实验四Ethereal抓包软件高级

Ethereal -抓包、报文分析工具Ethereal 是一种开放源代码的报文分析工具，适用于当前所有较为流行的计算机系统，包括 Unix、Linux 和 Windows 。

主界面如上图，点“抓包配置”按钮，出现抓包配置界面如下图。

在“Interface”中选择网卡，即用来抓包的接口，如果选择错误就不能抓到报文；“Capture packets in promiscuous mode（混杂模式抓包）”是指捕捉所有的报文，如不选中就只捕捉本机的收发报文；如果选中“Limit each packet to xx bytes（限制每个包的大小）”则只捕捉小于该限制的包；抓包时，数据量比较大，解析起来速度慢，可在“Capture Filter（抓包过滤设置“Display Options(显示设置)”中建议选中“Update list of packets in realtime（实时更新抓包列表）”、“Automatic scrolling in live capture（自动滚屏）”和“Hide capture info dialog（隐藏抓包信息对话框）”三项。

抓包配置好就可以点击“Start”开始抓包了。

抓包结束，按“停止”按钮即可停止。

为了快速查看需要的报文，在“Filter”栏中输入过滤条件后按回车键即可对抓到的包进行过滤。

注意“Filter”栏中输入的过滤条件正确则其底色为绿色，错误则其底色为红色。

常用有些报文还可以判断网络的状况，例如输入显示过滤条件tcp.analysis.flags，可以显示丢失、重发等异常情况相关的TCP报文，此类报文的出现频率可以作为评估网络状况的一个标尺。

偶尔出现属于正常现象，完全不出现说明网络状态上佳。

tcp.flags.reset==1。

SYN是TCP建立的第一步，FIN是TCP连接正常关断的标志，RST是TCP连接强制关断的标志。

统计心跳报文有无丢失。

在statistics->conversations里选择UDP，可以看到所有装置的UDP报文统计。

浙江大学城市学院实验报告课程名称计算机网络应用实验项目名称实验三 Ethereal抓包软件初步实验成绩指导老师（签名）日期 2014-05-06一. 实验目的和要求1. 掌握Ethereal软件的安装2. 学习Ethereal过滤规则的设置3. 使用Ethereal捕获Ethernet帧，并对Ethernet帧和协议数据包进行分析二. 实验内容、原理及实验结果与分析1. 安装Ethereal软件1.1安装WinPcap_3_0.exe和Ethereal-setup-0.10.3.exe下载地址： 【实验结果与分析】Ethereal主界面2. 在Ethereal中创建并设置以下普通过滤规则2.1捕获本地主机收到和发出的所有数据包【过滤规则】host 10.66.19.272.2捕获本地主机收到和发出的所有ARP包【过滤规则】host 10.66.19.27 and arp2.3捕获局域网上所有的ICMP包【过滤规则】icmp2.4捕获MAC地址为00-06-68-16-38-80的数据包【过滤规则】ether host 00:06:68:16:38:802.5捕获本地主机收到和发出的Telnet包【过滤规则】host 10.66.19.27 and tcp port 233. 捕获并解析Ethernet帧及协议3.1捕获解析本机发出或接收的Ethernet 802.3格式的帧，并对照帧格式进行解释【实验结果与分析】Ethernet 802.3帧分析选中的那一行，数据包以IEEE802.3Ethernet帧格式封装。

长度6字节6字节2字节字段Destination Address Source Address Length值01:80:c2:00:00:009c:4e:20:c2:45:8346帧的上一层协议是Logical-Link Control(LLC)。

3.2捕获解析本地主机发出及收到的ARP数据包，解释ARP广播帧的内容及返回数据包信息（如ping一台旁边没连接过的电脑，捕获ARP数据包）【实验结果与分析】ARP请求包ARP应答包选中一个ARP数据包，把对应的字段值填入下面的表格（值取自上图中的ARP应答包）：长度2字节2字节1字节1字节2字节字段Hardware type Protocoltype HardwaresizeProtoclesizeOpcode值0x00010x0800640x0002长度6字节4字节6字节4字节字段Sender MAC address Sender IPaddress Target MACaddressTarget IPaddress值00:01:6c:98:63:aa10.66.19.3300:15:58:e7:cd:1210.66.19.27上图ARP请求包，协议树窗口中Opcode:request (0x0001)表示主机10.66.19.27向局域网发送广播包询问主机10.66.19.33的MAC地址。

