实验四 利用Ethereal分析HTTP

实验四利用Ethereal分析HTTP
一、实验目的
熟悉并掌握ethereal的基本操作，了解网络协议实体之间的交互和消息交换。

2、
实验环境
windows9x/nt/2000/xp/2021与因特网连接的计算机网络系统ethereal等软件。

三、实验原理
1.深入理解网络协议，仔细观察协议实体之间交换的消息序列。

它是在模拟环境或真
实网络环境（如互联网）中完成的。

观察正在运行的协议实体之间消息交换的基本工具称
为包嗅探器。

通常，数据包嗅探器将存储并显示捕获的消息的每个协议头字段的内容。

ethereal是一种可以运行在windows,unix,linux等操作系统上的分组分析器。

ethereal的界面主要有五个组成部分：
捕获数据包列表：按行显示捕获数据包的内容，包括：ethereal给出的数据包序列号、捕获时间、数据包的源地址和目标地址、协议类型以及数据包中包含的协议描述信息。

单
击要创建的列的列名
分组按指定列进行排序。

在该列表中，所显示的协议类型是发送或接收分组的最高层
协议的类型。

所选数据包标头的详细信息：在捕获的数据包列表窗口中显示所选数据包的标头详细
信息。

它包括：与以太网帧相关的信息和包含在数据包中的IP数据报相关的信息。

分组内容窗口（packetcontent）：以ascii码和十六进制两种格式显示被俘获帧的
完整内容。

显示过滤器规格：在此字段中，您可以填写协议名称或其他信息。

根据此内容，您可
以在“组列表”窗口中筛选组。

4.以太的使用
启动主机上的web浏览器。

开始分组俘获：选择“capture”下拉菜单中的“start”
命令，设置分组俘获的选项。

首先，下载一个非常简单的HTML文件（该文件非常短，不嵌入任何对象）。

开始ethereal分组俘获。

在打开的WebBrowser窗口中输入地址（浏览器中将显示一个非常简单的HTML文件，
其中只有几行文本）：
启动浏览器，清空浏览器的缓存（在浏览器中，选择“工具”菜单中的“internet选项”命令，在出现的对话框中，选择“删除文件”）。

启动ethereal分组俘获器。

开始ethereal分组俘获。

注意：您需要设置代理服务器才能访问以下网站。

如果无法访问，可以联系实验TA，下载TCP ethereal跟踪文件，并使用该文件分析TCP协议。

a.俘获大量的由本地主机到远程服务器的tcp分组（1）启动浏览器，打开
（2）打开
（4）启动ethereal，开始分组俘获。

（5）在浏览器中，单击“uploadalice.Txtfile”按钮将文件上载到Gaia cs。

麻省大学。

Edu服务器，文件上传后，浏览器窗口中将显示一条短消息。

（6）停止俘获。

b.浏览追踪信息
TCP基金会
7、ip分析通过分析执行traceroute程序发送和接收到的ip数据包，我们将研究ip 数据包的各个字段，并详细研究ip分片。

a、通过执行跟踪路由捕获数据包
为了产生一系列ip数据报，我们利用traceroute程序发送具有不同大小的数据包给目的主机x。

回顾之前icmp实验中使用的traceroute程序，源主机发送的第一个数据包的ttl设位1，第二个为2，第三个为3，等等。

每当路由器收到一个包，都会将其ttl值减1。

这样，当第n个数据包到达了第n个路由器时，第n个路由器发现该数据包的ttl 已经过期了。

根据ip协议的规则，路由器将该数据包丢弃并将一个icmp警告消息送回源主机。

在windows自带的tracert命令不允许用户改变由tracert命令发送的icmpecho 请求消息（ping消息）的大小。

一个更优秀的traceroute程序是pingplotter，下载并安装pingplotter。

icmpecho请求消息的大小可以通过下面方法在pingplotter中进行设置。

编辑->选项->数据包，然后填写数据包大小（以字节为单位，默认值=56）字段。

四、实验内容
（1）启动ethereal并开始数据包捕获
（2）启动pingplotter并“addresstotracewindow”域中输入目的地址。

在
“#oftimestotrace”域中输入“3”，这样就不过采集过多的数据。

edit->options-
>packet，将packetsize(inbytes,default=56)域设为56，这样将发送一系列大小为56字节的包。

然后按下“trace”按钮。

得到的pingplotter窗口如下：
（1）编辑->选项->数据包，然后将数据包大小（以字节为单位，默认值=56）字段
更改为2000，这将发送一系列大小为2000字节的数据包。

然后按下“恢复”按钮。

（2）最后，将packetsize(inbytes,default=56)域改为3500，发送一系列大小为3500字节的包。

然后按下“resume”按钮。

（3）停止对ethereal的数据包捕获。

注：如无法访问可与实验ta联系，下载已有的ip-ethereal-trace文件，利用该文
件进行ip协议分析
b、分析捕获的数据包
（1）在你的捕获窗口中，应该能看到由你的主机发出的一系列icmpechorequest包
和中间路由器返回的一系列icmpttl-exceeded消息。

选择第一个你的主机发出的icmpechorequest消息，在packetdetails窗口展开数据包的internetprotocol部分。

（2）单击源列按钮按源IP地址对捕获的数据包进行排序。

选择主机发送的第一条icmpechorequest消息，并在“数据包详细信息”窗口中展开数据包的Internet协议部分。

在“映射数据包列表”窗口中，您将看到许多后续ICMP消息（可能还有主机上运行的其
他协议的数据包）
（3）找到由最近的路由器（第一跳）返回给你主机的icmptime-to-live
超过消息。

（4）单击time列按钮，这样将对捕获的数据包按时间排序。

找到在将包大小改为2000字节后你的主机发送的第一个icmpechorequest消息。

c、将数据包大小更改为3500字节后，查找主机发送的第一条icmpechorequest消息。

6、实验总结。