《协议分析软件Ethereal的使用.doc》由会员分享,可在线阅读,更多相关《协议分析软件Ethereal的使用.doc(15页珍藏版)》请在三一文库上搜索。
1、 实验 协议分析软件Ethereal 的使用一、 实验目的和要求:熟悉掌握Ethereal软件的使用,并应用该软件分析Ethernet帧以及高级协议,从而能够加深对TCP/IP协议栈上的参与通信的网络数据包结构以及通信方式有进一步的了解。二、 实验内容和原理1. 安装windows下的Ethereal及WinPcap软件。2. 捕捉任何主机发出的DIX Ethernet V2(即Ethernet II)格式的帧(帧的长度字段1500, 帧的长度字段实际上是类型字段), Ethereal的capture 的options中capture filter设置为:ether12:2 1500观察并分析
2、帧结构,Ethernet II的帧(ether12:2 1500)的上一层主要是哪些PDU?是IP、LLC还是其它哪种?IP3. 捕捉并分析局域网上的所有ethernet broadcast帧,Ethereal的capture 的options中capture filter设置为:ether broadcast (1). 观察并分析哪些主机在发广播帧,这些帧的高层协议是什么?ARP(2). 你的LAN的共享网段上连接了多少台计算机?1分钟内有几个广播帧?有否发生广播风暴? 92台4. 捕捉局域网上主机发出或接受的所有ARP包capture 的options中capture filter设置为:
3、arp host ip(1)主机上执行 “ arp d ”清除arp cache.(2)在主机上 ping 局域网上的另一主机(3) 观察并分析主机发出或接受的所有ARP包,及arp包结构。5. IP分组的结构固定部分可变部分04816192431版 本标志生 存 时 间协 议标 识服 务 类 型总 长 度片 偏 移填 充首 部 检 验 和源 地 址目 的 地 址可 选 字 段 (长 度 可 变)比特首部长度01234567DTRC未用优 先 级数 据 部 分比特首部 6、UDP报文伪首部源端口目的端口长 度检验和数 据首 部UDP长度源 IP 地址目的 IP 地址017IP 数据报字节441
4、12122222字节发送在前数 据首 部UDP 用户数据报附:1、 Ethernet II的帧结构目的地址源地址类型数据 据FCS6624字节46 1500目的地址:01:00:5e:22:17:ea源地址:00:1e:90:75:af:4f类型数据2、 IP分组的结构固定部分可变部分04816192431版 本标志生 存 时 间协 议标 识服 务 类 型总 长 度片 偏 移填 充首 部 检 验 和源 地 址目 的 地 址可 选 字 段 (长 度 可 变)比特首部长度01234567DTRC未用优 先 级数 据 部 分比特首部版本首部长度 服务类型总长度 标识标志 片偏移生存时间 协议首部检验
5、和 源地址目的地址 可选字段数据 3、 ARP的报文格式* 硬件类型指明发送方想知道的硬件接口类型。对以太网,值为1;* 协议类型指明发送方提供的高层协议地址类型。对TCP/IP互联网,采用IP地址,值为十六机制的0806;* 操作指明ARP的操作类型,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4。RARP在后面的章节中介绍。* 在以太网环境下的ARP报文,硬件地址为48位(6个八位组)。硬件地址长度协议类型发送方IP地址(八位组0-1)目标硬件地址(八位组2-5)目标IP地址(八位组0-3)发送方硬件地址(八位组0-3)硬件类型操作发送方硬件地址(八位组4-5)发送方I
6、P地址(八位组2-3)协议长度目标硬件地址(八位组0-1)4、 icmp报文格式 回送请求和回答 类型:8或0代码:0检验和标识符序号由请求报文发送;由回答报文重复目的不可达报文 类型:3代码:0至15检验和未使用(全0)收到的IP数据报的一部分,包括IP首部以及数据报数据的前8个字节5、UDP报文伪首部源端口目的端口长 度检验和数 据首 部UDP长度源 IP 地址目的 IP 地址017IP 数据报字节44112122222字节发送在前数 据首 部UDP 用户数据报6、 TCP报文TCP首部目 的 端 口数据偏移检 验 和选 项 (长 度 可 变)源 端 口序 号紧 急 指 针窗 口确 认 号保 留FIN32 bitSYNRSTPSHACKURG比特 0 8 16 24 31填 充TCP 数据部分TCP 首部TCP 报文段15 / 15文档可自由编辑打印