《网络协议分析》实验指导书.docx

《网络协议分析》实验指导书.docx

《《网络协议分析》实验指导书.docx》由会员分享，可在线阅读，更多相关《《网络协议分析》实验指导书.docx（119页珍藏版）》请在冰点文库上搜索。

《网络协议分析》实验指导书

《网络协议分析》实验指导书

前言

《网络协议分析》课程是针对计算机网络工程专业的本科生而设置的一门课程，它具有很强的理论性和实践性。

本实验指导书是专门为《网络协议分析》理论课程配套的、指导学生完成相关实验及操作而编写的。

本实验指导书按照TCP/IP的层次结构对网络互连中的主要协议进行分析，由下而上的设计了14个实验，涉及协议分析软件的使用、数据链路层协议分析、网络层协议分析、传输层协议分析、应用层协议分析等，共五个部分。

希望学生们通过以上实验进一步加深对网络协议的理解和掌握协议分析的方法。

根据不同的要求，可以在本指导书的范围内选择相应的实验内容，组合成满足不同需求的实验指南。

如16学时的实验可采用：

以太网链路层帧格式分析实验、ICMP协议分析实验、IP协议分析实验、ARP协议分析实验、TCP协议分析实验、UDP协议分析实验、FTP协议分析实验、HTTP协议分析实验等8个实验组合；8学时的实验可采用：

以太网链路层帧格式分析实验、IP协议分析实验、TCP协议分析实验、FTP协议分析实验等4个实验组合；其余的实验可以作为任选实验或者课下作业。

特别说明：

1、本指导书中网络物理模型中所用到的交换机和路由器均为锐捷设备，这里只是为举例方便。

如果改换为CISCO或者华为等的相应设备，不影响本实验的步骤和结果。

2、实验中设备的ip地址以实际实验机器的ip地址为准，对应指导书中网络实验模型中的ip地址。

目录

1.网络协议分析实验环境要求4

2.网络协议分析器Ethereal5

2.1Ethereal主窗口简介5

2.2Ethereal菜单栏简介7

2.3Ethereal的工具栏7

2.4Ethereal的网络数据抓包过程8

2.5由Ethereal协议窗口分析协议的格式11

3.数据链路层协议分析15

3.1以太网链路层帧格式分析实验15

3.2VLAN802.1Q帧格式分析实验18

4.网络层协议分析24

4.1ICMP协议分析实验24

4.2IP协议分析实验30

4.3IP数据报分片实验33

4.4ARP协议分析实验35

5.传输层协议分析38

5.1TCP协议分析实验39

5.2UDP协议分析实验44

6.应用层协议分析47

6.1DNS协议分析实验47

6.2FTP协议分析实验52

6.3HTTP协议分析实验60

6.4电子邮件相关协议分析实验64

6.5TELNET协议分析实验72

1.网络协议分析实验环境要求

（1）本指导书按照TCP/IP的层次结构对网络互连中的主要协议进行分析。

本章实验的基本思路是使用协议分析工具从网络中截获数据报，对截获的数据报进行分析。

通过试验，使学生了解计算机网络中数据传输的基本原理，进一步理解计算机网络协议的层次结构、协议的结构、主要功能和工作原理，以及协议之间是如何相互配合来完成数据通信功能的。

Windows环境下常用的协议分析工具有：

SniferPro、Natxray、Iris、Ethereal以及Windows2000自带的网络监视器。

本书选用Ethereal作为协议分析工具。

（2）网络协议图

2.网络协议分析器Ethereal

网络协议分析器网络协议分析器Ethereal是目前最好的、开放源码的、获得广泛应用的网络协议分析器，支持Linux和windows平台。

在该系统中加入新的协议解析器十分简单，自从1998年发布最早的Ethereal0.2版本发布以来，志愿者为Ethereal添加了大量新的协议解析器，如今Ethereal已经支持五百多种协议解析。

其原因是Ehereal具有一个良好的可扩展性的设计结构，这样才能适应网络发展的需要不断加入新的协议解析器。

本节以Ethereal0.10.14版本为依据。

Ethereal的安装比较简单，按下述网址下载，下载完Ethereal即可完成安装。

ftp:

