实验协议分析软件Ethereal的使用 实验目的和要求： 熟悉掌握Ethereal软件的使用,并应用该软件分析Ethernet帧以及高级协议，从而能够加深对TCP/IP协议栈上的参与通信的网络数据包结构以及通信方式有进一步的了解。 实验内容和原理 1.安装windows下的Ethereal及WinPcap软件。 2.捕捉任何主机发出的DIXEthernetV2（即EthernetII）格式的帧（帧的长度字段>1500,帧的长度字段实际上是类型字段），Ethereal的capture的options中capturefilter设置为：ether[12:2]>1500 观察并分析帧结构，EthernetII的帧(ether[12:2]>1500)的上一层主要是哪些PDU？是IP、LLC还是其它哪种？ IP 3.捕捉并分析局域网上的所有ethernetbroadcast帧，Ethereal的capture的options中capturefilter设置为：etherbroadcast (1).观察并分析哪些主机在发广播帧，这些帧的高层协议是什么？ ARP (2).你的LAN的共享网段上连接了多少台计算机？1分钟内有几个广播帧？有否发生广播风暴？ 92台 4.捕捉局域网上主机发出或接受的所有ARP包capture的options中capturefilter设置为：arphostip (1)主机上执行“arp–d”清除arpcache. (2)在主机上ping局域网上的另一主机 观察并分析主机发出或接受的所有ARP包，及arp包结构。 5.IP分组的结构 固 定 部 分 可变 部分 0 4 8 16 19 24 31 版本 标志 生存时间 协议 标识 服务类型 总长度 片偏移 填充 首部检验和 源地址 目的地址 可选字段（长度可变） 比特 首部长度 0 1 2 3 4 5 6 7 D T R C 未用 优先级 数据部分 比特 首 部 6、UDP报文 伪首部 源端口 目的端口 长度 检验和 数据 首部 UDP长度 源IP地址 目的IP地址 0 17 IP数据报 字节 4 4 1 1 2 12 2 2 2 2 字节 发送在前 数据 首部 UDP用户数据报 附： EthernetII的帧结构 目的地址 源地址 类型 数据据 FCS 6 6 2 4 字节 46~1500 目的地址：01:00:5e:22:17:ea 源地址：00:1e:90:75:af:4f 类型 数据 IP分组的结构 固 定 部 分 可变 部分 0 4 8 16 19 24 31 版本 标志 生存时间 协议 标识 服务类型 总长度 片偏移 填充 首部检验和 源地址 目的地址 可选字段（长度可变） 比特 首部长度 0 1 2 3 4 5 6 7 D T R C 未用 优先级 数据部分 比特 首 部 版本 首部长度 服务类型 总长度 标识 标志 片偏移 生存时间 协议 首部检验和 源地址 目的地址 可选字段 数据 ARP的报文格式 硬件类型指明发送方想知道的硬件接口类型。对以太网，值为1； 协议类型指明发送方提供的高层协议地址类型。对TCP/IP互联网，采用IP地址，值为十六机制的0806； 操作指明ARP的操作类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4。RARP在后面的章节中介绍。 在以太网环境下的ARP报文，硬件地址为48位（6个八位组）。 硬件地址长度 协议类型 发送方IP地址(八位组0-1) 目标硬件地址(八位组2-5) 目标IP地址(八位组0-3) 发送方硬件地址(八位组0-3) 硬件类型 操作 发送方硬件地址(八位组4-5) 发送方IP地址(八位组2-3) 协议长度 目标硬件地址(八位组0-1) icmp报文格式 回送请求和回答 类型：8或0代码：0检验和标识符序号由请求报文发送；由回答报文重复目的不可达报文 类型：3代码：0至15检验和未使用（全0）收到的IP数据报的一部分，包括IP首部以及数据报数据的前8个字节5、UDP报文 伪首部 源端口 目的端口 长度 检验和 数据 首部 UDP长度 源IP地址 目的IP地址 0 17 IP数据报 字节 4 4 1 1 2 12 2 2 2 2 字节 发送在前 数据 首部 UDP用户数据报 TCP报文 TCP 首部 目的端口 数据 偏移 检验和 选项（长度可变） 源端口 序号 紧急指针 窗口