网络数据包协议分析

一、实验目的

1.学习网络协议分析工具Ethereal的使用方法；

2.截获数据并对它们观察，分析其中2中协议（arp&tcp）数据包包头各数据位的含义，

了解协议的运行机制。

二、实验步骤

1.安装并打开Ethereal软件；

2.利用”运行cmd”打开命令提示符，输入“ping”确认网络连接是否完成；

3.点击capture->options选择网卡（默认有线）；

4.点击capture开始抓包；

5.打开浏览器，访问一个网站，这样才可以抓到tcp的数据包；

6.点击stop停止抓包。

三、实验结果分析

1.Arp---address resolution protocol，地址解析协议的缩写，就是主机在发送帧前将目

标IP地址（32位）转换成目标MAC地址（48位）的过程。它属于链路层的协议。

ARP协议数据包包头数据位分析：

1.第一栏显示帧信息。

Frame 280 （60 bytes on wire，60 bytes capture）是指该数据包含有60个字节，ethereal软件截获了60个字节。点击打开，里面包括了到达时间、相对前一个包的时间延迟、传输时间、帧号280、包长度（60字节）和捕获到的长度（60字节）。

2.第二栏显示以太网信息。

源MAC地址是f4：6d：04：3a：62：33，目的MAC地址是ff：ff：ff：ff：ff：ff。

3.第三栏显示因特网协议信息。

它包括了硬件类型：以太网；协议类型是IP协议和发送方的IP地址与MAC地址，也包括了目的IP地址和ＭＡＣ地址。

2.tcp—transition control protocol，传输控制协议的缩写。是一种面向连接（连接导向）

的、可靠的、基于字节流的传输层通信协议。

TCP协议数据包包头数据位分析：

1.第一栏显示帧信息。

它包括了到达时间、相对前一个包的时间延迟、传输时间、帧号为279、包长度和

捕获到的长度（60字节）。

2.第二栏显示以太网信息。

主机MAC地址是00：23：89：34：ad：75，目的MAC地址是00:21:97:3f:f4:ad.协

议类型属于IP协议。

3.第三栏显示因特网协议信息。

协议的版本号是4，包头长20，包的源IP地址202.197.96.12，目的IP地址10.62.78.44。

还包括了标志，头部检验、协议类型为TCP。

4.第四栏显示传输控制协议信息。

它包括了源端口号8080、目的端口号2967、序列号2372、头部长度20、标志（ACK）、

ack号149、窗口大小、校验核等。

四、实验心得

通过这次实验，我学会使用Ethereal分析各种网络协议，加深了对协议格式、协议层次和协议交互过程的理解，回顾了各种协议的概念。

问题回答：

ARP：

1.What is the 48-bit Ethernet address of your computer?

f4：6d：04：3a：62：33

2.What is the 48-bit destination address in the Ethernet frame?

目的MAC地址是ff：ff：ff：ff：ff：ff

TCP：

1.What is the IP address and TCP port number used by your client computer (source) to

transfer the file to ? What is the IP address and port number used by to receive the file.

答：如图

可以看出我的IP和端口分别为122.207.49.15，3647； 的IP和端口为128.119.245.12，80 。

2. What is the sequence number of the TCP SYN segment that is used to initiate the TCP connection between the client computer and ? What is it in the segment that identifies the segment as a SYN segment?

答：如图

SYN=1 。

3. What is the sequence number of the SYNACK segment sent by

to the client computer in reply to the SYN? What is the value of the

ACKnowledgement field in the SYNACK segment? How did

determine that value? What is it in the segment that identifies the segment as a

SYNACK segment?

答：如图

SYN=ACK=1 。ACKnowledgemen=1 。

4. What is the sequence number of the TCP segment containing the HTTP POST

command? Note that in order to find th e POST command, you’ll need to dig into

the packet content field at the bottom of the Ethereal window, looking for a

segment with a “POST” within its DATA field.

答：如图

可以看出sequence number=1 ，当为the HTTP POST Command时。

7. What is the minimum amount of available buffer space advertised at the received for the entire trace? Does the lack of receiver buffer space ever throttle the sender?

答：最小如图：

没有。