命令。如果网线断开后本命令正确，则表示另一台计算机可能配置了相同的

IP地址。

ping局域网其他电脑的IP

这个命令使数据经过网卡及网络电缆到达其他计算机再返回。收到回送应答表明本地网

络中的网卡和载体运行正确。但如果收不到回送应答，表示子网掩码不正确、网卡配置错误

或电缆系统有问题。

ping网关的IP

这个命令如果应答正确，表示局域网中的网关路由器正在运行并能够作出应答。

ping远程的某个IP

如果收到4个应答，表示成功的使用了缺省网关。

pinglocalhost

localhost是操作系统的网络保留名，它是127.001的别名，每台计算机都应该能够将

该名字转换成该地址。如果没有做到这一点，则表示主机文件(/Windows/host)存在问题。

ping

对这个域名执行Ping地址，通常是通过DNS服务器解析，如果

这里出现故障，则表示DNS服务器的IP地址配置不正确或DNS服务器有故障。

如果上面所列出的所有Ping命令都能正常运行，计算机进行通信的功能基本上就可以

放心了。但是这些命令的成功并不表示所有的网络配置都没有问题，例如某些子网掩码错误

就可能无法用这些方法检测到。

Ping命令还有一些常用参数选项：

ping某IP-t

连续对IP地址执行Ping命令，直到被用户以Ctrl+C中断。

ping某IP-I128

指定Ping命令中的数据长度为128字节，而不是缺省的32字节。

ping某IP-n8

连续执行8次的Ping命令。

我们就先试着用ping命令测试一下：

1.启动Ethereal捕获数据；

2.保持Ethereal主窗口顶部的Filter为空；

3.运行命令：

8

《计算机网络》自顶向下