利用Ethereal分析TCP数据包

用Ethereal分析协议数据包本文由CSNA（）网站chuxiangshuai整理。

Ethereal是一个图形用户接口（GUI）的网络嗅探器，能够完成与Tcpdump相同的功能，但操作界面要友好很多。

Ehtereal和Tcpdump都依赖于pcap库（libpcap），因此两者在许多方面非常相似（如都使用相同的过滤规则和关键字）。

Ethereal和其它图形化的网络嗅探器都使用相同的界面模式，如果能熟练地使用Ethereal，那么其它图形用户界面的嗅探器基本都可以操作。

Ethereal的安装在网站上可以下载到最新的Ethereal源码包。

下面以Ethereal 0.9.9为例，讲述如何安装Ethereal，此处使用的操作系统是Red Hat 8.0。

首先下载最新的源码包，并将其解压缩：# cp ethereal-0.9.9.tar.bz2 /usr/local/src/# cd /usr/local/src/# bzip2 -d ethereal-0.9.9.tar.bz2# tar xvf ethereal-0.9.9.tar同Tcpdump一样，在编译Ethereal之前应先确定已经安装pcap库（libpcap），这是编译Ethereal 时所必需的。

如果该库已经安装，就可以执行下面的命令来编译并安装Ethereal：# cd ethereal-0.9.9# ./configure# make# make install设置Ethereal的过滤规则当编译并安装好Ethereal后，就可以执行“ethereal”命令来启动Ethereal。

在用Ethereal截获数据包之前，应该为其设置相应的过滤规则，可以只捕获感兴趣的数据包。

Ethereal使用与Tcpdump相似的过滤规则，并且可以很方便地存储已经设置好的过滤规则。

要为Ethereal 配置过滤规则，首先单击“Edit”选单，然后选择“Capture Filters...”菜单项，打开“Edit Capture Filter List”对话框（如图1所示）。

Ethereal协议分析实验指导Ethereal是一个开放源码的网络分析系统，也是目前最好的开放源码的网络协议分析器，支持Linux和windows平台。

Ethereal 基本类似于tcpdump，但 Ethereal 还具有设计完美的 GUI 和众多分类信息及过滤选项。

用户通过 Ethereal，同时将网卡插入混杂模式，可以查看到网络中发送的所有通信流量。

Ethereal网络协议分析软件可以十分方便直观地应用于计算机网络原理和网络安全的教学实验，网络的日常安全监测。

使用Ethereal能够非常有效地帮助学生来理解网络原理和协议、帮助学生理解实验现象和诊断实验故障。

一、Ethereal 协议分析软件下载及安装1.下载Ethereal 开源软件Ethereal是免费的，可以从官方网站下载最新版本。

以windows xp操作系统为例，如图2-1所示。

目前可下载最新版本为：Ethereal 0.99.0图2-1 下载Ethereal协议分析软件的界面2.安装Ethereal软件图2-2 Ethereal 安装界面双击Ethereal-setup-0.99.0.exe软件图标，开始安装。

图2-2为Ethereal安装界面。

选择欲安装的选件，一般选择默认即可，如图2-3图2-3选择欲安装的选件选择欲安装的目录，确定软件安装位置。

Ethereal软件的运行需要软件WinPcap的支持，WinPcap是libpcap library的Windows版本，Ethereal可通过WinPcap来劫取网络上的数据包。

在安装Ethereal时可以的过程中也会一并安装WinPcap，不需要再另外安装。

如图2-4所示图2-4选择安装WinPcap如果在安装Ethereal之前未安装Winpcap，可以勾选Install Winpcap 3.1 beta 4。

开始解压缩文件，接着开始安装，接着按Next就可以看到Ethereal的启动画面了。

利用Ethereal分析HTTP、TCP和IP实验报告实验四利用Ethereal分析HTTP、TCP和IP1、实验目的熟悉并掌握Ethereal的基本操作，了解网络协议实体间进行交互以及报文交换的情况。

2、实验环境：Windows 9x/NT/2000/XP/2003与因特网连接的计算机网络系统Ethereal等软件3、实验内容：1) 学习Ethereal的使用2) 利用Ethereal分析HTTP协议3) 利用Ethereal分析TCP协议4) 利用Ethereal分析IP协议4、实验方式：每位同学上机实验，并与指导教师讨论。

5、参考内容：要深入理解网络协议，需要仔细观察协议实体之间交换的报文序列。

为探究协议操作细节，可使协议实体执行某些动作，观察这些动作及其影响。

这些任务可以在仿真环境下或在如因特网这样的真实网络环境中完成。

观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer）。

顾名思义，一个分组嗅探器俘获（嗅探）计算机发送和接收的报文。

一般情况下，分组嗅探器将存储和显示出被俘获报文的各协议头部字段的内容。

图1为一个分组嗅探器的结构。

图1 右边是计算机上正常运行的协议（在这里是因特网协议）和应用程序（如： web 浏览器和ftp 客户端）。

分组嗅探器（虚线框中的部分）是附加计算机普通软件上的，主要有两部分组成。

分组俘获库（packet capture library）接收计算机发送和接收的每一个链路层帧的拷贝。

高层协议（如：HTTP、FTP、TCP、UDP、DNS、IP 等）交换的报文都被封装在链路层帧中，并沿着物理媒体（如以太网的电缆）传输。

图1 假设所使用的物理媒体是以太网，上层协议的报文最终封装在以太网帧中。

分组嗅探器的第二个组成部分是分析器。

分析器用来显示协议报文所有字段的内容。

为此，分析器必须能够理解协议所交换的所有报文的结构。

例如：我们要显示图1 中HTTP 协议所交换的报文的各个字段。

辽宁工业大学创新实验（论文）题目ethereal抓包分析电子与信息工程学院院（系）通信工程专业072 班学生姓名谭超学号070305034指导教师李宁开题日期：2010年 6 月 10 日实验目的：本实验使用开源网络协议分析器Ethereal，从网络中抓包，并选择几种协议进行分析。