//s@172.23.2.10/软件及工具

（登陆时，无密码。

新版本Ethereal已经整合了winpcap，应用比较方便。

）

2.1Ethereal主窗口简介

图1是抓包完成后的Ethereal的主窗口。

过滤栏以上是Ethereal本身的菜单，过滤栏以下是抓获的包经过分析后的显示信息。

图1抓包完成后的Ethereal主窗口

其中：

1．菜单栏通常用来启动Ethereal有关操作；

2．工具栏提供菜单中常用项目的快速访问；

3．过滤器栏提供一个路径，来直接控制当前所用的显示过滤器；

4．包列表窗格显示当前抓包文件的全部包的摘要。

包列表的每一行对应抓包文件中的一个包，不同报文有不同的颜色，但是没有明显的规

律。

如果你选择了一行，则更详细的信息显示在协议窗格和包字节数据窗格中。

注意：

在此窗格里单击某个包，就会在另外的第二个窗口里显示这个包的信息。

当Ethereal解析一个包时，由协议解析器将信息放置到行列中去，比较高级协议会

改写较低级协议的信息，你只能看到最高级协议的信息。

例如，IP内部包含有TCP的Ethernet

包，Ethernet解析器将写出它的数据（如Ethernet地址），而IP解析器将用自己的数据改写它（如IP地址），等等。

在包列表窗格中的每一列代表抓获的一个包，每个包的摘要信息包括：

*No：

抓包文件中包的编号。

，即使已经用了一个显示过滤器也不会改变。

*Time：

包的时间戳，即抓获该包的时间，该时间戳的实际格式可以改变。

*Source：

包的源地址。

*Destination：

包的目标地址。

*Protocol：

包协议的缩写。

*Info：

包内容的附加信息，这是一种可用的上下文菜单（鼠标右键）。

5．包协议窗格（包细节窗格）

包协议窗格以更详细的格式显示从包列表窗格选中的协议和协议字段。

包的协议和字

段用树型格式显示，可以扩展和收缩。

这是一种可用的上下文菜单，单击每行前的“＋”就

可以展开为以“－”开头的若干行，单击“－”又可以收缩。

在每个协议行中，会显示一些指定的协议字段：

（1）生成的字段：

Ethereal自己会生成附加的协议字段（括号括起来者）。

这些字段的信息是从抓包文件中已知的与其它字段的上下文推导出来的。

例如，Ethereal分析每个TCP流的顺序号/确认号时，就会在TCP协议的[SEQ/ACK分析]中显示出来。

（2）链接：

如果Ethereal检测到抓包文件中存在着与其它包的关系，就会产生一个到其它包的链接。

链接用蓝色显示，双击它，Ethereal就跳到相应的包。

6．包字节窗格（十六进制数据窗格）

包字节窗格以十六进制形式显示出从包列表窗格中选定的当前包的数据，并以高亮度显

示在包协议窗格中选择的字段。

在常用的十六进制区内，左边示出包数据的编号，中部为相

应的十六进制示出包数据，右边为对应的ASCII字符。

7．状态栏

显示当前程序状态和抓获的数据的信息。

通常左边显示相关信息的状态，右边显示包的

当前数目。

（a）

（b）

图2状态栏示例示例

（a）图示出没有装载抓包文件，即Ethereal开始时的情况。

（b）图为已经装载抓包文件时的状态栏。

左边显示关于抓包文件的名字、大小、开始抓

包经过的时间等信息。

右边显示抓包文件中包的当前数目。

显示的数值如下：

*P:

抓获包的数目；

*D:

当前正显示的包的数目；

*M:

