利用Ethereal分析HTTPTCP和IP試驗報告

本文格式為Word版，下載可任意編輯——利用Ethereal分析HTTPTCP和IP試驗報告計算機網(wǎng)絡

試驗四利用Ethereal分析HTTP、TCP和IP

1、試驗目的

熟悉并把握Ethereal的基本操作，了解網(wǎng)絡協(xié)議實體間進行交互以及報文交換的狀況。

2、試驗環(huán)境：

Windows9x/NT/2000/XP/2023與因特網(wǎng)連接的計算機網(wǎng)絡系統(tǒng)Ethereal等軟件3、試驗內(nèi)容：1)學習Ethereal的使用2)利用Ethereal分析HTTP協(xié)議3)利用Ethereal分析TCP協(xié)議4)利用Ethereal分析IP協(xié)議4、試驗方式：

每位同學上機試驗，并與指導教師探討。5、參考內(nèi)容：

要深入理解網(wǎng)絡協(xié)議，需要細心觀測協(xié)議實體之間交換的報文序列。為探究協(xié)議操作細節(jié)，可使協(xié)議實體執(zhí)行某些動作，觀測這些動作及其影響。這些任務可以在仿真環(huán)境下或在如因特網(wǎng)這樣的真實網(wǎng)絡環(huán)境中完成。觀測在正在運行協(xié)議實體間交換報文的基本工具被稱為分組嗅探器（packetsniffer）。顧名思義，一個分組嗅探器俘獲（嗅探）計算機發(fā)送和接收的報文。一般狀況下，分組嗅探器將存儲和顯示出被俘獲報文的各協(xié)議頭部字段的內(nèi)容。圖1為一個分組嗅探器的結(jié)構(gòu)。

1

計算機網(wǎng)絡

圖1右邊是計算機上正常運行的協(xié)議（在這里是因特網(wǎng)協(xié)議）和應用程序（如：web瀏覽器和ftp客戶端）。分組嗅探器（虛線框中的部分）是附加計算機普通軟件上的，主要有兩部分組成。分組俘獲庫（packetcapturelibrary）接收計算機發(fā)送和接收的每一個鏈路層幀的拷貝。高層協(xié)議（如：HTTP、FTP、TCP、UDP、DNS、IP等）交換的報文都被封裝在鏈路層幀中，并沿著物理媒體（如以太網(wǎng)的電纜）傳輸。圖1假設所使用的物理媒體是以太網(wǎng)，上層協(xié)議的報文最終封裝在以太網(wǎng)幀中。

分組嗅探器的其次個組成部分是分析器。分析器用來顯示協(xié)議報文所有字段的內(nèi)容。為此，分析器必需能夠理解協(xié)議所交換的所有報文的結(jié)構(gòu)。例如：我們要顯示圖1中HTTP協(xié)議所交換的報文的各個字段。分組分析器理解以太網(wǎng)幀格式，能夠識別包含在幀中的IP數(shù)據(jù)報。分組分析器也要理解IP數(shù)據(jù)報的格式，并能從IP數(shù)據(jù)報中提取出TCP報文段。然后，它需要理解TCP報文段，并能夠從中提取出HTTP消息。最終，它需要理解HTTP消息。

Ethereal是一種可以運行在Windows,UNIX,Linux等操作系統(tǒng)上的分組分析器。Ethereal是免費的，可以從Http://.得到。運行ethereal程序時，其圖形用戶界面如圖2所示。最初，各窗口中并無數(shù)據(jù)顯示。ethereal的界面主要有五個組成部分：

2

計算機網(wǎng)絡

圖2Ethereal的用戶界面

命令菜單（commandmenus）：命令菜單位于窗口的最頂部，是標準的下拉式菜單。最常用菜單命令有兩個：File、Capture。File菜單允許你保存俘獲的分組數(shù)據(jù)或開啟一個已被保存的俘獲分組數(shù)據(jù)文件或退出ethereal程序。Capture菜單允許你開始俘獲分組。

俘獲分組列表（listingofcapturedpackets）：按行顯示已被俘獲的分組內(nèi)容，其中包括：ethereal賦予的分組序號、俘獲時間、分組的源地址和目的地址、協(xié)議類型、分組中所包含的協(xié)議說明信息。單擊某一列的列名，可以使分組按指定列進行排序。在該列表中，所顯示的協(xié)議類型是發(fā)送或接收分組的最高層協(xié)議的類型。