实验协议分析软件Ethereal 的使用一、实验目的和要求：熟悉掌握Ethereal软件的使用,并应用该软件分析Ethernet帧以及高级协议，从而能够加深对TCP/IP 协议栈上的参与通信的网络数据包结构以及通信方式有进一步的了解。

二、实验内容和原理1. 安装windows下的Ethereal及WinPcap软件。

2. 捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧（帧的长度字段>1500, 帧的长度字段实际上是类型字段），Ethereal的capture 的options中capture filter设置为：ether[12:2] > 1500 观察并分析帧结构，Ethernet II的帧(ether[12:2] > 1500)的上一层主要是哪些PDU？是IP、LLC还是其它哪种？IP3. 捕捉并分析局域网上的所有ethernet broadcast帧，Ethereal的capture 的options中capture filter设置为：ether broadcast(1). 观察并分析哪些主机在发广播帧，这些帧的高层协议是什么？ARP(2). 你的LAN的共享网段上连接了多少台计算机？1分钟内有几个广播帧？有否发生广播风暴？92台4. 捕捉局域网上主机发出或接受的所有ARP包capture 的options中capture filter设置为：arp host ip (1)主机上执行“arp –d ”清除arp cache.(2)在主机上ping 局域网上的另一主机(3)观察并分析主机发出或接受的所有ARP包，及arp包结构。

5. IP 分组的结构固 定 部分 可变 部分0 48 16192431版 本 标志 生 存 时 间协 议标 识服 务 类 型总 长 度 片 偏 移填 充首 部 检 验 和源 地 址 目 的 地 址可 选 字 段 （长 度 可 变） 比特 首部长度 01 2 3 4 5 6 7 D T R C 未用 优 先 级数 据 部 分首 部6、UDP 报文伪首部源端口目的端口长 度检验和数 据首 部UDP 长度源 IP 地址目的 IP 地址17 IP 数据报字节12 2 2 2 2 字节 发送在前数 据首 部 UDP 用户数据报附：1、Ethernet II的帧结构字节46 ~ 1500 目的地址源地址类型数据FCS目的地址：01:00:5e:22:17:ea源地址：00:1e:90:75:af:4f类型数据2、IP分组的结构版本首部长度服务类型总长度标识标志固 定 部分 可变 部分0 48 16192431版 本 标志 生 存 时 间协 议标 识服 务 类 型总 长 度 片 偏 移填 充首 部 检 验 和源 地 址 目 的 地 址可 选 字 段 （长 度 可 变） 比特 首部长度 01 2 3 4 5 6 7 D T R C 未用 优 先 级数 据 部 分首 部片偏移生存时间协议首部检验和源地址目的地址可选字段 数据3、 ARP 的报文格式硬件地址长度协议类型 发送方IP 地址(八位组0-1) 目标硬件地址(八位组2-5) 目标IP 地址(八位组0-3)发送方硬件地址(八位组0-3)硬件类型操作发送方硬件地址(八位组4-5) 发送方IP 地址(八位组2-3)协议长度目标硬件地址(八位组0-1)* 硬件类型指明发送方想知道的硬件接口类型。

计算机网络实验一 etherreal实验计算机网络实验是培养学生实践能力、加强理论与实际应用结合的重要环节。

在计算机网络实验一中，我们将学习使用网络数据包分析工具Etherreal（现在已更名为Wireshark），通过捕获、分析和解释网络数据包的内容，加深对计算机网络协议的理解。

通过这个实验，我们还可以进一步掌握计算机网络数据传输的过程，提升网络安全意识和问题排查能力。

实验目的通过Etherreal实验，我们的目的是：1. 学会使用Etherreal工具分析网络数据包；2. 理解网络协议的数据传输过程；3. 掌握网络故障排查方法；4. 加深对计算机网络的理论知识的理解和应用。

