实验二 利用分组嗅探器(ethereal)分析协议HTTP

一、实验目的(1)熟悉ethereal的使用(2)验证各种协议数据包格式(3)学会捕捉并分析各种数据包。

二、使用仪器、器材WinXP、Ethereal软件三、实验内容及原理（1）安装ethereal软件（2）捕捉数据包，验证数据帧、IP数据报、TCP数据段的报文格式。

（3）捕捉并分析ARP报文。

（4）捕捉ping过程中的ICMP报文，分析结果各参数的意义。

（5）捕捉tracert过程中的ICMP报文，分析跟踪的路由器IP是哪个接口的。

（6）捕捉并分析TCP三次握手建立连接的过程。

（7）捕捉整个FTP工作工程的协议包对协议包进行分析说明，依据不同阶段的协议分析，画出FTP工作过程的示意图a.. 地址解析ARP协议执行过程b. FTP控制连接建立过程c . FTP 用户登录身份验证过程d. FTP 数据连接建立过程e. FTP数据传输过程f. FTP连接释放过程（包括数据连接和控制连接）（8）捕捉及研究WWW应用的协议报文，回答以下问题：a. .当访问某个主页时，从应用层到网络层，用到了哪些协议？b. 对于用户请求的百度主页（），客户端将接收到几个应答报文？具体是哪几个？假设从本地主机到该页面的往返时间是RTT，那么从请求该主页开始到浏览器上出现完整页面，一共经过多长时间？c. 两个存放在同一个服务器中的截然不同的Web页（例如，/index.jsp，和/cn/research/index.jsp可以在同一个持久的连接上发送吗？d. 假定一个超链接从一个万维网文档链接到另一个万维网文档，由于万维网文档上出现了差错而使超链接指向一个无效的计算机名，这时浏览器将向用户报告什么？e. 当点击一个万维网文档时，若该文档除了有文本外，还有一个本地.gif图像和两个远地.gif图像，那么需要建立几次TCP连接和有几个UDP过程？（9）捕捉ARP病毒包，分析ARP攻击机制。

（选做）（10）TCP采用了拥塞控制机制，事实上，TCP开始发送数据时，使用了慢启动。

实验七利用分组嗅探器（Wireshark）分析协议HTTP和DNS一、实验目的1、分析HTTP协议2、分析DNS协议二、实验环境与因特网连接的计算机网络系统；主机操作系统为Windows；Wireshark、IE 等软件。

三、实验步骤1、HTTP GET/response交互首先通过下载一个非常简单的HTML文件（该文件非常短，并且不嵌入任何对象）。

(1)启动Web browser。

(2)启动Wireshark分组嗅探器。

在窗口的显示过滤说明处输入“http”，分组列表子窗口中将只显示所俘获到的HTTP报文。

(3)一分钟以后，开始Wireshark分组俘获。

(4)在打开的Web browser窗口中输入一下地址（浏览器中将显示一个只有一行文字的非常简单的HTML文件）：/ethereal-labs/HTTP-ethereal-file1.html(5)停止分组俘获。

图1分组俘获窗口2、HTTP 条件GET/response交互(1)启动浏览器，清空浏览器的缓存（在浏览器中，选择“工具”菜单中的“Internet选项”命令，在出现的对话框中，选择“删除文件”）。

(2)启动Wireshark分组俘获器。

开始Wireshark分组俘获。

(3)在浏览器的地址栏中输入以下URL:/ethereal-labs/HTTP-ethereal-file2.html 你的浏览器中将显示一个具有五行的非常简单的HTML文件。

