2024年2月28日发(作者：包白柏)

计算机网络课程

实验报告

实验1 : 常用网络命令

姓名

实验地点

实验课表现

实验目的：



掌握常用网络命令的使用方法；



熟悉和掌握网络管理、网络维护的基本内容和方法

张京林 院系

南六楼

自动化学院

实验时间

实验报告

得分

学号

U201013680

4月21日

出勤、表现得分

操作结果得分

实验总分

实验内容：

⑴ ARP:

显示和修改IP地址与物理地址之间的转换表

指令:arp -a >>g:显示当前的ARP信息.txt

接口: 222.20.69.237 --- 0xd

Internet 地址 物理地址 类型

222.20.69.254 00-1a-a9-15-6c-8f 动态

222.20.69.255 ff-ff-ff-ff-ff-ff 静态

224.0.0.2 01-00-5e-00-00-02 静态

224.0.0.22 01-00-5e-00-00-16 静态

224.0.0.100 01-00-5e-00-00-64 静态

224.0.0.251 01-00-5e-00-00-fb 静态

224.0.0.252 01-00-5e-00-00-fc 静态

224.0.0.253 01-00-5e-00-00-fd 静态

224.0.1.242 01-00-5e-00-01-f2 静态

238.184.9.123 01-00-5e-38-09-7b 静态

239.192.152.143 01-00-5e-40-98-8f 静态

239.255.255.239 01-00-5e-7f-ff-ef 静态

指令:arp -a 222.20.69.254 >>g:显示指定网络地址的ARP信息.txt

接口: 222.20.69.237 --- 0xd

Internet 地址 物理地址 类型

222.20.69.254 00-1a-a9-15-6c-8f 动态

指令：arp -s 222.20.69.239 00-aa-bb-cc-dd-ff >>g:添加ARP表项.txt

指令：arp -a 222.20.69.239

接口: 222.20.69.237 --- 0xd

Internet 地址 物理地址 类型

222.20.69.239 00-aa-bb-cc-dd-ff 静态

⑵ Ipconfig

该诊断命令显示所有当前的 TCP/IP 网络配置值。该命令在运行 DHCP 系统上的特殊用途，允许用户决定 DHCP 配置的 TCP/IP 配置值。

指令：ipconfig >>g:显示当前网络配置的值.txt

Windows IP 配置

以太网适配器 本地连接:

连接特定的 DNS 后缀 . . . . . . . :

本地链接 IPv6 地址. . . . . . . . : fe80::ed73:9ef0:43b5:8b41%17

IPv4 地址 . . . . . . . . . . . . : 202.114.25.171

子网掩码 . . . . . . . . . . . . : 255.255.255.128

默认网关. . . . . . . . . . . . . : 202.114.25.254

隧道适配器 isatap.{0C80237A-D3B7-42BB-B819-89E374C7E39C}:

媒体状态 . . . . . . . . . . . . : 媒体已断开

连接特定的 DNS 后缀 . . . . . . . :

（省略部分配置内容）

指令：ipconfig/displaydns >>g:显示本机上的DNS域名解析列表.txt

Windows IP 配置

----------------------------------------

记录名称. . . . . . . :

记录类型. . . . . . . : 1

生存时间. . . . . . . : 183

数据长度. . . . . . . : 4

部分. . . . . . . . . : 答案

A (主机)记录 . . . . : 202.114.0.245

（省略部分内容）

⑶ Nbtstat

该诊断命令使用 NBT（TCP/IP 上的 NetBIOS）显示协议统计和当前 TCP/IP 连接。该命令只有在安装了 TCP/IP 协议之后才可用。

指令：nbtstat -A 202.114.25.169 >>e:查找周围主机的名称.txt

本地连接:

节点 IP 址址: [202.114.25.171] 范围 ID: []

NetBIOS 远程计算机名称表

名称 类型 状态

---------------------------------------------

D169 <00> 唯一 已注册

WORKGROUP <00> 组 已注册

D169 <20> 唯一 已注册

WORKGROUP <1E> 组 已注册

MAC 地址 = 8C-89-A5-25-B1-83

指令:nbtstat -n >>g:列出本地NetBIOS名称.txt

以太网:

节点 IP 址址: [222.20.69.237] 范围 ID: []

NetBIOS 本地名称表

名称 类型 状态

---------------------------------------------

ZJL-PC <00> 唯一 已注册

WORKGROUP <00> 组 已注册

ZJL-PC <20> 唯一 已注册

Wi-Fi:

节点 IP 址址: [0.0.0.0] 范围 ID: []

缓存中没有名称

⑷ net：

许多 Windows 2000 网络命令都以词 net 开头。

由于在windows XP之后的操作系统版本中已经没有Messenger服务

了,故此处粘贴实验记录,但是我在实验室的XP上实现了用Net send对

话.

⑸ Netstat

显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。

指令:netstat >>g:显示所有连接和侦听端口.txt

活动连接

协议 本地地址 外部地址 状态

TCP 222.20.69.237:24924 tf-in-f125:5222 ESTABLISHED

TCP 222.20.69.237:24936 sinwns2012615:https ESTABLISHED

TCP 222.20.69.237:25013 tf-in-f100:https ESTABLISHED

TCP 222.20.69.237:25872 58.205.210.234:http CLOSE_WAIT

TCP 222.20.69.237:25873 58.205.210.234:http CLOSE_WAIT

TCP 222.20.69.237:25882 163.177.65.209:imaps ESTABLISHED

TCP [2001:250:4000:8211:1463:433b:62b4:fec3]:24985 pa-in-x6d:imaps

ESTABLISHED

指令：netstat -s >>g:显示每个协议的统计.txt

IPv4 统计信息

接收的数据包 = 1385152

接收的标头错误 = 0

接收的地址错误 = 57598

转发的数据报 = 590110

接收的未知协议 = 93

丢弃的接收数据包 = 204968

传送的接收数据包 = 673479

输出请求 = 464222

路由丢弃 = 0

丢弃的输出数据包 = 9962

输出数据包无路由 = 34

需要重新组合 = 712

重新组合成功 = 60

重新组合失败 = 0

数据报分段成功 = 65

数据报分段失败 = 0

分段已创建 = 762

(省略部分内容)

指令:netstat -r >>g:显示路由表内容.txt

==========================================================

接口列表

18...e0 06 e6 ce 86 0b ......Microsoft 托管网络虚拟适配器

14...e0 06 e6 ce 86 0b ......Microsoft Wi-Fi Direct 虚拟适配器

13...b8 88 e3 e5 58 bd ......Realtek PCIe GBE Family Controller

12...e0 06 e6 ce 86 0b ......1x1 11b/g/n Wireless LAN PCI Express Half Mini

Card Adapter

1...........................Software Loopback Interface 1

15...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter

16...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface

17...00 00 00 00 00 00 00 e0 Microsoft 6to4 Adapter

==========================================================

IPv4 路由表

==========================================================

活动路由:

网络目标 网络掩码 网关 接口 跃点数

0.0.0.0 0.0.0.0 222.20.69.254 222.20.69.237

276

127.0.0.0 255.0.0.0 在链路上

127.0.0.1 306

127.0.0.1 255.255.255.255 在链路上

127.0.0.1 306

127.255.255.255 255.255.255.255 在链路上

127.0.0.1 306

222.20.69.0 255.255.255.0 在链路上

222.20.69.237 276

222.20.69.237 255.255.255.255 在链路上

222.20.69.237 276

222.20.69.255 255.255.255.255 在链路上

222.20.69.237 276

224.0.0.0 240.0.0.0 在链路上

127.0.0.1 306

224.0.0.0 240.0.0.0 在链路上

222.20.69.237 276

255.255.255.255 255.255.255.255 在链路上

127.0.0.1 306

255.255.255.255 255.255.255.255 在链路上

222.20.69.237 276

⑹ Ping

验证与远程计算机的连接。该命令只有在安装了 TCP/IP 协议后才可以使用。

指令：ping 202.114.25.170 >>g:Ping指定的计算机.txt

正在 Ping 202.114.25.170 具有 32 字节的数据:

来自 202.114.25.170 的回复: 字节=32 时间=1ms TTL=64

来自 202.114.25.170 的回复: 字节=32 时间=1ms TTL=64

来自 202.114.25.170 的回复: 字节=32 时间=1ms TTL=64

来自 202.114.25.170 的回复: 字节=32 时间<1ms TTL=64

202.114.25.170 的 Ping 统计信息:

数据包: 已发送 = 4，已接收 = 4，丢失 = 0 (0% 丢失)，

往返行程的估计时间(以毫秒为单位):

