使用Ethereal观察ping命令的工作过程

内网中利用Wireshark分析ping命令执行过程目录1. Ping的过程 (1)2. 如图：测试环境 (1)3. 执行一下ping 18.250.0.31看看结果 (2)4. Ping同网段ip，消息发出后，无法获得目的ip的mac地址的情况 (4)5. 没有路由的情况模拟 (5)6. 恢复集成网卡的网线的情况 (6)6.1. Ping其他网段的情况 (7)6.2. Ping异网段的ip，没有得到reply的情况 (8)6.2.1. 这个ip不存在时 (8)6.2.2. 当对方ip存在，但打开防火墙时会出现time out的现象 (9)6.2.3. 没有回程路由，ping过去是time out (11)7. 结论： (12)8. 知识点： (12)Ping命令是我们常用的用来探查网络导通性的工具，ping命令执行结果往往能反应出网络的一些问题，下面我们用wireshark来分析一下内网中ping命令执行过程及几种常见结果和其原因？1.Ping的过程：ping属于icmp协议的探查消息，属于ip层协议，利用发出request消息携带一段字符串到目的ip，当收到目的ip返回的reply消息，携带同一段字符串返回时，认为网络层是导通的。

当cmd下输入ping命令后，操作系统首先查询路由表，看是否是符合直连路由，符合的话，要查询arp缓存里是否有对应目的ip的arp地址，没有的话，要发起arp广播request 消息，来获取目的ip的mac地址，获取成功后，ip层组成ping消息，二层进行mac层封装，发出二层单播消息出去到目的ip地址。

当发现不符合直连路由，就查缺省路由，这时要查询缺省网关的mac地址，当arp缓存里有缺省网关的ip的mac地址时，直接发包，没有的话，要发起二层广播arp请求消息，去请求网关的mac地址，获得到网关mac后，二层组包发出ping的request消息。

目的ip网段的网关收到ping的request消息后，检查对应arp缓存表，有的话，直接转发arp请求消息，没有的话，发起在本网段的arp查询请求二层广播消息，获得应答后，根据mac地址组包，对方目的ip收到ping的request消息后，查询自身的路由表，有回程路由的话组成ping的reply消息，携带request里携带探查字符串发回到源目的ip侧。

实验二利用网络嗅探工具Ethereal分析数据报文一、实验目的网络世界中，最基本的单元是数据包。

本实验内容作为将来各个实验的基础，培养对网络通讯协议底层的分析和认识，加强对网络的理解。

实验内容主要关注 ICMP、HTTP 包的检验。

1．学习网络嗅探工具 Ethereal 的使用。

2．利用抓包工具Ethereal，抓取ICMP包，完成对ICMP 包的分析工作。

明白 ICMP 包的结构。

结合 TCP/IP 的模型，分析 ICMP 包各层的功能，以及各层通信使用的地址，了解 ICMP 请求和响应包的 ICMP 协议号。

3．利用抓包工具 Ethereal，抓取 HTTP 包。

了解 HTTP 协议请求、响应包类型，结合课本学习知识完成的 HTTP 协议的剖析和掌握。

将来的课程实验中，需要使用该工具进行包分析，判断大多数安全和网络通讯问题。

二、实验环境1. 局域网环境2. Ethereal软件Ethereal 软件介绍Ethereal是一个网络数据包分析软件。

网络数据包分析软件的功能是截取网络数据包，并尽可能显示出最为详细的网络数据包资料。

网络数据包分析软件的功能可想像成"电工技师使用电表来量测电流、电压、电阻"的工作——只是将场景移植到网络上，并将网络线替换成电线。

三、实验任务1. 任务1：Ethereal 软件的基本功能使用2. 任务2：ICMP 数据报文的检测与分析3. 任务3：HTTP 数据报文的检测与分析四、实验步骤首先安装Ethereal和Winpcap。

任务1：Ethereal 软件的基本功能使用一、 打开 Ethereal，其界面如下图：二、在菜单的“capture”选项中设置抓包的相关参数，如下图：三、选择“interfaces”选项，对话框中显示可操作的网络适配器，如下图：四、通过“Prepare”或上级菜单“Option”选项，可以设置抓包模式、过滤器、数据包限制字节、存档文件模式、停止规则和名字解析等参数，如下图：设置完毕，就可以点击“Capture”，开始数据报文的捕获。