已经标记的数目。

2.2Ethereal菜单栏简介

1．File文件菜单

文件菜单包括打开和合并抓包文件，全部或部分存储、打印、输出抓包文件，退出

Ethereal。

2．Edit编辑菜单

编辑菜单包括查询包，时间查询，标记或标识一个或多个包，设置你的选项（剪切，拷

贝，粘贴当前不能实现）

3．View视图菜单

视图菜单控制抓抓获的包数据的显示，包括对抓获包的着色，字型的缩放，协议窗格中

协议树的压缩和展开。

4．Go指向菜单

以不同方式指向特定的包。

5．Capture抓包菜单

开始和停止抓包过程以及编辑抓包过滤器。

6．Analyze分析菜单

包括的选项由操作显示过滤器，允许和不允许对协议解析，配置用户指定的译码器和跟

踪一个TCP流。

7．Statistics统计菜单

显示各种统计窗口的菜单项，包括已经抓到的包的摘要，显示协议的分层统计等等。

8．Help帮助菜单

包括帮助用户的选项，诸如一些基本帮助，所支持的协议列表，手工页面，在线访问一

些web页面，以及常用的对话框。

2.3Ethereal的工具栏

Ethereal工具栏提供主菜单中常用的选项的快速访问。

工具栏不能由用户定制，但是如

果屏幕空间需要显示更多的包数据，就可以用视图菜单将它隐蔽。

作为菜单，只有当前程序被选用时该选项才是可用的，其它选项变成灰色（如果尚未装

载数据就不能存入抓包文件）。

图3为各种工具图标的名称。

接口选项开始停止重开始打开存储为关闭重载打印

查询包向后向前指定包到首包到末包包着色卷屏放大取消放大

图3各种工具图标的名称

*接口：

单击此图标，出现一个抓包选项表对话框；

*选项：

引出一个抓包选项对话框；

*开始：

根据选项在最近时间开始抓包；

*停止：

停止当前运行的抓包过程；

*重开始：

为了方便起见，停止当前运行的抓包过程，重新开始；

*打开：

出现打开文件对话框，让你打开一个抓包文件来观察；

*存储为：

让你将当前的抓包文件存储为你希望的文件。

弹出“SaveCaptureFileAs”

对话框；

*关闭：

关闭当前的抓包文件，如果没有存储该包被会询问是否存储；

*重载：

允许重装当前的抓包文件；

*打印：

引出打印对话框，允许全部或部分打印包文件中的包；

*查询包：

引出查询一个包的对话框；

*向后：

在包历史中向回跳；

*向前：

在包历史中向前跳；

*指定包：

引出对话框，跳到指定编号的包；

*到首包：

跳到包文件中第一个包；

*到末包：

跳到包文件中最后一个包；

*着色：

对包列表中抓获的色，用不同颜色显示；

*放大：

放大打开的包数据（增大字型）；

*取消放大：

取消包数据放大。

2.4Ethereal的网络数据抓包过程

Ethereal的抓包有如下特征：

*可以从不同类别的网络硬件抓包，如Ethernet、TokenRing、ATM等；

*停止抓包时不同的触发器相似：

如抓获数据的总数、抓包时间，抓获包的数目；

*抓包过程中同时显示编译后（解析）的包。

*根据包过滤器的条件，从抓获的全部数据中进行过滤，减去符合条件的包。

使用Ethereal进行网络协议分析时应当注意：

必须有管理员权限才能开始抓包过程；必须选择正确的网络接口来抓获包数据；必须在网络的正确的位置抓包才能看到想看到的业务流量。

1．通过抓包接口开始抓包．通过抓包接口开始抓包

可以通过工具栏的接口选项，或者“Capture”菜单的“Interfaces”选项选择抓包菜单后，Etherea弹出抓包接口对话框，如图4所示。

但需注意，作为抓包接口对话框，只在数据抓包前显示，会消耗很多系统资源，要尽快关闭对话框以防止过多的系统装载。

图4抓包接口对话框

图中Gnericdialupadapter为拨号适配器，第二行为快速以太网网卡。

工具栏框中的各个选项叙述于下：

*IP：

Ethereal可能从这个接口分辨第一个IP地址，如果分辨不出地址，就会显示

“unknown”，如果解析出不止一个IP地址，则只显示第一个；

*Packets：

从对话框打开后从该接口侦测到的包数。

如果最近一秒没有侦测到包，则

Packets变为灰色；

*Packets/s：

在最近一秒侦测到的包数，如果没有侦测到包，则在最近一秒变为灰色；

*Stop：

停止当前抓包运行；

*Capture：

利用最后抓包设置立即在该接口开始抓包；

*Prepare：

打开该接口的抓包选项对话框；

*Close：

关闭对话框。

如果选择Capture，则立即开始抓包，并显示图5的抓包过程数据报文统计：

图5抓包过程数据报文统计

抓到足够的包后，单击Stop停止抓包。

即可显示如图1的抓包完成后的Ethereal主窗口。

2．通过．通过capture菜单选项抓包

Ethereal的抓包（capture）选项，如图6所示。

图6Capture选项

（1）单击Capture选抓包过滤器CaptureFilters...，弹出过滤器窗口，如

图7所示。

图7Capture过滤器选项

（2）在Filter栏中选择某项过滤器名称，如“NoBroadcastandnoMulticast”