一、安装Ethereal、用Capture Options(捕获选项)对话框来指定跟踪记录的各个方面、开始抓包。

1、安装Ethereal从网络下载得到该软件，并进行安装。

过程略。

2、捕获选项图1捕获选项的设置3、开始抓包点击上图中的“Start”开始抓包图2 开始抓包二、分析UDP、TCP、ICMP协议1、UDP协议UDP 是User Datagram Protocol的简称，中文名是用户数据包协议，是 OSI 参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。

它是IETF RFC 768是UDP的正式规范。

（1） UDP是一个无连接协议，传输数据之前源端和终端不建立连接，当它想传送时就简单地去抓取来自应用程序的数据，并尽可能快地把它扔到网络上。

在发送端，UDP传送数据的速度仅仅是受应用程序生成数据的速度、计算机的能力和传输带宽的限制；在接收端，UDP把每个消息段放在队列中，应用程序每次从队列中读一个消息段。

（2）由于传输数据不建立连接，因此也就不需要维护连接状态，包括收发状态等，因此一台服务机可同时向多个客户机传输相同的消息。

（3） UDP信息包的标题很短，只有8个字节，相对于TCP的20个字节信息包的额外开销很小。

（4）吞吐量不受拥挤控制算法的调节，只受应用软件生成数据的速率、传输带宽、源端和终端主机性能的限制。

（5）UDP使用尽最大努力交付，即不保证可靠交付，因此主机不需要维持复杂的链接状态表（这里面有许多参数）。

（6）UDP是面向报文的。

发送方的UDP对应用程序交下来的报文，在添加首部后就向下交付给IP层。

Ethereal软件下载、安装以及基本操作操作步骤：1.双击启动桌面上ethereal图标，按ctrl+K进行“capture option”的选择。

2.首先选择正确的NIC，进行报文的捕获。

3.对“capture option”各选项的详细介绍：Interface是选择捕获接口；Capture packetsin promiscuous mode表示是否打开混杂模式，打开即捕获所有的报文，一般我们只捕获到本机收发的数据报文，所以关掉；Limit each packet 表示限制每个报文的大小；Capture files 即捕获数据包的保存的文件名以及保存位置。

4.“capture option”确认选择后，点击ok就开始进行抓包；同时就会弹出“Ethereal:capture form (nic) driver”，其中(nic)代表本机的网卡型号。

同时该界面会以协议的不同统计捕获到报文的百分比，点击stop即可以停止抓包。

5.下图为Ethereal截取数据包的页面。

由上而下分別是截取数据包的列表以及封包的详细资料，最下面则是封包的內容，这时是以16进制及ASCII编码的方式来表示。

其中在列表这部份，最前面的编号代表收到封包的次序，其次是时间、来源地址、目的地址，最后则是协议的名称以及关于此封包的摘要信息。

6.若是想将截获到的数据包列表资料储存起来，可以执行[File]→[Save]或[Save As]将资料储存起来，存储对话框如下图所示，这些储存的数据包资料可以在以后执行[Open]来加以开启。

设置Ethereal的显示过滤规则操作步骤：1.在抓包完成后，显示过滤器用来找到你所感兴趣的包，依据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找你感兴趣的包。

2.举个例子，如果你只想查看使用tcp协议的包，在ethereal窗口的工具栏的下方的Filter中输入tcp，让后回车，ethereal就会只显示tcp协议的包，如下图所示：3.值比较表达式，可以使用下面的操作符来构造显示过滤器。

计算机网络课程实验报告实验5：利用Ethereal分析TCP、UDP、ICMP协议实验过程:使用Ethereal分析TCP协议: （15分)得分：抓取本机与http://gaia。

/ethereal—labs/alice。

txt通信过程中的网络数据包.根据操作思考以下问题：●客户服务器之间用于初始化TCP连接的TCP SYN报文段的序号（sequence number）是多少?在该报文段中，是用什么来标示该报文段是SYN报文段的？Seq=0Flags中的syn位为1,ack位为0，说明是syn报文段●服务器向客户端发送的SYNACK报文段序号是多少？该报文段中,Acknowledgement字段的值是多少？Gaia.cs。

