三、实验步骤(3)
3、停止Ethereal捕获并检验三次握手， 分析TCP数据包。
(1)在Ethereal－>Capture菜单上，单击Stop。
(2)在Filter框中，键入tcp并按ENTER键，(图l-5 用Ethereal捕获的Windows中的三次握手) 。图中所 示的前三个数据包是三次握手的。注意数据包部分的 “Info”栏中的[SYN]、[SYN，ACK]和[ACK]。
一、实验目的 二、实验设备 三、实验步骤 四、实验小结
实验1－3：UDP协议的基础分析
UDP（用户数据报协议）是传输层的 无连接协议，没有会话建立的三次握手的 过程。它没有任何错误恢复功能，也不担 保数据包准确交付。但是，UDP显著地减 少了协议管理开销。
一、实验目的
了解UDP数据包结构。
二、实验设备
• ARP缓存是一个内存区域，计算机将所发现的信息存储在 ARP表中。在启动捕获会话之前清除ARP缓存可以更好 地控制所捕获的数据。 • （1)在“开始”任务条菜单上―>运行―>键入“cmd”， 并单击“确定”钮。 • （2)在DOS命令行窗口中，键入arp -a并回车。此处不 应该出现任何条目，如果有的话，用arp -d命令清除它 们。
一、实验目的
了解网络嗅探的原理，掌握嗅探类工具 对数据包的捕获方法，学会从捕获的数据 包中发现用户名、口令等敏感信息。
二、实验设备
3台Windows计算机：一 台主机作为邮件服务器（称为A 机），其它主机作为电子邮件 客户端。本实验需要安装嗅探 工具Ethereal的主机如果是 XP主机,则最好选择SP2及SP2 以下的补丁包版本;如果是 2003 Server主机,则最好选择 R1补丁包版本;如果是2000 Server,则任何补丁包类型均可。
1台Windows XP 和1台Windows 2K Server PC机（IP为192.168.0.250）。
192.168.0.250
Win2000
Winxp
三、实验步骤(1)
1、在Windows 2K Server PC机上 登录，并开启一个Web默认站点。
三、实验步骤(2)
2、在Windows XP PC机上登录，启动 Ethereal并捕获一个HTTP通信会话。
实验1－4：网络嗅探技术
默认情况下FTP、HTTP、Telnet等协议在客户 端与服务器端进行身份验证时用明文传输数据包。网 络嗅探技术利用某些工具，通过将网卡的工作模式设 置为“混杂模式”的方式，使网卡处于对网络进行 “监听”的状态，可以监听到与“混杂模式”的网卡 处于同一物理网络中传输的数据帧（无论数据帧的目 标地址是广播地址、本机地址或者其它主机的地址）。 如果使用Hub等共享式设备将几台主机互联，A机与B 机之间通讯时产生的数据包可以被安装了网络嗅探工 具的主机C嗅探到。但是在交换的网络和ATM网络中， 嗅探效果不理想。
第一篇
网络基础及网络嗅探技术
• Windows网络通信分析(Ethereal) • TCP协议的三次握手分析 • UDP协议的基础分析 • 网络嗅探技术
实验1－1：Windows网络通信分析 (Ethereal)
Ethereal是一个强大的协议嗅探器， 网络专业人士可以用它来检修故障和分析 网络通信量。对于管理员来说，它是一个 用来识别黑客攻击战略方法的有价值的工 具。它可以帮助观察各种不同的协议是如 何工作的。
实验1－4：网络嗅探技术
使用嗅探工具时应该注意以下几点： 1、嗅探工具应该和其他网络主机使用Hub等共享式设 备互连，这样才能捕获到网络中所有的数据包。 2、如果网络设备使用的是交换机，可以通过两种方法 实现对网络的监控： （1）对交换机进行镜像端口配置：将所有其它端口上 的数据包复制并转发一份到“镜像”端口,并让该端口 与安装了嗅探工具的主机相连。否则，嗅探工具只能 够捕获到嗅探主机所连接的交换机端口上的所有数据 包。 （2）把交换机的“镜像”端口级联到集线器上，再把 安装了嗅探工具的主机接到集线器上。
三、实验步骤(2)
2、在DOS命令行方式下，键入nslookup。 (2)在提示符下，键入。 (3)键入exit，并按ENTER键退出nslookup。
三、实验步骤(3)
3、用http命令来产生TCP通信。 http：//192.168.0.250并按ENTER 键。
实验1－2：TCP协议的三次握手分析
TCP（传输控制协议）是两台或多台 主机之间的一个面向连接的协议。在传输 数据之前必须建立一条可靠的连接。两台 主机利用TCP协议建立这种连接的过程被 称为三次握手。
一、实验目的
了解TCP三次握手的原理，掌握使用 Ethereal捕获TCP数据包的方法。
二、实验设备
（1)在Windows XP主机上，启动Ethereal，点击 Capture菜单－> Options界面－>选中网络接口卡 并单击OK。 （2)在Internet Explorer浏览器的地址栏中，键入 http：//192.168.0.250（即Windows 2K Server PC机的IP），访问Windows 2K Server PC机的站点。
A SERVER
Winxp
Winxp
三、实验步骤(1)
1、A机上安装Mdaemon软件，域名为默 认的company.mail（不选择Windows集成 DNS，将主DNS服务器IP设置为A机IP），建立 2个邮箱帐号。一个邮箱帐号为 zhoufeifei@，另一个邮箱帐号 为qjy@。
三、实验步骤(4)
4、分析结果并比较TCP头和UDP头：
（1）在Ethereal中，点击Capture菜单－> 点击Stop。 （2）分析UDP数据包。在数据包部分，选中在协议栏中列出了 DNS的第一个数据包项，(图1-8 UDP头截图)。观察显示的信 息：源端口是什么，目的端口是什么，校验和值是什么？ （3）分析TCP数据包： 在数据包部分，选中在协议栏中列出了TCP的第一个数据包项， (图1-9 TCP头截图)。在树型视图部分，展开Transmission Control Protocol项。观察显示的信息，源端口，目的端口， 校验和值，注意TCP头和UDP头之间有什么不同?
