計算機網絡實驗手冊

TCP/IPProtocolSuite

OSImodellayersDARPAlayers

ApplicahonLayer

ApplicationLayerHTTPFTPSMTPDNSRIPSNMP

PresentationLayer

SessionLayer

1TransportLayer?

1cpUDP

TianspoitLayer

IGMPICMPNDMLD

NehvoikLayerInternetLayerICMPv6

ARPIP(IPv4)IPv6

DataLinkLayei

NetworkInterface1802.11

LayerEthernetwirelessFrameRelayATM

PhysicalLayerLAN

L

《計算機網絡》自頂向下和Internet特色實驗手冊

目錄

實驗一Ethereal和實驗基礎3

實驗二HTTP協議分析11

實驗三DNS協議分析17

實驗四TCP協議分析23

實驗五IP協議分析28

實驗六ICMP協議分析32

實驗七Ethernet和ARP35

實驗八DHCP協議分析39

附錄一TcpDump表達式介紹43

附錄二Windows網絡命令說明45

附錄三實驗數據分析和思考題回答樣例47

附加實驗一NAT協議分析48

附加實驗二FTP協議分析50

《計算機網絡》自頂向下和Internet特色實驗手冊

實驗一Ethereal和網絡實驗基礎

-、Ethereal基礎

我們觀察執行協議的實體之間如何交換信息的基本工具是packetsniffer,就如名字

所示這是個包嗅探器，它在你的電腦發送消息或者接收消息時進行協議數據的捕獲，同時有

選擇的顯示這些協議數據的內容。包嗅探器本身是被動的，電腦所收發的數據包不寫明是給

包嗅探器的，而是由應用程序發送和接收時產生的，在包嗅探器收到包的同時應用程序數據

收發仍然是正常進行的。

下圖顯示了一個包嗅探器的結構。在圖的右側是協議和運行的應用程序，包嗅探器顯示

在用虛線圍起來的框中，它偵聽并接收每一個鏈路層幀的副本，當物理媒體是以太網時上層

協議最終都將生成以太幀，捕獲所有的鏈路層幀就能收集所有在電腦上的應用程序和協議所

收發的消息。

packetsniffer

to/fromnetworkto/fromnetwork

包嗅探器的另一組成部分是包分析器，它顯示?個協議消息中所有字段的內容，為了完

成這些任務包分析器必須了解所有通過協議交換的消息的結構。例如我們對上圖中通過

HTTP協議交換的消息所顯示的區域感興趣，包分析器需要了解以太網幀的格式，這樣可以

通過一個以太網幀來識別IP數據包，同時它也需要了解IP數據包的格式可以從IP數據包

中取出TCP段，它也必須了解TCP段的結構可以把包含在TCP段中的HTTP消息取出，最

后它需要了解HTTP協議等等，例如需要知道一個HTTP消息的第一個字節將包含“GET”、

“POST”或者是“HEAD”。

我們在實驗中將使用Etherealpacketsniffer(或叫EtherealNetworkAnalyzer).這個軟件

我們已下載好放在本地d:\ins,本實驗需要的其他軟件我們也都放在這個目錄中，你也可

以在以下地址下載：

3

《計算機網絡》自頂向下和Internet特色實驗手冊

/download.html

該網站上還有用戶指南和任務專欄可以下載。為了運行Ethereal,你還需要支持Ethereal

和libpc叩包的捕獲庫，可以在安裝Ethereal時的選項中鉤選WinPcap來安裝。

二、運行Ethereal

當你運行Ethereal程序時，將會看到如下圖所示的用戶圖形界面，剛啟動時在各窗口中

是沒有數據顯示的：

^ommand|令(UnSkd)Rhctcul

mentisHe0tVBWGa83tx.中dyrrSabstcsHe|>

企匕IB%電昌囪(中知事q&d國齡IBIS於S3

▼|?.KRhn.J[7jpd>I

displayfilter-IOwU)?u)n["lccd|”g

19161106?19冰

???s

6>-22408.F9922406.1srand"。queryAgaia.cs.ur：ss,edu

specification3118川s

1916''l018.1691M.501standardqueryrespor<eAITS.119.245.12

2大

?？81.11p

1?8.*1.1M2：874:Ftp[SVN]sw-357?eil696A<k-0wV-65555I

2110,.■9n.1481p

1?1e/-1-1.5http>1874LSVN,ACKjseq-4216539525A<m"1F

9?2.8.11o28.H921rcp

TC287^1>^trp[<CK]sec-3573611697

一.12

listingofEJyaipi

O.OM：31119.74?.i7192.1C9.1,101—hirp>1^74[?K]sefi-4216=.-9524A<k-357361724?<

0.0*808119.241.1?101HrHTTP/1.1200OKctexx/html)

captured9TCp

C0.25575401138.119.24,126R1874?”rp[?<K]5?-357361224?A<k-42165J9890?

