实验
一、实验名称：分析TCP的三次握手和UDP协议二、实验目的1掌握正确使用Ethereal分析TCP协议的技能。2理解TCP三次握手的过程。3理解UDP协议的数据报格式。三、实验环境1运行Wi
dowsXP2003Server操作系统的PC机一台2每台PC机具有一块以太网卡，通过双绞线与局域网相连3Ethereal工具（可以从httpwwwetherealcom下载）四、实验步骤一TCP协议分析
1点击“CaptureStart”菜单，将出现一操作界面。如下图3所示。
在“I
terface“（接口）框的下拉列表中选择一个适当的接口项（如：
RealtekRTL8139810xFamilyFastEther
etNICMicrosoftsPacketSchedulerDeviceNPF_AE2AD3699F914F478B5EA9257B088540）
f图32选择协议：在图3窗口中点击“Capturefilter”如图4。在Filter
ame
和Stri
g
ame后面的文本框中填写要分析的协议名称TCP然后点击“save”按钮，如图5。再点击“ok”按钮，返回到图6界面。
图4
图5
f图6
3然后在图6界面中，点击“OK”按钮，启动IE浏览器，输入
网址如：wwwzzueduc
，等到主页完全显示，抓包情况如图7。
图7
4点击【Stop】按钮，停止包的捕获。在Ethereal的显示过滤器输
入栏中输入tcpport80并按回车，将显示所有TCP的端口号
f为80的报文段。如下图8所示。
第一次握手
Sy
1而Ack0，表明这是一个连接请求报文段。
图8第一次握手说明：图8为2222265240和www服务器wwwzzueduc
之间建立TCP连接
时的第一次握手过程：NO1为2222265240发送请求。
f协议分析一：
端口号为80的报文段的1号帧长度为62字节。
1号帧的内容。
f协议分析二：
Ether
etII帧结构。
在上图中：Desti
atio
（目的地址）为：00：e0：fc：1c：95：4b；Source（源地址）为：00：10：5c：ba：8c：11；Type（类型字段）为：0x0800，表示上层使用的是IP数据报。
f协议分析三：
IP数据报结构。
在上图中：Versio
4表示IP协议版本为4（即IPv4），其中捕获数据包的IP信息头部分（蓝色区域）的最前面1个字节“45”高四位是4，即表示此数据报是IPv4版本的；
fHeaderLe
gth20bytes表示首部长度为20字节。蓝色区域的最前面1个字节“45”的低四位是5，表示首部长度，由于首部长度以4字节为单位，所以此IP数据报首部长度为20字节。Differe
tiatedServicesField表示区分服务，其字段字节为“00”表示没有使用区分服务。TotalLe
gth48表示分片后的每一个分片的首部长度和数据长度之和为48字节；蓝色区域的第3、4个字节是“0030”，表示数据报的总长度为（3×160）48字节。Ide
tir