國立台灣大學電機工程學系
網路與多媒體實驗

實驗內容

目的

1. 認識網路協定分析儀 Sniffer 的基本操作，以及 Internet 的常用工具程式。
2. 經由學習 Ethernet 網路的原理，認識 OSI 七層協定中實體層及 Data Link 層的原理及操作。
3. 認識在 OSI 七層協定中網路層的協定運作，包括 IP （ Internet Protocol ）， ARP （ Address Resolution Protocol ），以及 ICMP （ Internet Control Message Protocol ）。
4. 學習 ping 、 arp 、 netstat 、 tracert ﹍ 等等網路相關程式指令的使用。
5. 同組同學請先確實理解討論過實驗內容，才不會做實驗時茫茫無頭緒。

設備

1. 兩台個人電腦 ( 附網路卡 ) 。
2. 一台交換式集線器。
3. 一個小型的集線器。
4. 一台 sniffer ( 乙太網路協定分析儀 ) ，在本實驗中以 Wireshark 軟體代替。
5. Wireshark 軟體。

原理

Ethernet乙太網路簡介
Wireshark教學

步驟

架構一

架構二

*請記得關閉防火牆（防毒軟體），並以管理員權限開啟cmd，並將所有連網程式都關閉

Ø 第一部分

1. 連結電腦網路如架構一，包括 PC 兩台以及 sniffer 都接往 hub ， hub 再連往 switching hub 。
2. 設定 sniffer 只截取和 pc1 來往的封包（ sniffer 上設定以 PC1 之 IP 位址與 Ethernet 位址（ipconfig /all裡面的physical address）分別做實驗），開始截取封包，並把以下每一個步驟所抓到的封包（若有的話）的 Wireshark 畫面截圖記錄。
3. 使用 arp 指令刪除 pc1 上所有的對照表。
4. 使用 ping 程式從 pc1 連往 pc2 ，請試用 domain name 及 IP address 兩種方法。（ 查主機domain name請用nslookup 140.112.18.xxx；實驗前請先清除DNS暫存，指令：ipconfig /flushdns ）
5. 重作一次步驟 4 。
6. 重新連結電腦網路如架構二，並重覆步驟 2-5 。

Ø 第二部分

1. 連結電腦網路如架構一， pc1 ， pc2 ，以及 sniffer 都接往 hub ， hub 再連往 switching hub 。
2. 設定 sniffer 只截取和 pc1 來往的封包（ sniffer 上設定以 PC1 之 IP 位址與 Ethernet 位址分別做實驗），開始截取封包，並把以下每一個步驟所抓到的封包（若有的話）的 Wireshark 畫面截圖記錄。
3. 使用 arp 指令刪除 pc1 上所有的對照表。
4. 在 pc1 上執行以下指令並記下結果（ 螢幕顯示截圖 ） 。

> ftp ftp.ntu.edu.tw
> ping ftp.ntu.edu.tw
> arp -a

5. 在 pc1 上執行以下指令並記下結果（ 螢幕顯示截圖 ） 。

> netstat – r （ 不用抓封包 ）
> netstat – e （ 不用抓封包 ）
> netstat – s （ 不用抓封包 ）
> tracert www.yahoo.com
> ping -r 6 bbs.nsysu.edu.tw
> ping -r 6 bbs.ptt.cc
> ping - i 1 bbs.nsysu.edu.tw

6. 由 tracert 的結果， ping 其中每 個 hop ，並記下 Round Trip Time 。
7. 停止截取，把抓到的封包的 wireshark 畫面截圖下來。

*請於實驗完成後立即討論結報找資料，並整理草稿 （ 打字 Word 檔 ） ， 上傳至FTP上

實驗要求

預報

每組一份、打字。 請說明 ping 、 arp 、 netstat 、 tracert 的各項指令有何用途。

程式

請依照實驗封包來說明實驗討論，換言之，要利用實驗時所抓下的封包來佐證你（妳）們立論。

結報

每組一份、打字。 請分析實驗與討論結果。

回答結報問題：

第一部分

1. 以架構一、二為基礎，說明這兩種網路架構有什麼不同？
2. 在 Sniffer 上設定用 IP address 和用 MAC Address 所抓到的 封包數有 何不同？為什麼？（請以理論說明）
3. 在步驟 4 和 5 所抓到的封包有何不同？為什麼？（請以實驗取得封包說明）
4. 以網路分層的觀念解釋為什麼在不同 broadcast domain 的機器一定要經過 router 才能互通？
5. 在截取到的封包中的 Ethernet header 裡有 destination Ethernet Address ，而 IP header 中也有一個 destination IP Address 。請問，這兩個位址 是不是同一台機器？為什麼？
6. 可不可以利用 sniffer 知道網路上有沒有 switching hub 的存在？
7. 從實驗結果，討論要如何利用 switching hub 來增進網路安全。

第二部分

1. 執行 ftp ftp.ntu.edu.tw 的時候，抓到的封包的目的 IP 位址為何？又目的 Ethernet 位址是那裡（用 arp 查出其 IP address/Domain Name ）？是不是 ftp.ntu.edu.tw 的？為什麼？
2. 執行 ping ftp.ntu.edu.tw 的時候，送出的封包是那種 ICMP 封包？
3. 執行 ping - i 1 bbs.nsysu.edu.tw 的時候，收到的封包是那種 ICMP 封包？
4. 請問實驗中之 ARP request 及 ARP reply 的封包的目的地各為那裡 ?
5. 在使用 arp -a 命令時，會送出 ARP 封包嗎 ？
6. 由實驗結果，找出往 www.yahoo.com 的封包所經由的路徑。並且利用抓到的封包，說明 traceroute 是用什麼方法來找路徑的。
7. 由實驗結果，說明往 www.yahoo.com 的每一個 hop 所花的時間，並由此找出這條通路的瓶頸所在。

BONUS 請查出，在一個封包內，每一個欄位各有何意義？（請利用你們這組所收集到的封包，並用 Wireshark 分析後的結果來說明）。

BONUS 當你透過電腦使用網路時 （ 例如： FTP 或看網頁 ） ，發現不能對外，你會如何發現可能的問題並怎樣去解決。

請每位組員附上約半頁的實驗感想與心得（作為日後的建議與修正）。

最後，也是最重要的，你的參考資料為何？如果是前人的作品加以改良？請詳細說明來源（請記得參考不是罪惡，但必須有自己的東西或貢獻）。

---

參考資料

Wireshark下載
Wireshark教學及封包竊聽實務使用（感謝少-林blog）