实验一：Ethereal的使用

实验协议分析软件Ethereal 的使用一、实验目的和要求：熟悉掌握Ethereal软件的使用,并应用该软件分析Ethernet帧以及高级协议，从而能够加深对TCP/IP 协议栈上的参与通信的网络数据包结构以及通信方式有进一步的了解。

二、实验内容和原理1. 安装windows下的Ethereal及WinPcap软件。

2. 捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧（帧的长度字段>1500, 帧的长度字段实际上是类型字段），Ethereal的capture 的options中capture filter设置为：ether[12:2] > 1500 观察并分析帧结构，Ethernet II的帧(ether[12:2] > 1500)的上一层主要是哪些PDU？是IP、LLC还是其它哪种？IP3. 捕捉并分析局域网上的所有ethernet broadcast帧，Ethereal的capture 的options中capture filter设置为：ether broadcast(1). 观察并分析哪些主机在发广播帧，这些帧的高层协议是什么？ARP(2). 你的LAN的共享网段上连接了多少台计算机？1分钟内有几个广播帧？有否发生广播风暴？92台4. 捕捉局域网上主机发出或接受的所有ARP包capture 的options中capture filter设置为：arp host ip (1)主机上执行“arp –d ”清除arp cache.(2)在主机上ping 局域网上的另一主机(3)观察并分析主机发出或接受的所有ARP包，及arp包结构。

5. IP 分组的结构固 定 部分 可变 部分0 48 16192431版 本 标志 生 存 时 间协 议标 识服 务 类 型总 长 度 片 偏 移填 充首 部 检 验 和源 地 址 目 的 地 址可 选 字 段 （长 度 可 变） 比特 首部长度 01 2 3 4 5 6 7 D T R C 未用 优 先 级数 据 部 分首 部6、UDP 报文伪首部源端口目的端口长 度检验和数 据首 部UDP 长度源 IP 地址目的 IP 地址17 IP 数据报字节12 2 2 2 2 字节 发送在前数 据首 部 UDP 用户数据报附：1、Ethernet II的帧结构字节46 ~ 1500 目的地址源地址类型数据FCS目的地址：01:00:5e:22:17:ea源地址：00:1e:90:75:af:4f类型数据2、IP分组的结构版本首部长度服务类型总长度标识标志固 定 部分 可变 部分0 48 16192431版 本 标志 生 存 时 间协 议标 识服 务 类 型总 长 度 片 偏 移填 充首 部 检 验 和源 地 址 目 的 地 址可 选 字 段 （长 度 可 变） 比特 首部长度 01 2 3 4 5 6 7 D T R C 未用 优 先 级数 据 部 分首 部片偏移生存时间协议首部检验和源地址目的地址可选字段 数据3、 ARP 的报文格式硬件地址长度协议类型 发送方IP 地址(八位组0-1) 目标硬件地址(八位组2-5) 目标IP 地址(八位组0-3)发送方硬件地址(八位组0-3)硬件类型操作发送方硬件地址(八位组4-5) 发送方IP 地址(八位组2-3)协议长度目标硬件地址(八位组0-1)* 硬件类型指明发送方想知道的硬件接口类型。

实验一协议分析软件Ethereal 入门基础一、实验目的和要求•了解网络协议分析器Ethereal的基本知识•掌握Ethereal安装过程•掌握使用Ethereal捕捉数据包的方法•能对捕获到的包简单分析•利用Ethereal对收到的数据包分析,加深课程知识的理解深度.二、实验内容安装Ethereal软件和相应的WinpCap软件，启动Ethereal并设置相应的选项，捕获一段记录。

并查看不同数据包使用的协议,以及不同协议的数据包格式中各字段的内容。

三、实验设备PC机、Ethereal软件、WinpCap软件四、背景知识Ethereal是一个著名的的网络端口探测器，是可以在各种计算机操作系统上运行的网络监听软件。