4.2251170155op'ocmaln/HorkorxipmnceocenenrWORKGROUP,、Tworksi

-*p“

packets-

26.a67413Ifrre1_52:M2?Broadcastpwhohar192.168.1.r?Tell02

36.47861nradcitARpwhohae192.1*8,1.1*>Tallx92.168.1.102

p

46.4)73238lnrel_S2;2o：23BroackastTCwhohas192.108.1.1^Tell02

TCp

510.08e2io22192.160.1.101http>1874[PIM,g]Seq-4216539890ACk-3573612；

1O.OH63O9128.119.24*.12187/1>http[<CK]Sec-3573612242"k"236519891W

Frare6《5的byteson-e,i99匕/tescapture。)

EthernetII.Src;00:08:74:4f:36:23,Dst;OO;C€:25:da:af:73

>internetprotocol.sr<a，Mr:197,168.1.101<192.168.1.101)，D5tAd<lr：128.119.2*5.12(1：$.119.245.12)

:，rractml”4arcontrolProtocol,srePert:LU74(1874).O?TPart:http(tso),"q:J5736U697,Ad:421S1Q5Z4.L

detailsofHyps-textTransferProtocol

|>GET/erb>feal-labs/iNTRc-erhereal-fnei.hTinlHrrp/i.iXr'Xn

selectedHost:ga1a.es.u?a^5.edu\r\n

packetU?*r-A4jw^;Mu2:'U/5.0U;window*errt>.>;an-U$;rvcl.O.2)-3fc-ko/20021120sC4p*/Z.(Il\r\n

AC<ept:app11<at1on/x-shockwaue-f1as?，匚exr/drappHtac1cc/xml,dppUcaTl-n/xtmo4.xm1,texr/hi?;q-0.■?,xexc/p1

Accept-Language:en-us.en;q=0.5O\r\n

headerAccept-Encoding:gzip.CsFl?tv.tompres?:q^Q.9Xr\n

Accept-ct，"sei::sc>-88S?i-l,urt-8;q-c.?6,*：q-0.66Xr\n

Keep-Alive:30D\r\n

Correction:kee；>-a1iveV\n

XfXn

packetcontentcu

o2□6daat7300csZ44fS608C：45OO..?..TC5*..P..

t&勺<:

)010-5<if40COROC6546<CO4801653077,119…Tn…e.w

inhexadecimal)020rfOc0752OO50dSCOfcblfbS349GJ5013...P.aSI.P.