最短 = 0ms，最长 = 1ms，平均 = 0ms

指令:route print >>g:打印路由表.txt

=====================================================

接口列表

18...e0 06 e6 ce 86 0b ......Microsoft 托管网络虚拟适配器

14...e0 06 e6 ce 86 0b ......Microsoft Wi-Fi Direct 虚拟适配器

13...b8 88 e3 e5 58 bd ......Realtek PCIe GBE Family Controller

12...e0 06 e6 ce 86 0b ......1x1 11b/g/n Wireless LAN PCI Express Half

Mini Card Adapter

1...........................Software Loopback Interface 1

15...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter

16...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface

17...00 00 00 00 00 00 00 e0 Microsoft 6to4 Adapter

=====================================================

IPv4 路由表

=====================================================

活动路由:

网络目标 网络掩码 网关 接口 跃点数

0.0.0.0 0.0.0.0 222.20.69.254

222.20.69.237 276

127.0.0.0 255.0.0.0 在链路上

127.0.0.1 306

127.0.0.1 255.255.255.255 在链路上

127.0.0.1 306

127.255.255.255 255.255.255.255 在链路上

127.0.0.1 306

222.20.69.0 255.255.255.0 在链路上

222.20.69.237 276

222.20.69.237 255.255.255.255 在链路上

222.20.69.237 276

222.20.69.255 255.255.255.255 在链路上

指令:route add 10.13.0.0 mask 255.255.0.0 10.111.142.1

指令:route print >>g:打印路由表.txt

添加一项路由,再次打印路由表,可见10.13.0.0

IPv4 路由表

=====================================================

活动路由:

网络目标 网络掩码 网关 接口 跃点数

0.0.0.0 0.0.0.0 222.20.69.254

222.20.69.237 276

10.13.0.0 255.255.0.0 10.111.142.1

222.20.69.237 21

127.0.0.0 255.0.0.0 在链路上

127.0.0.1 306

指令:route delete 10.13.0.0

删除一项路由,再次打印路由表,可见10.13.0.0已不在表中

IPv4 路由表

=====================================================

活动路由:

网络目标 网络掩码 网关 接口 跃点数

0.0.0.0 0.0.0.0 222.20.69.254

222.20.69.237 276

127.0.0.0 255.0.0.0 在链路上

127.0.0.1 306

127.0.0.1 255.255.255.255 在链路上

127.0.0.1 306

⑽ Tracert

该诊断实用程序将包含不同生存时间 (TTL) 值的 Internet 控制消息协议 (ICMP)

回显数据包发送到目标，以决定到达目标采用的路由。

指令:tracert >>g:跟踪路由.txt

通过最多 30 个跃点跟踪

到 [202.114.0.245] 的路由:

1 1 ms 1 ms 1 ms 222.20.69.254

2 1 ms 1 ms 1 ms 115.156.255.149

3 2 ms 1 ms 1 ms 115.156.255.129

4 1 ms 1 ms 1 ms 115.156.255.105

5 1 ms 1 ms 1 ms 115.156.255.13

6 1 ms 1 ms 1 ms [202.114.0.245]

跟踪完成。

实验过程中遇到的问题如何解决的？

本次实验的体会（结论）

指导教师评语：

日期：

计算机网络课程

实验报告

实验2：使用包嗅探及协议分析软件Ethereal 分析

Ethernet帧

姓名

实验地点

实验课表现

实验目的：

使用包嗅探及协议分析软件Ethereal 分析 Ethernet帧

张京林

出勤、表现得分

操作结果得分

院系

南六楼

自动化学院

实验时间

实验报告

得分

学号

U201013680

4月21日

实验总分

实验内容：

1. 在windows中安装Ethereal软件。

2. 配置包捕获模式为混杂模式，捕获网络中所有机器的数据包.当捕获到一定数量的数据报后，停止捕获，观察捕获到的数据包，并对照解析结果和原始数据包的具体字段（如了解本机网卡地址字段、IP地址字段、端口号等）

3. 配置包捕获过滤器，只捕获特定IP地址、特定端口或特定类型的包，然后重新开始捕获

（1）用netstat命令查看系统正在开放的端口及状态：

C:UsersZJL>netstat

活动连接

协议 本地地址 外部地址 状态

TCP 222.20.69.237:28439 tb-in-f125:5222 ESTABLISHED

TCP 222.20.69.237:28455 163.177.65.209:imaps ESTABLISHED

TCP 222.20.69.237:28777 .:http ESTABLISHED

TCP 222.20.69.237:28778 .:http ESTABLISHED

可以看到28778端口为Http端口，然后设置捕获规则如下，捕捉本地发出

的或者接收的28778端口的tcp协议包

（2）Capture Filter：tcp port 28778 and host 222.20.69.237

0000 00 1a a9 15 6c 8f b8 88 e3 e5 58 bd 08 00 45 00 ....l... ..X...E.

0010 00 28 3d ba 40 00 40 06 e2 35 de 14 45 ed 75 87 .(=.@.@. .5..E.u.

0020 81 57 70 6a 00 50 8d c9 8c 53 00 3d 5e e0 50 11 .Wpj.P.. .S.=^.P.

0030 01 9a a9 64 00 00 ...d..

分析以上捕获的包，请看加下划线的部分：

06表示TCP协议，de 14 45 ed是本机IP222.20.69.237的十六进制，70 6a表示源端口为

28778

4. （a）捕捉任何主机发出的Ethernet 802.3格式的帧（帧的长度字段<=1500），

Ethereal的capture filter 的filter string设置为：ether[12:2] <= 1500

0000 01 80 c2 00 00 00 00 1a a9 c2 6e 2e 00 27 42 42 ..........n..'BB

0010 03 00 00 02 02 7c 10 00 00 1a a9 15 6c 8e 00 00 .....|......l...

0020 4a 38 80 00 00 1a a9 c2 6e 2e 80 05 01 00 14 00 J8......n.......

0030 02 00 0f 00 00 00 0f 00 00 30 10 fa .........0..

IEEE 802.3 Ethernet

Destination: Spanning-tree-(for-bridges)_00 (01:80:c2:00:00:00)

Source: FujianSt_c2:6e:2e (00:1a:a9:c2:6e:2e)

Length: 39

Trailer: 000f00003010fa

Logical-Link Control

DSAP: Spanning Tree BPDU (0x42)

IG Bit: Individual

SSAP: Spanning Tree BPDU (0x42)

CR Bit: Command

Control field: U, func=UI (0x03)

Spanning Tree Protocol

由以上分析可知所抓的18个包上层协议都为STP(Spanning Tree Protocol)

（b）捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧（帧的长度字段>1500, 帧的长度字段实际上是类型字段）， Ethereal的capture

filter 的filter string设置为：ether[12:2] > 1500

0000 00 1a a9 15 6c 8f b8 88 e3 e5 58 bd 08 00 45 00 ....l... ..X...E.

0010 00 28 ca a1 00 00 7f 06 96 e4 de 14 45 ed 3a d7 .(...... ....E.:.

0020 7b 71 6c a5 00 50 0c be 66 e4 8c 82 19 b6 50 10 {ql..P.. f.....P.

0030 7d 78 d1 41 00 00 }x.A..

Frame 2577: 54 bytes on wire (432 bits), 54 bytes captured (432 bits)

Ethernet II, Src: CompalIn_e5:58:bd (b8:88:e3:e5:58:bd), Dst: FujianSt_15:6c:8f

(00:1a:a9:15:6c:8f)

Destination: FujianSt_15:6c:8f (00:1a:a9:15:6c:8f)

Source: CompalIn_e5:58:bd (b8:88:e3:e5:58:bd)

Type: IP (0x0800)

由08 00字段表示的Type为IP则说明上层协议为IP,抓取的566个包里面上层协议还有ARP、IP、IPV6、LLDP等。

5. 捕捉并分析局域网上的所有ethernet broadcast广播帧，Ethereal的capture filter

的filter string设置为：ether broadcast

(1). 观察并分析哪些主机在发广播帧，这些帧的高层协议是什么？主要做什么用处？

0000 ff ff ff ff ff ff 00 1a a9 15 6c 8f 08 06 00 01 ..........l.....

0010 08 00 06 04 00 01 00 1a a9 15 6c 8f de 14 45 fe ..........l...E.

0020 00 00 00 00 00 00 de 14 45 96 de 14 03 96 1a ea ........E.......

