实验2协议分析

《实验2协议分析》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、实验目的1.了解网络协议的分析方法2.掌握协议分析软件ETHEREAL或者SNIFFER的使用3.巩固对EthernetII封包、ARP分组及IP、ICMP数据包的认识实验要求1.学会使用协议分析软件ETHEREAL或者SNIFFER2.完成报告实验过程打开Ethereal，在菜单Capture下点击Interfaces，选取要抓包的网卡，这里选取地址为192.168.126.1的这个网卡抓取数据包，如图1-4：图1-4选择抓取数据包网卡之后在主操作系统中使用ping192.168.126.128–t的命令，来p

2、ing虚拟机。好，我们来看看抓取的数据包。图1-5ARP广播包从Ethereal的第一栏中，我们看到这是个ARP解析的广播包，如图1-5。由于这个版本的Ethereal使用的是EthernetII来解码的，我们先看看EthernetII的封装格式。如下图1-6：图1-6以太网封包格式注意这个和802.3是有区别的，802.3的封包格式如图1-7：图1-7802.3封包格式尽管EthernetII和802.3的封包格式不同，但Ethereal在解码时，都是从“类型”字段来判断一个包是IP数据报还是ARP请求/应答或

3、RARP请求/应答。从EthernetII知道了是ARP解析以后，我们来看看Ethereal是如何判断是ARP请求呢还是应答的。我们先复习一下以太网的ARP请求和应答的分组格式，如图1-8。图1-8分组格式从上图中我们了解到判断一个ARP分组是ARP请求还是应答的字段是“op”，当其值为0×0001时是请求，为0×0002时是应答。如图1-9、1-10。图1-9ARP请求图1-10ARP应答我们看看第三个帧的内容。第三帧“类型”显示是IP数据报，如图1-11：图1-11ICMPping包同样，我们先复习一下IP包

4、的封包格式，如图1-12：图1-12IP封包格式关于IP封包各字段的内容及意义，这里就不再详述了，可以参见三卷本的TCP/IP，www.cnpaf.net的“资源共享”版里有下载。我们主要看看TTL，从图1-13和1-14的比较来看，图1-13中的TTL是128，而图1-14中的TTL却是64，什么原因呢？原来图1-13中的主机是Windows2000，而1-14中的主机是Linux，看来不同操作系统的TTL是不同的。图1-13Windows主机的TTL图1-14Linux主机的TTL好了我们来看看ICMP报文吧

5、，先看看它的封包格式，如图1-15：图1-15ICMP封包类型关于ICMP的“类型”和“代码”字段，这里有一个表，如图1-16：图1-16ICMP报文类型ICMP报文，我们主要对照图1-16看抓包的情况。图1-17ping请求图1-18ping应答