实验七-用协议分析工具EtherPeek捕获TCPUDP数据包并分析.doc

实验七-用协议分析工具EtherPeek捕获TCP、UDP数据包并分析 实验目的：熟练掌握协议分析工具的使用 掌握TCP/UDP数据的头部信息的含义 实验环境：学生机、Boson Netsim。 实验内容与步骤： 实验内容 捕获并分析传输控制协议。很多因特网服务，比如HTTP、FTP、SMTP和Telnet，都要依靠TCP来传输数据。 捕获并分析用户数据报协议。UDP由很多上层协议使用，例如普通文件传输协议 TFTP 和DNS。 实验步骤 1 启动软件 安装和启动EtherPeek 2 捕获报文基本步骤 （1） 打开程序后，选择Capture 捕获 —Start 开始 ，或者是工具栏上的开始箭头。 （2） 数据传输实现后，再次进入Capture 捕获 菜单，然后选择Stop 停止 或者使用工具栏。 （3）进入Capture 捕获 菜单，选择“停止并显示”。 （4） 停止捕获后，在对话框最下角增加了一组窗口卷标，包括高级、解码、矩阵、主机表单、协议分布和统计信息。 （5） 选择解码卷标，可以看到缓冲器中的所有实际“数据”。分析该卷标结构及其内容。 3捕获并分析传输控制协议 （1）进入“捕获”，“定义过滤器”。在定义过滤器窗口中，点击“文件”，“新建”。 （2） 转到“高级”卷标，点击IP协议标题旁边的“＋”号，到下面找到TCP，然后选中TCP。 （3）点击OK，关闭定义过滤器窗口。 （4）按F10开始捕获TCP流量。 （5）分析捕获到的结果 即解释数据包的内容和协议具体实现过程 。 4、捕获HTTP协议使用下层TCP协议通过三次握手建立连接的， 第一行（Source port）：2字节，源端口号 。 第二行（Destination port）：2字节，目标端口号 。 第三行（Initial Sequence number）：4字节，表示发送数据包的排序序列： 。 第四行（Next expected seq number）：表示希望接收数据包的排序序列： 。 第五行（Date offset）：1字节，用来说明数据包的大小 。 第六行（Reserved Bit）：保留空间，以作未来用。 第七至第十三行（Flags）：6字节，标志位，有控制功能。分别为URG，紧急指针为 ；ACK，确认指针为 ；PUSH，不用等待缓冲区装满而直接把报文交给应用层为 ；RST，复位指针为 ；SYN，同步信号为 ；FIN，完成或释放指针为 。此数据包的含义是 。 第十四行（Windows）：2字节，发送方希望被接受的数据大小。 第十五行（Checksum）：2字节，是根据报头和数据字段计算出的校验和，一定由发送端计算和存储的。校验和为 。 第十六行（Urgent pointer）：2字节，紧急指针，告知紧急资料所在的位置。 5、捕获并分析用户数据报协议 （1） 进入“捕获”，“定义过滤器”。 （2） 在定义过滤器窗口中，选择“高级”卷标。从协议列表中，打开IP对话框，然后点击UDP选择框。 （3）选择OK按钮关闭定义过滤器窗口。 （4）按F10开始捕获UDP流量。 （5）现在用完整的域名来对主机执行Ping 命令。进入“开始”，“运行”，并输入ping 。现在按回车键，可以ping这个网站四次。 （6）停止并显示捕获结果。 （7）分析捕获到的结果。 完成以下内容的填写。 第一行（Source port）：2字节，为发送进程的端口号： 。 第二行（Destination port）：2字节，为接收进程的端口号 。 第三行（length）：2字节，说明UDP数据报的总长度，包括报头和数据域 。 第四行（Checksum）：2字节，校验和 。 6、实验总结 2