或“TCPonly”，则在Filtername和Filterstring文本框中显示你的选项。

也可以在Filtername框中键入过滤器名字，在Filterstring框中键入过滤器字符串，单击New，一个过滤器就建立好了。

单击Capture选0ptions，弹出图8所示过滤器选项窗口，指明网络适配器，抓包模式，包字节限制，过滤条件等有关抓包的系统配置的启用和设置。

图8过滤器选项窗口

（3）Ehereal的抓包过滤器

抓包过滤器用来只抓取你感兴趣的包。

如果你想抓取某些特定的数据包时，有两种方法

可供选择。

第一种方式是先定义好抓包过滤器，结果是只抓到你设定好的那些类型的数据包；

第二种方式是，先把本机收到或者发出的包全部抓下来，再使用的显示过滤器，只显示

你想要的那些类型的数据包，这种方式比较常用，建议实验时大家采用。

（4）最后单击Start，即可开始抓包，并弹出本机收到的数据报文统计信息。

此后的操作与通过接口抓包相同，单击Stop即可停止抓包，并显示对截获到的报文进

行分析后的界面。

2.5由Ethereal协议窗口分析协议的格式

Ethereal抓包后的界面有三个部分，上部为报文列表窗口，显示的是对抓到的每个数据

报文进行分析后的总结型信息，包括编号、时间、源地址、目标地址、协议、信息。

中部为

协议树窗口，显示的是数据报文的协议信息。

在报文列表窗口选择不同条目则协议树窗口的

内容随之改变为相应的协议信息。

下部为16进制报文窗口，可以显示报文在物理层的数据

形式。

在抓包完成后，显示过滤器可以用来找到你感兴趣的包，也可根据协议、是否存在某个

域、域值、域值之间的关系来查找你感兴趣的包。

1．．Etheral的显示过滤器

可以使用下面的操作符来构造显示过滤器：

eq==等于：

如ip.addr==10.1.10.20

ne!

=不等于：

如ip.addr!

=10.1.10.20

gt>大于：

如frame.pkt_len>10

lt<小于：

如lt

ge>=大等于：

如frame.pkt_len>=10

le<=小等于：

如frame.pkt_len<=10

也可以使用下面的逻辑操作符将表达式组合起来：

and&&逻辑与：

如ip.addr=10.1.10.20&&tcp.flag.fin

or||逻辑或：

如ip.addr=10.1.10.20||ip.addr=10.1.10.21

xor^^异或：

如tr.dst[0:

3]==0.6.29xortr.src[0:

3]==not

!

逻辑非：

如!

llc

例如：

你想抓取IP地址是192.168.2.10的主机所收或发的所有的HTTP报文，则显示过滤器（Filter）为：

ip.addr=192.168.2.10andhttp

图9组合过滤器设置

注意：

当在Filter的输入，显示绿色背景时（图9上图）说明表达式是正确的，显示红色背景时（图9下图）说明表达式是错误的。

又例如，你只想查看使用tcp协议的包，在Ethereal窗口Filter栏中输入tcp，然后回车，Ethereal就会只显示tcp协议的包。

2．实例分析

下面的分析示例是通过上网查询“TCP/IP”，然后运行ethereal抓包。

抓包过程为：

单击Capture－按默认过滤器－Start－抓包2分钟－Stop，获得图10的结果。

图10上网查询抓包结果

由于Ethereal已经对抓包结果做了分析，所以，通过协议窗口可以获得IP协议数据报格式和TCP协议报文格式的具体数据。

在图10中，各个窗口都可以用拖拉方法拉大或缩小，即可与十六进制窗口相结合，清楚地看到各个字段的数据。

其方法如下：

（1）最初协议窗口显示了协议信息，单击第一条信息，则十六进制窗口的中对应的信

息变为黑底白字，如图11所示：

图11单击frame11494字节改变颜色

（2）每条信息头部有一个“＋”号，单击“＋”则变为“－”，具体的协议信息即展开并显示在协议窗口内，图12所示为Internetprotocol协议展开的图示：

图12单击IP协议的展开图

由图12可见，IP协议源地址为219.239.88.26，目标地址为61.134.205.189，版本为IPV4，报头长度为20字节。

对应的十六进制数据为450005c8a570400034065c72dbef581a3d86cdb0。

协议窗口中还有3个带“＋”的信息行，将DifferentiatedServiceField（不同的服务字段）、标志行（Flags）和报头校验和行展开，则可以看到具体字段的数据。