\JO3。e5ff398OO00474374GB0572..g…GET/ether

-

)0404616c2d6c61邑273524f2d65eal-1abs/iKTRO-e

andASCIIJh/、KC?1->■-AOTKrHzir-A->+,、z?，hr

Ethereal界面主要有5部分組成：

I.命令菜單(commandmenus),位于窗口頂部，其中File菜單允許保存獲取的包數據

或者打開一個之前捕獲的包數據文件，Capture菜單允許你開始一次包的捕獲；

2.包列表窗口(packet-listingwindow),每一個包顯示■行摘要，包括包的編號、包捕

獲的時間、包的源地址和目的地址、協議類型以及在包中所包含協議的特定信息。包列

表可以通過點擊一個縱列標題項來排序，協議類型字段列出了這個包發送和接收的各級

別的協議；

3.包頭部信息窗口(packet-headerdetails),提供了在包列表窗口中被選中包的詳細信

息，這些信息包括以太網幀和IP數據包。以太網和IP層詳細信息的顯示能夠擴展或者

縮小，如果這個包中有TCP或者UDP,相應的協議詳細信息也會被顯示(也可以被擴

展和縮小)，發送或者接收這個包的最高層協議的詳細信息也會被顯示；

4.包內容窗口(packet-contentswindow),以ASCII和十六進制格式顯示了捕獲的幀的

4

《計算機網絡》自頂向下和Internet特色實驗手冊

整個內容；

5.包過濾顯示區域（packetdisplayfilter加1（1）,在Ethereal用戶圖形界面的頂部，在

這里可以輸入協議名稱或者其他信息來過濾包列表窗口中顯示的信息。

三、使用Ethereal來做一個測試

學習任何一個新的軟件的最好方法是實驗它！

1.打開你的瀏覽器；

2.打開Ethereal軟件，最初的時候窗口中都沒

有數據，因為Ethereal還沒有開始捕獲包；

3.開始包的捕獲，選中Capture下拉菜單，選

擇Start,,將會出現"CaptureOptionsM窗

口，如右圖所示：

4.你可以使用窗口中各選項的默認值，但網絡接口（比如物理連接）要確認一下，如

果你的電腦擁有多個網絡接口，請選擇正在接入網絡的一個接口用來發送和接收

包。選擇網絡接口（或者使用Ethereal的默認接口），使capturefilter保持為空，接

下來鉤選updatelistofpacketinrealtime,Ethereal:CapturefromIntel(R)PRO/IOO...■日文

點擊確認。包捕獲現在將開始——你的電腦

發送和接收的所有包都會被Ethereal捕獲；

5.當你開始包捕獲，會出現一個包捕獲摘要窗

口，如右圖所示。這個窗口概述了被捕獲的

各種類型包的量,Stop按鈕允許你停止包的

捕獲（現在還不要停止包的捕獲）；

6.當Ethereal還在運行時，輸入如下的URL

讓它下載一個頁面在你的瀏覽器中顯示：

/ethereal-labs/INTRO-ethereal-file1.html

為了顯示這個頁面，你的瀏覽器將和的HTTP服務器進行聯系，

和服務器進行HTTP消息的交換以卜載這個頁面，包含這些HTTP消息的以太網幀

將會被Ethereal捕獲：

7.你的瀏覽器顯示了這個頁面后，在Ethereal捕獲窗口中按下stop按鈕來停止Ethereal

的包捕獲，Ethereal的主窗口將會顯示所捕獲的包。現在，你擁有了剛才在你的電

5

《計算機網絡》自頂向下和Internet特色實驗手冊

腦通過網絡進行交換的協議消息。HTTP消息和Web服務器之間

進行交換也在包捕獲列表中出現，但是同樣也有其他類型的包：

8.在Ethereal主窗口的頂部的Filter中，輸入“http”，然后選擇Apply,這樣只有HTTP

消息會被顯示在包列表窗口；

9.在包列表窗口中選擇第一個HTTP消息，它應該是一個HTTPGET消息，是由你的

電腦發送給的HTTP服務器的。當你選中HTTPGET消息后，以

太網幀、IP數據包、TCP段以及HTTP消息的頭部將會顯示在包頭部窗口中。在包

詳細信息窗口的左邊，選擇擴展或收縮使顯示的幀、以太網、IP協議以及TCP協

議縮小到最小而HTTP協議的信息被最大化。現在Ethereal顯示的大致如下圖所示:

Q(Untitled)-Ethereal

fileEdityiew§oCapturefinalyzeStatisticsHelp

翻翻即羽明23尋X麴）3回Q峰它）吞殳□□0Q

Filter:|http▼Expresston...ClearApply

No.?TimeSoireeDestinationProtocolInfo

80.73639302128.119.245.12HTTPGET/ethereal-labs/HTTP-etI

101.109093202HTTPHTTPA.1200OK(text/html；v

<1

+jFrame8(493bytesonwire,493bytescaptured)

+EthernetII,sre:lbm_3f:8b:2b(00:09:6b:3f:8b:2b),Dst:Shenzhen_dO:b4:4e(00:0a:eb:d0:b4:

+internetProtocol,Src:02(02),Dst:128.119.245.12(2：

上「TransmissioncontrolProtocol,srePort:1173(1173),DstPort:http(80),seq:175562758,

-iHypertextTransferProtocol

-GET/ethereal-1abs/HTTP-ethereal-filel.htmlHTTP/1.l\r\n

RequestMethod:GET

RequestURI:/ethereal-labs/HTTP-ethereal-filel.html

Requestversion:HTTP/1.1

Accept:1mage/gif,image/x-xb1tmap,image/jpeg,image/pjpeg,appl1cat1on/x-shockwave-f1as

Accept-Language:zh-cn\r\n

Accept-Encoding:gzip.deflate\r\n

user-Agent:Mozi11a/4.0(compatible;MSIE6.0;windowsNT5.1;svl;POTU(BeTaO.99);.NET

Host:\r\n

connection:Keep-Al1ve\r\n

\r\n

<l卜〉

0030—220855f20000H”.u…生T/etherl

0040CT1Iabs/HTTP-et

0050Ihereal-fi1el.htm|

006041636365HTTP/1.1..Acce

007070743a206966167652T6769662c2069:imaqe/gif,i

ccocGZeiCPT。ec編1-tcV

|p：11D：2M:ODrops：0

10.退出Ethereal?

