《高级网络技术》
实验一 ethereal抓包工具的使用
课程实验报告
课程名称：高级网络技术
专业班级：
姓名：
学号：
指导教师：
完成时间：2012 年10 月24 日
实验一 ethereal抓包工具的使用
一、实验目的
1．熟悉Ethereal网络抓包工具软件的作用和使用方法；
2．通过Ethereal工具软件的帮助，对抓到包进行分析。

二、实验内容
学习Ethereal网络抓包工具以及对ARP packet format进行分析。

三、实验设备及工具
硬件：安装了网卡的PC机。

软件：PC 机操作系统WinXP，安装了网卡驱动程序,以及ethereal抓包软件
四、实验步骤
1)安装winpcap和ethereal；
2)ARP协议分析
由ethereal抓取的包格式和下图一样，首先，对下图所示帧格式进行了解。

如图所示，前14字节是数据链路层所附加的帧头，后28字节是来自网络层的ARP数据包内容。

然后，我们根据所抓取的实际例子来分析协议各个部分，如下图所示。

在这个例子中，编号256的包：物理地址是00:21:86:a2:c6:d3，IP地址是
192.168.60.42的主机或路由器，向网络中发送广播，内容是一个ARP协议的request，
希望获得IP地址为192.168.60.140的主机的物理地址。

编号为257的包：IP地址为192.168.60.42的主机，收到广播的request后，向广播发送端发送单播reply，告诉
对方自己的物理地址为00:1d:ba:18:cb:dc。

256和257号包的详细内容如下所示。

256号包
257号包
由图可见，前14字节为帧头。

其中，前6字节为目的物理地址，当向网络中发送广播时，目的物理地址为全f；7-12字节为源物理地址；最后两个字节表示帧类型，ox0806表示这是一个ARP数据帧；由于是在以太网中传输，当帧长度不足46字节是，可能在
帧尾部添加尾巴（填充位）。

然后，我们来看ARP协议数据内容。

15-16字节表示硬件类型，图中所示ox1表示为以太网；17-18字节表示协议类型，图中ox0800表示为ARP协议；第19和20字节分别表示硬件地址和协议地址长度，图中所示分别为6和4，这与我们的物理地址和IP 地址长度相当；第21-22字节为操作类型，其中256号包中该内容为1，表示这是一个request，257号包中该内容为2，表示这是一个reply；最后20字节分别为发送方和接收方的硬件地址和协议地址，需要注意的是，request由于不知道目的主机的物理地址，因而包中这6字节置零，如256号包所示。

3）IP协议分析
IP数据包的内容如下图所示。

这里，我们抓取一个UDP报文，来分析其中的IP部分，如下图所示。

前12字节依然为目的主机和源主机的物理地址，13-14字节为帧类型，ox0800代表
这是一个IP数据帧。

然后是IP数据包。

第15字节的高4位为4，说明这是一个IPv4报文，低四位为5，表示这IP首部长度为20字节，没有选项信息；第16字节是服务类型字段，ox00代表网络默认服务类型；17-18字节是总长度字段，ox0047表示这个IP数据报有71字节，加上14位帧头正好是图中所抓的85字节包；第19-20字节为标识字段oxc5f3，用来唯一标识IP数据报，及分片重组；21-22字节为分片字段，ox0000表示该报文没有分片；第23字节是生存时间字段，ox40表示该报文能最多经过64个路由器；第24字节为协议类型字段，ox11表示该报文是一个UDP报文；25-26字节为首部校验和字段，由整个报文首部（校验和字段置零），划分为16位的段，相加后取反获得；27-34字节为源主机和目的主机的IP地址；再之后为UDP协议段和数据段，这里就不分析了。

五、实验体会
通过本实验，不仅学会了使用ethereal工具抓取网络包，更重要的是通过对所抓的包进行分析能在学习的基础上，进一步加深对各种网络协议的理解与记忆，取得更好的学习效果。