2023年7月31日发(作者：)

实验二 利用网络嗅探工具

Ethereal 分析数据报文

一、实验目的

网络世界中，最基本的单元是数据包。本实验内容作为将来各个实验的基础，培养对网络通讯协议底层的分析和认识，加强对网络的理解。实验内容主要关注 ICMP、HTTP 包的检验。

1．学习网络嗅探工具 Ethereal 的使用。

2．利用抓包工具Ethereal，抓取ICMP包，完成对ICMP 包的分析工作。明白 ICMP

包的结构。结合 TCP/IP 的模型，分析 ICMP 包各层的功能，以及各层通信使用的地址，了解 ICMP 请求和响应包的 ICMP 协议号。

3．利用抓包工具 Ethereal，抓取 HTTP 包。了解 HTTP 协议请求、响应包类型，结合课本学习知识完成的 HTTP 协议的剖析和掌握。将来的课程实验中，需要使用该工具进行包分析，判断大多数安全和网络通讯问题。

二、实验环境

1. 局域网环境

2. Ethereal软件

Ethereal 软件介绍

Ethereal是一个网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包，并尽可能显示出最为详细的网络数据包资料。网络数据包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻"的工作——只是将场景移植到网络上，并将网络线替换成电线。

三、实验任务

1. 任务 1：Ethereal 软件的基本功能使用

2. 任务 2：ICMP 数据报文的检测与分析

3. 任务 3：HTTP 数据报文的检测与分析

四、实验步骤

首先安装Ethereal和Winpcap。

任务 1：Ethereal 软件的基本功能使用

一、 打开 Ethereal，其界面如下图：

二、在菜单的“capture”选项中设置抓包的相关参数，如下图：

三、选择“interfaces”选项，对话框中显示可操作的网络适配器，如下图： 四、通过“Prepare”或上级菜单“Option”选项，可以设置抓包模式、过滤器、数据包限制字节、存档文件模式、停止规则和名字解析等参数，如下图：

设置完毕，就可以点击“Capture”，开始数据报文的捕获。

任务 2：ICMP 数据报文的检测与分析

一、ICMP 原理介绍

ICMP 是“Internet Control Message Protocol”（Internet 控制消息协议）的缩写。它是 TCP/IP 协议族的一个子协议，用于在 IP 主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。从技术角度来说，ICMP 就是一个“错误侦测与回报机制”，其目的就是能够检测网路的连线状况，也能确保连线的准确性，其功能主要有：

z 侦测远端主机是否存在。

z 建立及维护路由资料。

z 重导资料传送路径。

z 资料流量控制

ICMP协议对于网络安全具有极其重要的意义。ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。例如，在1999年8月海信集团“悬赏”50万元人民币测试防火墙的过程中，其防火墙遭受到的ICMP攻击达334050次之多，占整个攻击总数的90%以上！可见，ICMP的重要性绝不可以忽视！比如，可以利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定，向主机发起“Ping of Death”（死亡之Ping）攻击。“Ping of Death”攻击的原理是：如果ICMP数据包的尺寸超过64KB上限时，主机就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使主机死机。此外，向目标主机长时间、连续、大量地发送ICMP数据包，也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风暴”，使得目标主机耗费大量的CPU资源处理，疲于奔命。

二、ICMP数据报文的检测

Step 1：打开抓包软件Ethereal，开始抓包；

打开运行->输入cmd，进入命令行窗口

Step 2：输入被测试PC机的IP地址，如本实验中测试地址 192.168.1.1。

Step 3：停止抓包，在过滤框中键入icmp过滤icmp包，输入如下结果： Setp 4：可以从上图看到icmp的请求和响应报文，现根据TCP/IP体系结构对抓取icmp请求报文分层进行分析：

第二层参数分析：从你捕获到的数据报文中选取一个数据帧（上图仅是参考，

具体分析时采用实验中捕获的数据帧），分析其列表中的Ethernet II部分，回

答以下问题：

1）写出该数据帧MAC地址（源地址、目的地址），并在/regauth/oui/

网址上，输入该地址的前三个字节，如00-11-92，找出该网卡的生产厂商。

（注： IEEE的注册管理机构 RA 负责向厂家分配MAC地址字段的前三个字节(即高位24位)。 地址字段中的后三个字节(即低位24位)由厂家自行指派，称为扩展标识符，必须保证生产出的适配器没有重复地址。因此我们可以在网上查到该网卡的生产厂商，这对于网络攻击很有参考价值，可进一步查出网卡型号）