(4)在你的浏览器中重新输入相同的URL或单击浏览器中的“刷新”按钮。

(5)停止Wireshark分组俘获，在显示过滤筛选说明处输入“http”，分组列表子窗口中将只显示所俘获到的HTTP报文。

3、获取长文件(1)启动浏览器，将浏览器的缓存清空。

(2)启动Wireshark分组俘获器。

开始Wireshark分组俘获。

(3)在浏览器的地址栏中输入以下URL:/ethereal-labs/HTTP-ethereal-file3.html 浏览器将显示一个相当大的美国权力法案。

实验二：Ethereal Lab ——HTTP协议一、实验目的通过本次实验，利用Ethereal软件从以下几个方面研究 HTTP协议的运行机制：实验2-1：基本的GET/response交换；实验2-2： HTTP的有条件GET/response交互；实验2-3：利用HTTP获取大的HTML文件；实验2-4：利用HTTP获取带有嵌入式对象的HTML文件；实验2-5：HTTP认证与安全。

二、实验原理万维网(World Wide Web,WWW)是一种基于因特网的分布式信息查询系统。

WWW 的工作基于客户机/服务器模型，由Web浏览器(客户机)向Web服务器(服务器)请求由超文本标记语言(HTML)编辑的网页，Web服务器进行响应，返回相应网页，两者之间采用超文本传送协议（HTTP）进行通信。

HTTP有两种报文类型：请求报文和响应报文。

请求报文的格式如下图1，响应报文格式如下图2：图1：HTTP请求报文图2：HTTP响应报文浏览器可以缓存最近请求过的对象的拷贝，避免再次向服务器请求该对象，减少响应时间。

但是缓存的对象有可能因为服务器端最近做过修改而变得陈旧，HTTP允许浏览器证实缓存的对象是否是最新的，即条件GET方法。

条件GET方法在请求报文中使用GET方法，并包含一个If-Modified-Since首部行，含义是告诉服务器仅当自指定日期之后修改过该对象时才发送该对象。

如果服务器在指定日期后并未修改该对象，则不再返回该对象。

网页是由对象组成的，对象如HTML文件、JPEG图形文件、Java小程序等等。

多数Web页含有一个基本的HTML文件和多个引用对象，在基本的HTML文件中通过对象的URL地址对对象进行引用，对象可能存储在多个不同的服务器上，浏览器通过对象的URL地址向不同的服务器发出请求。

三、实验步骤与实验问题探讨【注：实验步骤应用（x）,问题用[x]】1.基本的HTTP GET/response交互下面利用HTTP获取一个简单的HTML文件（一个非常短且不含有嵌入式对象的文件）。

Ethereal协议分析实验指导Ethereal是一个开放源码的网络分析系统，也是目前最好的开放源码的网络协议分析器，支持Linux和windows平台。

Ethereal 基本类似于tcpdump，但 Ethereal 还具有设计完美的 GUI 和众多分类信息及过滤选项。

用户通过 Ethereal，同时将网卡插入混杂模式，可以查看到网络中发送的所有通信流量。

Ethereal网络协议分析软件可以十分方便直观地应用于计算机网络原理和网络安全的教学实验，网络的日常安全监测。

使用Ethereal能够非常有效地帮助学生来理解网络原理和协议、帮助学生理解实验现象和诊断实验故障。

一、Ethereal 协议分析软件下载及安装1.下载Ethereal 开源软件Ethereal是免费的，可以从官方网站下载最新版本。

以windows xp操作系统为例，如图2-1所示。

目前可下载最新版本为：Ethereal 0.99.0图2-1 下载Ethereal协议分析软件的界面2.安装Ethereal软件图2-2 Ethereal 安装界面双击Ethereal-setup-0.99.0.exe软件图标，开始安装。

图2-2为Ethereal安装界面。

选择欲安装的选件，一般选择默认即可，如图2-3图2-3选择欲安装的选件选择欲安装的目录，确定软件安装位置。

Ethereal软件的运行需要软件WinPcap的支持，WinPcap是libpcap library的Windows版本，Ethereal可通过WinPcap来劫取网络上的数据包。

