网络与数据通信实验报告实验1 网络协议分析Ethereal一、实验目的(1)学会正确安装和配置网络协议分析软件Ethereal；(2)掌握使用Ethereal分析各种网络协议的技能，加深对协议格式、协议层次和协议交互过程的理解。

二、实验环境(1)运行Windows 2000／2003 Server／XP操作系统的PC一台；(2)每台PC具有一块以太网卡，通过双绞线与局域网相连；(3)Ethereal程序(可以从网上下载)。

三、实验步骤(1)安装网络协议分析仪1)安装winPcap。

注意，网络协议分析软件Ethereal的运行需要软件winPcap(wpcap.dll)的支持，应当在执行Ethereal前安装WinPcaP。

2)安装Ethereal。

(2)使用Ethereal分析协议1)启动系统。

点击“Ethereal”程序组中的“Ethereal"图标，将会出现如图1-1所示的系统操作界面。

图1-1 Ethereal 系统主界面2)分组俘获。

点击“Capture／Start’’菜单，出现图1-2所示的界面。

在“Interface”(接口)框的下拉列表中选择一个适当的接口项，其余项可暂时保持默认配置。

然后，点击“OK”按钮，系统开始俘获网络分组。

当按“stop”(停止)按钮时，系统停止俘获分组并将已经俘获明分组信息装载在分析系统中。

图1-2 俘获分组配置界面3)协议分析。

如图1-3所示，在上部的窗口中，有帧编号(No.)、时间(Time)、源地址(Source)、目的地址(Destination)、协议(Protocol)和信息(Info)等列，各列下方依次排列着俘获的分组。

中部的窗口给出选中的某帧的详细内容。

下部窗口中是与中部窗口对应的该协议帧某字段的十六进制数值内容。

图1-3 协议分析界面可以将俘获的帧与网络教材中的ARP、UDP、ICMP、SNMP等协议帧格式进行对照，并分析其中的信息。

四、实验结果按照以上步骤，捕获若干数据帧，分析捕获的ARP帧与HTTP帧如下：ARP帧捕获如下：ARP帧即Address Resolution Protocol，为TCP/IP协议簇中的地址解析协议。

ARP协议负责将32bit的IP地址转换成以太网的48bit地址，即主机在发送帧前将目标IP地址转换成目标MAC地址的过程。

两台主机进行通信时，发送机A首先通过网络掩码对比，确认出主机B是否在自己同一网段内，如在，则检查自己ARP缓存中是否与主机B的IP地址对应的MAC地址。

自己ARP缓存中没有时，向局域网广播地址发送ARP请求包询问。

从顶部试图中看出，源地址为：192.168.0.33，主机向局域网广播通信的方式（Broadcast）进行地址发送：“who has 192.168.0.1？Tell 192.168.0.33”的信息，说明本主机ARP缓存中没有目标地址为192.168.0.1的物理地址，正在向局域网中询问。

下面解析ARP帧中各个字段的含义：Frame 2(42 Bytes on wire, 42 Bytes captured)实验2 理解A R P协议一、实验目的(1)深入理解ARP(地址解析协议)的工作原理和重要作用；(2)能够使用ARP命令对ARP选路表(下文简称ARP表)进行简单操作。

二、实验环境(1)运行Windows 2000／2003 Server／XP操作系统的PC一台；(2)每台PC具有一块以太网卡，通过双绞线与局域网相连；(3)每台PC运行程序协议分析仪Ethereal。

三、实验步骤(1)使用ARP命令打开“命令提示符”界面，键入“arp -a”指令查看本机ARP表中的内容，如果20分钟内没有其他访问网络的操作，ARP表会自动清空(如图2-2所示)。

如果不想等待20分钟，可使用“arp -d"命令主动清空ARP表的内容。

此时再执行“arp -a"命令，会发现ARP表已经清空(见图2-3)。

我们还可以使用“arp -s"命令手工设置ARP表表项，如“arp -s 169 .254. 112 .34 00 – cd－0d－33－00－ 34”(如图2-4所示)。

(2)分析ARP协议工作过程具体操作步骤：1)在实验单元中选择本机，显示 ARP表中的所有项。

2)清除ARP表中的所有项。

(3)用ARP命令查找IP地址冲突主机若网络上有两台或多台主机设置了相同的IP地址，那么主机的屏幕上会频繁出现IP 地址冲突的提示，这将严重影响网络工作秩序。

如果能同时观察到这些主机，那么通过修改其一”一台主机的IP地址即可解决问题。

但是如果我们仅能观察到其中的一台PC提示“IP地址如192. 9. 201. 111冲突”，那么应如何确定是哪两台主机设置了相同的IP地址呢?首先，我们将该报警主机的IP地址修改为一个未用地址。

其次，在该机命令提示符界面输入“ping 192 .9.201.111”，确定该主机是否还在本网中运行，如果有响应，ARP协议就会使其留下痕迹。

接下来，执行"arp –a”命令，显示本主机内存中IP地址与MAC：地址对应记录，就可以发现哪台主机具有IP地址192. 9. 20l. 111了(网络管理员通常应当掌握本网中每台主机的网卡MAC地址)。

(4)分析ARP协议的基本工作过程我们可以用Ethereal来分析主机间通过通信生成和更新ARP表的过程，分析主机问是如何利用ARP协议完成IP地址与MAC地址的映射，从而完成局域网内的通信的。

