本文格式為Word版，下載可任意編輯——利用Ethereal分析HTTPTCP和IP試驗(yàn)報(bào)告計(jì)算機(jī)網(wǎng)絡(luò)

試驗(yàn)四利用Ethereal分析HTTP、TCP和IP

1、試驗(yàn)?zāi)康?/p>

熟悉并把握Ethereal的基本操作，了解網(wǎng)絡(luò)協(xié)議實(shí)體間進(jìn)行交互以及報(bào)文交換的狀況。

2、試驗(yàn)環(huán)境：

Windows9x/NT/2000/XP/2023與因特網(wǎng)連接的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)Ethereal等軟件3、試驗(yàn)內(nèi)容：1)學(xué)習(xí)Ethereal的使用2)利用Ethereal分析HTTP協(xié)議3)利用Ethereal分析TCP協(xié)議4)利用Ethereal分析IP協(xié)議4、試驗(yàn)方式：

每位同學(xué)上機(jī)試驗(yàn)，并與指導(dǎo)教師探討。5、參考內(nèi)容：

要深入理解網(wǎng)絡(luò)協(xié)議，需要細(xì)心觀測(cè)協(xié)議實(shí)體之間交換的報(bào)文序列。為探究協(xié)議操作細(xì)節(jié)，可使協(xié)議實(shí)體執(zhí)行某些動(dòng)作，觀測(cè)這些動(dòng)作及其影響。這些任務(wù)可以在仿真環(huán)境下或在如因特網(wǎng)這樣的真實(shí)網(wǎng)絡(luò)環(huán)境中完成。觀測(cè)在正在運(yùn)行協(xié)議實(shí)體間交換報(bào)文的基本工具被稱(chēng)為分組嗅探器（packetsniffer）。顧名思義，一個(gè)分組嗅探器俘獲（嗅探）計(jì)算機(jī)發(fā)送和接收的報(bào)文。一般狀況下，分組嗅探器將存儲(chǔ)和顯示出被俘獲報(bào)文的各協(xié)議頭部字段的內(nèi)容。圖1為一個(gè)分組嗅探器的結(jié)構(gòu)。

1

計(jì)算機(jī)網(wǎng)絡(luò)

圖1右邊是計(jì)算機(jī)上正常運(yùn)行的協(xié)議（在這里是因特網(wǎng)協(xié)議）和應(yīng)用程序（如：web瀏覽器和ftp客戶(hù)端）。分組嗅探器（虛線框中的部分）是附加計(jì)算機(jī)普通軟件上的，主要有兩部分組成。分組俘獲庫(kù)（packetcapturelibrary）接收計(jì)算機(jī)發(fā)送和接收的每一個(gè)鏈路層幀的拷貝。高層協(xié)議（如：HTTP、FTP、TCP、UDP、DNS、IP等）交換的報(bào)文都被封裝在鏈路層幀中，并沿著物理媒體（如以太網(wǎng)的電纜）傳輸。圖1假設(shè)所使用的物理媒體是以太網(wǎng)，上層協(xié)議的報(bào)文最終封裝在以太網(wǎng)幀中。

分組嗅探器的其次個(gè)組成部分是分析器。分析器用來(lái)顯示協(xié)議報(bào)文所有字段的內(nèi)容。為此，分析器必需能夠理解協(xié)議所交換的所有報(bào)文的結(jié)構(gòu)。例如：我們要顯示圖1中HTTP協(xié)議所交換的報(bào)文的各個(gè)字段。分組分析器理解以太網(wǎng)幀格式，能夠識(shí)別包含在幀中的IP數(shù)據(jù)報(bào)。分組分析器也要理解IP數(shù)據(jù)報(bào)的格式，并能從IP數(shù)據(jù)報(bào)中提取出TCP報(bào)文段。然后，它需要理解TCP報(bào)文段，并能夠從中提取出HTTP消息。最終，它需要理解HTTP消息。

Ethereal是一種可以運(yùn)行在Windows,UNIX,Linux等操作系統(tǒng)上的分組分析器。Ethereal是免費(fèi)的，可以從Http://.得到。運(yùn)行ethereal程序時(shí)，其圖形用戶(hù)界面如圖2所示。最初，各窗口中并無(wú)數(shù)據(jù)顯示。ethereal的界面主要有五個(gè)組成部分：