umass。

edu服务器是如何决定此值的？在该报文段中，是用什么来标示该报文段是SYNACK报文段的？Seq=0Ack=1,服务器根据客户端发送的SYN报文的Seq值加一后得到此值Flags中的Ack和Syn位都为1，所以是SYNACK报文●如果将包含HTTP POST命令的TCP报文段看作是TCP连接上的第一个报文段，那么该TCP连接上客户机向服务器发送的第六个报文段的序号是多少？是何时发送的？该报文段所对应的ACK是何时接收的？第六个报文段：对应的ack报文段:23号报文时第六个报文，seq=6310,发送时间：Jun 1,2013 13:32：56.587941000 对应的ack报文段接收时间Jun 1，2013 13：32：56.993379000●前六个TCP报文段的长度各是多少?在整个文件发送过程中,接受方公示的窗口大小是否变化？窗口大小代表什么含义？(可参考教科书“流量控制”一节）首个报文段长度为555，其余都为1506，接收方窗口长度是变化的.它代表接收方端口上缓冲区空闲空间的大小，显示其接受能力●TCP连接的throughput (bytes transferred per unit time)是多少？请写出你的计算过程.（不必给出计算结果,表达出计算的思路即可）TCP连接发送报文的数据字节总数÷发送数据报总时间●实验结论，以及实验中遇到的其他问题是如何解决的?结论：tcp协议在建立连接时要经历三次握手过程;当tcp连接需要发送比较大块的数据时，会将其分割成若干份数据报发送.Tcp协议利用窗口大小来实现端到端的流量控制问题：实验课后到四楼机房重做实验发现那里的网络不适合做这次实验（在那研究了一个小时),后来用自己电脑回到寝室做实验比较顺利。

Wireshark 工具的使用与TCP数据包分析(SEC-W07-007.1)Wireshark（前称Ethereal）是一个网络封包分析软件。

网络封包分析软件的功能是捕捉网络数据包，并尽可能显示出最为详细的数据包内容。

在过 去，网络数据包分析软件或者非常昂贵，或者专门属于营利用的软件。

Wireshark的出现改变了这一切。

在GNUGPL通用许可证的保障下，使用者可以 免费取得软件及其源代码，并拥有对源代码修改的权利。

Wireshark是目前全世界最广泛的网络封包分析软件之一。

传输控制协议（Transmission Control Protocol），简称TCP协议，是一种面向连接（连接导向）的、可靠的、基于字节流的运输层（Transport layer） 通信协议，由IETF的RFC 793说明（specified）。

在简化的计算机网络OSI模型中，它完成第3层传输层所指定的功能，基于TCP的常见应用如 TELNET，SSH，HTTP，FTP等。

实验目的l学习Wireshark工具的使用。

l学习TCP协议及其TCP头部结构。

l利用Wireshark分析TCP数据包内容。

实验拓扑实验准备l获取Windows 远程桌面客户端工具mstsc压缩包并解压。

l获取服务器Windows操作系统Administrator管理员口令。

l获取服务器IP地址。

实验步骤学习Wireshark工具使用步骤说明：使用Wireshark工具，熟悉常见功能配置。

1.运行远程桌面客户端程序mstsc.exe，输入服务器端IP地址，点击Connect连接，如图1：图12.以Administrator（管理员）身份登陆服务器桌面。

注：l服务器Administrator用户的登陆密码为123456。

3.在远程桌面中，单击桌面Wireshark程序快捷图标，弹出Wireshark程序如图2：图24.在Wireshark程序点击查看本机网卡状态配置按钮：Interface List，弹出如图3对话框，图例中可以看出本机的网卡信息。

实验七-用协议分析工具EtherPeek捕获TCP、UDP数据包并分析实验目的：熟练掌握协议分析工具的使用掌握TCP/UDP数据的头部信息的含义实验环境：学生机、Boson Netsim。

实验内容与步骤：实验内容1．捕获并分析传输控制协议。

很多因特网服务，比如HTTP、FTP、SMTP 和Telnet，都要依靠TCP来传输数据。

2．捕获并分析用户数据报协议。

UDP由很多上层协议使用，例如普通文件传输协议(TFTP)和DNS。

实验步骤1 启动软件安装和启动EtherPeek2 捕获报文基本步骤（1）打开程序后，选择Capture(捕获)—Start(开始)，或者是工具栏上的开始箭头。

（2）数据传输实现后，再次进入Capture(捕获)菜单，然后选择Stop(停止)或者使用工具栏。

（3）进入Capture(捕获)菜单，选择“停止并显示”。

（4）停止捕获后，在对话框最下角增加了一组窗口卷标，包括高级、解码、矩阵、主机表单、协议分布和统计信息。

（5）选择解码卷标，可以看到缓冲器中的所有实际“数据”。

分析该卷标结构及其内容。

3捕获并分析传输控制协议（1）进入“捕获”，“定义过滤器”。

在定义过滤器窗口中，点击“文件”，“新建”。

（2）转到“高级”卷标，点击IP协议标题旁边的“＋”号，到下面找到TCP，然后选中TCP。

（3）点击OK，关闭定义过滤器窗口。

（4）按F10开始捕获TCP流量。

（5）分析捕获到的结果(即解释数据包的内容和协议具体实现过程)。

4、捕获HTTP协议使用下层TCP协议通过三次握手建立连接的数据包，第1个数据包的长度为个字节。

第2个数据包的长度为个字节。

第3个数据包的长度为个字节。

下面先对第一个TCP包进行数据分析。

（分别对三个数据包进行以下的分析，即重复三次）第一行（Source port）：2字节，源端口号。

第二行（Destination port）：2字节，目标端口号。

第三行（Initial Sequence number）：4字节，表示发送数据包的排序序列：。

计算机网络课程实验报告实验5：利用Ethereal分析TCP、UDP、ICMP协议实验过程：使用Ethereal分析TCP协议: (15分)得分：抓取本机与/ethereal-labs/alice.txt通信过程中的网络数据包。