0030 3e 81 00 6d 8e 63 64 31 3a 61 64 32 >..1:ad2

Frame 12: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)

Ethernet II, Src: FujianSt_15:6c:8f (00:1a:a9:15:6c:8f), Dst: Broadcast

(ff:ff:ff:ff:ff:ff)

Destination: Broadcast (ff:ff:ff:ff:ff:ff)

Source: FujianSt_15:6c:8f (00:1a:a9:15:6c:8f)

Type: ARP (0x0806)

Trailer: de1403961aea3e81006d8e6364313a616432

Address Resolution Protocol (request)

所抓308个广播包如图所示，在发送广播帧的主机有222.20.69.254、222.20.69.163、222.20.69.19、222.20.69.234等，这些帧的高层协议有只有IP和ARP两种。

(2). 你的LAN的共享网段上连接了多少台计算机？1分钟内有几个广播帧？有否发生广播风暴？

C:UsersZJL>net view

服务器名称 注解

----------------------------------

CHEN-PC

CLM-PC

HEYEKUN-THINK

LBDZ-20120929XK

OEM-20120202FHA

PC-2

PC-2

PIGSYFFAAZNPV7Q

THNUARW0AP8Q3SG

VIVIAN Vivian_kai

WZY-PC

XIANKE-PC

XP-2

命令成功完成。

在命令行用net view查看当前域内的计算机名，上述列表共有13台计算机。100M网络每秒的最大数据为12.5M*1024=12800Byte/S。如果网络中广播数据包的每秒数接近或大于此值，网络就存在“广播风暴”了。为了检测是否

发生―网络风暴‖，再设置wireshark的Capture Options如下图，捕获过滤广播包，捕获停止条件为1分钟，这段时间内wireshark共抓到664个广播包。再查看wireshark—Statistics—Summary的统计数据，如下图，发现1分钟内644个广播包，96812bytes的大小，平均速度为1621.839bytes/sec<12800bytes/sec故而判断此时并未发生―网络风暴‖。

6. 捕捉局域网上的所有ethernet multicast帧，Ethereal的capture filter 的filter

string设置为：ether multicast

(1). 观察并分析哪些节点在发multicast帧，这些帧的高层协议是什么？

0000 01 80 c2 00 00 0e 00 d0 f8 ef 5c 81 88 cc 02 07 ...............

0010 04 00 1a a9 15 6c 8e 04 07 03 00 1a a9 15 6c 8e .....l........l.

0020 06 02 00 79 08 13 47 69 67 61 62 69 74 45 74 68 ...y..GigabitEth

(省略22行)

Frame 36: 404 bytes on wire (3232 bits), 404 bytes captured (3232 bits)

Ethernet II, Src: FujianSt_ef:5c:81 (00:d0:f8:ef:5c:81), Dst: LLDP_Multicast

(01:80:c2:00:00:0e)

Destination: LLDP_Multicast (01:80:c2:00:00:0e)

Source: FujianSt_ef:5c:81 (00:d0:f8:ef:5c:81)

Type: 802.1 Link Layer Discovery Protocol (LLDP) (0x88cc)

Link Layer Discovery Protocol

抓了600个包，发送multicast帧的节点有FujianSt_ef:5c:81,222.20.69.163,

222.20.69.82, 222.20.69.19, 222.20.69.88等，这些帧的高层协议有ARP、IP、IPV6、STP、LLDP协议等。

实验过程中遇到的问题如何解决的？

问题1：本地数据存放的字节顺序和网络包中的字节顺序是否相同？请按照字符型、短整数型和长整数型分别比较。

答:不一定相同,网络字节顺序(NBO)是按照从高到低的顺序存储的,使用统一的网络字节顺序可以避免兼容性问题。但是主机字节顺序(HBO)则由主机的CPU设计决定，比如我的ARM-A10处理器则是小端字节序(Little endian) 将低序字节存储在起始地址，这种字节序最符合人的思维习惯。

问题2：怎样知道哪些数据包是MAC广播包或IP子网广播包？

答:

(1) IP地址广播有三种：255.255.255.255叫本地广播，也叫直播，direct broadcast，不跨路由器。222.20.69.255叫子网广播，广播给222.20.69.0这个子网，可以跨路由器。222.20.255.255叫全子网广播，广播给222.20.0.0这个主网，可以跨路由器。

(2) MAC地址广播就是在数据链路层将目标MAC地址设为ff:ff:ff:ff:ff:ff

IP地址广播是三层网络层的广播,MAC地址广播是二层数据链路层的广播,要查看数据包是属于MAC广播包还是IP子网广播包只需查看数据包是属于哪一层的广播,比如ARP广播包必为二层广播,也是MAC广播包,而IP数据包则是第三层的,此时如果目的IP地址为222.20.69.255则为IP子网广播包。

本次实验的体会（结论）

指导教师评语：

日期：

计算机网络课程

实验报告

实验3：使用包嗅探及协议分析软件Ethereal 分析高层协议

姓名

实验地点

实验课表现

实验目的：

张京林 院系

南六楼

出勤、表现得分

操作结果得分

自动化学院

实验时间

实验报告

得分

学号

U201013680

4月21日

实验总分

掌握协议分析软件Ethereal的使用方法

实验内容：

1. 捕捉局域网上本机（假设为主机222.20.69.237）发出或接受的所有ARP包，Ethereal的capture filter 的filter string设置为：arp host 222.20.69.237

(1).主机222.20.69.237上执行 ‖ arp –d * ‖ 清除arp 缓存.

(2).观察并分析主机222.20.69.237发出或接受的所有ARP包，及arp包结构。

上图是捕获的前六条记录，前一条是ARP request 后一条是ARP reply

0000 ff ff ff ff ff ff b8 88 e3 e5 58 bd 08 06 00 01 ..........X.....

0010 08 00 06 04 00 01 b8 88 e3 e5 58 bd de 14 45 ed ..........X...E.

0020 00 00 00 00 00 00 de 14 45 ef ........E.

Frame 1: 42 bytes on wire (336 bits), 42 bytes captured (336 bits)

Ethernet II, Src: CompalIn_e5:58:bd (b8:88:e3:e5:58:bd), Dst: Broadcast

(ff:ff:ff:ff:ff:ff)

Address Resolution Protocol (request)

Hardware type: Ethernet (1)

Protocol type: IP (0x0800)

Hardware size: 6

Protocol size: 4

Opcode: request (1)

[Is gratuitous: False]

Sender MAC address: CompalIn_e5:58:bd (b8:88:e3:e5:58:bd)

Sender IP address: 222.20.69.237 (222.20.69.237)

Target MAC address: 00:00:00_00:00:00 (00:00:00:00:00:00)

Target IP address: 222.20.69.239 (222.20.69.239)

0000 b8 88 e3 e5 58 bd 00 23 5a ad a6 93 08 06 00 01 ....X..#Z.......

0010 08 00 06 04 00 02 00 23 5a ad a6 93 de 14 45 ef .......#Z.....E.

0020 b8 88 e3 e5 58 bd de 14 45 ed 00 00 00 00 00 00 ....X...E.......

0030 00 00 00 00 00 00 00 00 00 00 00 00 ............

Frame 2: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)

Ethernet II, Src: CompalIn_ad:a6:93 (00:23:5a:ad:a6:93), Dst: CompalIn_e5:58:bd

(b8:88:e3:e5:58:bd)

Address Resolution Protocol (reply)

Hardware type: Ethernet (1)

Protocol type: IP (0x0800)

Hardware size: 6

Protocol size: 4

Opcode: reply (2)

[Is gratuitous: False]

Sender MAC address: CompalIn_ad:a6:93 (00:23:5a:ad:a6:93)

Sender IP address: 222.20.69.239 (222.20.69.239)

Target MAC address: CompalIn_e5:58:bd (b8:88:e3:e5:58:bd)

Target IP address: 222.20.69.237 (222.20.69.237)

这是Ethernet II格式的包，ARP协议的任务是将IP地址转换成物理地址。

以上两个ARP包中Frame是物理层数据帧情况，Ethernet II数据链路层以太网帧头部信息，Address Resolution Protocol (request和reply)是网络层的地址解析部分，request包发送一个ARP请求，询问目标IP222.20.69.239的MAC地址，reply回复222.20.69.239的MAC地址00:23:5a:ad:a6:93，如上面解析字段划线部分所示。

2.捕捉局域网上的所有IP广播包，Ethereal的capture filter 的filter string设置为：ip broadcast

(1). 观察并分析哪些节点在发广播包，这些包的高层协议是什么？

0000 ff ff ff ff ff ff c8 60 00 b5 f8 84 08 00 45 00 .......`......E.

0010 01 5e 21 36 00 00 40 11 35 17 de 14 45 2e ff ff .^!6..@.5...E...

0020 ff ff c8 04 0a 5e 01 4a d3 f1 11 ad 94 86 78 2f .....^.J......x/

Frame 11: 364 bytes on wire (2912 bits), 364 bytes captured (2912 bits)

Ethernet II, Src: AsustekC_b5:f8:84 (c8:60:00:b5:f8:84), Dst: Broadcast (ff:ff:ff:ff:ff:ff)

Destination: Broadcast (ff:ff:ff:ff:ff:ff)

Source: AsustekC_b5:f8:84 (c8:60:00:b5:f8:84)

Type: IP (0x0800)

Internet Protocol Version 4, Src: 222.20.69.46 (222.20.69.46), Dst: 255.255.255.255

(255.255.255.255)

User Datagram Protocol, Src Port: 51204 (51204), Dst Port: corel-vncadmin (2654)

Source port: 51204 (51204)

Destination port: corel-vncadmin (2654)

Length: 330

Checksum: 0xd3f1 [validation disabled]

Data (322 bytes)

所抓64个广播包如图所示，在发送广播帧的主机有222.20.69.46、222.20.69.74、222.20.69.86、192.168.137.84等，这些帧的高层协议是UDP、WSP。

3. 捕捉局域网上的所有IP组播包，Ethereal的capture filter 的filter string设置为：

ip multicast

(1). 观察并分析哪些节点在发组播包，这些包的高层协议是什么？

0000 01 00 5e 00 00 16 a4 ba db ca 66 25 08 00 46 00 ..^.......f%..F.

