以太网报文分析

200810314021_陈道争
一、实验名称：以太网报文分析
二、实验内容：
1.Ethereal的基本操作。

2.截获以太网报文，并将报文保存到硬盘上。

3.打开截获的报文，并分析其中的某一条报文。

三、实验过程与步骤：
1.在Windows操作系统下安装软件Ethereal。

2选择“Capture”中的“Options”进行设置。

3.打开“IE浏览器”，输入任意一个网址，打开其中的一个网页。

4.Ethereal软件的界面中会出现很多条的报文。

5.选择“Stop the running live capture”。

四、报文分析：
1.选取No.180的一条HTTP报文，具体报文见“200810314021_陈道争.cap”，以下分析都是根据此报文，就不再附图了。

2.从应用的角度网络可以划分为物理层、链路层、网络层、传输层、应用层几个部分。

以太网上的数据以报文的形式进行传递，每个报文由数据内容部分和各个层次的报文头部组成。

3.链路层：
（1）以太网的链路层由14个字节的内容组成。

（2）前六个字节的内容表示报文的目标硬件地址（Destination MAC），本报文描述的是网关的MAC 地址，值是：00-0f-e2-77-8f-5e。

（3）接下来六个字节的内容表示报文的源硬件地址（Source MAC），本报文描述的是本机的MAC 地址，值是：00-23-7d-4d-16-55。

（4）接下来两个字节的内容表示网络层所使用协议的类型，本报文使用的是IP协议，IP协议的类型值是：0X0800。

4.网络层：
（1）目前使用最广泛的网络层协议是IPv4协议。

IPv4协议的头部由20个字节的内容组成。

（2）其中第一个字节的前四个位的内容表示IP协议使用的版本号，值是：4，表示本报文使用的是IPv4协议。

（3）后四位的内容表示报文头部的长度，值是：20bytes。

（4）接下来两个字节的内容表示总长度，是首部和数据之和的长度，值是：657，表示总长度是657字节。

（5）接下来两个字节的内容表示标识。

本报文为0x261f。

（6）接下来两个字节的前三位的内容表示标志。

本报文位010.
（7）接下来一个字节的内容表示生存时间。

本报文Time to live:128.
（8）接下来一个字节的内容表示所使用的传输层的协议类型，值是：0x06，表示使用的是TCP协议，因为HTTP协议是基于TCP协议实现的。

（9）接下来两个字节的内容表示首部校验值，作用是计算IP报文的校验信息，确保通信过程中报文不会发生错误，值是：0x7623。

（“correct”表示首部没有发生变化，保留这个数据报。

）发送方将报文的内容进行一次校验计算，将得到的值保存在该位；接收方在收到报文的内容后，重新进行一次校验操作，如果得到的校验值和发送过来的校验值相同，接收该报文；否则，丢弃。

（10）接下来四个字节的内容表示源地址，值是：192.168.100.66，表示本计算机的IP地址。

（11）接下来四个字节的内容表示目的地址，值是：60.28.251.29。

5.传输层：
（1）传输层的头部的前20个字节是固定的，后面4N个字节是根据需要而增加的选项（N是整数），所以传输层的头部的最小长度是20个字节。

（2）前两个字节的内容表示源端口，值是：1402（1402）（由本地计算机随机产生）。

（3）接下来两个字节的内容表示目的端口，值是：http(80)（标准的HTTP协议端口号）。

（4）接下来四个字节的内容表示序号，值是：1，表示本报文段所发送的数据的第一个字节的序号是1。

（5）Acknowledgement number表示确认号，值是：1。

（6）Header Length表示报文头部的长度，值是：20bytes。

（7）Flags表示标识，包括CWR，ECN-Echo，紧急URG，确认ACK，推送PSH，复位RST，终止FIN控制位。

（8）Window size表示窗口，窗口值是经常在动态变化着的，值是：65535，表示现在允许对方发送的数据量是65535字节数据。

（9）Checksum表示校验，校验字段检验的范围包括首部和数据这两部分，值是：0xf7fd。

6.应用层：
（1）HTTP有两类报文：请求报文和响应报文。

本报文是一条请求报文。

（2）Request Method:GET表示请求，区分是请求报文还是响应报文，最后的“\r\n”分别代表“回车”
和“换行”。

Request Version表示请求报文的版本号，值是：HTTP/1.1。

（3）Accept表示接受的类型。

（4）Referer表示来源地址，本报文：http://news,/resource/html/bdhx.html
（5）Accept-Language表示接受的语言，本报文为zh-cn.
（6）Connection表示服务器响应完毕是否关闭连接，值是：keep-Alive，表示服务器响应完毕后保持连接。

五、结论：
结合计算机网络的教材以及网络查找的资料，通过本实验，体会到了网络的层次——物理层、链路层、网络层、传输层、应用层几个部分；也认识到了以太网上的数据以报文的形式进行传递，每个报文由数据内容部分和各个层次的报文头部组成；也大致了解到了每一层的报文头部占据多少字节，以及由哪些内容组成；这些内容分别占据多少位，以及这些内容分别的作用：总之是受益匪浅！
六、思考题解答
1.问：典型的HTTP报文由哪几个部分组成？
答：典型的HTTP报文由物理层、链路层、网络层、传输层、应用层五个部分组成。

2.问：以太网上有哪几种常见的链路层协议？
答：（1）面向字符的链路层协议：
1ISO（IS1745）的基本型传输控制规程及其扩充部分（BM和XBM）；
2IBM的二进制同步通信规程（BSC）；
3DEC的数字数据通信报文协议（DDCMP）。

（2）面向比特的链路层协议：
4IBM(SNA)的同步数据链路控制（SDLC）；
5ANSI的先进数据通讯规程（ADCCP）；
6ISO的高级数据链路控制（HDLC）；
7CCITT的链路访问规程（LAP）。

3.问：ARP协议的结构和作用是什么？
答：（1）定义：ARP协议是Address Resolution Protocol的缩写，中文意思是地址解析协议。

（2）功能：通过目标设备的地址，查询目标设备的MAC地址，以保证通信的顺利进行。

（3）结构：
①硬件类字段：表示发送方想知道的硬件接口类型；
②软件类字段：表示发送方提供的高层协议类型；
③硬件地址长度和协议长度：表示硬件地址和高层协议地址长度；
④操作字段：表示报文的类型；
⑤发送方的硬件地址（0-2字节）：表示源主机硬件地址的前3个字节，
发送方的硬件地址（3-5字节）：表示源主机硬件地址的后3个字节；
⑥发送方IP（0-1字节）：表示源主机硬件地址的前2个字节，
发送方IP（2-3字节）：表示源主机硬件地址的后2个字节；
⑦目的硬件地址（0-1字节）：表示目的主机硬件地址的前2个字节，
目的硬件地址（2-5字节）：表示目的主机硬件地址的后4个字节；
⑧目的IP（0-3字节）：表示目的主机的IP地址。