其功能是在一个共享的网络环境下对数据包进行捕捉和分析，而且还能够自由地为其增加某些插件以实现额外功能。

Ethernet网络监测工具可在实时模式或离线模式中用来捕获和分析网络通信。

下面是使用Ethereal 可以完成的几个工作：✧网络管理员使用它去帮助解决网络问题✧网络安全工程师用它去测试安全问题✧开发人员用它是调试协议的实现过程✧用它还可以帮助人员深入的学习网络协议下面是Ethereal 提供的一些特性：✧支持UNIX 平台和Windows 平台。

✧从网络接口上捕获实时数据包✧以非常详细的协议方式显示数据包✧可以打开或者存贮捕获的数据包✧导入/导出数据包，从/到其它的捕获程序✧按多种方式过滤数据包✧按多种方式查找数据包✧根据过滤条件，以不同的颜色显示数据包✧可以建立多种统计数据对于网络管理员来说，也可以通过捕包分析，来确定一些异常的流量和局域网内部的非正常用户与外界的通信，比如说对于现在比较占用网络带宽的诸如Bit Torrent 等P2P应用软件流量，通过使用该软件确定这些流量，网络管理员就可以使用流量控制(TC)的方法来规范、合理的分配带宽资源，提高网络的利用率。

五、实验步骤1、安装Ethereal和 WinpCap。

实验1 网络协议分析Ethereal1．实验目的(1)学会正确安装和配置网络协议分析软件Ethereal；(2)掌握使用Ethereal分析各种网络协议的技能，加深对协议格式、协议层次和协议交互过程的理解。

2．实验环境(1)运行Windows 2000／2003 Server／XP操作系统的PC一台；(2)每台PC具有一块以太网卡，通过双绞线与局域网相连；(3)Ethereal程序(可以从网上下载)。

3．实验步骤(1)安装网络协议分析仪1)安装winPcap。

注意，网络协议分析软件Ethereal的运行需要软件winPcap(wpcap.dll)的支持，应当在执行Ethereal前先霉装WinPcaP。

如果没有安装winPcap，则在执行“Ethereal／Capture ／Star时会出现错误。

2)安装Ethereal。

(2)使用Ethereal分析协议1)启动系统。

点击“Ethereal”程序组中的“Ethereal"图标，将会出现如图1-1所示的系统操作界面。

图1-1 Ethereal 系统主界面2)分组俘获。

点击“Capture／Start’’菜单，出现图1-2所示的界面。

在“Interface”(接口)框的下拉列表中选择一个适当的接口项，其余项可暂时保持默认配置。

然后，点击“OK”按钮，系统开始俘获网络分组。

当按“stop”(停止)按钮时，系统停止俘获分组并将已经俘获明分组信息装载在分析系统中。

图1-2 俘获分组配置界面3)协议分析。

如图1-3所示，在上部的窗口中，有帧编号(No.)、时间(Time)、源地址(Source)、目的地址(Destination)、协议(Protocol)和信息(Info)等列，各列下方依次排列着俘获的分组。

中部的窗口给出选中的某帧的详细内容。

下部窗口中是与中部窗口对应的该协议帧某字段的十六进制数值内容。

图1-3 协议分析界面可以将俘获的帧与网络教材中的ARP、UDP、ICMP、SNMP等协议帧格式进行对照，并分析其中的信息。

实验1 Ethereal的使用和网络协议的层次观察一、实验目的：1、了解网络协议的层次结构2、初步掌握Ethereal的使用方法二、实验环境1、Ethereal网络分析软件2、实验文件“网络协议的层次观察.cap”三、实验要求1、能够了解网络协议的层次结构2、能够正确掌握Ethereal的使用方法四、实验内容1、Ethereal介绍Ethereal是一个优秀的网络分析仪，可以捕获(Capture) 和浏览(Display) 网络侦测的内容，还可以定义Filters规则，监视所有在网络上被传送的封包，并分析其内容。

Ethereal通常用来检查网络运作的状况，或是用来发现网络程序的bugs。

它可以分析的协议有：RTP、IP、ISAKMP、ICMP、SMB、SMB-PIPE、VTP、SNMPv3、Ethernet、GRE、EIGRP、DHCP、IPX、X.25、RSVP等。

