利用ethereal捕获分组示例,在捕获分组中分析arp协议.docVIP

PAGE  PAGE 18 利用ethereal捕获分组示例,在捕获分组中分析arp协议 篇一：ethereal协议分析报告 实验5 用Ethereal进行协议分析 5.1 实验性质 本实验为操作分析性实验。 5.2 实验目的 1. 掌握Ethereal软件的基本使用方法 2. 掌握基本的网络协议分析方法 3. 通过抓包工具，分析Mac帧的格式、ARP分组的格式、IP数据报的格式、ICMP报文的格式、TCP报文段的格式、UDP数据报的格式。 5.3 实验环境 1. 分组实验，每组4~8人 2. 设备：计算机4~8台 3. 网络环境:LAN或Internet 4. Ethereal软件 5.4 实验用时 180分钟（4学时）。 5.5 实验内容与要求 5.5.1 下载、安装Ethereal Ethereal下载网址: /download.html 到Ethereal的站站后，点击download，接着选择要安装的系统平台，如Windows或Linux（Red Hat / Fedora），然后点击下载链接即可进行下载。 Ethereal的安装非常简单，只要执行下载的软件（如ethereal-setup-0.99.0.exe），然后按提示操作。 注意：安装时，要勾选Install Winpcap。WinPcap是libpcap library的Windows版本。Ethereal可透过WinPcap来劫取网络上的数据包。在安装Ethereal的过程中也会一并安装WinPcap，不需要再另外安装。 5.5.2 启动Ethereal Ethereal启动后，如图所示： 5.5.3抓包 点击Capture菜单，选Interfaces…项。 打开如下图所示窗口。 选择要抓包的接口右边的Capture按钮，本例选择了抓取IP地址为6的接口。 点击Capture按钮后将启动抓包过程。 注意：为配合抓包，需要进行网络通信。 1）要抓ARP分组的包、ICMP报文的包、UDP数据报，可以在CMD窗口中，使用命令ARP -D删除当前ARP缓存,使用PING命令PING某台主机IP地址（例如PING 网关IP地址），使用TRACERT命令跟踪分组从源点到终点的路径（例如TRACERT 网关IP地址）。 2）要抓取TCP报文段，需打开IE浏览器，访问一个WWW网站（例如）。 将窗口切换到Ethereal，可以看到抓到了TCP、UDP、ICMP、ARP的包，如下图所示。 下面分析所用到的包，其抓包的环境是： (1)实验计算机所安装操作系统为Windows2003 Server，网卡MAC地址是 00:17:42:41:cb:be，IP地址是6（子网掩码）,默认网关54; (2)在CMD窗口运行”ARP –D”命令删除ARP缓存，用以抓取ARP分组; (3)在CMD窗口运行“PING 54”，用以抓取ICMP报文； (4)在CMD窗口运行“TRACERT 54”，用以抓取UDP数据报和ICMP报文； (5)在浏览器窗口打开HTTP://WWW.BAIDU.COM网站，用以抓取TCP报文段。 点击Stop按钮完成抓包。如下图所示。 5.5.4 分析 1. 分析MAC帧（以太网帧）格式 点击窗口中ARP请求分组所在的行，展开下面的EthernetII。分析MAC帧的格式，如下图所示。 篇二：利用分组嗅探器分析HTTP和DNS 实验三 利用分组嗅探器分析HTTP和DNS 一、 实验目的及任务 1、熟悉并掌握Ethereal(或WireShark)的基本操作，了解网络协议实体间的交互以及报文交换。 2、分析HTTP协议 3、分析DNS协议 二、 实验环境 与因特网连接的计算机网络系统；主机操作系统为Windows2000或Windows XP；Ethereal(或WireShark)等软件。说明：分组数据的获取主机IP：01。 三、 预备知识 要深入理解网络协议，需要仔细观察协议实体之间交换的报文序列。为探究协议操作细节，可使协议实体执行某些动作，观察这些动作及其影响。这些任务可以在仿真环境下或在如因特网这样的真实网络环境中完成。观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer）。顾名思义，一个分组嗅探器捕获（嗅探）计算机发送和接收的报文。一般情况下，分组嗅探器将存储和显示出被捕获报文的各协议头部字段内容。图1为一个分组嗅探器的结构。 图1右边是计算机上正常运行的协议（在这里是因特网协议）和应用程序（如：web浏览器和ftp客户端）。分组嗅探器（虚线框中的部分）是附加计算机普通软件上的，主要有两部分组成。分组捕获库接收计算机发送和接收的每一个 链路层帧的拷贝。高层协议（如：HTTP、FTP、TCP、UDP、D