实验三基于Etheral的网络侦听实验

南京邮电大学通达学院

课程实验报告

题目：基于Etheral的网络侦听实验

学院通达学院

学生姓名吕立菁

班级学号11005205

指导教师杨丽花

开课学院通信与信息工程学院

日期 2014年5月15日

一实验目的

1.了解Etheral软件的安装和使用；

2.了解IPV4包的组成并与实例印证；

3.掌握如何使用Etheral软件抓取FTP服务器，WWW服务器，TCP服务器，UDP

包的透明内容。

二实验设备及软件环境

1.局域网上至少两台已经联网的计算机。如图1

2.Etheral软件，以及所有实验二，实验三用过的软件包与应用程序

10.10.9.xx图1

10.10.9.xx

3.文件包

4.程序

三实验步骤

实验内容一：

1.点击“Etheral”安装包内的“wiresharp-setup.exe”，安装结束后，千万不

要重新启动。

2.启动：“开始”－“程序”—“wiresharp””—启动Etheral。

3.菜单“Capture”，中找“Interface”。选择本机IP地址（示意图中是10.10.9.1）

栏目后面的“Start”，就可以发现该软件已经开始捕捉IP网络上的数据包了。

4.捕捉了你需要的一部分数据后，最好马上停止，否则数据量太多，无法准确

分析。如果想结束的话，按选项菜单“Capture”的“Stop”。并保存本次捕捉的内容。点“SAVE

实验内容二：

1.登录南邮网站https://www.wendangku.net/doc/1b4121600.html,，观察是否能连接上。

2.重复实验内容一，在点击完“Start”之后，马上重新登录https://www.wendangku.net/doc/1b4121600.html,，

并观察这一瞬间Etheral是否捕捉新的IP包，对其进行分析，同时回答后面的思考题：

思考题一：南邮网站的静态IP地址是什么？

思考题二：如何体现DNS服务？

思考题三：南邮的DNS服务的地址是什么？

思考题四：HTTP包属于TCP/IP分层体协哪一层的内容？

思考题五：HTTP包是如何封装到IP包里面去的？

保存该数据文件，命名为“HTTP响应”。

3.观察数据，发现的确找到了HTTP响应的数据包后，有BBS帐号的同学可以登

录BBS帐号，重新捕捉一次，

观察是否能捕捉到用户名和密码。

实验内容三：（重复实验一的内容，在两台机器上架设好TCP的服务器端和客户端）

1.TCP的Server端已经架好，得知准确的IP地址和端口后，可通过建立连接。

2.发送数据包（最好包含双字符的汉字和单字符的ASCII），使用Etheral抓包，

看到其内容。

3.注意保存文件，命名为“TCP响应”

实验内容四：

1.重复实验一的内容，在两台机器上运行UDP客户端，UDP另一端已运行，输

入确定的IP地址和端口，运行“点“打开端口”，发送数据。

2.使用Etheral软件抓包，得到透明数据流，保存文件命名为“UDP响应”，并

进行分析。

四．实验内容及实验结果

实验内容一：

实验内容二：

实验内容三：

实验内容四：

五．实验体会

通过本次基于Etheral的网络侦听实验，我不仅了解到Etheral软件的安装和

使用，而且掌握了如何使用Etheral软件抓取FTP服务器、WWW服务器、TCP服务

器和UDP包的透明内容。

学习和掌握网络数据包的捕获与分析技术不但有利于理解网络协议，而且对分析网络安全性和可靠性大有益处。

经过本次实验的操做过程，对Etheral抓包软件、两台机器的TCP、UDP软件消息的接受与发送等过程具有了非常深刻的了解与应用，这对于拓宽我个人的知识面具有很大的启示作用，并且进一步增加了我对学习该课程的兴趣与热爱。

六．思考题

1.MAC包、IP包、TCP包（UDP包）、HTTP包（FTP包）的关系是怎样，画出框

图。

答：mac是二层，数据链路层，通常我们二层协议用以太网协议

ip是三层，网络层，通常是ip协议

tcp是四层，传输层，通常有tcp和udp协议

http属于应用层，是应用层协议

ip（网络层）必须是基于mac（数据链路层），同理tcp是基于ip，http是基于tcp

2.如何使用软件分析一个IP包的版本号？长度Length?生命周期TTL?头校验？

源地址？目的地址？

答：1、选择好捕包网卡，左连还有一些其它捕包条件供选择，如果当所选网卡不支持“杂项接收”功能，系统会提示相应信息,出现该情况时您将无法获取与本网卡无关的数据包，换言之，您无法获取其他电脑之间的通讯包，所以，建议您更换网卡。不支持“杂项接收”的网卡，多数为一部分无线网卡及少数专用服务器/笔记本网卡。