实验准备工作在进行Etherreal实验之前，我们需要完成以下准备工作：1. 下载并安装Wireshark软件，确保能够正常运行；2. 确保测试环境网络连接正常，可以正常访问互联网；3. 准备测试数据包，可以通过网络请求、网络攻击等方式生成。

实验步骤1. 启动Wireshark软件，并选择适当的网络接口进行捕获；2. 开始捕获网络数据包，观察网络数据的传输过程；3. 选择一个数据包，分析其详细信息，包括源IP地址、目的IP地址、协议类型等；4. 结合协议标准和通信过程，解释数据包中各字段的含义；5. 可以根据需要设置过滤器，只显示指定类型或目的地址的数据包；6. 分析网络数据包中是否存在异常情况，如网络攻击、传输错误等；7. 掌握Wireshark软件的高级功能，如统计分析、流量图表等。

实验注意事项在进行Etherreal实验时，注意以下事项：1. 合理使用Wireshark软件，避免捕获过多数据包导致系统负荷过大；2. 尽量使用模拟环境进行实验，避免对实际网络环境造成干扰；3. 注意数据包中的私密信息（如密码、身份证号等）的保护；4. 注意网络数据包分析工具的合法使用，遵守相关法律法规；5. 实验结束后，清理实验环境，确保不留下任何安全隐患。

《高级网络技术》实验一一、实验目的1．熟悉Ethereal网络抓包工具软件的作用和使用方法；2．通过Ethereal工具软件的帮助，对抓到包进行分析。

二、实验内容学习Ethereal网络抓包工具以及对ARP packet format进行分析。

三、实验设备及工具硬件：安装了网卡的PC机。

软件：PC 机操作系统Win2000 或WinXP，安装了网卡驱动程序,以及ethereal抓包软件四、实验步骤及数据分析代表分析相应的数据次帧的编号为：46获取时间为：1.678340源MAC地址为：winstronI-51:59:ab目的MAC地址为：255.255.255.255（广播）包上层协议：ARP包长度：60字节在上图中我们看到这个帧的一些基本信息：帧被捕获的日期和时间：sep 25, 2011 15:59:28.487519000帧距离前一个帧的捕获时间差：0.018297000 seconds帧距离第一个帧的捕获时间差：0.018297000 seconds帧的编号：46（捕获时的编号）帧的大小：60字节捕获帧的长度：60字节此帧没有被标记，也没有被忽略帧内装载的协议：ARP用不同染色标记的协议名为ARP染色显示规则字符串为：arp在上图中，我们可以看到：目的地址（Destination）：ff:ff:ff:ff:ff:ff （这是个MAC地址，这个MAC地址是一个广播地址，就是局域网中的所有计算机都会接收这个数据帧）源地址（Source）: WistronI_51:59:ab (20:6a:8a:51:59:ab)，同时也说明了本机的网卡是由WistronI厂家所生产的帧中封装的协议类型：ARP (0x0806)，这个就是ARP协议的类型编号。

Trailer: 000000000000000000000000000000000000是协议中填充的数据，为了保证帧最少有64字节从上面的语句中我们可以得知如下的信息：这是个ARP请求报文，request硬件类型为：以太网以太网(0 x0001)的协议类型： IP(0 x0800)硬件尺寸： 6协议尺寸： 4（指 IPV4 版本的协议）操作字段：请求(0x0001)是否是免费ARP：否发送方MAC 地址：WistronI_51:59:ab (20:6a:8a:51:59:ab)发送方IP 地址：192.168.60.88 (192.168.60.88)目标MAC 地址： Broadcast (ff:ff:ff:ff:ff:ff)目标IP 地址： 192.168.60.251 (192.168.60.251)注：主机在启动的时候，或者修改了IP地址之后，会产生一种叫做“免费”的特殊的 ARP 数据包，这种 ARP 数据包的特殊性在于，其 Sender IP 和 Target IP 均为自己，如果它收到该 ARP 数据包的响应，则说明网络上存在IP冲突，那么同样，对方主机也会收到这样的一个ARP包，所以对方也检测到了IP冲突。