0010 00 28 43 6d 00 00 01 02 dd e3 de 14 45 54 e0 00 .(Cm........ET..

0020 00 16 94 04 00 00 22 00 f9 00 00 00 00 01 04 00 ......".........

0030 00 00 e0 00 00 fd 00 00 00 00 00 00 ............

Frame 84: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)

Ethernet II, Src: Dell_ca:66:25 (a4:ba:db:ca:66:25), Dst: IPv4mcast_00:00:16

(01:00:5e:00:00:16)

Destination: IPv4mcast_00:00:16 (01:00:5e:00:00:16)

Source: Dell_ca:66:25 (a4:ba:db:ca:66:25)

Type: IP (0x0800)

Trailer:

Internet Protocol Version 4, Src: 222.20.69.84 (222.20.69.84), Dst: 224.0.0.22

(224.0.0.22)

Internet Group Management Protocol

在发送组播包的节点有222.20.69.158, 222.20.69.44, 222.20.69.187, 222.20.69.84等，他们的高层协议是UDP、LLMR、SSDP、IPV6、IGMP等。

4. 捕捉局域网上的所有icmp包，Ethereal的capture filter 的filter string设置为：icmp

(1). 在主机222.20.69.237上 ping 局域网上的另一主机（例如222.20.69.238）。

(2). 观察并分析主机222.20.69.237发出或接受的所有icmp包，及icmp包的类型和结构。

Ping另一台主机222.20.69.238的四条请求与四条回复如上图，这八条包都是IP包

0000 20 6a 8a 3a 55 4e b8 88 e3 e5 58 bd 08 00 45 00 j.:UN....X...E.

0010 00 3c 28 3f 00 00 40 01 0a 7e de 14 45 ed de 14 .<(?..@..~..E...

0020 45 ee 08 00 4b ea 01 00 00 72 61 62 63 64 65 66 E...K....rabcdef

0030 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 ghijklmnopqrstuv

0040 77 61 62 63 64 65 66 67 68 69 wabcdefghi

Frame 1: 74 bytes on wire (592 bits), 74 bytes captured (592 bits)

Ethernet II, Src: CompalIn_e5:58:bd (b8:88:e3:e5:58:bd), Dst: WistronI_3a:55:4e

(20:6a:8a:3a:55:4e)

Destination: WistronI_3a:55:4e (20:6a:8a:3a:55:4e)

Source: CompalIn_e5:58:bd (b8:88:e3:e5:58:bd)

Type: IP (0x0800)

Internet Protocol Version 4, Src: 222.20.69.237 (222.20.69.237), Dst: 222.20.69.238

(222.20.69.238)

Internet Control Message Protocol

Type: 8 (Echo (ping) request)

Code: 0

Checksum: 0x4bea [correct]

Identifier (BE): 256 (0x0100)

Identifier (LE): 1 (0x0001)

Sequence number (BE): 114 (0x0072)

Sequence number (LE): 29184 (0x7200)

[Response In: 2]

Data (32 bytes)

上面解析字段的划线部分为ICMP报文部分。

IP头部的Protocol值为1就说明这是一个ICMP报文

ICMP头部中的类型（Type）域用于说明ICMP报文的作用及格式

此外还有代码（Code）域用于详细说明某种ICMP报文的类型

所有数据都在ICMP头部后面。

一个ICMP报文包括IP头部（20字节）、ICMP头部（12字节）和ICMP报文，结构如下。

实验过程中遇到的问题如何解决的？

本次实验的体会（结论）

指导教师评语：

日期：

计算机网络课程

实验报告

实验4：使用协议分析软件Ethereal 分析应用层协议

姓名

实验地点

实验课表现

实验目的：

张京林 院系

南六楼

出勤、表现得分

操作结果得分

自动化学院

实验时间

实验报告

得分

学号

U201013680

4月21日

实验总分

使用协议分析软件分析应用层协议，理解应用层协议的工作过程。

实验内容：

1. 捕捉本机和某www服务器（如）之间的通信，Ethereal的capture filter 的filter string设置为：host 本机ip地址 and 。（本机ip地址需要替换为本机真正的ip地址，如222.20.69.237）

启动wireshark开始捕获，然后打开浏览器进入华中科技大学主页（），这时wireshark会捕获到一系列数据包，选中GET

/ HTTP/1.1 这条记录，右键点击"Follow TCP Stream", 使得display

filter过滤出与打开网站相关的数据包。

用wireshark抓到的数据包如下图：

上面四个包中前三个TCP包正是三次握手的过程，最后一个HTTP包则表明连接已建立。

下面是第一次握手：

客户端发送一个TCP请求，标志位为SYN序列号为0，代表客户端请求建立连接。如下图

第二次握手：

服务器发回确认包, 标志位SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图

第三次握手：

客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1,

如下图:

2. 捕捉局域网上本机发出或接受的所有FTP包（即src or dst port＝21），Ethereal的capture filter 的filter string设置为：tcp port 21 and host 本机ip（本机IP:222.20.69.237）

下面以基地FTP服务器登录为例，设置过滤条件开始过滤，然后登录FTP服务器，wireshark捕获的前四个数据包如下图，和上面的TCP三次握手的过程一样，第四个FTP包则回复―220 Welcome to HustSmart Car FTP servers‖建立连接，第五个FTP包开始发送请求USER开头的是用户名，第八个FTP包发送请求PASS开头的是密码，最后第十个FTP包为服务器的回复，表明FTP登录成功。

选中第四条记录，右键点击"Follow TCP Stream",则得到以下信息，可以看到FTP服务器的名字，用户名，密码以及其他信息

220 Welcome to HustSmart Car FTP servers

USER upload

331 Please specify the password.

PASS 123456

230 Login successful.

（省略部分内容）

下面详细分析FTP request PDU中以USER开头、以PASS开头的两个PDU所包含的的信息，如下图第五条记录中FTP部分以USER开头的PDU包含了账户―upload‖

下图第八条记录中PASS开头的PDU中包含了密码

从以上例子可以看出FTP服务的账户和密码信息可以被wireshark等网络工具捕获，并以明文显示，在使用中存在很大的安全隐患

3. 捕捉局域网上本机发出或接受的所有POP包（即src or dst port＝110），Ethereal的capture filter 的filter string设置为：tcp port 110 and host 本机ip地址（本机IP:222.20.69.237）

Wireshark捕获的包如上图所示

选中第18条记录, 右键点击"Follow TCP Stream",可以查看一下Wireshark分析出来的POP3信息,包括服务名称,用户名,密码等安全信息。

下面是POP协议的内容

0000 00 1a a9 15 6c 8f b8 88 e3 e5 58 bd 08 00 45 00 ....l.....X...E.

0010 00 38 09 8b 40 00 40 06 27 b1 de 14 45 ed a3 b1 .8..@.@.'...E...

0020 41 d1 31 db 00 6e 8c a0 74 2d 74 09 c4 9c 50 18 -t...P.

0030 01 b2 9a 14 00 00 55 53 45 52 20 32 34 39 31 32 ......USER 24912

0040 39 31 38 36 0d 0a 9186..