三、实验步骤（4）
4、检查捕获的会话。
Ethereal的主界面分为三部分。 数据包列表部分：居于顶部。这部分展示了捕获的数 据包的概要。 树型视图部分 ：居于中部。这一部分以树形格式展 示所选数据包的详细信息。 数据视图部分 ：位于底部。该部分以十六进制格式 显示捕获的数据。 在数据包列表部分有一些栏目，每一栏都提供了特 定的信息： （1）No．——数据包被接收的序号。 （2）Time——每一个数据包被捕获的时间，相对于捕获 的起始时间计量。
三、实验步骤（3）
3、启动Ethereal并捕获一个通信会话。
（1） 在Windows XP 主机上安装并启动Ethereal。 （2） 在Ethereal界面中―>Capture菜单―>Options―>选 择网络接口卡类型。 (图1-1 Windows中的Ethereal程序)。 （3） 回到命令提示符窗口，键入ping192.168.0.250 （ Windows2k Server的IP），只要局域网保持正常通 信状 态就会收到4条回复。 （4）在Ethereal界面中点击“Capture”菜单―>Stop， (图12 停止截获数据包) 会发现捕获到的很多是ICMP数据包，(图13 截获的ICMP数据包)。
实验1－1：Windows网络通信分 析(Ethereal)
一、实验目的 二、实验设备 三、实验步骤 四、实验小结
一、实验目的:
了解Windows网络中的ARP通信会话数据 包的结构，掌握使用Ethereal进行数据包捕获、 过滤的方法。
二、实验设备
2台Windows主机： 一台Windows XP主机， 另一台 Windows 2K Server主机。
四、实验小结
通过本实验，掌握网络中各种常用通 信协议的用途，学会分析其对应的数据包 结构。
第一篇
网络基础及网络嗅探技术
• Windows网络通信分析(Ethereal) • TCP协议的三次握手分析 • UDP协议的基础分析 • 网络嗅探技术
实验1－2：TCP协议的三次握手分析
一、实验目的 二、实验设备 三、实验步骤 四、实验小结
Win2000
Winxp
三、实验步骤
1、在Windows XP Professional PC机上登录。 2、清除ARP缓存。 3、启动Ethereal并捕获一个通信会话。 4、检查捕获的会话。 5、过滤捕获的会话。
三、实验步骤(1、2)
1、在Windows XP Professional PC机上登录。 2、清除ARP缓存。
三、实验步骤(2)
2、B、C机上启动电子邮件客户端软件
outlook（或者outlookexpress），B机的 outlook用zhoufeifei@帐号登 录，C机的outlook用qjy@登录。
四、实验小结
通过本次实验可以获得UDP协议数据 包的结构信息，并可比较出UDP协议与 TCP协议数据包的不同。
第一篇
网络基础及网络嗅探技术
• Windows网络通信分析(Ethereal) • TCP协议的三次握手分析 • UDP协议的基础分析 • 网络嗅探技术
实验1－4：网络嗅探技术
一、实验目的 二、实验设备 三、实验步骤 四、实验小结 五、防御措施
第一篇 网络基础及网络嗅探技术
说明：本实验绝大部分均可以在windows 2003 server，windows XP的各个补丁包 版本中以及windows 2000 server的全部版 本中实现。不过，少数实验会由于补丁包的原因 以及操作系统的原因看不到应有的效果。所以， 请按照课件中的实验设备要求配置实验环境。如 果达不到实验要求的可以选择在相应的虚拟机 VM环境下做实验。个别实验可以作为选作实验。