根据操作思考以下问题：●客户服务器之间用于初始化TCP连接的TCP SYN报文段的序号（sequence number）是多少？在该报文段中，是用什么来标示该报文段是SYN报文段的？Seq=0Flags中的syn位为1，ack位为0，说明是syn报文段●服务器向客户端发送的SYNACK报文段序号是多少？该报文段中，Acknowledgement字段的值是多少？服务器是如何决定此值的？在该报文段中，是用什么来标示该报文段是SYNACK报文段的？Seq=0Ack=1,服务器根据客户端发送的SYN报文的Seq值加一后得到此值Flags中的Ack和Syn位都为1，所以是SYNACK报文●如果将包含HTTP POST命令的TCP报文段看作是TCP连接上的第一个报文段，那么该TCP连接上客户机向服务器发送的第六个报文段的序号是多少？是何时发送的？该报文段所对应的ACK是何时接收的？第六个报文段：对应的ack报文段：23号报文时第六个报文，seq=6310，发送时间：Jun 1，2013 13：32：56.587941000 对应的ack报文段接收时间Jun 1，2013 13：32：56.993379000●前六个TCP报文段的长度各是多少？在整个文件发送过程中，接受方公示的窗口大小是否变化？窗口大小代表什么含义？(可参考教科书“流量控制”一节)首个报文段长度为555，其余都为1506，接收方窗口长度是变化的。

它代表接收方端口上缓冲区空闲空间的大小，显示其接受能力●TCP连接的throughput (bytes transferred per unit time)是多少？请写出你的计算过程。

计算机网络实验报告年级：姓名：学号：实验日期：实验名称：利用Ethereal分析TCP协议一、实验目的二、实验器材1. 接入Internet的计算机主机；2. 抓包工具wireshark和截图工具snagit。

三、实验内容1. What is the IP address and TCP port number used by the client computer (source) thatis transferring the file to ? To answer this question, it’s probably easiest to select an HTTP message and explore the details of the TCP packet used to carry this HTTP message, using the “details of the selected packet header window”(refer to Figure 2 in the “Getting Started with Wireshark”Lab if you’re uncertain about the Wireshark windows.答：the IP address used by the client computer (source) 是：192.168.1.102the TCP port number used by the client computer (source) 是：1161如下图：2．What is the IP address of ? On what port number is it sending and receiving TCP segments for this connection?答：the IP address of isport number is实验结果如下图：3.What is the IP address and TCP port number used by your client computer (source) to transfer the file to ?答：the IP address used by the client computer (source) 是：219.244.168.170 the TCP port number used by the client computer (source) 是：1432如下图：4.What is the sequence number of the TCP SYN segment that is used to initiate the TCP connection between the client computer ? What is it in the segment that identifies the segment as a SYN segment?实验结果如下图：5.What is the sequence number of the SYNACK segment sent by to the client computer in reply to the SYN? What is the value of the ACKnowledgement field in the SYNACK segment? How did determine that value? What is it in the segment that identifies the segment as a SYNACK segment?6.What is the sequence number of the TCP segment containing the HTTP POSTcommand? Note that in order to find the POST command, you’ll need to dig into the packet content field at the bottom of the Wireshark window, looking for a segment with a “POST”within its DATA field.实验结果如下：7. Consider the TCP segment containing the HTTP POST as the first segment in theTCP connection. What are the sequence numbers of the first six segments in the TCP connection (including the segment containing the HTTP POST)? At what time was each segment sent? When was the ACK for each segment received? Given the difference between when each TCP segment was sent, and when its acknowledgement was received, what is the RTT value for each of the six segments? What is the EstimatedRTT value (see page 249 in text) after the receipt of each ACK? Assume that the value of the EstimatedRTT is equal to the measured RTT for the first segment, and then is computed using the EstimatedRTT equation on page 249 for all subsequent segments. Note: Wireshark has a nice feature that allows you to plot the RTT for each of the TCP segments sent. Selecta TCP segment in the “listing of captured packets”window that is being sent from the clientto the server. Then select: Statistics->TCP Stream Graph->Round Trip Time Graph.第一行为序列号，第二行为每个段发出去的时间，第三行为对应ACK接收到的时间，第四行为这个段的RTT(1)EstimatedRTT=0.027460000(2)EstimatedRTT=0.857*0.027460000+0.125*0.035557000=0.00528139570354(3)EstimatedRTT=0.857*0.00528139570354+0.125*0.070059000=0.009074472971466 3(4)EstimatedRTT=0.857*0.0090744729714663+0.125*0.114428000=0.0151933863407 544(5)EstimatedRTT=0.857*0.0151933863407544+0.125*0.139894000=0.0193082722955 617(6)EstimatedRTT=0.857*0.0193082722955617+0.125*0.189645000=0.0268437167256 6458. What is the length of each of the first six TCP segments?3这六个段的长度分TCP segment 的长度分别是：9. What is the minimum amount of available buffer space advertised at the received for the entire trace? Does the lack of receiver buffer space ever throttle the sender?没有10. Are there any retransmitted segments in the trace file? What did you check for (in the trace) in order to answer this question?没有重传的段，经检查没有在数据包列表区发现冗余ACK，并且发送发的序列号也没有重复的，所以可以判定没有重传的TCP段。