实验报告——使用Ethereal一、实验目的（1）熟悉Ethereal的工作环境。

（2）掌握使用Ethereal进行报文的捕获。

（3）用所捕获的报文分析网络，巩固自己所学的知识。

二、实验要求1，Ethereal软件的基本功能使用。

2，按照老师所提供的ppt课件和教程进行操作。

3，自己选择过滤条件进行捕获，对所捕获的数据报文的检测与分析。

三、实验环境1，校园局域网环境2，Ethereal软件四、实验步骤网络世界中，最基本的单元是数据包。

这个实验主要是练习Ethereal的使用，在网上抓包，培养对网络通讯协议底层的分析和认识，加强对网络的理解。

（1）这个工具要安装Ethereal。

这个很简单，大家根据安装提示点“下一步”就可以了。

（2）下面是抓包的具体步骤：双击打开Ethereal，出现Ethereal的工作界面，如图1，a.点窗口中的Capture选项中设置抓包的相关参数。

1）选择合适的网卡（网卡=网络适配器）Interface（NIC），Capture packets in promiscuous mode 是所抓包的类型，我们不用混杂选项，所以不打勾。

b.按ctrl+K进行“capture option”的选择。

如图2，start,等一小会点stop停止抓包，如图3现在所显示的图4就是我所抓到的包。

（3）分析我所抓到的包数据报文的源地址：10.3.133.55目的地址：10.3.131.74UDP协议（4）捕获过滤捕获条件A：udpFilter选项为捕获过滤条件，红色是不正确的语句，绿色为正确语句。

相同的为一种颜色。

捕获条件B ：ip.addr==10.3.131.12捕获条件C：http五、实验总结通过这次实验，我了解了Ethereal软件的应用。

学会了使用Ethereal进行抓包，分析网络。

在遇到不明白的地方仔细查阅书籍，巩固了自己的知识。

在做视频时下载录制视频软件，录制视频也使我获益匪浅。

计算机网络实验报告年级：姓名：学号：实验日期：实验名称：Ethereal(wireshark)的使用一、实验目的1、下载安装抓包工具ethereal；熟悉ethereal的操作环境；2、学习使用ethereal（wireshark）的使用方法，会用ethereal工具进行抓包；3、学会分析抓包工具获得的信息，对其进行简单分析和过滤。

二、实验器材1、接入Internet的网络的主机；2、安装抓包工具ethereal（wireshark）软件；和wincap软件；3、截图软件SnagIt。

三、实验内容1、launch ethereal, how to capture the packet by the ethereal? what's type packets youcaptured抓包方法：（1）打开抓包软件wireshark，单击工具栏list the available capture interface，如下图所示。

单击后出现如下图：（2）、单击Start，再打开一个网页（），抓包开始。

（3）网页显示完后，单击上图中的“stop”，抓包结束。

2、start capture packets, try to visit a homepage (), and check the captured packets.（1）、访问：后抓包结果如下图（2）check the captured packets ，过滤拉检测所抓的包。

如下图：3、how to save the captured packets? how to analyse the captured packets(抓包）?（1）、save the captured packets:单击save图标（如下图所示），选择要保存的路径和要报的名字，单击确定即可保存。

4 、can you capture other computer's packets? if can, what types?答：有两种情况；1）广播包时：广播包可以抓到所需要的包；2）非广播包时有以下三种情况可以抓包：a、在交换式的以太网下抓不到别人的非广播包；b、局域网信道是广播信道的可以抓包；c、在广播信道下可以抓到别人的非广播包。

课程：计算机网络项目：实验1 Ethereal一、实验目的•进一步掌握Ethereal的使用方法•能对捕获到的包进行较深入的分析•简单的运用filter设置过滤•通过Ethereal抓包和分析，了解HTTP协议二、实验原理1.http协议HTTP 是一个应用层协议，它使用 TCP 连接进行可靠的传送，HTTP协议定义了浏览器（即WWW客户进程）怎样向万维网服务器请求万维网文档，以及服务器怎样把文档传送给浏览器。

