实验七-用协议分析工具EtherPeek捕获TCP、UDP数据包并分析

实验目的：熟练掌握协议分析工具的使用

掌握TCP/UDP数据的头部信息的含义

实验环境：学生机、Boson Netsim。

实验内容与步骤：

实验内容

1．捕获并分析传输控制协议。很多因特网服务，比如HTTP、FTP、SMTP 和Telnet，都要依靠TCP来传输数据。

2．捕获并分析用户数据报协议。UDP由很多上层协议使用，例如普通文件传输协议(TFTP)和DNS。

实验步骤

1 启动软件

安装和启动EtherPeek

2 捕获报文基本步骤

（1）打开程序后，选择Capture(捕获)—Start(开始)，或者是工具栏上的开始箭头。

（2）数据传输实现后，再次进入Capture(捕获)菜单，然后选择Stop(停止)或者使用工具栏。

（3）进入Capture(捕获)菜单，选择“停止并显示”。

（4）停止捕获后，在对话框最下角增加了一组窗口卷标，包括高级、解码、矩阵、主机表单、协议分布和统计信息。

（5）选择解码卷标，可以看到缓冲器中的所有实际“数据”。分析该卷标结构及其内容。

3捕获并分析传输控制协议

（1）进入“捕获”，“定义过滤器”。在定义过滤器窗口中，点击“文件”，“新建”。

（2）转到“高级”卷标，点击IP协议标题旁边的“＋”号，到下面找到TCP，然后选中TCP。

（3）点击OK，关闭定义过滤器窗口。

（4）按F10开始捕获TCP流量。

（5）分析捕获到的结果(即解释数据包的内容和协议具体实现过程)。

4、捕获HTTP协议使用下层TCP协议通过三次握手建立连接的数据包，第1个数据包的长度为个字节。第2个数据包的长度为个字节。第3个数据包的长度为个字节。

下面先对第一个TCP包进行数据分析。（分别对三个数据包进行以下的分析，即重复三次）

第一行（Source port）：2字节，源端口号。

第二行（Destination port）：2字节，目标端口号。

第三行（Initial Sequence number）：4字节，表示发送数据包的排序序列：。

第四行（Next expected seq number）：表示希望接收数据包的排序序列：。

第五行（Date offset）：1字节，用来说明数据包的大小。

第六行（Reserved Bit）：保留空间，以作未来用。

第七至第十三行（Flags）：6字节，标志位，有控制功能。分别为URG，紧急指针为；ACK，确认指针为；PUSH，不用等待缓冲区装满而直接把报文交给应用层为；RST，复位指针为；SYN，同步信号为；FIN，完成或释放指针为。此数据包的含义是。

第十四行（Windows）：2字节，发送方希望被接受的数据大小。

第十五行（Checksum）：2字节，是根据报头和数据字段计算出的校验和，一定由发送端计算和存储的。校验和为。

第十六行（Urgent pointer）：2字节，紧急指针，告知紧急资料所在的位置。

5、捕获并分析用户数据报协议

（1）进入“捕获”，“定义过滤器”。

（2）在定义过滤器窗口中，选择“高级”卷标。从协议列表中，打开IP 对话框，然后点击UDP选择框。

（3）选择OK按钮关闭定义过滤器窗口。

（4）按F10开始捕获UDP流量。

（5）现在用完整的域名来对主机执行Ping 命令。进入“开始”，“运行”，并输入ping 。现在按回车键，可以ping这个网站四次。

（6）停止并显示捕获结果。

（7）分析捕获到的结果。

完成以下内容的填写。

第一行（Source port）：2字节，为发送进程的端口号：。

第二行（Destination port）：2字节，为接收进程的端口号。

第三行（length）：2字节，说明UDP数据报的总长度，包括报头和数据域。

第四行（Checksum）：2字节，校验和。

6、实验总结