网络实验指导书

的拷贝。高层协议（如：HTTP、FTP、TCP、UDP、DNS、IP等）交换的报文都被封装在链路层帧中，并沿着物理媒体（如以太网的电缆）传输。图1假设所使用的物理媒体是以太网，上层协议的报文最终封装在以太网帧中。

分组嗅探器的第二个组成部分是分析器。分析器用来显示协议报文所有字段的内容。为此，分析器必须能够理解协议所交换的所有报文的结构。例如：我们要显示图1中HTTP协议所交换的报文的各个字段。分组分析器理解以太网帧格式，能够识别包含在帧中的IP数据报。分组分析器也要理解IP数据报的格式，并能从IP数据报中提取出TCP报文段。然后，它需要理解TCP报文段，并能够从中提取出HTTP消息。最后，它需要理解HTTP消息。

Ethereal是一种可以运行在Windows, UNIX, Linux等操作系统上的分组分析器。Ethereal是免费的，可以从Http://www.ethereal.com得到。运行ethereal程序时，其图形用户界面如图2所示。最初，各窗口中并无数据显示。ethereal的界面主要有五个组成部分：

图2 Ethereal的用户界面

? 命令菜单（command menus）：命令菜单位于窗口的最顶部，是标准的下拉式菜单。最常用菜单命令有两个：File、Capture。File菜单允许你保存俘获的分组数据或打开一个已被保存的俘获分组数据文件或退出ethereal程序。Capture菜单允许你开始俘获分组。

? 俘获分组列表（listing of captured packets）：按行显示已被俘获的分组内容，其中包括：ethereal赋予的分组序号、俘获时间、分组的源地址和目的地址、协议类型、分组中所包含的协议说明信息。单击某一列的列名，可以使分组按指定列进行排序。在该列表中，所显示的协议类型是发送或接收分组的最高层协议的类型。

? 分组头部明细（details of selected packet header）：显示俘获分组列表窗口中被选中分组的头部详细信息。包括：与以太网帧有关的信息，与包含在该分组中的IP数据报有关的信息。单击以太网帧或IP数据报所在行左边的向右或向下的箭头可以展开或最小化相关信息。另外，如果利用TCP或UDP承载分组，ethereal也会显示TCP或UDP协议头部信息。最后，分组最高层协议的头部字段也会显示在此窗口中。

? 分组内容窗口（packet content）：以ASCII码和十六进制两种格式显示被俘获帧的完整内容。

? 显示筛选规则（display filter specification）：在该字段中，可以填写协议的名称或其

13

他信息，根据此内容可以对分组列表窗口中的分组进行过滤。

?

（一） Ethereal的使用

? 启动主机上的web浏览器。

? 启动ethereal。你会看到如图2所示的窗口，只是窗口中没有任何分组列表。

? 开始分组俘获：选择“capture”下拉菜单中的“Start”命令，会出现如图3所示的

“Ethereal: Capture Options”窗口，可以设置分组俘获的选项。

图3 Ethereal的Capture Option

? 在实验中，可以使用窗口中显示的默认值。在“Ethereal: Capture Options”窗口的最上面有一个“interface”下拉菜单，其中显示计算机所具有的网络接口（即网卡）。当计算机具有多个活动网卡时，需要选择其中一个用来发送或接收分组的网络接口（如某个有线接口）。随后，单击“ok”开始进行分组俘获，所有由选定网卡发送和接收的分组都将被俘获。

? 开始分组俘获后，会出现如图4所示的分组俘获统计窗口。该窗口统计显示各类已俘获分组的数量。在该窗口中有一个“stop”按钮，可以停止分组的俘获。但此时你最好不要停止俘获分组。

? 在运行分组俘获的同时，在浏览器地址栏中输入某网页的URL，如：http://www.hit.edu.cn。为显示该网页，浏览器需要连接www.hit.edu.cn的服务器，并与之交换HTTP消息，以下载该网页。包含这些HTTP报文的以太网帧将被Ethereal俘获。

14

图4 Ethereal的Packet Capture Windows

? 当完整的页面下载完成后，单击Ethereal俘获窗口中的stop按钮，停止分组俘获。此时，分组俘获窗口关闭。Ethereal主窗口显示已俘获的你的计算机与其他网络实体交换的所有协议报文，其中一部分就是与www.hit.edu.cn服务器交换的HTTP报文。此时主窗口与图2相似。

