《TCP/IP网络协议分析》实验报告学号：

姓名:

班级：

时间：2015年5月12

一、Wireshark 使用

1.实验步骤(附上图片)

1. 启动 Web 浏览器（如 IE）；

2. 启动 Wireshark；

3.开始分组捕获：单击工具栏的按钮，出现如图 3 所示对话框，[options]按钮可以进行系统参数设置，在绝大部分实验中，使用系统的默认设置即可。当计算机具有多个网卡时，选择其中发送或接收分组的网络接口（本例中，第一块网卡为虚拟网卡，第二块为以太网卡）。单击“ Start”开始进行分组捕获；

4.在运行分组捕获的同时，在浏览器地址栏中输入某个网页的 URL，如：

5. 当完整的页面下载完成后，单击捕获对话框中的“ stop”按钮，停止分组捕获。此时， Wireshark 主窗口显示已捕获的你本次通信的所有协议报文

6.在协议筛选框中输入“ http”，单击“ apply”按钮，分组列表窗口将只显示 HTTP协议报文。

7. 选择分组列表窗口中的第一条 http 报文，它是你的计算机发向服务器（

2.实验思考题（标题宋体四号）

(1) 列出在第 5 步中分组列表子窗口所显示的所有协议类型；

(2)从发出 HTTP GET 报文到接收到对应的 HTTP OK 响应报文共需要多长时间？（分组列表窗口中 Time 列的值是从 Wireshark 开始追踪到分组被捕获的总的时间数，以秒为单位）

(3)你主机的 IP 地址是什么？你访问的服务器的 IP 地址是什么？

二、使用Wireshark 分析以太网帧与ARP 协议

1.实验步骤(附上图片)

1、俘获和分析以太网帧

（ 1）选择工具->Internet 选项->删除文件

（ 2）启动 Wireshark 分组嗅探器

（ 3）在浏览器地址栏中输入如下网址：

/wireshark-labs 会出现美国权利法案。

（ 4）停止分组俘获。在俘获分组列表中（ listing of captured packets）中

找到 HTTP GET 信息和响应信息，（如果你无法俘获此分组，在 Wireshark 下打开文件名为ethernet--ethereal-trace-1 的文件进行学习）。 HTTP GET 信息被封装在 TCP 分组中， TCP 分组又被封装在 IP 数据报中， IP 数据报又被封装在以太网帧中）。在分组明细窗口中展开 Ethernet II 信息（ packet details window）。回答下面的问题：

1、你所在的主机 48-bit Ethernet 地址是多少？

2、 Ethernet 帧中目的地址是多少？这个目的地址是 的Ethernet

2、分析地址 ARP 协议

（ 1）清除 ARP cache，具体做法：在 MSDOS 环境下，输入命令 arp –d * command ，

The –d 表示清除操作, * 删除 all table entries.

（2）选择工具->Internet 选项->删除文件

（ 3）启动 Wireshark 分组俘获器

（ 4）在浏览器地址栏中输入如下网址：

/wireshark-labs/

HTTP-wireshark-lab-file3.html

（ 5）停止分组俘获。

（ 6）选择 Analyze->Enabled Protocols->取消 IP 选项->选择 OK

2.实验思考题（标题宋体四号）

根据实验，回答下面问题：由于此实验是关于 Ethernet 和 ARP 的，所以，只需在分组俘获列表中显示IP 层下面的协议，具体做法为：选择Analyze->Enabled Protocols->不选择 IP 协议->selec

三、使用 Wireshark 分析 IP 协议

1、实验步骤

2、分析IPv4 中的分片在第二个实验中，我们将考察IP 数据报首部。俘获此分组的步骤如下：

（1）启动Wireshark，开始分组俘获（“Capture”-----“interface…”----“start”）。（2）启动pingplotter （pingplotter 的下载地址为）,在“Addressto trace:”下面的输入框里输入目的地址，选择菜单栏

“Edit”---“Options”---“Packet”,在“Packet size(in bytes defaults=56):”右边输入IP

数据报大小：5000，按下“OK”。最后按下按钮“Trace”,你将会看到pingplotter 窗口显示如下内容，

（ 3）停止 Wireshark。设置过滤方式为： IP，在 Wireshark 窗口中将会看到如下情形

2、实验报告内容

打开文件 dhcp_isolated.cap、 fragment_5000_isolated.cap，回答以下问题：

1、 DHCP服务器广播的本地路由器或默认网关的IP地址是多少？

2、在dhcp_isolated.cap中，由DHCP服务器分配的域名是多少？

3、在fragment_5000_isolated.cap中，我们看到通过UDP数据报发送的5000字节被分成了多少分片？在网络中，一次能传输且不需要分片的最大数据单元

有多大？

分成17片，最大1515

四、利用Wireshark 分析ICMP

1、实验步骤

1、 ping 和 ICMP 利用 Ping 程序产生 ICMP 分组。 Ping 向因特网中的某个特定主机发送特殊的探测报文并等待表明主机在线的回复。具体做法：（ 1）打开 Windows 命令提示符窗口（ Windows Command Prompt）。

（ 2）启动 Wireshark 分组嗅探器，在过滤显示窗口（ filter display window）中输入 icmp,开始 Wireshark 分组俘获。

（ 3）输入“ ping –n 10 hostname” 。其中“-n 10”指明应返回10条ping

信息。

（ 4）当ping程序终止时，停止Wireshark 分组俘获。

停止分组俘获后，