Frame 18: 70 bytes on wire (560 bits), 70 bytes captured (560 bits)

Ethernet II, Src: CompalIn_e5:58:bd (b8:88:e3:e5:58:bd), Dst: FujianSt_15:6c:8f

(00:1a:a9:15:6c:8f)

Internet Protocol Version 4, Src: 222.20.69.237 (222.20.69.237), Dst: 163.177.65.209

(163.177.65.209)

Transmission Control Protocol, Src Port: 12763 (12763), Dst Port: pop3 (110), Seq:

13, Ack: 101, Len: 16

Post Office Protocol

USER 249129186rn

Request command: USER

Request parameter: 249129186

前14字节是物理层Ethernet II报文,接下来20字节是IP报文,再接下来20字节是TCP报文,最后16字节是POP报文,在以上解析字段的POP3 request中的POP报文USER部分包含了账户信息,在第23条记录中POP报文PASS部分则包含了密码信息。这些安全信息都是以明文显示的，在网络通信过程中很容易被获取，故而使用POP3协议这样的不加密的邮件收发协议是非常不安全的。

实验过程中遇到的问题如何解决的？

本次实验的体会（结论）

指导教师评语：

日期：

2024年2月28日发(作者：包白柏)

计算机网络课程

实验报告

实验1 : 常用网络命令

姓名

实验地点

实验课表现

实验目的：



掌握常用网络命令的使用方法；



熟悉和掌握网络管理、网络维护的基本内容和方法

张京林 院系

南六楼

自动化学院

实验时间

实验报告

得分

学号

U201013680

4月21日

出勤、表现得分

操作结果得分

实验总分

实验内容：

⑴ ARP:

显示和修改IP地址与物理地址之间的转换表

指令:arp -a >>g:显示当前的ARP信息.txt

接口: 222.20.69.237 --- 0xd

Internet 地址 物理地址 类型

222.20.69.254 00-1a-a9-15-6c-8f 动态

222.20.69.255 ff-ff-ff-ff-ff-ff 静态

224.0.0.2 01-00-5e-00-00-02 静态

224.0.0.22 01-00-5e-00-00-16 静态

224.0.0.100 01-00-5e-00-00-64 静态

224.0.0.251 01-00-5e-00-00-fb 静态

224.0.0.252 01-00-5e-00-00-fc 静态

224.0.0.253 01-00-5e-00-00-fd 静态

224.0.1.242 01-00-5e-00-01-f2 静态

238.184.9.123 01-00-5e-38-09-7b 静态

239.192.152.143 01-00-5e-40-98-8f 静态

239.255.255.239 01-00-5e-7f-ff-ef 静态

指令:arp -a 222.20.69.254 >>g:显示指定网络地址的ARP信息.txt

接口: 222.20.69.237 --- 0xd

Internet 地址 物理地址 类型

222.20.69.254 00-1a-a9-15-6c-8f 动态

指令：arp -s 222.20.69.239 00-aa-bb-cc-dd-ff >>g:添加ARP表项.txt

指令：arp -a 222.20.69.239

接口: 222.20.69.237 --- 0xd

Internet 地址 物理地址 类型

222.20.69.239 00-aa-bb-cc-dd-ff 静态

⑵ Ipconfig

该诊断命令显示所有当前的 TCP/IP 网络配置值。该命令在运行 DHCP 系统上的特殊用途，允许用户决定 DHCP 配置的 TCP/IP 配置值。

指令：ipconfig >>g:显示当前网络配置的值.txt

Windows IP 配置

以太网适配器 本地连接:

连接特定的 DNS 后缀 . . . . . . . :

本地链接 IPv6 地址. . . . . . . . : fe80::ed73:9ef0:43b5:8b41%17

IPv4 地址 . . . . . . . . . . . . : 202.114.25.171

子网掩码 . . . . . . . . . . . . : 255.255.255.128

默认网关. . . . . . . . . . . . . : 202.114.25.254

隧道适配器 isatap.{0C80237A-D3B7-42BB-B819-89E374C7E39C}:

媒体状态 . . . . . . . . . . . . : 媒体已断开

连接特定的 DNS 后缀 . . . . . . . :

（省略部分配置内容）

指令：ipconfig/displaydns >>g:显示本机上的DNS域名解析列表.txt

Windows IP 配置

----------------------------------------

记录名称. . . . . . . :

记录类型. . . . . . . : 1

生存时间. . . . . . . : 183

数据长度. . . . . . . : 4

部分. . . . . . . . . : 答案

A (主机)记录 . . . . : 202.114.0.245

（省略部分内容）

⑶ Nbtstat

该诊断命令使用 NBT（TCP/IP 上的 NetBIOS）显示协议统计和当前 TCP/IP 连接。该命令只有在安装了 TCP/IP 协议之后才可用。

指令：nbtstat -A 202.114.25.169 >>e:查找周围主机的名称.txt

本地连接:

节点 IP 址址: [202.114.25.171] 范围 ID: []

NetBIOS 远程计算机名称表

名称 类型 状态

---------------------------------------------

D169 <00> 唯一 已注册

WORKGROUP <00> 组 已注册

D169 <20> 唯一 已注册

WORKGROUP <1E> 组 已注册

MAC 地址 = 8C-89-A5-25-B1-83

指令:nbtstat -n >>g:列出本地NetBIOS名称.txt

以太网:

节点 IP 址址: [222.20.69.237] 范围 ID: []

NetBIOS 本地名称表

名称 类型 状态

---------------------------------------------

ZJL-PC <00> 唯一 已注册

WORKGROUP <00> 组 已注册

ZJL-PC <20> 唯一 已注册

Wi-Fi:

节点 IP 址址: [0.0.0.0] 范围 ID: []

缓存中没有名称

⑷ net：

许多 Windows 2000 网络命令都以词 net 开头。

由于在windows XP之后的操作系统版本中已经没有Messenger服务

了,故此处粘贴实验记录,但是我在实验室的XP上实现了用Net send对

话.

⑸ Netstat

显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。

指令:netstat >>g:显示所有连接和侦听端口.txt

活动连接

协议 本地地址 外部地址 状态

TCP 222.20.69.237:24924 tf-in-f125:5222 ESTABLISHED

TCP 222.20.69.237:24936 sinwns2012615:https ESTABLISHED

TCP 222.20.69.237:25013 tf-in-f100:https ESTABLISHED

TCP 222.20.69.237:25872 58.205.210.234:http CLOSE_WAIT

TCP 222.20.69.237:25873 58.205.210.234:http CLOSE_WAIT

TCP 222.20.69.237:25882 163.177.65.209:imaps ESTABLISHED

TCP [2001:250:4000:8211:1463:433b:62b4:fec3]:24985 pa-in-x6d:imaps

ESTABLISHED

指令：netstat -s >>g:显示每个协议的统计.txt

IPv4 统计信息

接收的数据包 = 1385152

接收的标头错误 = 0

接收的地址错误 = 57598

转发的数据报 = 590110

接收的未知协议 = 93

丢弃的接收数据包 = 204968

传送的接收数据包 = 673479

输出请求 = 464222

路由丢弃 = 0

丢弃的输出数据包 = 9962

输出数据包无路由 = 34

需要重新组合 = 712

重新组合成功 = 60

重新组合失败 = 0

数据报分段成功 = 65

数据报分段失败 = 0

分段已创建 = 762

(省略部分内容)

指令:netstat -r >>g:显示路由表内容.txt

==========================================================

接口列表

18...e0 06 e6 ce 86 0b ......Microsoft 托管网络虚拟适配器

14...e0 06 e6 ce 86 0b ......Microsoft Wi-Fi Direct 虚拟适配器

13...b8 88 e3 e5 58 bd ......Realtek PCIe GBE Family Controller

12...e0 06 e6 ce 86 0b ......1x1 11b/g/n Wireless LAN PCI Express Half Mini

Card Adapter

1...........................Software Loopback Interface 1

15...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter

16...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface

17...00 00 00 00 00 00 00 e0 Microsoft 6to4 Adapter

==========================================================

IPv4 路由表

==========================================================

活动路由:

网络目标 网络掩码 网关 接口 跃点数

0.0.0.0 0.0.0.0 222.20.69.254 222.20.69.237

276

127.0.0.0 255.0.0.0 在链路上

127.0.0.1 306

127.0.0.1 255.255.255.255 在链路上

127.0.0.1 306

127.255.255.255 255.255.255.255 在链路上

127.0.0.1 306

222.20.69.0 255.255.255.0 在链路上

222.20.69.237 276

222.20.69.237 255.255.255.255 在链路上

222.20.69.237 276

222.20.69.255 255.255.255.255 在链路上

222.20.69.237 276

224.0.0.0 240.0.0.0 在链路上

127.0.0.1 306

224.0.0.0 240.0.0.0 在链路上

222.20.69.237 276

255.255.255.255 255.255.255.255 在链路上

127.0.0.1 306

255.255.255.255 255.255.255.255 在链路上

222.20.69.237 276

⑹ Ping

验证与远程计算机的连接。该命令只有在安装了 TCP/IP 协议后才可以使用。

指令：ping 202.114.25.170 >>g:Ping指定的计算机.txt

正在 Ping 202.114.25.170 具有 32 字节的数据:

来自 202.114.25.170 的回复: 字节=32 时间=1ms TTL=64

来自 202.114.25.170 的回复: 字节=32 时间=1ms TTL=64

来自 202.114.25.170 的回复: 字节=32 时间=1ms TTL=64

来自 202.114.25.170 的回复: 字节=32 时间<1ms TTL=64

202.114.25.170 的 Ping 统计信息:

数据包: 已发送 = 4，已接收 = 4，丢失 = 0 (0% 丢失)，

往返行程的估计时间(以毫秒为单位):