在安装Ethereal时可以的过程中也会一并安装WinPcap，不需要再另外安装。

如图2-4所示图2-4选择安装WinPcap如果在安装Ethereal之前未安装Winpcap，可以勾选Install Winpcap 3.1 beta 4。

开始解压缩文件，接着开始安装，接着按Next就可以看到Ethereal的启动画面了。

计算机网络与通信实验报告（五）学号姓名班级日期实验内容利用分组嗅探器分析数据链路层协议实验目的了解数据链路层协议构造实验预备知识实验过程描述俘获并分析以太网帧(1)清空浏览器缓存（在IE窗口中，选择“工具/Internet选项/删除文件”命令）。

(2)启动Ethereal，开始分组俘获。

(3)地址栏中输入/ethereal-labs/HTTP-ethereal-file3.html(4)停止分组俘获。

首先，找到你的主机向服务器发送的HTTP GET报文的分组序号，以及服务器发送到你主机上的HTTP 响应报文的序号。

选择“Analyze->Enabled Protocols”，取消对IP复选框的选择，单击OK。

(5)选择包含HTTP GET报文的以太网帧，在分组详细信息窗口中，展开Ethernet II信息部分。

(6)选择包含HTTPARP分析(1)利用MS-DOS命令：arp 或 c:\windows\system32\arp查看主机上ARP缓存的内容。

(2)利用MS-DOS命令：arp-d * 清除主机上ARP缓存的内容。

(3)清除浏览器缓存。

(4)启动Ethereal，开始分组俘获。

(5)在浏览器的地址栏中输入：/ethereal-labs/ HTTP-ethereal-lab-file3.html(6)停止分组俘获。

选择“Analyze->Enabled Protocols”，取消IP选择，单击OK.实验结果回答问题:(1)你的主机的48位以太网地址是多少？答:00 24 7e 05 20 29(2)是服务器的地址吗？如不是，该地址是什么设备的以太网地址？不是.是路由器的(3)给出两种帧类型字段的十六进制值。

标志字段的值是1的含义是什么？Type 字段的值是0x0800，代表IP协议(4)在包含“get”以太网帧中，从该帧的起始处开始一共有多少个ASCII字符“G”？答:共54bit(5)以太网源地址是多少？该地址是你主机的地址吗？是服务器的地址吗？如果不是，该地址是什么设备的以太网地址？答：不是主机以太网地址，也不是目的主机以太网地址，实验结果(6)在包含“OK”以太网帧中，从该帧的起始处开始一共有多少个ASCII字符“O”？没有出现。

实验二利用分组嗅探器（ethereal）分析协议HTTP一、实验目的分析HTTP协议二、实验环境与因特网连接的计算机网络系统；主机操作系统为windows；Ethereal、IE等软件。

三、实验步骤1、HTTP GET/response交互首先通过下载一个非常简单的HTML文件（该文件非常短，并且不嵌入任何对象）。

（1）启动Web browser。

（2）启动Ethereal分组嗅探器。

在窗口的显示过滤说明处输入“http”，分组列表子窗口中将只显示所俘获到的HTTP报文。

（3）一分钟以后，开始Ethereal分组俘获。

（4）在打开的Web browser窗口中输入一下地址（浏览器中将显示一个只有一行文字的非常简单的HTML文件）：/ethereal-labs/HTTP-ethereal-file1.html（5）停止分组俘获。

窗口如图1所示。

根据俘获窗口内容，回答“四、实验报告内容”中的1-6题。

图1分组俘获窗口2、HTTP 条件GET/response交互（1）启动浏览器，清空浏览器的缓存（在浏览器中，选择“工具”菜单中的“Internet 选项”命令，在出现的对话框中，选择“删除文件”）。

（2）启动Ethereal分组俘获器。

开始Ethereal分组俘获。

（3）在浏览器的地址栏中输入以下URL: /ethereal-labs/HTTP-ethereal-file2.html,你的浏览器中将显示一个具有五行的非常简单的HTML文件。