In this lab, we’ll investigate调查the behavior of TCP in detail. We’ll do so by analyzing a trace of the TCP segments sent and received in transferring a 150KB file (containing the text of Lewis Carrol’s Alice’s Adventures inWonderland) from your computer to a remote server. We’ll study TCP’s use of sequence and acknowledgement numbers for providing reliable data transfer; we’ll see TCP’s congestion control algorithm –slow start and congestion avoidance –in action; and we’ll look at TCP’s receiver-advertised flow control mechanism. We’ll also briefly consider TCP connection setup and we’ll investigate the performance (throughput and round-trip time) of the TCPconnection between your computer and the server.Before beginning this lab, you’ll probably wa nt to review sections 3.5 and 3.7 in the text.11. Capturing a bulk TCP transfer from your computer to a remote serverBefore beginning our exploration of TCP, we’ll need to use Wireshark to obtain a packet trace of the TCP transfer of a file from your computer to a remote server. You’ll do so by accessing a Web page that will allow you to enter the name of a file stored on your computer (which contains the ASCII text of Alice in Wonderland), and then transfer the file to a Web server using the HTTP POST method (see section 2.2.3 in the text). We’re using the POST method rather than the GET method as we’d like to transfer a large amount of data from your computer to another computer. Of course, we’ll be running Wireshark during this time to obtain the trace of the TCP segments sent and received from your computer.--------------------------------------------1All references to the text in this lab are to Computer Networking: A Top-down Approach, 5thedition.Do the following:Start up your web browser. Go the /wireshark-labs/alice.txt and retrieve an ASCII copy of Alice in Wonderland. Store this file somewhere on your computer.Next go to /wireshark-labs/TCP-wireshark-file1.html. You should see a screen that looks like:Use the Browse button in this form to enter the name of the file (full path name) on your computer containing Alice in Wonderland (or do so manually). Don’t yet press the “Upload alice.txt file” button.Now start up Wireshark and begin packet capture (Capture->Start) and then press OK on the Wireshark Packet Capture Options screen (we’ll not need toselect any options here).Returning to your browser, press the “Upload alice.txt file” button to upload the file to the server. Once the file has been uploaded, a short congratulations message will be displayed in your browser window.Stop Wireshark packet capture. Your Wireshark window should look similar to the window shown below.If you are unable to run Wireshark on a live network connection, you can download a packet trace file that was captured while following the steps above on one of the author’s computers2. You may well find it valuable to download this trace even if you’ve captured your own trace and use it, as well as your own trace, when you explore the questions below.--------------------------------------------2Download the zip file/wireshark-labs/wireshark-traces.zip and extract the file tcp-ethereal-trace-1. The traces in this zip file were collected by Wireshark running on one of the author’s computers, while performing the steps indicated in the Wireshark lab. Once you have downloaded the trace, you can load it into Wireshark and view the trace using the File pull down menu, choosing Open, and then selecting the tcp-ethereal-trace-1 trace file.2. A first look at the captured traceBefore analyzing the beha vior of the TCP connection in detail, let’s take a high level view of the trace.First, filter the packets displayed in the Wireshark window by entering “tcp” (lowercase, no quotes, and don’t forget to press return after entering!) into the display filter specification window towards the top of the Wireshark window.What you should see is series of TCP and HTTP messages between your computer and . You should see the initial three-way handshake containing a SYN message. You should see an HTTP POST message and a series of “HTTP Continuation” messages being sent from your computer to . Recall from our discussion in the earlier HTTP Wireshark lab, that is no such thing as an HTTP Continuation message – this is Wiresha rk’s way of indicating that there are multiple TCP segments being used to carry a single HTTP message. You should also see TCP ACK segments being returned from to your computer.Answer the following questions, by opening the Wireshark captured packet file tcp-ethereal-trace-1 in/wireshark-labs/wireshark-traces.zip (that is download the trace and open that trace in Wireshark; see footnote 2). Whenever possible, when answering a question you should hand in a printout of the packet(s) within the trace that you used to answer the question asked. Annotate the printout to explain your answer. To print a packet, use File->Print, choose Selected packet only, choose Packet summary line, and select the minimum amount of packet detail that you need to answer the question.1. What is the IP address and TCP port number used by the client computer (source) that is transferring the file to ? To answer this question, it’s probably easiest to select an HTTP messa ge and explore the details of the TCP packet used to carry this HTTP message, using the “details of the selected packet header window” (refer to Figure 2 in the “Getting Started with Wireshark” Lab if you’re uncertain about the Wireshark windows.2. What is the IP address of ? On what port number is it sending and receiving TCP segments for this connection?If you have been able to create your own trace, answer the following question: 3. What is the IP address and TCP port number used by your client computer (source) to transfer the file to ?Since this lab is about TCP rather than HTTP, let’s change Wireshark’s “listing of captured packets” window so that it shows information about the TCP segments containing the HTTP messages, rather than about the HTTP messages. To have Wireshark do this, select Analyze->Enabled Protocols. Then uncheck the HTTP box and select OK. You should now see an Wireshark window that looks like:This is what we’re looking for - a series of TCP segments sent between your computer and . We will use the packet trace that you have captured (and/or the Packet trace tcp-ethereal-trace-1 in/wireshark-labs/wireshark-races.zip; see footnote 2) to study TCP behavior in the rest of this lab.3. TCP BasicsAnswer the following questions for the TCP segments:4. What is the sequence number of the TCP SYN segment that is used to initiate the TCP connection between the client computer and? What is it in the segment that identifies the segment as a SYN segment?5. What is the sequence number of the SYNACK segment sent by to the client computer in reply to the SYN? What is the value of the ACKnowledgement field in the SYNACK segment? How did determine that value? What is it in the segment that identifies the segment as a SYNACK segment?6. 难What is the sequence number of the TCP segment containing the HTTP POST command? Note that in order to find the POST command, you’ll need to dig into the packet content field at the bottom of the Wireshark window, looking for a segment with a “POST” within its DATA field.7. 难Consider the TCP segment containing the HTTP POST as the first segment in the TCP connection. What are the sequence numbers of the first six segments in the TCP connection (including the segment containing the HTTP POST)? At what time was each segment sent? When was the ACK for each segment received? Given the difference between when each TCP segment was sent, and when its acknowledgement was received, what is the RTT value for each of the six segments? What is the EstimatedRTT value (see page 249 in text) after the receipt of each ACK? Assume that the value of the EstimatedRTT is equal to the measured RTT for the first segment, and then is computed using the EstimatedRTT equation on page 249 for all subsequent segments.Note: Wireshark has a nice feature that allows you to plot the RTT for each of the TCP segments sent. Select a TCP segmen t in the “listing of captured packets” window that is being sent from the client to the server. Then select: Statistics->TCP Stream Graph->Round Trip Time Graph.8. What is the length of each of the first six TCP segments?39. What is the minimum amount of available buffer space advertised at the received for the entire trace? Does the lack of receiver buffer space ever throttle the sender?10. Are there any retransmitted segments in the trace file? What did you check for (in the trace) in order to answer this question? (不同的人有不同的情况)11. 第二问难How much data does the receiver typically acknowledge in an ACK? Can you identify cases where the receiver is ACKing every other received segment (see Table 3.2 on page 257 in the text). （还没回答第一个段，又有一个新的报文段到达）12. 难What is the throughput (bytes transferred per unit time) for the TCPconnection?Explain how you calculated this value.---------------------------------------------------3The TCP segments in the tcp-ethereal-trace-1 trace file are all less that 1460 bytes. This is because the computer on which the trace was gathered has an Ethernet card that limits the length of the maximum IP packet to 1500 bytes (40 bytes of TCP/IP header data and 1460 bytes of TCP payload). This 1500 byte value is the standard maximum length allowed by Ethernet. If your trace indicates a TCP length greater than 1500 bytes, and your computer is using an Ethernet connection, then Wireshark is reporting the wrong TCP segment length; it will likely also show only one large TCP segment rather than multiple smaller segments. Your computer is indeed probably sending multiple smaller segments, as indicated by the ACKs it receives. This inconsistency in report edsegment lengths is due to the interaction between the Ethernet driver and the Wireshark software. We recommend that if you have this inconsistency, that you perform this lab using the provided trace file.4. TCP congestion control in actionLet’s now examine the amount of data sent per unit time from the client to the server. Rather than (tediously!) calculating this from the raw data in the Wireshark window, we’ll use one of Wireshark’s TCP graphing utilities - Time-Sequence-Graph(Stevens) - to plot out data.Select a TCP segment in the Wireshark’s “listing of captured-packets” window. Then select the menu : Statistics->TCP Stream Graph->Time-Sequence-Graph(Stevens). You should see a plot that looks similar to the following plot, which was created from the captured packets in the packet trace tcp-ethereal-trace-1 in/wireshark-labs/wireshark-traces.zip (see footnote 2):Here, each dot represents a TCP segment sent, plotting the sequence number of the segment versus the time at which it was sent. Note that a set of dots stacked above each other represents a series of packets that were sent back-to-back by thesender.Answer the following questions for the TCP segments the packet trace tcp-ethereal-trace-1 in/wireshark-labs/wireshark-traces.zip13. Use the Time-Sequence-Graph(Stevens) plotting tool to view the sequence number versus time plot of segments being sent from the client to the server. Can you identify where TCP’s slowsta rt phase begins and ends, and where congestion avoidance takes over? Comment on ways in which the measured data differs from the idealized behavior of TCP that we’ve studied in the text.14. Answer each of two questions above for the trace that you have gathered when you transferred a file from your computer to 。