每个万维网网点都有一个服务器进程，它不断的监听TCP的端口80，以便发现是否有浏览器（即万维网客户）向它发出连接建立的请求。

http报文格式：GET /chn/YXSZ/index.htm HTTP/1.1 {请求行使用了相对URL}Host: {此行是首部行的开始，给出主机的域名} Connection: close {不保持连接放}User-Agent: Mozilla/5.0 {表明用户道理是使用Netscape浏览器} Accept-Language: cn {表示用户希望优先得到中文版本的文档} 各部分的解释如下：2.tcp协议TCP（Transmission Control Protocol 传输控制协议）是一种面向连接（连接导向）的、可靠的、基于IP的传输层协议，由IETF的RFC 793说明（specified）。

TCP在IP报文的协议号是6。

当应用层向TCP层发送用于网间传输的、用8位字节表示的数据流，TCP则把数据流分割成适当长度的报文段，最大传输段大小（MSS）通常受该计算机连接的网络的数据链路层的最大传送单元（MTU）限制。

之后TCP把数据包传给IP层，由它来通过网络将包传送给接收端实体的TCP层。

TCP为了保证报文传输的可靠，就给每个字节一个序号，同时序号也保证了传送到接收端实体的包的按序接收。

然后接收端实体对已成功收到的字节发回一个相应的确认(ACK)；如果发送端实体在合理的往返时延(RTT)内未收到确认，那么对应的数据（假设丢失了）将会被重传。

网络抓包分析实验报告一：实验目的：1.学习使用网络数据抓包软件Ethereal，对互连网进行数据抓包，巩固对所学知识的理解二：实验内容：1：分析http协议请求的响应过程。

2：分析TCP的处理过程，HTTP，TCp的报文格式。

三：实验工具Wireshark抓包软件四：实验步骤1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

3、设置完成后，点击“start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构五：分析1：http请求报文分析（第8个包）请求行：方法字段：GET，版本是http/1.1.首部行：主机host：；Connection：Keep-Alive，即保持持久连接；Accept-language：zh-cn，即接收语言是中文。

2．http响应报文（第55个包）状态行：http/1.1 200 OK；请求成功。

首部行：响应Date：sat，21，Apr 2012 04:58:18 GMT;Content-Type：text/html 指示实体主体中的对象是text/html文本；Content-Length：35593 表明了被发送对象的字节数是35593个字节。

:3：TCP报文格式分析：报文格式：如截图可知：源端口号：80，目的端口号3968，序号：1，确认号：424，首部长度：20 bytes，Flags=0X10（URG=0，ACK=1，PSH=0，RST=0，SYN=0，FIN=0）接收窗口大小：65112；检验和：0x8a44。

4：TCP响应（3次握手）分析：1）服务器应用启动,进入LISTEN状态；2）客户端向服务器端发送一个TCP报文段，该段设置SYN标识，请求跟服务器端应用同步，之后进入SYN-SENT状态，等待服务器端的响应；（第5个包）3）服务器端应用收到客户端的SYN 段之后，发送一个TCP段响应客户端，该段设置SYN和ACK标识，告知客户端自己接受它的同步请求，同时请求跟客户端同步。

抓包工具ethereal 使用说明 1.启动程序
2.修改配置
点击start 开始抓包。

3．实时抓包，可以在Filter 过滤，只显示当前网卡与输入ip 之间的报文。

点击选择
点击选择
4.停止抓包，点击stop 即可。

5.保存报文
点击file文件夹下save as，弹出保存界面，选择c：\或其他盘,在最下行输入文件名，点击ok即可。

61850报文说明：在抓包界面protocol下有tcp、utp、mms报文等，最重要的是要有mms
包。

另外在第一次配置完成后，不退出程序前不需要重新配置，可以在“file”正下方的“”
快捷键，在弹出的窗口中点击“Capurte”就开始重新抓包了。

同时会问对上次的报文是否保存。

最后强调一下，对抓好的包要重新打开看一下，确保正确保存。

——用Ethereal捕获并分析数据包学院：计算机工程学院专业：计算机科学与技术姓名：张徽学号：2008404010135TCP报文格式分析◆TCP提供一种面向连接的、全双工的、可靠的字节流服务。