（4）在你的浏览器中重新输入相同的URL或单击浏览器中的“刷新”按钮。

（5）停止Ethereal分组俘获，在显示过滤筛选说明处输入“http”,分组列表子窗口中将只显示所俘获到的HTTP报文。

根据操作回答“四、实验报告内容”中的7-10题。

3、获取长文件（1）启动浏览器，将浏览器的缓存清空。

（2）启动Ethereal分组俘获器。

开始Ethereal分组俘获。

（3）在浏览器的地址栏中输入以下URL: /ethereal-labs/HTTP-ethereal-file3.html，浏览器将显示一个相当大的美国权力法案。

实验二用Ethereal捕获并分析Ethernet帧【实验目的和要求】•掌握并分析Ethernet帧的帧格式•初步了解TCP/IP 的主要协议和协议的层次结构【实验内容】启动Ethereal并设置相应的选项，捕获以太帧并分析帧格式。

【实验设备】PC机、Ethereal软件、WinpCap软件【背景知识】1. 数据链路层协议分析TCP/IP 协议栈分为四层，从下往上依次为网络接口层、网际层、传输层和应用层，而网络接口层没有专门的协议，而是使用连接在 Internet 网上的各通信子网本身所固有的协议。

如以太网（Ethernet）的802.3 协议、令牌环网（TokenRing）的802.5 协议、分组交换网的X.25 协议等。

目前Ethernet 网得到了广泛的应用，它几乎成为局域网代名词。

因此，这一部分将对以太网链路层的帧格式和 802.1Q 帧格式进行分析验证，使学生初步了解TCP/IP 链路层的主要协议以及这些协议的主要用途和帧结构。

2．以太网简介IEEE 802 参考模型把数据链路层分为逻辑链路控制子层（LLC，Logical Link Control）和介质访问控制子层（MAC，Media Access Control）。

与各种传输介质有关的控制问题都放在MAC 层中，而与传输介质无关的问题都放在LLC 层。

因此，局域网对LLC 子层是透明的，只有具体到MAC 子层才能发现所连接的是什么标准的局域网。

IEEE 802.3 是一种基带总线局域网，最初是由美国施乐（Xerox ）于1975 年研制成功的，并以曾经在历史上表示传播电磁波的以太（Ether）来命名。

1981 年，施乐公司、数字设备公司（Digital）和英特尔（Intel）联合提出了以太网的规约。

1982 年修改为第二版，即DIX Ethernet V2，成为世界上第一个局域网产品的规范。

这个标准后来成为IEEE 802.3 标准的基础。

Ethereal软件下载、安装以及基本操作操作步骤：1.双击启动桌面上ethereal图标，按ctrl+K进行“capture option”的选择。

2.首先选择正确的NIC，进行报文的捕获。

3.对“capture option”各选项的详细介绍：Interface是选择捕获接口；Capture packetsin promiscuous mode表示是否打开混杂模式，打开即捕获所有的报文，一般我们只捕获到本机收发的数据报文，所以关掉；Limit each packet 表示限制每个报文的大小；Capture files 即捕获数据包的保存的文件名以及保存位置。

4.“capture option”确认选择后，点击ok就开始进行抓包；同时就会弹出“Ethereal:capture form (nic) driver”，其中(nic)代表本机的网卡型号。

同时该界面会以协议的不同统计捕获到报文的百分比，点击stop即可以停止抓包。

5.下图为Ethereal截取数据包的页面。

由上而下分別是截取数据包的列表以及封包的详细资料，最下面则是封包的內容，这时是以16进制及ASCII编码的方式来表示。

其中在列表这部份，最前面的编号代表收到封包的次序，其次是时间、来源地址、目的地址，最后则是协议的名称以及关于此封包的摘要信息。

6.若是想将截获到的数据包列表资料储存起来，可以执行[File]→[Save]或[Save As]将资料储存起来，存储对话框如下图所示，这些储存的数据包资料可以在以后执行[Open]来加以开启。