四、实验结果与分析（1）使用ARP命令及分析通过“程序附件命令提示符”打开窗口,键入“arp –a”，看到本机ARP缓存中暂存的数据，如图所示（图中亦键入arp –d，arp –a，arp –s）：通过观察，共有两组数据，一组为本机IP与其相对应的MAC地址，另一组为本局域网内其他主机的IP和对应的MAC，即如果此时需要转换出以上两组数据之外的数据时，需要通过广播通信的方式进行询问并等待应答。

在一开始 arp 缓存中存储的都为动态数据（dynanic）。

通过输入“arp –d”，清除ARP表中的内容。

此时继续输入arp –a,发现此时“ARP”表中显示“No ARP Entries Found”，即ARP表中内容为空。

通过键入arp –s手工设置ARP表中的内容，如图所示，将IP与MAC地址设置为“169.211.28.33 00-03-03-cd-33-21”，继续输入arp –a查看ARP 表中的内容，发现此时ARP表中只存在静态的IP与MAC值，且为刚才手动修改的内容。

（2）用ARP命令查找IP地址冲突主机若网络上有两台或多台主机设置了相同的IP地址，那么主机的屏幕上会频繁出现IP 地址冲突的提示，这将严重影响网络工作秩序。

如将本局域网内其他主机的IP修改本主机的IP就会在本主机右下角显示冲突信息：首先，我们将本主机（原IP地址为192 .168.0.33）的IP地址修改为一个未用地址192 .9.201.111。

其次，在该机命令提示符界面输入“ping 192 .168.0.33”，确定与主机冲突的主机是否还在本局域网中运行，响应时ARP 协议就会使其留下痕迹。

执行"arp –a”命令，显示该主机内存中IP地址与MAC，通过查看其MAC地址，就知道那一台主机正使用与本主机相同的IP地址了。

当自己主机的IP地址没有修改时，而其他主机将他的IP修改为与本主机相同的IP，此时再使用“ping”命令，则依然有应答，如图所示：（3）分析ARP协议的基本工作过程ARP协议负责将32bit的IP地址转换成以太网的48bit地址，即主机在发送帧前将目标IP地址转换成目标MAC地址的过程。

两台主机进行通信时，发送机A首先通过网络掩码对比，确认出主机B是否在自己同一网段内，如在，则检查自己ARP缓存中是否与主机B的IP地址对应的MAC地址。

自己ARP缓存中没有时，向局域网广播地址发送ARP请求包询问。

使用Ethereal来分析主机间通过通信生成和更新ARP表的过程，捕获ARP 帧后，观察顶部窗口如图：其中ARP帧通过广播通信的方式进行询问：“who has 192.168.0.1？ Tell 192.168.0.64”，说明IP为“192.168.0.64”的主机ARP缓存中没有目标地址为192.168.0.1的物理地址，正在向局域网中询问。

而当“192.168.0.64”的主机ARP缓存中已经存在此物理地址时则不需发出此广播信息。

五、思考题1、根据ARP协议的机制考虑其是否存在地址欺骗的安全隐患?有哪些解决办法？答：ARP协议存在地址欺骗的安全隐患。

两台主机之间进行通信，当发送机与接收机的ARP表中不存在对方的MAC地址时，需通过广播通信的方式询问。

由于任一台主机都可应答，且没有检测机制，第三台主机可通过应答方式告诉发送机他就是接收机。

同时，他也向接收机应答说他就是发送机。

此时发送机与接收机之间的信息就可总是流经第三台主机，此时第三台主机掌握了两台主机之间的数据通信，因此存在地址欺骗的安全隐患。

解决方法：1、可在地址应答时进行检测，观察是否存在地址欺骗行为。

2、可对已知的ARP病毒进行查杀，或对未知的ARP病毒，建议用户重新安装系统并及时升级补丁程序。

实验3 网络命令使用实验一、实验目的(1)了解IP、ARP、ICMP、NetBIOS、FTP和Telnet等网络协议的功能。

(2)熟悉各种常用网络命令的功能，了解如何利用网络命令检查和排除网络故障的方法。

(3)熟练掌握WindowsXP下常用网络命令的用法。

二、实验内容练习使用实验下述的各种网络命令，观察并分析运行结果。

三、实验设备计算机多台，每台计算机配有网卡，并连成局域网。

客户机通过服务器接入Internet，查看各机器的IP地址及网关四、实验步骤及结果分析(1)通过Ping检测网络故障正常情况下，当用Ping命令来查找问题所在或检验网络运行情况时，需要使用许多Ping 命令，如果所有都运行正确，就可以相信基本的连通性和配置参数没有问题。

如果某些Ping 命令出现运行故障，它也可以指明到何处去查找问题。

按以下检测顺序检测及可能出现的故障。

1）Ping 127.0.0.1，该命令被送到本地计算机，如果没有收到回应，就表示TCP／IP的安装或运行存在某些最基本的问题。

运行从127.0.0.1得到4次回应，说明TCP／IP的安装或运行正常。

2）Ping本地IP，如ping 10.5.8.11该命令被送到本地计算机所配置的IP地址，本地计算机始终都应该对该Ping命令做出应答，如果没有收到应答，则表示本地配置或安装存在问题。