最短 = 0ms，最长 = 1ms，平均 = 0ms

指令:route print >>g:打印路由表.txt

=====================================================

接口列表

18...e0 06 e6 ce 86 0b ......Microsoft 托管网络虚拟适配器

14...e0 06 e6 ce 86 0b ......Microsoft Wi-Fi Direct 虚拟适配器

13...b8 88 e3 e5 58 bd ......Realtek PCIe GBE Family Controller

12...e0 06 e6 ce 86 0b ......1x1 11b/g/n Wireless LAN PCI Express Half

Mini Card Adapter

1...........................Software Loopback Interface 1

15...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter

16...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface

17...00 00 00 00 00 00 00 e0 Microsoft 6to4 Adapter

=====================================================

IPv4 路由表

=====================================================

活动路由:

网络目标 网络掩码 网关 接口 跃点数

0.0.0.0 0.0.0.0 222.20.69.254

222.20.69.237 276

127.0.0.0 255.0.0.0 在链路上

127.0.0.1 306

127.0.0.1 255.255.255.255 在链路上

127.0.0.1 306

127.255.255.255 255.255.255.255 在链路上

127.0.0.1 306

222.20.69.0 255.255.255.0 在链路上

222.20.69.237 276

222.20.69.237 255.255.255.255 在链路上

222.20.69.237 276

222.20.69.255 255.255.255.255 在链路上

指令:route add 10.13.0.0 mask 255.255.0.0 10.111.142.1

指令:route print >>g:打印路由表.txt

添加一项路由,再次打印路由表,可见10.13.0.0

IPv4 路由表

=====================================================

活动路由:

网络目标 网络掩码 网关 接口 跃点数

0.0.0.0 0.0.0.0 222.20.69.254

222.20.69.237 276

10.13.0.0 255.255.0.0 10.111.142.1

222.20.69.237 21

127.0.0.0 255.0.0.0 在链路上

127.0.0.1 306

指令:route delete 10.13.0.0

删除一项路由,再次打印路由表,可见10.13.0.0已不在表中

IPv4 路由表

=====================================================

活动路由:

网络目标 网络掩码 网关 接口 跃点数

0.0.0.0 0.0.0.0 222.20.69.254

222.20.69.237 276

127.0.0.0 255.0.0.0 在链路上

127.0.0.1 306

127.0.0.1 255.255.255.255 在链路上

127.0.0.1 306

⑽ Tracert

该诊断实用程序将包含不同生存时间 (TTL) 值的 Internet 控制消息协议 (ICMP)

回显数据包发送到目标，以决定到达目标采用的路由。

指令:tracert >>g:跟踪路由.txt

通过最多 30 个跃点跟踪

到 [202.114.0.245] 的路由:

1 1 ms 1 ms 1 ms 222.20.69.254

2 1 ms 1 ms 1 ms 115.156.255.149

3 2 ms 1 ms 1 ms 115.156.255.129

4 1 ms 1 ms 1 ms 115.156.255.105

5 1 ms 1 ms 1 ms 115.156.255.13

6 1 ms 1 ms 1 ms [202.114.0.245]

跟踪完成。

实验过程中遇到的问题如何解决的？

本次实验的体会（结论）

指导教师评语：

日期：

计算机网络课程

实验报告

实验2：使用包嗅探及协议分析软件Ethereal 分析

Ethernet帧

姓名

实验地点

实验课表现

实验目的：

使用包嗅探及协议分析软件Ethereal 分析 Ethernet帧

张京林

出勤、表现得分

操作结果得分

院系

南六楼

自动化学院

实验时间

实验报告

得分

学号

U201013680

4月21日

实验总分

实验内容：

1. 在windows中安装Ethereal软件。

2. 配置包捕获模式为混杂模式，捕获网络中所有机器的数据包.当捕获到一定数量的数据报后，停止捕获，观察捕获到的数据包，并对照解析结果和原始数据包的具体字段（如了解本机网卡地址字段、IP地址字段、端口号等）

3. 配置包捕获过滤器，只捕获特定IP地址、特定端口或特定类型的包，然后重新开始捕获

（1）用netstat命令查看系统正在开放的端口及状态：

C:UsersZJL>netstat

活动连接

协议 本地地址 外部地址 状态

TCP 222.20.69.237:28439 tb-in-f125:5222 ESTABLISHED

TCP 222.20.69.237:28455 163.177.65.209:imaps ESTABLISHED

TCP 222.20.69.237:28777 .:http ESTABLISHED

TCP 222.20.69.237:28778 .:http ESTABLISHED

可以看到28778端口为Http端口，然后设置捕获规则如下，捕捉本地发出

的或者接收的28778端口的tcp协议包

（2）Capture Filter：tcp port 28778 and host 222.20.69.237

0000 00 1a a9 15 6c 8f b8 88 e3 e5 58 bd 08 00 45 00 ....l... ..X...E.

0010 00 28 3d ba 40 00 40 06 e2 35 de 14 45 ed 75 87 .(=.@.@. .5..E.u.

0020 81 57 70 6a 00 50 8d c9 8c 53 00 3d 5e e0 50 11 .Wpj.P.. .S.=^.P.

0030 01 9a a9 64 00 00 ...d..

分析以上捕获的包，请看加下划线的部分：

06表示TCP协议，de 14 45 ed是本机IP222.20.69.237的十六进制，70 6a表示源端口为

28778

4. （a）捕捉任何主机发出的Ethernet 802.3格式的帧（帧的长度字段<=1500），

Ethereal的capture filter 的filter string设置为：ether[12:2] <= 1500

0000 01 80 c2 00 00 00 00 1a a9 c2 6e 2e 00 27 42 42 ..........n..'BB

0010 03 00 00 02 02 7c 10 00 00 1a a9 15 6c 8e 00 00 .....|......l...

0020 4a 38 80 00 00 1a a9 c2 6e 2e 80 05 01 00 14 00 J8......n.......

0030 02 00 0f 00 00 00 0f 00 00 30 10 fa .........0..

IEEE 802.3 Ethernet

Destination: Spanning-tree-(for-bridges)_00 (01:80:c2:00:00:00)

Source: FujianSt_c2:6e:2e (00:1a:a9:c2:6e:2e)

Length: 39

Trailer: 000f00003010fa

Logical-Link Control

DSAP: Spanning Tree BPDU (0x42)

IG Bit: Individual

SSAP: Spanning Tree BPDU (0x42)

CR Bit: Command

Control field: U, func=UI (0x03)

Spanning Tree Protocol

由以上分析可知所抓的18个包上层协议都为STP(Spanning Tree Protocol)

（b）捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧（帧的长度字段>1500, 帧的长度字段实际上是类型字段）， Ethereal的capture

filter 的filter string设置为：ether[12:2] > 1500

0000 00 1a a9 15 6c 8f b8 88 e3 e5 58 bd 08 00 45 00 ....l... ..X...E.

0010 00 28 ca a1 00 00 7f 06 96 e4 de 14 45 ed 3a d7 .(...... ....E.:.

0020 7b 71 6c a5 00 50 0c be 66 e4 8c 82 19 b6 50 10 {ql..P.. f.....P.

0030 7d 78 d1 41 00 00 }x.A..

Frame 2577: 54 bytes on wire (432 bits), 54 bytes captured (432 bits)

Ethernet II, Src: CompalIn_e5:58:bd (b8:88:e3:e5:58:bd), Dst: FujianSt_15:6c:8f

(00:1a:a9:15:6c:8f)

Destination: FujianSt_15:6c:8f (00:1a:a9:15:6c:8f)

Source: CompalIn_e5:58:bd (b8:88:e3:e5:58:bd)

Type: IP (0x0800)

由08 00字段表示的Type为IP则说明上层协议为IP,抓取的566个包里面上层协议还有ARP、IP、IPV6、LLDP等。

5. 捕捉并分析局域网上的所有ethernet broadcast广播帧，Ethereal的capture filter

的filter string设置为：ether broadcast

(1). 观察并分析哪些主机在发广播帧，这些帧的高层协议是什么？主要做什么用处？

0000 ff ff ff ff ff ff 00 1a a9 15 6c 8f 08 06 00 01 ..........l.....

0010 08 00 06 04 00 01 00 1a a9 15 6c 8f de 14 45 fe ..........l...E.

0020 00 00 00 00 00 00 de 14 45 96 de 14 03 96 1a ea ........E.......