设置Ethereal的显示过滤规则操作步骤：1.在抓包完成后，显示过滤器用来找到你所感兴趣的包，依据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找你感兴趣的包。

2.举个例子，如果你只想查看使用tcp协议的包，在ethereal窗口的工具栏的下方的Filter中输入tcp，让后回车，ethereal就会只显示tcp协议的包，如下图所示：3.值比较表达式，可以使用下面的操作符来构造显示过滤器。

利用WireShark分析HTTP和DNS一、实验目的及任务1、熟悉并掌握WireShark的基本操作，了解网络协议实体间的交互以及报文交换。

2、分析HTTP协议3、分析DNS协议二、实验环境与因特网连接的计算机网络系统；主机操作系统为Windows2000或Windows XP；WireShark等软件。

三、预备知识要深入理解网络协议，需要仔细观察协议实体之间交换的报文序列。

为探究协议操作细节，可使协议实体执行某些动作，观察这些动作及其影响。

这些任务可以在仿真环境下或在如因特网这样的真实网络环境中完成。

观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer）。

顾名思义，一个分组嗅探器捕获（嗅探）计算机发送和接收的报文。

一般情况下，分组嗅探器将存储和显示出被捕获报文的各协议头部字段内容。

图1为一个分组嗅探器的结构。

图1右边是计算机上正常运行的协议（在这里是因特网协议）和应用程序（如：web浏览器和ftp客户端）。

分组嗅探器（虚线框中的部分）是附加计算机普通软件上的，主要有两部分组成。

分组捕获库接收计算机发送和接收的每一个链路层帧的拷贝。

高层协议（如：HTTP、FTP、TCP、UDP、DNS、IP等）交换的报文都被封装在链路层帧(Frame)中，并沿着物理介质（如以太网的电缆）传输。

图1假设所使用的物理媒体是以太网，上层协议的报文最终封装在以太网帧中。

分组嗅探器的第二个组成部分是分析器。

分析器用来显示协议报文所有字段的内容。

为此，分析器必须能够理解协议所交换的所有报文的结构。

例如：我们要显示图1中HTTP协议所交换的报文的各个字段。

分组分析器理解以太网帧格式，能够识别包含在帧中的IP数据报。

分组分析器也要理解IP数据报的格式，并能从IP数据报中提取出TCP报文段。

然后，它需要理解TCP报文段，并能够从中提取出HTTP消息。

最后，它需要理解HTTP消息。

WireShark是一种可以运行在Windows, UNIX, Linux等操作系统上的分组分析器.用户界面如图2所示。

网络抓包分析实验报告一：实验目的：1.学习使用网络数据抓包软件Ethereal，对互连网进行数据抓包，巩固对所学知识的理解二：实验内容：1：分析http协议请求的响应过程。

2：分析TCP的处理过程，HTTP，TCp的报文格式。

三：实验工具Wireshark抓包软件四：实验步骤1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

3、设置完成后，点击“start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构五：分析1：http请求报文分析（第8个包）请求行：方法字段：GET，版本是http/1.1.首部行：主机host：；Connection：Keep-Alive，即保持持久连接；Accept-language：zh-cn，即接收语言是中文。

2．http响应报文（第55个包）状态行：http/1.1 200 OK；请求成功。

首部行：响应Date：sat，21，Apr 2012 04:58:18 GMT;Content-Type：text/html 指示实体主体中的对象是text/html文本；Content-Length：35593 表明了被发送对象的字节数是35593个字节。

:3：TCP报文格式分析：报文格式：如截图可知：源端口号：80，目的端口号3968，序号：1，确认号：424，首部长度：20 bytes，Flags=0X10（URG=0，ACK=1，PSH=0，RST=0，SYN=0，FIN=0）接收窗口大小：65112；检验和：0x8a44。