◆在一个TCP连接中，仅有两方进行彼此通信。

广播和多播不能用于TCP。

◆TCP的接收端必须丢弃重复的数据。

◆TCP对字节流的内容不作任何解释。

对字节流的解释由TCP连接双方的应用层解释。

◆TCP通过下列方式来提供可靠性：➢应用数据被分割成TCP认为最适合发送的数据块，称为报文段或段。

➢TCP协议中采用自适应的超时及重传策略。

➢TCP可以对收到的数据进行重新排序，将收到的数据以正确的顺序交给应用层。

➢TCP的接收端必须丢弃重复的数据。

➢TCP还能提供流量控制。

TCP数据报的发送过程图TCP数据报的格式●源端口：占16比特（2个字节），分段的端口号；●目的端口：占16比特（2个字节），分段的目的端口号；端口是传输层与应用层的服务接口。

传输层的复用和分用功能都要通过端口才能实现；●序号字段：占4字节。

TCP连接中传送的数据流中的每一个字节都编上一个序号。

序号字段的值则指的是本报文段所发送的数据的第一个字节的序号。

●确认号字段：占4字节，是期望收到对方的下一个报文段的数据的第一个字节的序号。

●数据偏移：占4比特，它指出TCP报文段的数据起始处距离CP报文段的起始处有多远。

“数据偏移”的单位不是字节而是32bit字（4字节为计算单位）。

●保留字段：占6bit，保留为今后使用，但目前应置为0。

●编码位：编码位含义紧急比特URG 当URG＝1时，表明紧急指针字段有效。

它告诉系统此报文段中有紧急数据，应尽快传送(相当于高优先级的数据)。

确认比特ACK只有当ACK＝1时确认号字段才有效。

当ACK＝0时，确认号无效。

推送比特PSH 当PSH=1时，表示请求急迫操作，即分段一到马上就发送应用程序而不等到接收缓冲区满时才发送应用程序。

实验四利用Ethereal分析HTTP一、实验目的熟悉并掌握Ethereal的基本操作，了解网络协议实体间进行交互以及报文交换的情况。

二、实验环境Window9某/NT/2000/某P/2003与因特网连接的计算机网络系统Ethereal等软件。

三、实验原理1、深入理解网络协议，仔细观察协议实体之间交换的报文序列。

在仿真环境下或在如因特网这样的真实网络环境中完成。

观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器（packetniffer）。

一般情况下，分组嗅探器将存储和显示出被俘获报文的各协议头部字段的内容。

2、分组嗅探器（虚线框中的部分）是附加计算机普通软件上的，主要有两部分组成。

分组俘获库（packetcapturelibrary）接收计算机发送和接收的每一个链路层帧的拷贝。

高层协议（如：HTTP、FTP、TCP、UDP、DNS、IP等）交换的报文都被封装在链路层帧中，并沿着物理媒体（如以太网的电缆）传输。

3、分组嗅探器的第二个组成部分是分析器。

分析器用来显示协议报文所有字段的内容。

为此，分析器必须能够理解协议所交换的所有报文的结构。

分组分析器理解以太网帧格式，能够识别包含在帧中的IP数据报。

分组分析器也要理解IP数据报的格式，并能从IP数据报中提取出TCP报文段。

然后，它需要理解TCP报文段，并能够从中提取出HTTP消息。

最后，它需要理解HTTP消息。

Ethereal是一种可以运行在Window,UNI某,Linu某等操作系统上的分组分析器。

ethereal的界面主要有五个组成部分：俘获分组列表（litingofcapturedpacket）：按行显示已被俘获的分组内容，其中包括：ethereal赋予的分组序号、俘获时间、分组的源地址和目的地址、协议类型、分组中所包含的协议说明信息。