2

計(jì)算機(jī)網(wǎng)絡(luò)

圖2Ethereal的用戶(hù)界面

命令菜單（commandmenus）：命令菜單位于窗口的最頂部，是標(biāo)準(zhǔn)的下拉式菜單。最常用菜單命令有兩個(gè)：File、Capture。File菜單允許你保存俘獲的分組數(shù)據(jù)或開(kāi)啟一個(gè)已被保存的俘獲分組數(shù)據(jù)文件或退出ethereal程序。Capture菜單允許你開(kāi)始俘獲分組。

俘獲分組列表（listingofcapturedpackets）：按行顯示已被俘獲的分組內(nèi)容，其中包括：ethereal賦予的分組序號(hào)、俘獲時(shí)間、分組的源地址和目的地址、協(xié)議類(lèi)型、分組中所包含的協(xié)議說(shuō)明信息。單擊某一列的列名，可以使分組按指定列進(jìn)行排序。在該列表中，所顯示的協(xié)議類(lèi)型是發(fā)送或接收分組的最高層協(xié)議的類(lèi)型。

分組頭部明細(xì)（detailsofselectedpacketheader）：顯示俘獲分組列表窗口中被選中分組的頭部詳細(xì)信息。包括：與以太網(wǎng)幀有關(guān)的信息，與包含在該分組中的IP數(shù)據(jù)報(bào)有關(guān)的信息。單擊以太網(wǎng)幀或IP數(shù)據(jù)報(bào)所在行左邊的向右或向下的箭頭可以展開(kāi)或最小化相關(guān)信息。另外，假使利用TCP或UDP承載分組，ethereal也會(huì)顯示TCP或UDP協(xié)議頭部信息。最終，分組最高層協(xié)議的頭部字段也會(huì)顯示在此窗口中。

分組內(nèi)容窗口（packetcontent）：以ASCII碼和十六進(jìn)制兩種格式顯示被

3

計(jì)算機(jī)網(wǎng)絡(luò)

俘獲幀的完整內(nèi)容。

顯示篩選規(guī)則（displayfilterspecification）：在該字段中，可以填寫(xiě)協(xié)議的名稱(chēng)或其他信息，根據(jù)此內(nèi)容可以對(duì)分組列表窗口中的分組進(jìn)行過(guò)濾。

（一）Ethereal的使用啟動(dòng)主機(jī)上的web瀏覽器。

啟動(dòng)ethereal。你會(huì)看到如圖2所示的窗口，只是窗口中沒(méi)有任何分組列表。開(kāi)始分組俘獲：選擇“capture〞下拉菜單中的“Start〞命令，會(huì)出現(xiàn)如圖3所示的“Ethereal:CaptureOptions〞窗口，可以設(shè)置分組俘獲的選項(xiàng)。

在試驗(yàn)中，可以使用窗口中顯示的默認(rèn)值。在“Ethereal:CaptureOptions〞窗口的最上面有一個(gè)“interface〞下拉菜單，其中顯示計(jì)算機(jī)所具有的網(wǎng)絡(luò)接口（即網(wǎng)卡）。當(dāng)計(jì)算機(jī)具有多個(gè)活動(dòng)網(wǎng)卡時(shí)，需要選擇其中一個(gè)用來(lái)發(fā)送或接收分組的網(wǎng)絡(luò)接口（如某個(gè)有線接口）。隨后，單擊“ok〞開(kāi)始進(jìn)行分組俘獲，所有由選定網(wǎng)卡發(fā)送和接收的分組都將被俘獲。

開(kāi)始分組俘獲后，會(huì)出現(xiàn)如圖4所示的分組俘獲統(tǒng)計(jì)窗口。該窗口統(tǒng)計(jì)顯示各類(lèi)已俘獲分組的數(shù)量。在該窗口中有一個(gè)“stop〞按鈕，可以中止分組的俘獲。但此時(shí)你最好不要中止俘獲分組。

