实验一网络协议分析Ethereal 一、实验目的 (1)学会正确安装和配置网络协议分析软件Ethereal； (2)掌握使用Ethereal分析各种网络协议的技能，加深对协议格式、协议层次和协议交互过程的理解。 二、实验步骤 1、安装网络协议分析仪（实验所用的电脑中已经安装） 2、使用Ethereal分析协议 （1）启动系统。点击“Ethereal”程序组中的“Ethereal"图标进入软件操作系统。 （2）分组俘获。点击“Capture／Start’’菜单，在“Interface”(接口)框的下拉列表中选择一个适当的接口项，其余项可暂时保持默认配置。然后，点击“OK”按钮，系统开始俘获网络分组。当按“stop”(停止)按钮时，系统停止俘获分组并将已经俘获明分组信息装载在分析系统中。 （3）协议分析。在上部的窗口中，有帧编号(No.)、时间(Time)、源地址(Source)、目的地址(Destination)、协议(Protocol)和信息(Info)等列，各列下方依次排列着俘获的分组。中部的窗口给出选中的某帧的详细内容。下部窗口中是与中部窗口对应的该协议帧某字段的十六进制数值内容。把需要分析的协议内容截图并保存。 三、实验截图及协议分析 （1）HTTP协议帧的分析： HTTP协议帧的截图 在上部窗口的蓝色条形选框中，可以观察得出： 俘获到的此帧的编号（No.）为：118； 俘获时间（Time）为：71.573724s； 源地址（Source）为：192.168.0.40； 目的地址（Destination）为：192.168.0.57； 协议（Protocol）为：HTTP； 帧携带的信息（Info）为：GET/HTTP/1.1。 在中部的窗口中，我们可以通过分析得到以下结论： 第一行（Frame118（521bytesonware，521bytescaptured））的展开分析如下： (1)ArrivalTime：帧到的间，也就是俘获到帧的时间为：2004年5月7日04：59：18.430815000（这个时间为电脑自己的显示时间，与实验当天的操作时间不符可以理解），这个时间为绝对时间，而上部窗口所显示的时间为从开始分组俘获到俘获到该帧的时间； (2)Timedeltafrompreviouspacket：与上一帧的时间间隔为0.000305000秒，故由ArrivalTime可以推知上一帧的俘获时间为2004年5月7日04：59：18.430510000（因为实验时没考虑到这个问题，使上一帧时间没有显示在图中，但根据资料表明这个结论应属正确； (3)Timesincereferenceorfirstframe：从俘获到第一帧到俘获到此帧经过的时间为71.573724000s,与上部窗口中所显示的时间相符； (4)FrameNumber：帧的编号为118,与上部窗口中所显示的时间相符； (5)PacketLength：数据包的大小为521字节； (6)CaptureLength：俘获到的大小为521字节，说明整个帧的数据都被俘获。 第二行（EthernetⅡ,Src:00:0d:87:f8:4b:90,Dst:00:0d:87:f9:70:3a）展开分析如下： (1)Destination：00:0d:87:f9:70:3a(192.168.0.57):目的地址,前面为网卡地址，括号内为IP地址。该数据帧被我们所俘获，所以以上地址即为我们使用的主机的网卡地址； (2)Source：00:0d:87:f8:4b:90(192.168.0.40):源地址，前面为网卡地址，括号内为IP地址。 第三行（InternetProtocol,SrcAddr:192.168.0.40(192.168.0.40),DstAddr:192.168.0.57(192.168.0.57)）展开分析如下： (1)Headerlength:20bytes：数据帧头部长度为20字节； (2)Totallength:507：数据帧总长度为465字节； (3)Identification:0x64e7(25831)：该帧的校验序列为0x9ae6，属于十六进制数； (4)Fragmentoffset:0：当帧进行分段的时候，用于为各片段做定位记录，该值为0，说明该帧没有被分段； (5)Timetolive:128：该数据帧在计算机和网络设备间传送的时，它可以经历的最多 可以经128个设备传送； (6)Protocol:TCP(0x06)：该帧所用的协议类型，括号内为协议号； (7)Headerchecksum:0x1264(correct)：数据帧头部总和校验码为0x1264，检查结果 为正确； (8)Source:192.168.0.40：源站