文档介绍：实验
实验名称:分析TCP的三次握手和UDP协议
实验目的
掌握正确使用Ethereal分析TCP协议的技能.
理解TCP三次握手的过程.
理解UDP协议的数据报格式.
实验环境
运行Windows XP /2003 Server操作系统的PC机一台
每台PC机具有一块以太网卡,通过双绞线与局域网相连
Ethereal工具(可以从)
实验步骤
TCP协议分析
点击“Capture/Start”菜单,.
在“Interface“(接口)框的下拉列表中选择一个适当的接口项(如:Realtek RTL8139/810x Family Fast NIC (Microsoft'sPacketScheduler):\Device\NPF_{AE2AD369-9F91-4F47-8B5E-A9257B088540}).
图3
选择协议:在图3窗口中点击“Capture filter” name 和 String name后面的文本框中填写要分析的协议名称TCP,然后点击“save”按钮,“ok”按钮,返回到图6界面.
图4
图5
图6
然后在图6界面中,点击“OK”按钮,启动IE浏览器,输入网址如:,等到主页完全显示,抓包情况如图7.
图7
点击【Stop】按钮,= =80并按回车,将显示所有TCP的端口号为80的报文段
.如下图8所示.
Syn=1,而Ack=0,表明这是一个连接请求报文段.
第一次握手
图8 第一次握手
说明::.
协议分析一:
端口号为80的报文段的1号帧长度为62字节.
1号帧的内容.
协议分析二:
II 帧结构.
在上图中:
Destination(目的地址)为:00:e0:fc:1c:95:4b;
Source(源地址)为:00:10:5c:ba:8c:11;
Type(类型字段)为:0x0800,表示上层使用的是IP数据报.
协议分析三:
IP数据报结构.
在上图中:
Version:4表示IP协议版本为4(即IPv4),其中捕获数据包的IP信息头部分(蓝色区域)的最前面1个字节“45”高四位是4,即表示此数据报是IPv4版本的;
Header Length:20 “45”的低四位是5,表示首部长度,由于首部长度以4字节为单位,所以此IP数据报首部长度为20字节.
Differentiated Services Field表示区分服务,其字段字节为“00”表示没有使用区分服务.
Total Length:48表示分片后的每一个分片的首部长度和数据长度之和为48字节;蓝色区域的第3、4个字节是“00 30”,表示数据报的总长度为(3×16+0)=48字节.
Identification:0x6ee2表示标志字段的值为0x6ee2,即蓝色区域的第5、6字节.
Flags:标志,其中第7字节“40”的高4位为4表示标志字段,
DF=1,表示不能分片.
Fragment offset:0表示片偏移为0,第7字节的低4位“0”和第8字节“00”组成片偏移字段.
Time to live(生存时间):为128s,即第9字节的“80”表示生存时间(8×16+0=128).
Protocol:TCP(0x06)表示此数据报携带的是使用TCP协议的,即第10字节的“06”字段值.
Header checksum:0x8147(correct)表示首部检验和为0x8147,即由第11、12两个字节值表示.
Source(源地址)为:(第13到16字节“de 16 41 f0”表示); Destination(目的地址)为:(第17到20字节
“ca c4 40 ce”表示).
协议分析四:TCP报文头信息.
在上图中:
Source port:2532表示源端口为2532,由上图蓝色部分前两个字节“09 e4”表示.
Destination port:http(80)表示目的端口,由上图蓝色部分第3、4个字节“00 50”表示.
Sequence number:0表示本报文段所发送的数据的第一个字节的序号,其第5到8字节“06 13 da 03”表示的是序号字段值.
Header length:28 bytes表示首部长度,由第13字节“70”的高四位7表示,并以4