（3）TCP协议的展开

图13TCP协议的展开图

图13为TCP协议的展开图，由图可见源端口号为http（80），对应的十六进制为0050，目标端口号为4579，顺序号为0，下一顺序号为1440，确认号为0，报头长20字节，其后还可以看到保留位和6个控制位的设置情况等等。

TCP/IP协议的报文格式此处没有列出，请读者自己对照，即可得知Ethereal已经对抓包结果做了准确的分析。

3.数据链路层协议分析

TCP/IP协议栈分为四层，从下往上依次为网络接口层、网际层、传输层和应用层，而网

络接口层没有专门的协议，而是使用连接在Internet网上的各通信子网本身所固有的协议。

如以太网（Ethernet）的802.3协议、令牌环网（TokenRing）的802.5协议、分组交换网的X.25协议等。

目前Ethernet网得到了广泛的应用，它几乎成为局域网代名词。

因此，这一部分将对以太网链路层的帧格式和802.1Q帧格式进行分析验证，使学生初步了解TCP/IP链路层的主要协议以及这些协议的主要用途和帧结构。

3.1以太网链路层帧格式分析实验

1．以太网简介

IEEE802参考模型把数据链路层分为逻辑链路控制子层（LLC，LogicalLinkControl）

和介质访问控制子层（MAC，MediaAccessControl）。

与各种传输介质有关的控制问题都放

在MAC层中，而与传输介质无关的问题都放在LLC层。

因此，局域网对LLC子层是透明的，只有具体到MAC子层才能发现所连接的是什么标准的局域网。

IEEE802.3是一种基带总线局域网，最初是由美国施乐（Xerox）于1975年研制成功的，并以曾经在历史上表示传播电磁波的以太（Ether）来命名。

1981年，施乐公司、数字设备公司（Digital）和英特尔（Intel）联合提出了以太网的规约。

1982年修改为第二版，即DIXEthernetV2，成为世界上第一个局域网产品的规范。

这个标准后来成为IEEE802.3标准的基础。

在802.3中使用1坚持的CSMA/CD（CarrierSenseMultipleAccesswithCollision

Detection）协议。

现在流行的以太网的MAC子层的帧结构有两种标准，一种是802.3标准，

另一种是DIXEthernetV2标准。

图14802.3和EthernetV2MAC帧结构

图14画出了两种标准的MAC帧结构。

它们都是由五个字段组成。

MAC帧的前两个

字段分别是目的地址字段和源地址字段，长度是2或6字节。

但在IEEE802.3标准规定对

10Mb/s的基带以太网则使用6字节的地址字段。

两种标准的主要区别在于第三个字段（2字节）。

在802.3标准中，这个字段是长度字段，它指后面的数据字段的字节数，数据字段就是LLC子层交下来的LLC帧，其最小长度46字节，最大长度1500字节。

在EthernetV2标准中，这个字段是类型字段，它指出LLC层使用的协议类型。

由于数据字段的最大长度为1500字节，因此，以太网V2标准中将各种协议的代码规定为大于1500的数值，这样就不至于发生误解，并借此实现兼容。

最后一个字段是一个长度为4字节的帧校验序列FCS，它对前四个字段进行循环冗余（CRC）校验。

为了使发送方和接收方同步，MAC帧在总线上传输时还需要增加7个字节的前同步码

字段和1字节的起始定界符（它们是由硬件生成的），其中前同步码是1和0的交替序列，

供接收方进行比特同步之用；紧跟在前同步码之后的起始定界符为10101011，接收方一旦接

收到两个连续的1后，就知道后面的信息就是MAC帧了。

需要注意的是前同步码、起始定

界符和MAC帧中的FCS字段在网卡接收MAC帧时已经被取消，因此，在截获的数据报中

看不到这些字段。

注意：

由于802.3标准在MAC帧中封装802.2帧，相比EthernetV2增加了8个字节的开销，而且实践表明，这样做过于繁琐，使得其在实际中很少得到使用。

因此，本节实验中重点分析EthernetV2MAC帧格式，802.3MAC帧不作具体讨论。

2．实验环境与说明

（1）实验目的

了解EthernetV2标准规定的MAC帧结构，初步了解T