4：TCP响应（3次握手）分析：1）服务器应用启动,进入LISTEN状态；2）客户端向服务器端发送一个TCP报文段，该段设置SYN标识，请求跟服务器端应用同步，之后进入SYN-SENT状态，等待服务器端的响应；（第5个包）3）服务器端应用收到客户端的SYN 段之后，发送一个TCP段响应客户端，该段设置SYN和ACK标识，告知客户端自己接受它的同步请求，同时请求跟客户端同步。

云南大学软件学院实验报告课程：计算机网络原理实验任课教师：刘春花，刘宇姓名：学号：专业：成绩：实验二应用层协议分析实验报告1．实验目的：分析HTTP协议报文的首部格式，理解HTTP协议的工作过程；分析DNS的工作过程。

2．实验环境：（1）连入Internet的主机一台（2）主机安装Ethereal软件3．实验步骤：a.下载一个非常简单的HTML文件（该文件不嵌入任何对象），利用Ethereal软件分析HTTP 协议。

（1）启动Web browser。

清空浏览器的缓存。

（2）启动Ethereal，开始Ethereal分组俘获。

（3）在打开的Web browser窗口中可输入下列地址之一✓/ethereal-labs/HTTP-ethereal-file1.html✓/ethereal-labs/HTTP-ethereal-file2.html✓/ethereal-labs/HTTP-ethereal-file3.html✓/IETF-Standards-Process.html✓/~danr/courses/6761/Fall00/✓/rfc-index.html✓/rfc/rfc959.txt✓/CurrQstats.txt✓/ietf/1bof-procedures.txt浏览器中将显示一个只有一行或多行文字的非常简单的HTML文件。

（4）停止分组俘获。

在显示过滤筛选说明处输入“http”,分组列表子窗口中将只显示所俘获到的HTTP报文。

将捕获结果保存为test1。

（5）根据结果回答下列问题回答实验a的问题。

实验b.下载一个含多个嵌入对象的网页，利用Ethereal软件分析HTTP协议。

（1）启动浏览器，将浏览器的缓存清空。

（2）启动Ethereal分组俘获器。

开始Ethereal分组俘获。

（3）在浏览器的地址栏中输入某个地址，（需要满足该地址下的网页是包含多个内嵌对象即可)。

（4）停止Ethereal分组俘获，在显示过滤筛选说明处输入“http”,分组列表子窗口中将只显示所俘获到的HTTP报文。

计算机⽹络实验-利⽤Wireshark分析协议HTTP实验1.2利⽤Wireshark分析协议HTTP⼀、实验⽬的分析HTTP协议⼆、实验环境与因特⽹连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、实验步骤及实验报告要求1、利⽤Wireshark俘获HTTP分组（1）在进⾏跟踪之前，我们⾸先清空Web 浏览器的⾼速缓存来确保Web ⽹页是从⽹络中获取的，⽽不是从⾼速缓冲中取得的。

之后，还要在客户端清空DNS⾼速缓存，来确保Web服务器域名到IP地址的映射是从⽹络中请求。

在WindowsXP机器上，可在命令提⽰⾏输⼊ipconfig/flushdns(清除DNS解析程序缓存)完成操作。

（2）启动Wireshark 分组俘获器。

（3）在Web 浏览器中输⼊：/doc/7cec00d89fc3d5bbfd0a79563c1ec5da51e2d659.html /（4）停⽌分组俘获。

图1 利⽤Wireshark俘获的HTTP分组在URL /doc/7cec00d89fc3d5bbfd0a79563c1ec5da51e2d659.html /中，/doc/7cec00d89fc3d5bbfd0a79563c1ec5da51e2d659.html /是⼀个具体的web 服务器的域名。

最前⾯有两个DNS分组。

第⼀个分组是将域名/doc/7cec00d89fc3d5bbfd0a79563c1ec5da51e2d659.html /转换成为对应的IP 地址的请求，第⼆个分组包含了转换的结果。

这个转换是必要的，因为⽹络层协议——IP协议，是通过点分⼗进制来表⽰因特⽹主机的，⽽不是通过/doc/7cec00d89fc3d5bbfd0a79563c1ec5da51e2d659.html /这样的域名。

