ethereal抓包工具的使用.doc

高级网络技术实验一 ethereal抓包工具的使用课程实验报告 课 程 名 称： 高级网络技术 专 业 班 级： 姓 名： 学 号： 指 导 教 师： 完 成 时 间： 2012 年 10 月 24 日实验一 ethereal抓包工具的使用一、实验目的1 熟悉Ethereal网络抓包工具软件的作用和使用方法；2 通过Ethereal工具软件的帮助，对抓到包进行分析。二、实验内容学习Ethereal网络抓包工具以及对ARP packet format进行分析。三、实验设备及工具硬件：安装了网卡的PC机。软件：PC 机操作系统WinXP，安装了网卡驱动程序,以及ethereal抓包软件四、实验步骤 1)安装winpcap和ethereal；2)ARP协议分析由ethereal抓取的包格式和下图一样，首先，对下图所示帧格式进行了解。如图所示，前14字节是数据链路层所附加的帧头，后28字节是来自网络层的ARP数据包内容。然后，我们根据所抓取的实际例子来分析协议各个部分，如下图所示。在这个例子中，编号256的包：物理地址是00:21:86:a2:c6:d3，IP地址是192.168.60.42的主机或路由器，向网络中发送广播，内容是一个ARP协议的request，希望获得IP地址为192.168.60.140的主机的物理地址。编号为257的包：IP地址为192.168.60.42的主机，收到广播的request后，向广播发送端发送单播reply，告诉对方自己的物理地址为00:1d:ba:18:cb:dc。256和257号包的详细内容如下所示。256号包257号包由图可见，前14字节为帧头。其中，前6字节为目的物理地址，当向网络中发送广播时，目的物理地址为全f；7-12字节为源物理地址；最后两个字节表示帧类型，ox0806表示这是一个ARP数据帧；由于是在以太网中传输，当帧长度不足46字节是，可能在帧尾部添加尾巴（填充位）。然后，我们来看ARP协议数据内容。15-16字节表示硬件类型，图中所示ox1表示为以太网；17-18字节表示协议类型，图中ox0800表示为ARP协议；第19和20字节分别表示硬件地址和协议地址长度，图中所示分别为6和4，这与我们的物理地址和IP地址长度相当；第21-22字节为操作类型，其中256号包中该内容为1，表示这是一个request，257号包中该内容为2，表示这是一个reply；最后20字节分别为发送方和接收方的硬件地址和协议地址，需要注意的是，request由于不知道目的主机的物理地址，因而包中这6字节置零，如256号包所示。3） IP协议分析IP数据包的内容如下图所示。这里，我们抓取一个UDP报文，来分析其中的IP部分，如下图所示。前12字节依然为目的主机和源主机的物理地址，13-14字节为帧类型，ox0800代表这是一个IP数据帧。然后是IP数据包。第15字节的高4位为4，说明这是一个IPv4报文，低四位为5，表示这IP首部长度为20字节，没有选项信息；第16字节是服务类型字段，ox00代表网络默认服务类型；17-18字节是总长度字段，ox0047表示这个IP数据报有71字节，加上14位帧头正好是图中所抓的85字节包；第19-20字节为标识字段oxc5f3，用来唯一标识IP数据报，及分片重组；21-22字节为分片字段，ox0000表示该报文没有分片；第23字节是生存时间字段，ox40表示该报文能最多经过64个路由器；第24字节为协议类型字段，ox11表示该报文是一个UDP报文；25-26字节为首部校验和字段，由整个报文首部（校验和字段置零），划分为16位的段，相加后取反获得；27-34字节为源主机和目的主机的IP地址；再之后为UDP协议段和数据段，这里就不分析了。5、 实验体会