计算机通信网实验指导书教程

实验一Ethereal实验

一、实验目的

1、掌握使用Ethereal捕捉数据包的方法。

2、掌握应用Ethereal进行协议分析的方法。

二、实验步骤与要求

1、先在浏览器的“Internet选项”中删除Internet临时文件和Cookie；

图1 Internet选项下的删除菜单

2、运行cmd命令启动控制台，运行ipconfig /flushdns命令清除缓存的dns记录；

图2 清空DNS缓存

3、启动Ethereal抓包，再使用浏览器打开百度主页，网页打开完毕后停止抓包；

4、从抓取到的数据包中找出DNS数据包，并对数据包进行协议分析；

5、从抓取到的数据包中找出获取百度主页的HTTP请求报文和响应报文，并对数据包

进行协议分析；

6、从抓取到的数据包中找出客户机与百度Web服务器之间的一个完整的TCP通信过

程，并对TCP面向连接通信过程中建立连接和断开连接的数据包进行分析；

7、从抓取到的数据包中找出IP数据报，并对IP协议进行分析，查看IP报头中各个字

段的值和意义；

8、从抓取到的数据包中找出数据帧，查看帧头中各个字段的值，分析它们的作用。

三、思考题

若没抓到ICMP的包启动抓包程序打开命令提示符输入tracert 敲回车就能抓到icmp的包

若没抓到DNS的包启动抓包程序打开命令提示符输入nslookup 敲回车在输入敲回车就能抓到DNS的包了。

对抓取到的DNS包进行分析，思考以下问题：

1、为本机提供域名解析服务的本地域名服务器的IP地址是什么？找dns的包找到目的地址就是答案

2、“”是百度Web服务器的规范主机名还是别名？结合nslookup结果进行分析。别名打开命令提示符输入nslookup 敲回车输入敲回车就是规范主机名

3、域名解析服务器返回的百度Web服务器IP地址有几个，分别是什么，能否在浏览器的地址栏中使用IP地址取代域名来访问服务器，为什么？结合nslookup结果进行分析。在界面上的两个ip地址就是答案。可以，原因：减少本地域名服务器的解析

4、域名服务器给出的是权威的还是非权威的答案，权威、非权威分别表示什么意思？结合nslookup结果进行分析。非权威权威指权威域名服务器提供的ip地址非权威是指不是权威域名服务器提供的ip地址

对抓取到的HTTP报文进行分析，回答以下问题：

5、获取百度Web服务器主页的HTTP请求报文203和响应报文的序号分别是多少63？请求报文找最后一列中Get /http/1.1 这是http请求报文它所对应的第一列数字就是序号响应报文找http 200ok 序号方法同上

6、HTTP请求报文中是否使用了条件获取？if-modified-since有就是条件获取没有就不是

7、浏览器、服务器HTTP协议版本是什么？http1.1 固定答案

8、客户端是否希望服务器保持HTTP连接，服务器是否同意保持HTTP连接？connection:keep alive 有就是保持其他就是不保持

9、浏览器、服务器之间采用的是哪一种HTTP连接类型？持久的还是非持久的，带流水线的还是不带流水线的？持久带流水线的固定答案

10、百度的主页中有一个图片（百度图标），请分析该图片的URL是什么。请找出浏览器获取该图片的HTTP请求报文对应的包序号是多少73，响应报文的序号是多少200，响应报文中是否包含该图片的数据，为什么？找URL：在百度页面上右键点击图片找属性，就能找到URL。请求报文里找if-modificed-since 若有if-modificed 没有图片对抓取到的TCP数据段进行协议分析，回答以下问题：最前列是包序号；

11、用来装载百度主页的HTTP请求报文的TCP报文段的源端口号（找sor port 该号就是源端口号）和目的端口号分别是多少？80 固定答案

12、用来建立上述TCP连接的1327的SYN报文段和1327的SYN ACK报文段的包序号分别是多少？找HTTP的请求报文前面两到三个tcp的包找端口号一致的syn和synnck 的包第一列数字就是答案

13、在建立TCP连接时，客户端给TCP连接分配的接收缓存大小是多少字节？找上面提到的tcp的syn包里面window size 就是缓存大小40320字节

14、在建立TCP连接的SYN报文段中，是否使用了可选的TCP头？还是找上面提到

的那个包header length 是不是20字节是就没有可选不是比如说32 可选头部就是12字节

15、在建立TCP连接的SYN报文段中，客户端告知服务器，自己能接受的最大段长度是多少字节？地点在可选头部maximum segment size 大小就是最大段长度对抓取到的IP数据报进行协议分析，回答以下问题：

16、用来装载百度主页的HTTP请求报文的IP数据报的报头长度是多少字节，是否有可选头部？打开http请求报文找ip那行header length 大小就是头部长度超过就有20就没有

17、百度Web服务器返回的IP数据报头部中的TTL值是多少？在本机和百度Web服务器之间大概有多少个路由器（多少跳，hop）？结合Tracert结果进行验证分析。打开响应报文找到ip那行找到time to live 这就是ttl值。打开命令提示符输入exit 敲回车输入tracert 等着最后有多少数字就是有多少跳。（11）

18、IP数据报报头中，Protocol字段用于指出上层协议是什么。请查看用什么值表示上层协议为TCP，用什么值表示上层协议为UDP，什么值表示上层协议为ICMP。找protocol 是什么协议写什么协议。Tcp（0x06）udp（0x11）icmp（0x01）我没记错的话这是答案固定答案

对抓取到的以太网数据帧进行协议分析，回答以下问题：

19、本机的Mac地址是多少？打开http请求报文，看第二行，源地址是答案

20、本机的默认网关所对应Mac地址是多少？目的地址是答案

四、参考资料

见文件夹“Ethereal实验参考资料”。