分組頭部明細（detailsofselectedpacketheader）：顯示俘獲分組列表窗口中被選中分組的頭部詳細信息。包括：與以太網(wǎng)幀有關的信息，與包含在該分組中的IP數(shù)據(jù)報有關的信息。單擊以太網(wǎng)幀或IP數(shù)據(jù)報所在行左邊的向右或向下的箭頭可以展開或最小化相關信息。另外，假使利用TCP或UDP承載分組，ethereal也會顯示TCP或UDP協(xié)議頭部信息。最終，分組最高層協(xié)議的頭部字段也會顯示在此窗口中。

分組內(nèi)容窗口（packetcontent）：以ASCII碼和十六進制兩種格式顯示被

3

計算機網(wǎng)絡

俘獲幀的完整內(nèi)容。

顯示篩選規(guī)則（displayfilterspecification）：在該字段中，可以填寫協(xié)議的名稱或其他信息，根據(jù)此內(nèi)容可以對分組列表窗口中的分組進行過濾。

（一）Ethereal的使用啟動主機上的web瀏覽器。

啟動ethereal。你會看到如圖2所示的窗口，只是窗口中沒有任何分組列表。開始分組俘獲：選擇“capture〞下拉菜單中的“Start〞命令，會出現(xiàn)如圖3所示的“Ethereal:CaptureOptions〞窗口，可以設置分組俘獲的選項。

在試驗中，可以使用窗口中顯示的默認值。在“Ethereal:CaptureOptions〞窗口的最上面有一個“interface〞下拉菜單，其中顯示計算機所具有的網(wǎng)絡接口（即網(wǎng)卡）。當計算機具有多個活動網(wǎng)卡時，需要選擇其中一個用來發(fā)送或接收分組的網(wǎng)絡接口（如某個有線接口）。隨后，單擊“ok〞開始進行分組俘獲，所有由選定網(wǎng)卡發(fā)送和接收的分組都將被俘獲。

開始分組俘獲后，會出現(xiàn)如圖4所示的分組俘獲統(tǒng)計窗口。該窗口統(tǒng)計顯示各類已俘獲分組的數(shù)量。在該窗口中有一個“stop〞按鈕，可以中止分組的俘獲。但此時你最好不要中止俘獲分組。

在運行分組俘獲的同時，在瀏覽器地址欄中輸入某網(wǎng)頁的URL，如：http://.。為顯示該網(wǎng)頁，瀏覽器需要連接.的服務器，并與之交換HTTP消息，以下載該網(wǎng)頁。包含這些HTTP報文的以太網(wǎng)幀將被Ethereal俘獲。

4

計算機網(wǎng)絡

圖3Ethereal的CaptureOption

當完整的頁面下載完成后，單擊Ethereal俘獲窗口中的stop按鈕，中止分組俘獲。此時，分組俘獲窗口關閉。Ethereal主窗口顯示已俘獲的你的計算機與其他網(wǎng)絡實體交換的所有協(xié)議報文，其中一部分就是與.服務器交換的HTTP報文。此時主窗口與圖2相像。

在顯示篩選規(guī)則中輸入“http〞，單擊“apply〞，分組列表窗口將只顯示HTTP協(xié)議報文。

選擇分組列表窗口中的第一條http報文。它應當是你的計算機發(fā)向.服務器的HTTPGET報文。當你選擇該報文后，以太網(wǎng)幀、IP數(shù)據(jù)報、TCP報文段、以及HTTP報文首部信息都將顯示在分組首部子窗口中。單擊分組首部詳細信息子窗口中向右和向下箭頭，可以最小化幀、以太網(wǎng)、IP、TCP信息顯示量，可以最大化HTTP協(xié)議相關信息的顯示量。