计算机网络Ethereal实验报告计算机网络Ethereal实验报告一、实验目的本次实验旨在理解和掌握Ethereal网络抓包工具的使用，通过捕获网络数据包来分析TCP/IP协议的工作原理以及网络通信过程。

实验将利用Ethereal软件对网络流量进行捕获，并对捕获的数据包进行详细分析。

二、实验环境实验设备：两台计算机、一个路由器和一根交叉线软件环境：Windows 操作系统、Ethereal软件三、实验步骤1、安装Ethereal软件。

在实验设备中安装Ethereal软件，并确保其正常运行。

2、连接设备。

将两台实验计算机通过路由器连接，并使用交叉线进行配置。

确保计算机能够互相访问网络。

3、启动Ethereal软件。

打开Ethereal，并选择“Capture”菜单中的“Start Capture”选项。

在“Capture Filter”对话框中，选择“No Filter”以捕获所有数据包。

4、配置网络共享。

在两台实验计算机上配置网络共享，以便进行文件传输和网络通信。

5、进行网络通信。

通过浏览器访问网页、使用FTP传输文件等方式，在两台计算机之间进行网络通信。

同时，注意观察Ethereal软件中的数据包捕获情况。

6、停止捕获。

在完成一定量的网络通信后，选择“Capture”菜单中的“Stop Capture”选项。

在弹出的对话框中，选择“Yes”保存捕获的数据包文件。

7、分析数据包。

在Ethereal软件中选择捕获的数据包文件，并对其进行详细分析。

使用“Packet List”窗口查看数据包列表，并使用“Packet Details”窗口查看每个数据包的详细信息。

分析数据包中的各个层次和协议字段，以深入理解TCP/IP协议的工作原理。

8、进行数据包过滤和分析。

根据实验需要，可以使用Ethereal软件的过滤功能对捕获的数据包进行筛选和分析。

例如，可以过滤出TCP 数据包，并分析它们的序列号、确认号、窗口大小等字段。

实验三班级：姓名：学号：实验日期：评分：_____________【实验目的】1、分析IP基本IP报头结构，给出每一个字段的值及其含义，加深对IP V4协议理解。

2、分析HTTP报头结构3、分析TCP、IP、HTTP封装关系【实验学时】2学时【实验类型】设计型【实现功能】借助于网络分析议Etherreal捕获HTTP、TCP、IP报文，分析IP报文头结构，理解其具体意义。

【背景描述】网络实验室40台学生机组成一个局域网络，并连接学校校园网络，每台主机均能通过校园网络实现对Internet的访问。

学生机所装操作系统均为windows 2003 server。

【实验步骤】步骤1：认真阅读文档《Ethreal的使用方法》，熟练掌握windows 下ethereal 的使用方法。

步骤2：在学生机上启动Etherreal软件进行报文截获，然后在IE浏览器上输入，分析截获的HTTP报文、TCP报文，试找出HTTP协议数据包，并进行分步骤3：找出对应的IP报文，试分析IP数据报文头中各字段值的含义，并填入下表中。

和址步骤4：分析ARP报文结构：选中第一条ARP请求报文和第一条ARP应答报文，将ARP 请求报文和ARP应答报文中的字段信息填入下表。

发送节点物理地址发送节点协议地址目的节点物理地址目的节点协议地址硬件类型发送节点物理地址发送节点协议地址目的节点物理地址目的节点协议地址步骤6：综合分析截获的数据报文，概括HTTP协议的工作过程（从在浏览器上输入网址，到出现网页，关闭网页）填写下表。

步骤7：选择一条计算机发出的DNS请求报文和对应的DNS应答报文，填写下表。

步骤8：简述DNS域名解析的过程。

1、当客户机提出查询请求时，首先在本地计算机的缓存中查找。

2、客户机将域名查询请求发送到本地DNS服务器,。

3、如果本地服务器不能在本地找到客户机查询的信息，将客户机请求发送到根域名DNS 服务器。

4、根域名服务器负责解析客户机请求的根域部分。

实验三用ethereal工具探究TCP协议一、实验目的分析TCP协议二、实验环境与因特网连接的计算机网络系统；主机操作系统为windows；Ethereal、IE等软件。

三、实验步骤1、俘获大量的由本地主机到远程服务器的TCP传输（1）启动浏览器，打开/ethereal-labs/alice.txt网页，得到ALICE'S ADVENTURES IN WONDERLAND文本，将该文件保存到你的主机上。

（2）打开/ethereal-labs/TCP-ethereal-file1.html（3）窗口如下所示。

在Browse按钮旁的文本框中输入保存在你的主机上的文件ALICE'S ADVENTURES IN WONDERLAND的全名（含路径），此时不要按“Upload alice.txt file”按钮（4）启动Ethereal，开始分组俘获。

（5）在浏览器中，单击“Upload alice.txt file”按钮，将文件上传到 服务器，一旦文件上传完毕，一个简短的贺词信息将显示在你的浏览器窗口中。

（6）停止俘获。

2、浏览追踪信息（1）在显示筛选规则中输入“tcp”,你可以看到在你的主机和服务器之间传输的一系列的tcp和http报文，你应该能看到包含SYN报文的三次握手。

也可以看到有你的主机向服务器发送的一个HTTP POST报文和一系列的“http continuation”报文。

（2）根据操作回答“四、实验报告内容”中的1-2题。

3、TCP基础根据操作回答“四、实验报告内容”中的3-10题四、实验报告内容在实验的基础上，回答以下问题：1、向服务器传送文件的客户端主机的IP地址和TCP端口号是多少？2、服务器的IP地址是多少？对这一连接，它用来发送和接收TCP报文段的端口号是多少？3、客户服务器之间用于初始化TCP连接的TCP SYN报文段的序号（sequence number）是多少？在该报文段中，是用什么来标示该报文段是SYN报文段的？4、服务器向客户端发送的SYNACK报文段序号是多少？该报文段中，ACKnowledgement字段的值是多少？服务器是如何决定此值的？在该报文段中，是用什么来标示该报文段是SYNACK报文段的？5、包含HTTP POST命令的TCP报文段的序号是多少？6、如果将包含HTTP POST命令的TCP报文段看作是TCP连接上的第一个报文段，那么该TCP连接上的第六个报文段的序号是多少？是何时发送的？该报文段所对应的ACK是何时接收的？7、前六个TCP报文段的长度各是多少？8、在整个跟踪过程中，接收端公示的最小的可用缓存空间是多少？限制发送端的传输以后，接收端的缓存是否仍然不够用？9、在跟踪文件中是否有重传的报文段？进行判断的依据是什么？10、TCP连接的throughput (bytes transferred per unit time)是多少？请写出你的计算过程。