0030 3e 81 00 6d 8e 63 64 31 3a 61 64 32 >..1:ad2

Frame 12: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)

Ethernet II, Src: FujianSt_15:6c:8f (00:1a:a9:15:6c:8f), Dst: Broadcast

(ff:ff:ff:ff:ff:ff)

Destination: Broadcast (ff:ff:ff:ff:ff:ff)

Source: FujianSt_15:6c:8f (00:1a:a9:15:6c:8f)

Type: ARP (0x0806)

Trailer: de1403961aea3e81006d8e6364313a616432

Address Resolution Protocol (request)

所抓308个广播包如图所示，在发送广播帧的主机有222.20.69.254、222.20.69.163、222.20.69.19、222.20.69.234等，这些帧的高层协议有只有IP和ARP两种。

(2). 你的LAN的共享网段上连接了多少台计算机？1分钟内有几个广播帧？有否发生广播风暴？

C:UsersZJL>net view

服务器名称 注解

----------------------------------

CHEN-PC

CLM-PC

HEYEKUN-THINK

LBDZ-20120929XK

OEM-20120202FHA

PC-2

PC-2

PIGSYFFAAZNPV7Q

THNUARW0AP8Q3SG

VIVIAN Vivian_kai

WZY-PC

XIANKE-PC

XP-2

命令成功完成。

在命令行用net view查看当前域内的计算机名，上述列表共有13台计算机。100M网络每秒的最大数据为12.5M*1024=12800Byte/S。如果网络中广播数据包的每秒数接近或大于此值，网络就存在“广播风暴”了。为了检测是否

发生―网络风暴‖，再设置wireshark的Capture Options如下图，捕获过滤广播包，捕获停止条件为1分钟，这段时间内wireshark共抓到664个广播包。再查看wireshark—Statistics—Summary的统计数据，如下图，发现1分钟内644个广播包，96812bytes的大小，平均速度为1621.839bytes/sec<12800bytes/sec故而判断此时并未发生―网络风暴‖。

6. 捕捉局域网上的所有ethernet multicast帧，Ethereal的capture filter 的filter

string设置为：ether multicast

(1). 观察并分析哪些节点在发multicast帧，这些帧的高层协议是什么？

0000 01 80 c2 00 00 0e 00 d0 f8 ef 5c 81 88 cc 02 07 ...............

0010 04 00 1a a9 15 6c 8e 04 07 03 00 1a a9 15 6c 8e .....l........l.

0020 06 02 00 79 08 13 47 69 67 61 62 69 74 45 74 68 ...y..GigabitEth

(省略22行)

Frame 36: 404 bytes on wire (3232 bits), 404 bytes captured (3232 bits)

Ethernet II, Src: FujianSt_ef:5c:81 (00:d0:f8:ef:5c:81), Dst: LLDP_Multicast

(01:80:c2:00:00:0e)

Destination: LLDP_Multicast (01:80:c2:00:00:0e)

Source: FujianSt_ef:5c:81 (00:d0:f8:ef:5c:81)

Type: 802.1 Link Layer Discovery Protocol (LLDP) (0x88cc)

Link Layer Discovery Protocol

抓了600个包，发送multicast帧的节点有FujianSt_ef:5c:81,222.20.69.163,

222.20.69.82, 222.20.69.19, 222.20.69.88等，这些帧的高层协议有ARP、IP、IPV6、STP、LLDP协议等。

实验过程中遇到的问题如何解决的？

问题1：本地数据存放的字节顺序和网络包中的字节顺序是否相同？请按照字符型、短整数型和长整数型分别比较。

答:不一定相同,网络字节顺序(NBO)是按照从高到低的顺序存储的,使用统一的网络字节顺序可以避免兼容性问题。但是主机字节顺序(HBO)则由主机的CPU设计决定，比如我的ARM-A10处理器则是小端字节序(Little endian) 将低序字节存储在起始地址，这种字节序最符合人的思维习惯。

问题2：怎样知道哪些数据包是MAC广播包或IP子网广播包？

答:

(1) IP地址广播有三种：255.255.255.255叫本地广播，也叫直播，direct broadcast，不跨路由器。222.20.69.255叫子网广播，广播给222.20.69.0这个子网，可以跨路由器。222.20.255.255叫全子网广播，广播给222.20.0.0这个主网，可以跨路由器。

(2) MAC地址广播就是在数据链路层将目标MAC地址设为ff:ff:ff:ff:ff:ff

IP地址广播是三层网络层的广播,MAC地址广播是二层数据链路层的广播,要查看数据包是属于MAC广播包还是IP子网广播包只需查看数据包是属于哪一层的广播,比如ARP广播包必为二层广播,也是MAC广播包,而IP数据包则是第三层的,此时如果目的IP地址为222.20.69.255则为IP子网广播包。

本次实验的体会（结论）

指导教师评语：

日期：

计算机网络课程

实验报告

实验3：使用包嗅探及协议分析软件Ethereal 分析高层协议

姓名

实验地点

实验课表现

实验目的：

张京林 院系

南六楼

出勤、表现得分

操作结果得分

自动化学院

实验时间

实验报告

得分

学号

U201013680

4月21日

实验总分

掌握协议分析软件Ethereal的使用方法

实验内容：

1. 捕捉局域网上本机（假设为主机222.20.69.237）发出或接受的所有ARP包，Ethereal的capture filter 的filter string设置为：arp host 222.20.69.237

(1).主机222.20.69.237上执行 ‖ arp –d * ‖ 清除arp 缓存.

(2).观察并分析主机222.20.69.237发出或接受的所有ARP包，及arp包结构。

上图是捕获的前六条记录，前一条是ARP request 后一条是ARP reply

0000 ff ff ff ff ff ff b8 88 e3 e5 58 bd 08 06 00 01 ..........X.....

0010 08 00 06 04 00 01 b8 88 e3 e5 58 bd de 14 45 ed ..........X...E.

0020 00 00 00 00 00 00 de 14 45 ef ........E.

Frame 1: 42 bytes on wire (336 bits), 42 bytes captured (336 bits)

Ethernet II, Src: CompalIn_e5:58:bd (b8:88:e3:e5:58:bd), Dst: Broadcast

(ff:ff:ff:ff:ff:ff)

Address Resolution Protocol (request)

Hardware type: Ethernet (1)

Protocol type: IP (0x0800)

Hardware size: 6

Protocol size: 4

Opcode: request (1)

[Is gratuitous: False]

Sender MAC address: CompalIn_e5:58:bd (b8:88:e3:e5:58:bd)

Sender IP address: 222.20.69.237 (222.20.69.237)

Target MAC address: 00:00:00_00:00:00 (00:00:00:00:00:00)

Target IP address: 222.20.69.239 (222.20.69.239)

0000 b8 88 e3 e5 58 bd 00 23 5a ad a6 93 08 06 00 01 ....X..#Z.......

0010 08 00 06 04 00 02 00 23 5a ad a6 93 de 14 45 ef .......#Z.....E.

0020 b8 88 e3 e5 58 bd de 14 45 ed 00 00 00 00 00 00 ....X...E.......

0030 00 00 00 00 00 00 00 00 00 00 00 00 ............

Frame 2: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)

Ethernet II, Src: CompalIn_ad:a6:93 (00:23:5a:ad:a6:93), Dst: CompalIn_e5:58:bd

(b8:88:e3:e5:58:bd)

Address Resolution Protocol (reply)

Hardware type: Ethernet (1)

Protocol type: IP (0x0800)

Hardware size: 6

Protocol size: 4

Opcode: reply (2)

[Is gratuitous: False]

Sender MAC address: CompalIn_ad:a6:93 (00:23:5a:ad:a6:93)

Sender IP address: 222.20.69.239 (222.20.69.239)

Target MAC address: CompalIn_e5:58:bd (b8:88:e3:e5:58:bd)

Target IP address: 222.20.69.237 (222.20.69.237)

这是Ethernet II格式的包，ARP协议的任务是将IP地址转换成物理地址。

以上两个ARP包中Frame是物理层数据帧情况，Ethernet II数据链路层以太网帧头部信息，Address Resolution Protocol (request和reply)是网络层的地址解析部分，request包发送一个ARP请求，询问目标IP222.20.69.239的MAC地址，reply回复222.20.69.239的MAC地址00:23:5a:ad:a6:93，如上面解析字段划线部分所示。

2.捕捉局域网上的所有IP广播包，Ethereal的capture filter 的filter string设置为：ip broadcast

(1). 观察并分析哪些节点在发广播包，这些包的高层协议是什么？

0000 ff ff ff ff ff ff c8 60 00 b5 f8 84 08 00 45 00 .......`......E.

0010 01 5e 21 36 00 00 40 11 35 17 de 14 45 2e ff ff .^!6..@.5...E...

0020 ff ff c8 04 0a 5e 01 4a d3 f1 11 ad 94 86 78 2f .....^.J......x/

Frame 11: 364 bytes on wire (2912 bits), 364 bytes captured (2912 bits)

Ethernet II, Src: AsustekC_b5:f8:84 (c8:60:00:b5:f8:84), Dst: Broadcast (ff:ff:ff:ff:ff:ff)

Destination: Broadcast (ff:ff:ff:ff:ff:ff)

Source: AsustekC_b5:f8:84 (c8:60:00:b5:f8:84)

Type: IP (0x0800)

Internet Protocol Version 4, Src: 222.20.69.46 (222.20.69.46), Dst: 255.255.255.255

(255.255.255.255)

User Datagram Protocol, Src Port: 51204 (51204), Dst Port: corel-vncadmin (2654)

Source port: 51204 (51204)

Destination port: corel-vncadmin (2654)

Length: 330

Checksum: 0xd3f1 [validation disabled]

Data (322 bytes)

所抓64个广播包如图所示，在发送广播帧的主机有222.20.69.46、222.20.69.74、222.20.69.86、192.168.137.84等，这些帧的高层协议是UDP、WSP。

3. 捕捉局域网上的所有IP组播包，Ethereal的capture filter 的filter string设置为：

ip multicast

(1). 观察并分析哪些节点在发组播包，这些包的高层协议是什么？

0000 01 00 5e 00 00 16 a4 ba db ca 66 25 08 00 46 00 ..^.......f%..F.

