Ethereal tcpip.docx

1、Ethereal tcpip操作系统为Windows2000 server 版，因为在寝室里只有一台电脑，而且没有网卡（只有一个56K 的老猫），所以安装了虚拟机VMware-workstation（ 网上很多地方可以下载，这里就不提供下载了，安装也很简单）； 虚拟操作系统是RedHat 8.0 ，为了节省空间和加快速度，没有安装图形界面。关于虚拟系统的安装可以在Google 上搜一下。这里说一下 Virtual Networks 的设置，如图1-1：图1-1 设置虚拟网络 两个虚拟网络分别是VMnet1 地址为192.168.126.0 和VMnet8 地址为192.168.216.0，主操

2、作系统windows2000， 安装了两个虚拟网卡，地址分别是192.168.126.1 和192.168.216.1， 主操作系统和虚拟系统的网络关系是Custom 模式，如图1-2： 图1-2 设置虚拟机网卡 打开虚拟机，以root 用户登录redhat，输入setup，设置虚拟机IP 地址为192.168.126.128， 如图1-3： 图1-3 设置Linux IP 地址好了，设置完了。当然，这只是因为条件限制才如此的，在局域网中就不用这么麻烦了。实验目的： 巩固对Ethernet II 封包、ARP 分组及IP、ICMP 数据包的认识 嗯，现在开始了。打开Ethereal，在菜单Ca

3、pture 下点击Interfaces， 选取要抓包的网卡， 这里选取地址为192.168.126.1 的这个网卡抓取数据包，如图1-4： 图1-4 选择抓取数据包网卡 之后在主操作系统中使用ping 192.168.126.128 t 的命令，来ping 虚拟机。好，我们来看看抓取的数据包。图1-5 ARP 广播包 从Ethereal 的第一栏中，我们看到这是个ARP 解析的广播包，如图1-5。由于这个版本的Ethereal 使用的是Ethernet II 来解码的，我们先看看Ethernet II 的封装格式。如下图1-6： 图1-6 以太网封包格式注意这个和802.3 是有区别的，802

4、.3 的封包格式如图1-7：图1-7 802.3 封包格式 尽管Ethernet II 和802.3 的封包格式不同，但Ethereal 在解码时，都是从“类型”字段来判断一个包是IP 数据报还是ARP 请求/应答或RARP 请求/应答。 从Ethernet II 知道了是ARP 解析以后，我们来看看Ethereal 是如何判断是ARP 请求呢还是应答的。我们先复习一下以太网的ARP 请求和应答的分组格式，如图1-8。图1-8 分组格式从上图中我们了解到判断一个ARP 分组是ARP 请求还是应答的字段是“op”，当其值为00001 时是请求，为00002 时是应答。如图1-9、1-10。图1-

5、9 ARP 请求 图1-10 ARP 应答 我们看看第三个帧的内容。第三帧“类型”显示是IP 数据报，如图1-11： 图1-11 ICMP ping 包同样，我们先复习一下IP 包的封包格式，如图1-12：图1-12 IP 封包格式 关于IP 封包各字段的内容及意义，这里就不再详述了，可以参见三卷本的TCP/IP， 的“资源共享”版里有下载。 我们主要看看TTL，从图1-13 和1-14 的比较来看，图1-13 中的TTL 是128，而图1-14 中的TTL 却是64，什么原因呢？ 原来图1-13 中的主机是Windows2000 ，而1-14 中的主机是Linux，看来不同操作系统的TTL 是不同的。图1-13 Windows 主机的TTL 图1-14 Linux 主机的TTL好了我们来看看ICMP 报文吧，先看看它的封包格式，如图1-15： 图1-15 ICMP 封包类型关于ICMP 的“类型”和“代码”字段，这里有一个表，如图1-16： 图1-16 ICMP 报文类型ICMP 报文，我们主要对照图1-16 看抓包的情况。 图1-17 ping 请求图1-18 ping 应答全文完.