单击某一列的列名，可以使分组按指定列进行排序。

在该列表中，所显示的协议类型是发送或接收分组的最高层协议的类型。

“飞秋”抓包分析前期筹备工作。

在接到教员布置的任务之后，我们班找了时间对这个报告工作所要解决的问题进行了归纳，再对实验的过程进行了讨论，然后对报告撰写进行了比较详细的讨论。

也在网上搜集了必要的资源和一些方法。

一．实验名称飞秋聊天和传输文件的抓包分析二．实验目的通过对飞秋聊天和传输文件时的抓包分析，了解飞秋的数据包的结构以及功能。

三．实验过程环境配置：<一>、抓包软件的配置。

一开始我们组选择的是sniffer这个软件来进行抓包和分析，但是在先后下载了几个版本都未能在电脑上面很好的运行，后来查阅资料显示sniffer在win7 64位上面确实存在兼容问题。

于是我们组选择了另外一个抓包软件Ethereal。

相比之下，ethereal的安装和配置就显得流畅得多。

很快就在电脑上运行了起来。

<二>、局域网的组建。

我们组采取的是wifi无线联接。

由一台电脑开启免费热点，然后其他几台电脑输入密码进行连接。

这样，局域网就组建了起来。

经过这几步，抓包相关的配置都已准备齐全，剩下来就是具体的抓包和分析了。

<三>抓包过程：1、运行飞秋。

可以看到飞秋主界面在局域网连接的状况下，打开软件就可以看到提示：有N名好友在线。

可以试着发送一些文件或短消息，检查连接和软件运行状况。

2、打开Ethereal软件，可以看到其全英文的主界面：界面顶部是三栏功能栏，第一栏为所有功能，分别是文件、添加、编辑、运行、捕获、分析、统计，帮助。

第二栏为快捷键，第三栏为抓包过滤选项（此项后面可以用到）。

界面下部分是可视窗口，显示抓到的包和简略的包数据。

3、开始抓包。

点击capture—options。

可以看到抓包界面：界面显示的是珠宝相关的一些操作，我们能用到的主要有红色标明的一些栏目，分别是1网卡选择、2及时显示抓到的数据包、3开始。

首先选择要抓取的网卡，选折好后可以看到挨着那一栏的ipaddress核对是否和飞秋上现实的自己的地址是否相同，检查完就可以开始了。

计算机网络Ethereal实验报告计算机网络Ethereal实验报告一、实验目的本次实验旨在理解和掌握Ethereal网络抓包工具的使用，通过捕获网络数据包来分析TCP/IP协议的工作原理以及网络通信过程。