2、协议过滤通常情况下，可不选，除非您对协议类型较为熟悉。

3、设置捕包缓冲确省的捕包缓冲区大小为 1M，如果您的要追踪的网络规模

较大，可适当调大该值；另外，如果追踪主机 CPU 处理能力不够，也需加大缓冲；否则，可能出现丢包的情况。

4、IP过滤 IP过滤里可以设置想要捕包的IP地址或是设置要排除的IP地址

等信息。

5、端口过滤端口过滤过滤里可以设置想要捕包的端口或是设置要排除过滤

的端口等信息。

体验“捕包分析” 1、设置捕包过滤项这里的过滤和“追踪任务”过滤设置是独立分开的，请不要混淆，其可选内容项更多。点按钮：上述选项中，最为复杂的是“数据块匹配”部分，详细的介绍将在下面的章节部分出现，这里只需要配置好正确的网卡即可，其他选项可以不做任何设置。 2、开始捕获，点按钮。

3.一个TCP包如何确知自己的数据段是HTTP包。

答：1、传送HTTP报文前是否有TCP的三次握手；

2、判断数据包中是否含有诸如“GET”、“HTTP/1.1”等关键字。

4.已知一个IP包，如何知道该IP包的数据段是TCP包还是UDP包。

答：看IP包头中的协议字段，如果该字段数值为6就表示，里面的数据是TCP的。如果是17则表示是UDP的

5.已知一个TCP包，分析其数据段（净荷）的组成结构是怎样的？UDP包的数

据部分又是怎样结构？

答：TCP包：

源端口和目的端口字段——各占2字节。端口是传输层与应用层的服务接口。传输层的复用和分用功能都要通过端口才能实现。

序号字段——占4字节。TCP连接中传送的数据流中的每一个字节都编上一个序号。序号字段的值则指的是本报文段所发送的数据的第一个字节的序号。

确认号字段——占4字节，是期望收到对方的下一个报文段的数据的第一个字节的序号。

数据偏移——占4bit，它指出TCP报文段的数据起始处距离 CP报文段的起始处有多远。“数据偏移”的单位不是字节而是32bit字（4字节为计算单位）

保留字段——占6bit，保留为今后使用，但目前应置为0。

紧急比特URG——当URG＝1时，表明紧急指针字段有效。它告诉系统此报文段中有紧急数据，应尽快传送(相当于高优先级的数据)。

确认比特ACK——只有当ACK＝1时确认号字段才有效。当ACK＝0时，确认号无效。

复位比特RST(Reset) ——当RST＝1时，表明TCP连接中出现严重差错（如由于主机崩溃或其他原因），必须释放连接，然后再重新建立运输连接。

同步比特SYN——同步比特SYN置为1，就表示这是一个连接请求或连接接受报文。

终止比特FIN(FINal)——用来释放一个连接。当FIN＝1时，表明此报文段的发送端的数据已发送完毕，并要求释放运输连接。

窗口字段——占2字节。窗口字段用来控制对方发送的数据量，单位为字节。TCP连接的一端根据设置的缓存空间大小确定自己的接收窗口大小，然后通知对方以确定对方的发送窗口的上限。

检验和——占2字节。检验和字段检验的范围包括首部和数据这两部分。

在计算检验和时，要在TCP报文段的前面加上12字节的伪首部。

紧急指针字段——占16bit。紧急指针指出在本报文段中的紧急数据的最后一个字节的序号。

选项字段——长度可变。TCP首部可以有多达40字节的可选信息，用于把附加信息传递给终点，或用来对齐其它选项。

填充字段——这是为了使整个首部长度是4字节的整数倍。

UDP包：

UDP信息包由UDP标题和数据组成。UDP的标题结构由5个域组成：源端端口、目的地端口、用户数据包的长度、和检查和，前4个域组成UDP标题，每个域由来个字节组成；检查和域占据2个字节，它有来检测过程中是否出现了错误；用户数据包的长度包括所有5个域的字节数。

6.练习一下 sniffer 软件，回答一下 sniffer还有什么其它功能？

答：捕获网络流量进行详细分析利用专家分析系统诊断问题实时监控网络活动收集网络利用率和错误等

7.针对实验内容五，分析下FTP工作的过程是怎样的？

答：1. 主进程2.从属进程

主进程工作步骤如下

a.打开熟知端口，使客户进程能够链接上

b.等待客户进程发送链接请求

c.启动从属进程来处理客户进程发来的请求，从属进程在运行期间还会创建

一些子程序

d.回到等待状态

从属进程包括

a.控制进程不用来传输文件

b.数据传输进程数据链接用来传输文件