恭喜你！現在，你已經完成了一次成功的協議數據捕獲。

四、需要上交的東西

這個實驗的主要目的是向你介紹和使你熟悉Ethereal軟件，請回答以下問題：

Q1.列出在上面第7步驟中沒有進行過濾時包列表窗口中所出現的全部的協議名稱；

Q2.從發送HTTPGET消息一直到接收到HTTP回復的OK,持續了多久？

（默認time列顯示的是開始捕獲后的以秒為單位的持續時間，如果要在time列以time-of-day格式顯

示，請選擇Ethereal的View下拉菜單，然后選擇時間顯示格式為Time-of-day）

6

《計算機網絡》自頂向下和Internet特色實驗手冊

Q3.的IP地址是多少？你的電腦IP地址是多少？

Q4.導出這兩個HTTP消息，你可以在Ethereal的File命令菜單中選擇save菜單，導出

的文件命名為ethereal-1。

五、WINDOWS網絡命令

我們將在后面的實驗和日常應用中經常用到WINDOWS的網絡命令，請關注每個網絡命

令的參數以及這些參數的組合，我們先來嘗試用tracert和ping命令分析一下到

的路由情況，以后我們還要仔細研究。

Ping是個使用頻率極高的實用程序，用于確定本地主機是否能與另一臺主機交換數據

報，根據返回的信息我們就可以推斷TCP/IP參數是否設置得正確以及運行是否正常。由于

很多路由器和服務器為了防止DDOS攻擊會關閉ICMP功能，如果因此而造成你訪問的節點

不響應ping的測試，你可以換一個IP或域名再試。

Ping是一個測試程序,如果Ping運行正確我們大體上就可以排除網絡層、網卡、MODEM

的輸入輸出線路、電纜和路由器等存在的故障，從而減小了問題的范圍。按照缺省設置，

Windows上運行的Ping命令發送4組ICMP32字節數據，如果一切正常我們能得到4個回

送應答。Ping能夠以毫秒為單位顯示發送請求到返回應答之間的時間。如果應答時間短，

表示數據報通過的路由器少或網絡連接速度比較快。Ping還能顯示TTL值（TimeToLive

生存時間），我們可以通過源地點TTL起始值減去返回包的TTL值從而推算數據包通過了

多少個路由器。例如，如果返回TTL值為249,TTL起始值是256,源地點到目標地點要

通過7個路由器（256-249）,一共是7個hop。

正常情況下，當我們使用Ping命令來查找問題或檢驗網絡運行情況時，我們需要使用

一系列Ping命令，如果所有步驟都運行正確，我們就可以相信基本的連通性和配置參數沒

有問題；如果某些Ping命令出現運行故障，它也可以指明到何處去查找問題。下面就給出

一個典型的檢測次序及對應的可能故障：

ping

這個Ping命令被送到本地計算機的IP協議軟件，如果沒有成功就表示TCP/IP協議的

安裝存在問題。

ping本機的IP

這個命令被送到我們計算機所配置的IP地址，計算機始終都應該對該Ping命令作出應

答，如果沒有則表示本地配置或安裝存在問題。出現此問題時，局域網用戶請斷開網絡電纜,

7

《計算機網絡》自頂向下和Internet特色實驗手冊

然后重新發送該命令。如果網線斷開后本命令正確，則表示另一臺計算機可能配置了相同的

IP地址。

ping局域網其他電腦的IP

這個命令使數據經過網卡及網絡電纜到達其他計算機再返回。收到回送應答表明本地網

絡中的網卡和載體運行正確。但如果收不到回送應答，表示子網掩碼不正確、網卡配置錯誤

或電纜系統有問題。

ping網關的IP

這個命令如果應答正確，表示局域網中的網關路由器正在運行并能夠作出應答。

ping遠程的某個IP

如果收到4個應答，表示成功的使用了缺省網關。

pinglocalhost

localhost是操作系統的網絡保留名，它是127.001的別名，每臺計算機都應該能夠將

該名字轉換成該地址。如果沒有做到這一點，則表示主機文件(/Windows/host)存在問題。

ping

對這個域名執行Ping地址，通常是通過DNS服務器解析，如果

這里出現故障，則表示DNS服務器的IP地址配置不正確或DNS服務器有故障。

如果上面所列出的所有Ping命令都能正常運行，計算機進行通信的功能基本上就可以

放心了。但是這些命令的成功并不表示所有的網絡配置都沒有問題，例如某些子網掩碼錯誤

就可能無法用這些方法檢測到。

Ping命令還有一些常用參數選項：

ping某IP-t

連續對IP地址執行Ping命令，直到被用戶以Ctrl+C中斷。

ping某IP-I128

指定Ping命令中的數據長度為128字節，而不是缺省的32字節。

ping某IP-n8

連續執行8次的Ping命令。

我們就先試著用ping命令測試一下：

1.啟動Ethereal捕獲數據；

2.保持Ethereal主窗口頂部的Filter為空；

3.運行命令：

8

《計算機網絡》自頂向下