在運(yùn)行分組俘獲的同時(shí)，在瀏覽器地址欄中輸入某網(wǎng)頁(yè)的URL，如：http://.。為顯示該網(wǎng)頁(yè)，瀏覽器需要連接.的服務(wù)器，并與之交換HTTP消息，以下載該網(wǎng)頁(yè)。包含這些HTTP報(bào)文的以太網(wǎng)幀將被Ethereal俘獲。

4

計(jì)算機(jī)網(wǎng)絡(luò)

圖3Ethereal的CaptureOption

當(dāng)完整的頁(yè)面下載完成后，單擊Ethereal俘獲窗口中的stop按鈕，中止分組俘獲。此時(shí)，分組俘獲窗口關(guān)閉。Ethereal主窗口顯示已俘獲的你的計(jì)算機(jī)與其他網(wǎng)絡(luò)實(shí)體交換的所有協(xié)議報(bào)文，其中一部分就是與.服務(wù)器交換的HTTP報(bào)文。此時(shí)主窗口與圖2相像。

在顯示篩選規(guī)則中輸入“http〞，單擊“apply〞，分組列表窗口將只顯示HTTP協(xié)議報(bào)文。

選擇分組列表窗口中的第一條http報(bào)文。它應(yīng)當(dāng)是你的計(jì)算機(jī)發(fā)向.服務(wù)器的HTTPGET報(bào)文。當(dāng)你選擇該報(bào)文后，以太網(wǎng)幀、IP數(shù)據(jù)報(bào)、TCP報(bào)文段、以及HTTP報(bào)文首部信息都將顯示在分組首部子窗口中。單擊分組首部詳細(xì)信息子窗口中向右和向下箭頭，可以最小化幀、以太網(wǎng)、IP、TCP信息顯示量，可以最大化HTTP協(xié)議相關(guān)信息的顯示量。

5

計(jì)算機(jī)網(wǎng)絡(luò)

圖4Ethereal的PacketCaptureWindows

（二）HTTP分析

1）HTTPGET/response交互

?首先通過(guò)下載一個(gè)十分簡(jiǎn)單的HTML文件（該文件十分短，并且不嵌

入任何對(duì)象）。

?啟動(dòng)Webbrowser，然后啟動(dòng)Ethereal分組嗅探器。在窗口的顯示過(guò)

濾說(shuō)明處輸入“http〞，分組列表子窗口中將只顯示所俘獲到的HTTP報(bào)文。

?開(kāi)始Ethereal分組俘獲。

?在開(kāi)啟的Webbrowser窗口中輸入一下地址（瀏覽器中將顯示一個(gè)只

有幾行文字的十分簡(jiǎn)單的HTML文件）：

/news/detail1.jsp?ID1=9042中止分組俘獲。

6

計(jì)算機(jī)網(wǎng)絡(luò)

根據(jù)俘獲窗口內(nèi)容，思考以下問(wèn)題：

?你的瀏覽器運(yùn)行的是HTTP1.0，還是HTTP1.1？你所訪問(wèn)的服務(wù)器所

運(yùn)行HTTP協(xié)議的版本號(hào)是多少？HTTP1.1

7

計(jì)算機(jī)網(wǎng)絡(luò)

?你的瀏覽器向服務(wù)器指出它能接收何種語(yǔ)言版本的對(duì)象？中文

8

計(jì)算機(jī)網(wǎng)絡(luò)

?你的計(jì)算機(jī)的IP地址是多少？服務(wù)器的IP地址是

多少？7299

?從服務(wù)器向你的瀏覽器返回的狀態(tài)代碼是多少？200

9

計(jì)算機(jī)網(wǎng)絡(luò)