? 在显示筛选规则中输入“http”，单击“apply”，分组列表窗口将只显示HTTP协议报文。

? 选择分组列表窗口中的第一条http报文。它应该是你的计算机发向www.hit.edu.cn服务器的HTTP GET报文。当你选择该报文后，以太网帧、IP数据报、TCP报文段、以及HTTP报文首部信息都将显示在分组首部子窗口中。单击分组首部详细信息子窗口中向右和向下箭头，可以最小化帧、以太网、IP、TCP信息显示量，可以最大化HTTP协议相关信息的显示量。

（二）HTTP和DNS分析

1. HTTP GET/response交互

首先通过下载一个非常简单的HTML文件（该文件非常短，并且不嵌入任何对象）。 ? 启动Web browser，然后启动Ethereal分组嗅探器。在窗口的显示过滤说明处输入“http”，分组列表子窗口中将只显示所俘获到的HTTP报文。

? 开始Ethereal分组俘获。

? 在打开的Web browser窗口中输入一下地址（浏览器中将显示一个只有几行文字的非常简单的HTML文件）：

http://hitgs.hit.edu.cn/news/detail1.jsp?ID1=9042

15

? 停止分组俘获。

根据俘获窗口内容，思考以下问题：

? 你的浏览器运行的是HTTP1.0，还是HTTP1.1？你所访问的服务器所运行HTTP协议的版本号是多少？

? 你的浏览器向服务器指出它能接收何种语言版本的对象？

? 你的计算机的IP地址是多少？服务器hitgs.hit.edu.cn的IP地址是多少？ ? 从服务器向你的浏览器返回的状态代码是多少？

2. HTTP 条件GET/response交互

? 启动浏览器，清空浏览器的缓存（在浏览器中，选择“工具”菜单中的“Internet选项”命令，在出现的对话框中，选择“删除文件”）。

? 启动Ethereal分组俘获器。开始Ethereal分组俘获。

? 在浏览器的地址栏中输入以下URL: http://www.wxjy.com.cn/jysk/gdwx/yijing.html,在你的浏览器中重新输入相同的URL或单击浏览器中的“刷新”按钮。

? 停止Ethereal分组俘获，在显示过滤筛选说明处输入“http”,分组列表子窗口中将只显示所俘获到的HTTP报文。

根据俘获窗口内容，思考以下问题：

? 分析你的浏览器向服务器发出的第一个HTTP GET请求的内容，在该请求报文中，是否有一行是：IF-MODIFIED-SINCE？

? 分析服务器响应报文的内容，服务器是否明确返回了文件的内容？如何获知？ ? 分析你的浏览器向服务器发出的第二个“HTTP GET”请求，在该请求报文中是否有一行是：IF-MODIFIED-SINCE？如果有，在该首部行后面跟着的信息是什么？

? 服务器对第二个HTTP GET请求的响应中的HTTP状态代码是多少？服务器是否明确返回了文件的内容？请解释。

3. 跟踪DNS

nslookup工具允许主机向指定的DNS服务器查询某个DNS记录。如果没有指明DNS

服务器，nslookup将把查询请求发向默认的DNS服务器。nslookup的一般格式是： nslookup –option1 –option2 host-to-find dns-server

ipconfig命令用来显示你当前的TCP/IP信息，包括：你的地址、DNS服务器的地址、适配器的类型等信息。如果，要显示与主机相关的信息用命令：

ipconfig/all

如果查看DNS缓存中的记录用命令： ipconfig/displaydns

要清空DNS缓存，用命令： ipconfig /flushdns

运行以上命令需要进入MSDOS环境。

（1） 利用ipconfig命令清空你的主机上的DNS缓存。启动浏览器，并将浏览器的缓存清空。

（2） 启动Ethereal，在显示过滤筛选说明处输入“ip.addr==your_IP_address”(如：ip.addr==192.168.1.61)，过滤器将会删除所有目的地址和源地址都与指定IP地址不同的分组。

（3） 开始Ethereal分组俘获。

（4） 在浏览器的地址栏中输入：http://hitgs.hit.edu.cn/ /

16