5

計算機網(wǎng)絡

圖4Ethereal的PacketCaptureWindows

（二）HTTP分析

1）HTTPGET/response交互

?首先通過下載一個十分簡單的HTML文件（該文件十分短，并且不嵌

入任何對象）。

?啟動Webbrowser，然后啟動Ethereal分組嗅探器。在窗口的顯示過

濾說明處輸入“http〞，分組列表子窗口中將只顯示所俘獲到的HTTP報文。

?開始Ethereal分組俘獲。

?在開啟的Webbrowser窗口中輸入一下地址（瀏覽器中將顯示一個只

有幾行文字的十分簡單的HTML文件）：

/news/detail1.jsp?ID1=9042中止分組俘獲。

6

計算機網(wǎng)絡

根據(jù)俘獲窗口內(nèi)容，思考以下問題：

?你的瀏覽器運行的是HTTP1.0，還是HTTP1.1？你所訪問的服務器所

運行HTTP協(xié)議的版本號是多少？HTTP1.1

7

計算機網(wǎng)絡

?你的瀏覽器向服務器指出它能接收何種語言版本的對象？中文

8

計算機網(wǎng)絡

?你的計算機的IP地址是多少？服務器的IP地址是

多少？7299

?從服務器向你的瀏覽器返回的狀態(tài)代碼是多少？200

9

計算機網(wǎng)絡

2）HTTP條件GET/response交互

?啟動瀏覽器，清空瀏覽器的緩存（在瀏覽器中，選擇“工具〞菜單

中的“Internet選項〞命令，在出現(xiàn)的對話框中，選擇“刪除文件〞）。

?啟動Ethereal分組俘獲器。開始Ethereal分組俘獲。

?在瀏覽器的地址欄中輸入以下URL:/,在

你的瀏覽器中重新輸入一致的URL或單擊瀏覽器中的“刷新〞按鈕。?中止Ethereal分組俘獲，在顯示過濾篩選說明處輸入“http〞,分組

列表子窗口中將只顯示所俘獲到的HTTP報文。

根據(jù)俘獲窗口內(nèi)容，思考以下問題：

?分析你的瀏覽器向服務器發(fā)出的第一個HTTPGET請求的內(nèi)容，在該

請求報文中，是否有一行是：IF-MODIFIED-SINCE？沒有

?分析服務器響應報文的內(nèi)容，服務器是否明確返回了文件的內(nèi)容？

如何獲知？

10

計算機網(wǎng)絡

是，通過HypertextTransferProtocol中的line-basedtextdata獲知

?分析你的瀏覽器向服務器發(fā)出的其次個“HTTPGET〞請求，在該請

求報文中是否有一行是：IF-MODIFIED-SINCE？假使有，在該首部行后面跟著的信息是什么？

有，后面跟的是時間信息

?服務器對其次個HTTPGET請求的響應中的HTTP狀態(tài)代碼是多少？服

務器是否明確返回了文件的內(nèi)容？請解釋。

304．其次次進行HTTP數(shù)據(jù)請求時，主機先向緩沖區(qū)中去看，假使有，就不向服務器請求，直接調(diào)出緩沖中的數(shù)據(jù)。

11

計算機網(wǎng)絡

（三）TCP分析

注：訪問以下網(wǎng)址需要設置代理服務器。如無法訪問可與試驗TA聯(lián)系，下載tcp-ethereal-trace文件，利用該文件進行TCP協(xié)議分析。

A.俘獲大量的由本地主機到遠程服務器的TCP分組（1）啟動瀏覽器，開啟

/ethereal-labs/alice.txt網(wǎng)頁，得到ALICE'SADVENTURESINWONDERLAND文本，將該文件保存到你的主機上。（2）開啟

/ethereal-labs/TCP-ethereal-file1.html（3）窗口如下圖所示。在Browse按鈕旁的文本框中輸入保存在你的主機上的文件ALICE'SADVENTURESINWONDERLAND的全名（含路徑），此時不要按“Uploadalice.txtfile〞按鈕

12

計算機網(wǎng)絡

（4）啟動Ethereal，開始分組俘獲。

（5）在瀏覽器中，單擊“Uploadalice.txtfile〞按鈕，將文件上傳到服務器，一旦文件上傳完畢，一個簡短的賀詞信息將顯示在你的瀏覽器窗口中。

（6）中止俘獲。B.瀏覽追蹤信息

(1)在顯示篩選規(guī)則中輸入“tcp〞,可以看到在本地主機和服務器之間傳輸?shù)囊幌盗衪cp和http報文，你應當能看到包含SYN報文的三次握手。也可以看到有主機向服務器發(fā)送的一個HTTPPOST報文和一系列的“httpcontinuation〞報文。

(2)根據(jù)操作思考以下問題：

?向服務器傳送文件的客戶端主機的IP地址和

TCP端口號是多少？

13

計算機網(wǎng)絡

14

計算機網(wǎng)絡

?G服務器的IP地址是多少？對這一連接，它用來

發(fā)送和接收TCP報文的端口號是多少？2

端口號：45273

C.TCP基礎

根據(jù)操作思考以下問題：