Ethereal协议分析实验指导Ethereal是一个开放源码的网络分析系统，也是目前最好的开放源码的网络协议分析器，支持Linux和windows平台。

Ethereal 基本类似于tcpdump，但 Ethereal 还具有设计完美的 GUI 和众多分类信息及过滤选项。

用户通过 Ethereal，同时将网卡插入混杂模式，可以查看到网络中发送的所有通信流量。

Ethereal网络协议分析软件可以十分方便直观地应用于计算机网络原理和网络安全的教学实验，网络的日常安全监测。

使用Ethereal能够非常有效地帮助学生来理解网络原理和协议、帮助学生理解实验现象和诊断实验故障。

一、Ethereal 协议分析软件下载及安装1.下载Ethereal 开源软件Ethereal是免费的，可以从官方网站下载最新版本。

以windows xp操作系统为例，如图2-1所示。

目前可下载最新版本为：Ethereal 0.99.0图2-1 下载Ethereal协议分析软件的界面2.安装Ethereal软件图2-2 Ethereal 安装界面双击Ethereal-setup-0.99.0.exe软件图标，开始安装。

图2-2为Ethereal安装界面。

选择欲安装的选件，一般选择默认即可，如图2-3图2-3选择欲安装的选件选择欲安装的目录，确定软件安装位置。

Ethereal软件的运行需要软件WinPcap的支持，WinPcap是libpcap library的Windows版本，Ethereal可通过WinPcap来劫取网络上的数据包。

在安装Ethereal时可以的过程中也会一并安装WinPcap，不需要再另外安装。

如图2-4所示图2-4选择安装WinPcap如果在安装Ethereal之前未安装Winpcap，可以勾选Install Winpcap 3.1 beta 4。

开始解压缩文件，接着开始安装，接着按Next就可以看到Ethereal的启动画面了。

计算机网络上机实验报告计算机网络实验报告实验二网络配置与常用命令一、实验目的1、掌握PC网络协议的安装和卸载，以及IP 地址、子网掩码、网关等的配置2、掌握常见的网络命令的使用二、实验准备1、Ping测试与远程计算机的连接。

用法：ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS][-r count] [-s count] [[-j host-list] | [-k host-list]][-w timeout] [-R] [-S srcaddr] [-4] [-6] target_name选项：-t Ping 指定的主机，直到停止。

若要查看统计信息并继续操作请键入Control-Break；若要停止请键入Control-C。

-a 将地址解析成主机名。

-n count 要发送的回显请求数。

-l size 发送缓冲区大小。

-f 在数据包中设置“不分段”标志(仅适用于IPv4)。

-i TTL生存时间。

-v TOS服务类型(仅适用于IPv4。

该设置已不赞成使用)。

-r count 记录计数跃点的路由(仅适用于IPv4)。

-s count 计数跃点的时间戳(仅适用于IPv4)。

-j host-list与主机列表一起的松散源路由(仅适用于IPv4)。

-k host-list与主机列表一起的严格源路由(仅适用于IPv4)。

-w timeout 等待每次回复的超时时间(毫秒)。

-R 同样使用路由标头测试反向路由(仅适用于IPv6)。

-S srcaddr 要使用的源地址。

-4 强制使用IPv4。

-6 强制使用IPv6。

2、Ipconfig显示所有当前的网络配置值。

用法：ipconfig [/allcompartments] [/? | /all |/renew [adapter] | /release [adapter] | /renew6 [adapter] | /release6 [adapter] | /flushdns | /displaydns | /registerdns | /showclassid adapter |/setclassid adapter [classid] |/showclassid6 adapter |/setclassid6 adapter [classid] ]其中adapter 连接名称(允许使用通配符* 和?例)选项：/all 显示完整配置信息。

网络数据包协议分析实验一、实验内容掌握Ethereal的基本使用方法，利用Ethereal捕获ICMP，TCP协议数据包，并对其进行分析。

掌握ICMP，TCP协议数据包头部各个数据位的意义。

加深对ICMP，TCP 协议原理的理解。

二、实验步骤1Ethereal的使用安装好Ethereal，然后开始捕获数据包。

选择菜单上的Capture->Interfaces，如图选择好网卡点击Capture，如图正在抓包点击Stop然后主界面得到抓包情况如图：随便选取一个包进行分析即可。

2ICMP协议进入dos界面使用Ping命令，过程中会有ICMP包传输，这时打开Ethereal的抓包工具进行抓包即可。

如图：Ethereal抓到的包如图分析：随便选择一个数据包，然后中间的窗口如图显示分成四层，物理层，MAC层，网络层，ICMP协议。

下面逐步分解：如下图为物理层：显示包的大小为74字节，捕获74字节，包括到达时间，包序号，整个包包含的协议层为eth,ip,icmp，还有数据。

如下图为MAC层：主要信息有MAC层的MAC源地址，目的地址，可以看出地址为6字节48位，还说明了上层协议。

如下图为网络层：分析可知，网络层IP协议层包括版本号（IPV4），首部长度，服务类型，数据长度，标识，标志，寿命，还有上层协议为ICMP。

如下图为ICMP协议：首先是服务类型（请求包），代码号，检验和（正确），标识，序列号，数据。

问题回答：1 What is the IP address of your host? What is the IP address of the destinationhost?答：由网络层分析可知本机IP为1222074915，目的主机IP为1222074913 如图2 Why is it that an ICMP packet does not have source and destination portnumbers?答：它是一种差错和控制报文协议，不仅用于传输差错报文，还传输控制报文。