2）HTTP條件GET/response交互

?啟動(dòng)瀏覽器，清空瀏覽器的緩存（在瀏覽器中，選擇“工具〞菜單

中的“Internet選項(xiàng)〞命令，在出現(xiàn)的對(duì)話框中，選擇“刪除文件〞）。

?啟動(dòng)Ethereal分組俘獲器。開(kāi)始Ethereal分組俘獲。

?在瀏覽器的地址欄中輸入以下URL:/,在

你的瀏覽器中重新輸入一致的URL或單擊瀏覽器中的“刷新〞按鈕。?中止Ethereal分組俘獲，在顯示過(guò)濾篩選說(shuō)明處輸入“http〞,分組

列表子窗口中將只顯示所俘獲到的HTTP報(bào)文。

根據(jù)俘獲窗口內(nèi)容，思考以下問(wèn)題：

?分析你的瀏覽器向服務(wù)器發(fā)出的第一個(gè)HTTPGET請(qǐng)求的內(nèi)容，在該

請(qǐng)求報(bào)文中，是否有一行是：IF-MODIFIED-SINCE？沒(méi)有

?分析服務(wù)器響應(yīng)報(bào)文的內(nèi)容，服務(wù)器是否明確返回了文件的內(nèi)容？

如何獲知？

10

計(jì)算機(jī)網(wǎng)絡(luò)

是，通過(guò)HypertextTransferProtocol中的line-basedtextdata獲知

?分析你的瀏覽器向服務(wù)器發(fā)出的其次個(gè)“HTTPGET〞請(qǐng)求，在該請(qǐng)

求報(bào)文中是否有一行是：IF-MODIFIED-SINCE？假使有，在該首部行后面跟著的信息是什么？

有，后面跟的是時(shí)間信息

?服務(wù)器對(duì)其次個(gè)HTTPGET請(qǐng)求的響應(yīng)中的HTTP狀態(tài)代碼是多少？服

務(wù)器是否明確返回了文件的內(nèi)容？請(qǐng)解釋。

304．其次次進(jìn)行HTTP數(shù)據(jù)請(qǐng)求時(shí)，主機(jī)先向緩沖區(qū)中去看，假使有，就不向服務(wù)器請(qǐng)求，直接調(diào)出緩沖中的數(shù)據(jù)。

11

計(jì)算機(jī)網(wǎng)絡(luò)

（三）TCP分析

注：訪問(wèn)以下網(wǎng)址需要設(shè)置代理服務(wù)器。如無(wú)法訪問(wèn)可與試驗(yàn)TA聯(lián)系，下載tcp-ethereal-trace文件，利用該文件進(jìn)行TCP協(xié)議分析。

A.俘獲大量的由本地主機(jī)到遠(yuǎn)程服務(wù)器的TCP分組（1）啟動(dòng)瀏覽器，開(kāi)啟

/ethereal-labs/alice.txt網(wǎng)頁(yè)，得到ALICE'SADVENTURESINWONDERLAND文本，將該文件保存到你的主機(jī)上。（2）開(kāi)啟

/ethereal-labs/TCP-ethereal-file1.html（3）窗口如下圖所示。在Browse按鈕旁的文本框中輸入保存在你的主機(jī)上的文件ALICE'SADVENTURESINWONDERLAND的全名（含路徑），此時(shí)不要按“Uploadalice.txtfile〞按鈕

12

計(jì)算機(jī)網(wǎng)絡(luò)

（4）啟動(dòng)Ethereal，開(kāi)始分組俘獲。

（5）在瀏覽器中，單擊“Uploadalice.txtfile〞按鈕，將文件上傳到服務(wù)器，一旦文件上傳完畢，一個(gè)簡(jiǎn)短的賀詞信息將顯示在你的瀏覽器窗口中。

（6）中止俘獲。B.瀏覽追蹤信息

(1)在顯示篩選規(guī)則中輸入“tcp〞,可以看到在本地主機(jī)和服務(wù)器之間傳輸?shù)囊幌盗衪cp和http報(bào)文，你應(yīng)當(dāng)能看到包含SYN報(bào)文的三次握手。也可以看到有主機(jī)向服務(wù)器發(fā)送的一個(gè)HTTPPOST報(bào)文和一系列的“httpcontinuation〞報(bào)文。

(2)根據(jù)操作思考以下問(wèn)題：

?向服務(wù)器傳送文件的客戶(hù)端主機(jī)的IP地址和

TCP端口號(hào)是多少？

13

計(jì)算機(jī)網(wǎng)絡(luò)

14

計(jì)算機(jī)網(wǎng)絡(luò)

?G服務(wù)器的IP地址是多少？對(duì)這一連接，它用來(lái)

發(fā)送和接收TCP報(bào)文的端口號(hào)是多少？2

端口號(hào)：45273

C.TCP基礎(chǔ)

根據(jù)操作思考以下問(wèn)題：