——用Ethereal捕获并分析数据包学院：计算机工程学院专业：计算机科学与技术姓名：张徽学号：2008404010135TCP报文格式分析◆TCP提供一种面向连接的、全双工的、可靠的字节流服务。

◆在一个TCP连接中，仅有两方进行彼此通信。

广播和多播不能用于TCP。

◆TCP的接收端必须丢弃重复的数据。

◆TCP对字节流的内容不作任何解释。

对字节流的解释由TCP连接双方的应用层解释。

◆TCP通过下列方式来提供可靠性：➢应用数据被分割成TCP认为最适合发送的数据块，称为报文段或段。

➢TCP协议中采用自适应的超时及重传策略。

➢TCP可以对收到的数据进行重新排序，将收到的数据以正确的顺序交给应用层。

➢TCP的接收端必须丢弃重复的数据。

➢TCP还能提供流量控制。

TCP数据报的发送过程图TCP数据报的格式●源端口：占16比特（2个字节），分段的端口号；●目的端口：占16比特（2个字节），分段的目的端口号；端口是传输层与应用层的服务接口。

传输层的复用和分用功能都要通过端口才能实现；●序号字段：占4字节。

TCP连接中传送的数据流中的每一个字节都编上一个序号。

序号字段的值则指的是本报文段所发送的数据的第一个字节的序号。

●确认号字段：占4字节，是期望收到对方的下一个报文段的数据的第一个字节的序号。

●数据偏移：占4比特，它指出TCP报文段的数据起始处距离CP报文段的起始处有多远。

“数据偏移”的单位不是字节而是32bit字（4字节为计算单位）。

●保留字段：占6bit，保留为今后使用，但目前应置为0。

●编码位：编码位含义紧急比特URG 当URG＝1时，表明紧急指针字段有效。

它告诉系统此报文段中有紧急数据，应尽快传送(相当于高优先级的数据)。

确认比特ACK只有当ACK＝1时确认号字段才有效。

当ACK＝0时，确认号无效。

推送比特PSH 当PSH=1时，表示请求急迫操作，即分段一到马上就发送应用程序而不等到接收缓冲区满时才发送应用程序。

实验七利用Ethereal分析TCP/IP一、实验目的１.在掌握了TCP/IP理论和数据在互连网上传输的理性认识基础之上，认真观察Ethereal 捕捉到的数据在传输时的封装过程，做到理论联系实际２.结合TCP协议的协议数据单元和IP协议的协议数据单元的理论知识，学习在真正的数据传输过程中得到的这两种协议数据单元的结构３.了解HTTP协议二、实验环境１.硬件环境：计算机一台，配有以太网网卡，局域网环境并且可以连接上互连网２.软件环境：Windows XP操作系统，Ethereal软件三、实验内容１.使用指定电脑浏览互连网网页时，通过对经过以太网网卡上的数据交换的跟踪、捕捉，观察数据在互连网上传输的封装过程２.认真观察TCP协议和IP协议的协议数据单元：如IP协议的协议数据单元的首部长度、TCP协议的协议数据单元的源端口和目的端口等重要内容３.了解一个HTTP协议的协议数据单元中的内容四、实验原理（一）数据传输的封装过程数据在计算机网络中传输时，要进行封装操作(encapsulation)，每一层所传输的内容对其他层来说都是透明的。

下面两图分别是在OSI参考模式下和TCP/IP参考模式下数据传输。

图2：TCP/IP参考模式下的封装过程（二）TCP协议和IP协议的协议数据单元1.IP数据报的首部结构IP地址是连接在互连网上的主机的唯一的标识符，该标识符是由网络号和主机号组成的。

IPv4版本的地址长度为32 bit。

IP地址具有以下特点：●IP地址是一种非等级的地址结构，它不反映主机的任何有关位置的地理信息●当一个主机连接到两个网络上时，该主机必须有两个IP地址●IP地址实际上指明的是一个主机到一个网络的连接●用中继器或网桥连接起来的若干个局域网使用的IP地址具有相同的网络号图3：IP数据报的首部２.TCP报文段的格式源端口源端口发送序号确认序号首部长度保留窗口校验和紧急指针选项与填充数据图4：TCP报文段的格式五、实验步骤１.确定连接上了因特网Internet２.运行软件Ethereal３.进行数据捕捉４.刷新网页，以便获得更多的数据５.进行数据分析六、实验要求１.将图9和图10分别与捕捉到的对应数据相比较２.观察、记录并验证TCP首部中＂URG, ACK, PSH, RST, SYN, FIN＂的作用３.分析所捕捉到的TCP报文段中使用的CWND (Congestion Windows), RWND (Receive Windows), IW (Initial Windows), AW (Advertisement Windows)窗口取值的意义和对传输的影响，以及和SMSS (Sender maximum segment size), RMSS (Receiver maximum segment size), SSTHRESH (Slow start threshold)三者之间的关系。