实验将利用Ethereal软件对网络流量进行捕获，并对捕获的数据包进行详细分析。

二、实验环境实验设备：两台计算机、一个路由器和一根交叉线软件环境：Windows 操作系统、Ethereal软件三、实验步骤1、安装Ethereal软件。

在实验设备中安装Ethereal软件，并确保其正常运行。

2、连接设备。

将两台实验计算机通过路由器连接，并使用交叉线进行配置。

确保计算机能够互相访问网络。

3、启动Ethereal软件。

打开Ethereal，并选择“Capture”菜单中的“Start Capture”选项。

在“Capture Filter”对话框中，选择“No Filter”以捕获所有数据包。

4、配置网络共享。

在两台实验计算机上配置网络共享，以便进行文件传输和网络通信。

5、进行网络通信。

通过浏览器访问网页、使用FTP传输文件等方式，在两台计算机之间进行网络通信。

同时，注意观察Ethereal软件中的数据包捕获情况。

6、停止捕获。

在完成一定量的网络通信后，选择“Capture”菜单中的“Stop Capture”选项。

在弹出的对话框中，选择“Yes”保存捕获的数据包文件。

7、分析数据包。

在Ethereal软件中选择捕获的数据包文件，并对其进行详细分析。

使用“Packet List”窗口查看数据包列表，并使用“Packet Details”窗口查看每个数据包的详细信息。

分析数据包中的各个层次和协议字段，以深入理解TCP/IP协议的工作原理。

8、进行数据包过滤和分析。

根据实验需要，可以使用Ethereal软件的过滤功能对捕获的数据包进行筛选和分析。

例如，可以过滤出TCP 数据包，并分析它们的序列号、确认号、窗口大小等字段。

实验一抓包和net命令实验一、实验目的网络世界中，最基本的单元是数据包。

本实验内容作为将来各个实验的基础，培养对网络通讯协议底层的分析和认识，加强对网络的理解。

实验内容主要关注 TCP、ICMP、UDP包的检验。

net命令是黑客入侵的基本命令，通过使用该命令，学会控制他人的主机的基本方法。

二、实验环境1.实验室主机一台2.vmware虚拟机及Windows 2000 Advanced Server系统镜像3.ethereal抓包软件或其它抓包软件三、实验内容1.练习ethereal等抓包工具的使用。

2.使用ethereal抓包工具学习TCP、ICMP、UDP等协议。

3.熟悉net use和net user命令的使用方法。

四、实验步骤1、安装vmware和ethereal软件（没有安装的话）。

2、用vmware打开Windows 2000 Advanced Server虚拟机系统镜像。

编辑虚拟机设置：在主机上查看其ip设置等。

在主机上打开虚拟机的网卡。

重新查看主机IP设置。

3、进入虚拟机操作系统后，利用IIS搭建并安装FTP服务器，设置IP地址及FTP站点的文件夹。

在虚拟机上查看虚拟机的IP地址。

在主机上ping虚拟机的IP地址，基本不通。

修改虚拟机地址，使其与主机在同一网段。

在虚拟机上查看其IP设置。

在主机上ping虚拟机。

4.在本机上进行FTP站点测试，打开本机上的ethereal软件，抓取并分析本机和虚拟机之间产生的TCP包。

用Warshark抓到的TCP包：用ethereal软件，抓取的TCP包：源端口号：21，目的端口号：2724。

序号为94，确认号为28，首部长度为32字节。

窗口大小为１７４９３，校验和为0x2cca，其它参数（选项）为１２字节。

源端口号：２７２４，目的端口号：２１，序号为２１，确认号为９４。

首部长度为３２字节。

ＰＳＨ＝１，ＡＣＫ＝１。

窗口大小为６５４４２。

校验和为０x5af9，其它参数为１２字节。

《高级网络技术》实验一 ethereal抓包工具的使用课程实验报告课程名称：高级网络技术专业班级：姓名：学号：指导教师：完成时间：2012 年10 月24 日实验一 ethereal抓包工具的使用一、实验目的1．熟悉Ethereal网络抓包工具软件的作用和使用方法；2．通过Ethereal工具软件的帮助，对抓到包进行分析。

二、实验内容学习Ethereal网络抓包工具以及对ARP packet format进行分析。

三、实验设备及工具硬件：安装了网卡的PC机。

软件：PC 机操作系统WinXP，安装了网卡驱动程序,以及ethereal抓包软件四、实验步骤1)安装winpcap和ethereal；2)ARP协议分析由ethereal抓取的包格式和下图一样，首先，对下图所示帧格式进行了解。

如图所示，前14字节是数据链路层所附加的帧头，后28字节是来自网络层的ARP数据包内容。

然后，我们根据所抓取的实际例子来分析协议各个部分，如下图所示。

在这个例子中，编号256的包：物理地址是00:21:86:a2:c6:d3，IP地址是192.168.60.42的主机或路由器，向网络中发送广播，内容是一个ARP协议的request，希望获得IP地址为192.168.60.140的主机的物理地址。

编号为257的包：IP地址为192.168.60.42的主机，收到广播的request后，向广播发送端发送单播reply，告诉对方自己的物理地址为00:1d:ba:18:cb:dc。

256和257号包的详细内容如下所示。

256号包257号包由图可见，前14字节为帧头。

其中，前6字节为目的物理地址，当向网络中发送广播时，目的物理地址为全f；7-12字节为源物理地址；最后两个字节表示帧类型，ox0806表示这是一个ARP数据帧；由于是在以太网中传输，当帧长度不足46字节是，可能在帧尾部添加尾巴（填充位）。

然后，我们来看ARP协议数据内容。