当输⼊URL 时，将要求Web服务器从主机/doc/7cec00d89fc3d5bbfd0a79563c1ec5da51e2d659.html /上请求数据，但⾸先Web 浏览器必须确定这个主机的IP地址。

实验三利用分组嗅探器分析HTTP和DNS一、实验目的及任务1、熟悉并掌握Ethereal(或WireShark)的基本操作，了解网络协议实体间的交互以及报文交换。

2、分析HTTP协议3、分析DNS协议二、实验环境与因特网连接的计算机网络系统；主机操作系统为Windows2000或Windows XP；Ethereal(或WireShark)等软件。

说明：分组数据的获取主机IP：192.168.1.101。

三、预备知识要深入理解网络协议，需要仔细观察协议实体之间交换的报文序列。

为探究协议操作细节，可使协议实体执行某些动作，观察这些动作及其影响。

这些任务可以在仿真环境下或在如因特网这样的真实网络环境中完成。

观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer）。

顾名思义，一个分组嗅探器捕获（嗅探）计算机发送和接收的报文。

一般情况下，分组嗅探器将存储和显示出被捕获报文的各协议头部字段内容。

图1为一个分组嗅探器的结构。

图1右边是计算机上正常运行的协议（在这里是因特网协议）和应用程序（如：web浏览器和ftp客户端）。

分组嗅探器（虚线框中的部分）是附加计算机普通软件上的，主要有两部分组成。

分组捕获库接收计算机发送和接收的每一个链路层帧的拷贝。

高层协议（如：HTTP、FTP、TCP、UDP、DNS、IP等）交换的报文都被封装在链路层帧(Frame)中，并沿着物理介质（如以太网的电缆）传输。

图1假设所使用的物理媒体是以太网，上层协议的报文最终封装在以太网帧中。

分组嗅探器的第二个组成部分是分析器。

分析器用来显示协议报文所有字段的内容。

为此，分析器必须能够理解协议所交换的所有报文的结构。

例如：我们要显示图1中HTTP协议所交换的报文的各个字段。

分组分析器理解以太网帧格式，能够识别包含在帧中的IP数据报。

分组分析器也要理解IP数据报的格式，并能从IP数据报中提取出TCP报文段。

然后，它需要理解TCP报文段，并能够从中提取出HTTP消息。

实验二网络抓包及协议分析软件使用说明⏹目的及意义：利用网络协议分析工具Ethereal截获网络中传送的数据包，通过观察分析，从而了解和认识（理解）协议的运行机制。

⏹下载与安装：在Windows下安装Ethereal,可从下载安装软件，然后执行安装。

Ethereal 在0.10.12版本后都内置了Winpcap,如没内置的Winpcap，可先安装Winpcap。

有关Winpcap的详细信息可参考。

一．实验目的：1．了解抓包与协议分析软件的简单使用方法。

2．了解并验证网络上数据包的基本结构。

二．实验环境1．硬件：PC、配备网卡，局域网环境。

2．软件：Windows 2000或者XP操作系统、winpcap、analyzer。

三．实验内容利用Ethereal软件抓取网络上的数据包，并作相应分析。

四．实验范例（1）安装Etheral的安装非常简单，只要按照提示安装即可。

（2）运行双击桌面的Ethereal，显示“The Ethereal Network Analyzer”的主界面，菜单的功能是：（3）设置规则这里有两种方式可以设置规则：●使用interface1）选择Capture—>interfaces，将显示该主机的所有网络接口和所有流经的数据包，单击“Capture”按钮，及执行捕获。

2）如果要修改捕获过程中的参数，可以单击该接口对应的“Prepare”按钮。

在捕获选项对话框中，可以进一步设置捕获条件：●Interface——确定所选择的网络接口●Limit each packet to N bytes——指定所捕获包的字节数。