0010 00 28 43 6d 00 00 01 02 dd e3 de 14 45 54 e0 00 .(Cm........ET..

0020 00 16 94 04 00 00 22 00 f9 00 00 00 00 01 04 00 ......".........

0030 00 00 e0 00 00 fd 00 00 00 00 00 00 ............

Frame 84: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)

Ethernet II, Src: Dell_ca:66:25 (a4:ba:db:ca:66:25), Dst: IPv4mcast_00:00:16

(01:00:5e:00:00:16)

Destination: IPv4mcast_00:00:16 (01:00:5e:00:00:16)

Source: Dell_ca:66:25 (a4:ba:db:ca:66:25)

Type: IP (0x0800)

Trailer:

Internet Protocol Version 4, Src: 222.20.69.84 (222.20.69.84), Dst: 224.0.0.22

(224.0.0.22)

Internet Group Management Protocol

在发送组播包的节点有222.20.69.158, 222.20.69.44, 222.20.69.187, 222.20.69.84等，他们的高层协议是UDP、LLMR、SSDP、IPV6、IGMP等。

4. 捕捉局域网上的所有icmp包，Ethereal的capture filter 的filter string设置为：icmp

(1). 在主机222.20.69.237上 ping 局域网上的另一主机（例如222.20.69.238）。

(2). 观察并分析主机222.20.69.237发出或接受的所有icmp包，及icmp包的类型和结构。

Ping另一台主机222.20.69.238的四条请求与四条回复如上图，这八条包都是IP包

0000 20 6a 8a 3a 55 4e b8 88 e3 e5 58 bd 08 00 45 00 j.:UN....X...E.

0010 00 3c 28 3f 00 00 40 01 0a 7e de 14 45 ed de 14 .<(?..@..~..E...

0020 45 ee 08 00 4b ea 01 00 00 72 61 62 63 64 65 66 E...K....rabcdef

0030 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 ghijklmnopqrstuv

0040 77 61 62 63 64 65 66 67 68 69 wabcdefghi

Frame 1: 74 bytes on wire (592 bits), 74 bytes captured (592 bits)

Ethernet II, Src: CompalIn_e5:58:bd (b8:88:e3:e5:58:bd), Dst: WistronI_3a:55:4e

(20:6a:8a:3a:55:4e)

Destination: WistronI_3a:55:4e (20:6a:8a:3a:55:4e)

Source: CompalIn_e5:58:bd (b8:88:e3:e5:58:bd)

Type: IP (0x0800)

Internet Protocol Version 4, Src: 222.20.69.237 (222.20.69.237), Dst: 222.20.69.238

(222.20.69.238)

Internet Control Message Protocol

Type: 8 (Echo (ping) request)

Code: 0

Checksum: 0x4bea [correct]

Identifier (BE): 256 (0x0100)

Identifier (LE): 1 (0x0001)

Sequence number (BE): 114 (0x0072)

Sequence number (LE): 29184 (0x7200)

[Response In: 2]

Data (32 bytes)

上面解析字段的划线部分为ICMP报文部分。

IP头部的Protocol值为1就说明这是一个ICMP报文

ICMP头部中的类型（Type）域用于说明ICMP报文的作用及格式

此外还有代码（Code）域用于详细说明某种ICMP报文的类型

所有数据都在ICMP头部后面。

一个ICMP报文包括IP头部（20字节）、ICMP头部（12字节）和ICMP报文，结构如下。

实验过程中遇到的问题如何解决的？

本次实验的体会（结论）

指导教师评语：

日期：

计算机网络课程

实验报告

实验4：使用协议分析软件Ethereal 分析应用层协议

姓名

实验地点

实验课表现

实验目的：

张京林 院系

南六楼

出勤、表现得分

操作结果得分

自动化学院

实验时间

实验报告

得分

学号

U201013680

4月21日

实验总分

使用协议分析软件分析应用层协议，理解应用层协议的工作过程。

实验内容：

1. 捕捉本机和某www服务器（如）之间的通信，Ethereal的capture filter 的filter string设置为：host 本机ip地址 and 。（本机ip地址需要替换为本机真正的ip地址，如222.20.69.237）

启动wireshark开始捕获，然后打开浏览器进入华中科技大学主页（），这时wireshark会捕获到一系列数据包，选中GET

/ HTTP/1.1 这条记录，右键点击"Follow TCP Stream", 使得display

filter过滤出与打开网站相关的数据包。

用wireshark抓到的数据包如下图：

上面四个包中前三个TCP包正是三次握手的过程，最后一个HTTP包则表明连接已建立。

下面是第一次握手：

客户端发送一个TCP请求，标志位为SYN序列号为0，代表客户端请求建立连接。如下图

第二次握手：

服务器发回确认包, 标志位SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图

第三次握手：

客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1,

如下图:

2. 捕捉局域网上本机发出或接受的所有FTP包（即src or dst port＝21），Ethereal的capture filter 的filter string设置为：tcp port 21 and host 本机ip（本机IP:222.20.69.237）

下面以基地FTP服务器登录为例，设置过滤条件开始过滤，然后登录FTP服务器，wireshark捕获的前四个数据包如下图，和上面的TCP三次握手的过程一样，第四个FTP包则回复―220 Welcome to HustSmart Car FTP servers‖建立连接，第五个FTP包开始发送请求USER开头的是用户名，第八个FTP包发送请求PASS开头的是密码，最后第十个FTP包为服务器的回复，表明FTP登录成功。

选中第四条记录，右键点击"Follow TCP Stream",则得到以下信息，可以看到FTP服务器的名字，用户名，密码以及其他信息

220 Welcome to HustSmart Car FTP servers

USER upload

331 Please specify the password.

PASS 123456

230 Login successful.

（省略部分内容）

下面详细分析FTP request PDU中以USER开头、以PASS开头的两个PDU所包含的的信息，如下图第五条记录中FTP部分以USER开头的PDU包含了账户―upload‖

下图第八条记录中PASS开头的PDU中包含了密码

从以上例子可以看出FTP服务的账户和密码信息可以被wireshark等网络工具捕获，并以明文显示，在使用中存在很大的安全隐患

3. 捕捉局域网上本机发出或接受的所有POP包（即src or dst port＝110），Ethereal的capture filter 的filter string设置为：tcp port 110 and host 本机ip地址（本机IP:222.20.69.237）

Wireshark捕获的包如上图所示

选中第18条记录, 右键点击"Follow TCP Stream",可以查看一下Wireshark分析出来的POP3信息,包括服务名称,用户名,密码等安全信息。

下面是POP协议的内容

0000 00 1a a9 15 6c 8f b8 88 e3 e5 58 bd 08 00 45 00 ....l.....X...E.

0010 00 38 09 8b 40 00 40 06 27 b1 de 14 45 ed a3 b1 .8..@.@.'...E...

0020 41 d1 31 db 00 6e 8c a0 74 2d 74 09 c4 9c 50 18 -t...P.

0030 01 b2 9a 14 00 00 55 53 45 52 20 32 34 39 31 32 ......USER 24912

0040 39 31 38 36 0d 0a 9186..

Frame 18: 70 bytes on wire (560 bits), 70 bytes captured (560 bits)

Ethernet II, Src: CompalIn_e5:58:bd (b8:88:e3:e5:58:bd), Dst: FujianSt_15:6c:8f

(00:1a:a9:15:6c:8f)

Internet Protocol Version 4, Src: 222.20.69.237 (222.20.69.237), Dst: 163.177.65.209

(163.177.65.209)

Transmission Control Protocol, Src Port: 12763 (12763), Dst Port: pop3 (110), Seq:

13, Ack: 101, Len: 16

Post Office Protocol

USER 249129186rn

Request command: USER

Request parameter: 249129186

前14字节是物理层Ethernet II报文,接下来20字节是IP报文,再接下来20字节是TCP报文,最后16字节是POP报文,在以上解析字段的POP3 request中的POP报文USER部分包含了账户信息,在第23条记录中POP报文PASS部分则包含了密码信息。这些安全信息都是以明文显示的，在网络通信过程中很容易被获取，故而使用POP3协议这样的不加密的邮件收发协议是非常不安全的。

实验过程中遇到的问题如何解决的？

本次实验的体会（结论）

指导教师评语：

日期：