2）查看该MAC帧的目的地址是目标测试主机的MAC地址吗？通过什么命令可以解析目标主机MAC地址？

（但是如果本地主机和目标测试主机处于三层环境时，这里的destinationMAC就不是目标测试主机的MAC地址了，而是本地主机从属网段网关的MAC地址。）

第三层参数分析：分析列表中的Internet Protocol部分，回答以下问题：

3）指出数据报文的源地址、目的地址。

4）IP数据报文的基本信息：协议版本号、包头长度、包总长度。

高层参数分析：在列表Internet Control Message Protocol中，可以得出一个结论：ICMP协议是独立于TCP和UDP的另外一种协议。因为其并非TCP和UDP协议，所以它当然没有端口号的概念。回答以下问题：

5）说明ICMP响应报文和ICMP请求报文在高层参数中的区别

6）练习：如下图，在过滤框中输入UDP，结合UDP协议的原理，从协议参数入手，分别分析UDP请求和响应报文，说明UDP数据报文与TCP数据报文的区别。

任务 3：HTTP 数据报文的检测与分析

一、HTTP 原理介绍

HTTP（HyperTextTransferProtocol）是超文本传输协议的缩写，它用于传送WWW方式的数据。HTTP协议采用了请求/响应模型。客户端向服务器发送一个请求，请求头包含请求的方法、URI、协议版本、以及包含请求修饰符、客户信息和内容的类似于MIME的消息结构。服务器以一个状态行作为响应，响应的内容包括消息协议的版本，成功或者错误编码加上包含服务器信息、实体元信息以及可能的实体内容。

通常HTTP消息包括客户机向服务器的请求消息和服务器向客户机的响应消息。这两种类型的消息由一个起始行，一个或者多个头域，一个只是头域结束的空行和可选的消息体组成。HTTP的头域包括通用头，请求头，响应头和实体头四个部分。每个头域由一个域名，冒号（：）和域值三部分组成。域名是大小写无关的，域值前可以添加任何数量的空格符，头域可以被扩展为多行，在每行开始处，使用至少一个空格或制表符。

二、HTTP数据报文的检测

Step1：打开Ethereal抓包程序，

在IE——>地址栏中输入服务器地址 221.123.176.590（可以自己选择

访问的网址）

Step2：打开抓包工具Ethereal，在过滤框中键入http，过滤http包，输入如下结果：

Setp3：可以从上图看到http的请求和响应报文，现在抓取http请求报文结合分析整个HTTP包的第二和第三层信息如下： 参考 ICMP 数据报文的分析方法，回答以下问题：

7) 写出该数据帧MAC地址（源地址、目的地址），协议类型。

8）指出数据报文的源IP地址、目的IP地址。

9）IP数据报文的基本信息：协议版本号、包头长度、包总长度。

Setp4：现在承接步骤3从抓取的http请求报文结合分析整个HTTP包的第四和高层协议信息如下：

四层参数：Transmission Control Protocol 字段告诉 HTTP 协议下层的传输层协议是

TCP，TCP 作为一个有连接的协议，它在连接建立时会经过三次握手，在随后的 Src

Port字段给出了连接建立的源端口，细心的话通过多次实验可以发现该端口并非每次都一样，但是他们有个共性即非熟知端口(端口号大于 1024)，而 Dst Port 字段是完全相同端口 80 为熟知端口代表 HTTP 服务。

高层参数：Hypertext Transfer Protocol超文本传输协议。比如，客户 PC 通过该层与服务器对应层建立相互通信，在M-SEARCH * HTTP/1.1下可以看到3个字段RequestMethod、Request URI、Request Version。他们分别给出了该HTTP报文类型为M-SEARCH、请求 URL 目录为*、请求 HTTP 版本为 1.1。

下方各个字段分别给出了请求网页的类型、语言以及编码，通过发送下列字段请求服务器给出相应请求的服务。

10）练习：登录某个邮箱或某论坛，输入用户名和密码，利用 Ethereal 嗅探软件截获数据报文中的用户与密码信息。

要求：按照实验作业模版的格式，小四字体，1.5倍行距, 需要截图和相关语言说明。

提交日期：3月16日（周二）