选择该项是为了节省空间，只捕获包头，在包头中已经拥有要分析的信息。

●Capture packet in promiscuous mode——设置成混杂模式。

在该模式下，可以记录所有的分组，包括目的地址非本机的分组。

●Capture Filter——指定过滤规则有关过滤规则请查阅以下使用Filter方式中的内容。

实验二网络抓包及协议分析软件使用说明目的及意义: 利用网络协议分析工具Ethereal截获网络中传送的数据包, 通过观察分析, 从而了解和认识（理解）协议的运行机制。

下载与安装: 在Windows下安装Ethereal,可从 下载安装软件, 然后执行安装。

Ethereal 在0.10.12版本后都内置了Winpcap,如没内置的Winpcap, 可先安装Winpcap。

有关Winpcap的详细信息可参考。

一. 实验目的:1. 了解抓包与协议分析软件的简单使用方法。

2. 了解并验证网络上数据包的基本结构。

二. 实验环境1．硬件：PC.配备网卡, 局域网环境。

2. 软件: Windows 2000或者XP操作系统、winpcap、analyzer。

三. 实验内容利用Ethereal软件抓取网络上的数据包, 并作相应分析。

（1）四. 实验范例（2）安装（3）E theral的安装非常简单, 只要按照提示安装即可。

（4）运行（5）双击桌面的Ethereal, 显示“The Ethereal Network Analyzer”的主界面, 菜单的功能是:（6）设置规则●这里有两种方式可以设置规则:●使用interface选择Capture—>interfaces, 将显示该主机的所有网络接口和所有流经的数据包, 单击“Capture”按钮, 及执行捕获。

●如果要修改捕获过程中的参数, 可以单击该接口对应的“Prepare”按钮。

在捕获选项对话框中, 可以进一步设置捕获条件:●Interface——确定所选择的网络接口●Limit each packet to N bytes——指定所捕获包的字节数。

●选择该项是为了节省空间, 只捕获包头, 在包头中已经拥有要分析的信息。

●Capture packet in promiscuous mode——设置成混杂模式。

●在该模式下, 可以记录所有的分组, 包括目的地址非本机的分组。

实验二使用包嗅探及协议分析软件Ethereal 分析 Ethernet帧【实验目的】1、掌握包嗅探及协议分析软件Ethereal的使用。

2、掌握Ethernet帧的构成【实验环境】安装好Windows 2000 Server操作系统+Ethereal的计算机【实验时间】 2节课【实验重点及难点】重点学习掌握如何利用Ethereal来分析Ethernet帧。

【实验内容】1、捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2（即EthernetII）格式的帧并进行分析。

2、捕捉并分析局域网上的所有ethernet broadcast帧进行分析。

3、捕捉局域网上的所有ethernet multicast帧进行分析。

【实验步骤】一、Ethereal的安装Ethereal是一个图形用户接口（GUI）的网络嗅探器，由于Ethereal需要WinPcap库, 所以先安装WinPcap_2_3.exe, 再安装Ethereal.exe。

（已装好）二、仔细阅读附件中的Ethereal使用方法和TcpDump的表达式详解，学习Ethereal的使用。

三、捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2（即EthernetII）格式的帧并进行分析。

捕捉任何主机发出的Ethernet 802.3格式的帧（帧的长度字段<=1500），Ethereal的capture filter 的filter string设置为：ether[12:2] <= 1500。

捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧（帧的长度字段>1500, 帧的长度字段实际上是类型字段）， Ethereal的capture filter 的filter string设置为：ether[12:2] > 1500。

①观察并分析帧结构，802.3格式的帧的上一层主要是哪些PDU？是IP、LLC还是其它哪种？（学校里可能没有，如果没有，注明没有就可以了）②观察并分析帧结构，Ethernet II的帧的上一层主要是哪些PDU？是IP、LLC还是其它哪种？四、捕捉并分析局域网上的所有ethernet broadcast帧，Ethereal的capture filter 的filter string设置为：ether broadcast。