使用Ethereal观察ping命令的工作过程实验目的：了解嗅探器工具Ethereal的下载和安装方法；掌握Ethereal的简单使用方法；了解抓包结果的分析方法。

实验步骤：复习与ping命令相关的因特网控制报文协议ICMP相关的内容，通过搜索引擎了解什么是嗅探器。

1根据以上网址，自己下载安装并启动Ethereal；2 打开命令提示符窗口，准备输入要运行的ping命令；3 单击“Capture”菜单中的“Start”菜单项开始抓包；4 输入要运行的pjng命令及要测试的目标主机的ip地址，等到ping命令的结果完全显示出来后，单击软件中的stop按钮，停止包的抓获；5 在Ethereal的显示过滤器输入栏中输入“icmp”这时界面上将显示所有包含有Icmp协议的报文段。

单击选中相应的数据包，在树形视图面板中看它各层协议首部的详细信息。

6 针对运行结果，深入思考icmp协议的重要作用以及连通测试工具ping的实现原理。

问题思考：1 Ethereal是一款什么样的软件，有什么作用？2试说明连通测试工具ping的实现原理。

实验背景知识/DescriptionWinPcap is the industry-standard tool for link-layer network access in Windows environments: it allows applications to capture and transmit network packets bypassing the protocol stack, and has additional useful features, including kernel-level packet filtering, a network statistics engine and support for remote packet capture.WinPcap consists of a driver, that extends the operating system to provide low-level network access, and a library that is used to easily access thelow-level network layers. This library also contains the Windows version of the well known libpcap Unix API.Thanks to its set of features, WinPcap is the packet capture and filtering engine of many open source and commercial network tools, including protocol analyzers, network monitors, network intrusion detection systems, sniffers, traffic generators and network testers. Some of these tools, like Wireshark, Nmap, Snort, ntop are known and used throughout the networking community. is also the home of WinDump, the Windows version of the popular tcpdump tool. WinDump can be used to watch, diagnose and save to disk network traffic according to various complex rules./Powerful Multi-Platform AnalysisEthereal® is used by network professionals around the world for troubleshooting, analysis, software and protocol development, and education. It has all of the standard features you would expect in a protocol analyzer, and several features not seen in any other product. Its open source license allows talented experts in the networking community to add enhancements. It runs on all popular computing platforms, including Unix, Linux, and Windows.Ethereal是一个开放源码的网络分析系统，也是是目前最好的开放源码的网络协议分析器，支持Linux和windows平台。

Ping命令的幕后过程及其返回信息的分析“Ping”命令是我们在判断网络故障常用的命令，但您真正明白这个命令运行后会发生什么，以及出现的各种信息说明了什么吗？本人将平时工作中积累的经验介绍给大家。

“Ping”的幕后过程我们以下面一个网络为例：有A、B、C、D四台机子，一台路由RA，子网掩码均为255.255.255.0，默认路由为192.168.0.11.在同一网段内在主机A上运行“Ping 192.168.0.5”后，都发生了些什么呢? 首先，Ping命令会构建一个固定格式的ICMP请求数据包，然后由ICMP协议将这个数据包连同地址“192.168.0.5”一起交给IP层协议（和ICMP一样，实际上是一组后台运行的进程），IP层协议将以地址“192.168.0.5”作为目的地址，本机IP地址作为源地址，加上一些其他的控制信息，构建一个IP数据包，并想办法得到192.168.0.5的MAC地址（物理地址，这是数据链路层协议构建数据链路层的传输单元——帧所必需的），以便交给数据链路层构建一个数据帧。

关键就在这里，IP层协议通过机器B的IP地址和自己的子网掩码，发现它跟自己属同一网络，就直接在本网络内查找这台机器的MAC,如果以前两机有过通信，在A机的ARP缓存表应该有B机IP与其MAC的映射关系，如果没有，就发一个ARP请求广播，得到B机的MAC,一并交给数据链路层。

后者构建一个数据帧，目的地址是IP层传过来的物理地址，源地址则是本机的物理地址，还要附加上一些控制信息，依据以太网的介质访问规则，将它们传送出去。

主机B收到这个数据帧后，先检查它的目的地址，并和本机的物理地址对比，如符合，则接收；否则丢弃。

接收后检查该数据帧，将IP数据包从帧中提取出来，交给本机的IP层协议。

同样，IP层检查后，将有用的信息提取后交给ICMP协议，后者处理后，马上构建一个ICMP应答包，发送给主机A，其过程和主机A发送ICMP请求包到主机B一模一样。