2、Ethereal的使用启动ethereal后，选择菜单Capature－>Options, 定义获取数据包的方式。

主要选项有，Interface: 指定在哪个接口（网卡）上抓包；Limit each packet: 限制每个包的大小以避免数据过大，缺省情况下可不限制；Capture packets in promiscuous mode: 是否打开混杂模式。

如果打开，则抓取共享网络上可以探测的所有数据包。

一般情况下只需要监听本机收到或者发出的包，可以关闭这个选项。

Filter：设定过滤规则，只抓取满足过滤规则的包；File：如果需要将抓到的包写到文件中，在这里输入文件名称。

其他的项选择缺省的就可以了。

选择start开始抓包。

选择stop，则停止抓包。

3．数据包的分析打开文件“网络协议的层次观察.cap”，这是一个包括100个分组的网络通信记录，详细记录了分组的序号、相对时间、源地址、目标地址、协议类型、内容，如图1是对第6个分组的详细信息。

⽹络协议分析⼯具Ethereal的使⽤⼤学时计算机⽹络课的实验报告，当时提不起兴趣，今天看来还挺有⽤的。

可以学习下怎样抓数据包，然后分析程序的通信协议。

⼀：学习使⽤⽹络协议分析⼯具Ethereal的⽅法，并⽤它来分析⼀些协议。

实验步骤：1．⽤“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；（注：缺省路由器即 ”Default Gateway”）命令⾏：Start->Run->CMD->ipconfig /all >C:\Mac.txt(在命令⾏中把ipconfig命令保存在⽂本⽂档⾥⾯备⽤)结果：本机Mac地址：00.09.73.4B.8A.D7 缺省路由器IP：192.168.8.254步骤截图：图1（本机⽹络信息：Mac.txt）2．⽤“arp”命令清空本机的缓存：命令⾏：Start->Run->CMD->arp –d图2（arp命令 –d参数的帮助说明）3．运⾏Ethereal，开始捕获所有属于ARP协议或ICMP协议的，并且源或⽬的MAC地址是本机的包：图3（Capture->Options中关于⽹卡设置和Capture Filter）图4（抓包截图）4．执⾏命令：“ping” 缺省路由器的IP地址：图5（捕获包）图6（ping 过程）⼆：⽤Ethereal观察tracert命令的⼯作过程：1．⽤Ethereal语法内容及参数说明：命令⾏操作步骤：Start->Run->CMD->tracert图1（Tracert命令全部参数的帮助说明）2．运⾏Ethereal, 设定源和⽬的MAC地址是本机的包，捕获tracert命令中⽤到的消息：Tracert使⽤ICMP，相应过滤规则为：ether host 00:09:73:4B:8A:D7 and icmp图3（Capture->Options中关于⽹卡设置和Capture Filter）3.执⾏“tracert -d ” ，捕获包：执⾏命令：tracert -d ：图3 （执⾏命令 tracert –d ）图4（抓包截图）图5（捕获包）4．Tracert⼯作原理：Tracert使⽤ICMP消息，具体地讲，tracert发出的是Echo Request消息，触发返回的是Time Exceeded消息和Echo Reply消息。

实验一：Ethereal使用入门一、背景知识Ethereal是目前广泛使用的网络协议分析工具(Network Protocol Analyzer)，它能够实时地捕获网络上的包，并且把包中每个域的细节显现出来。

Ethereal的广为流行主要有以下三个原因：(1)它的功能非常强大，随着大家对Ethereal的熟悉将会深切感受到这一点。

(2)它是开源、免费的软件。

(3)它具有非常详细的文档。

Ethereal的安装文件和文档可以从下载。

二、Ethereal图形界面，如下图所示：第一部分是菜单和工具栏，Ethereal提供的所有功能都可以在这一部分中找到。

第二部分是被捕获包的列表，其中包含被捕获包的一般信息，如被捕获的时间、源和目的IP地址、所属的协议类型，以及包的类型等信息。

第三部分显示第二部分已选中的包的每个域的具体信息，从以太网帧的首部到该包中负载内容，都显示得清清楚楚。

第四部分显示已选中包的16进制和ASCII表示，帮助用户了解一个包的本来样子。

三、Ethereal的基本用法Ethereal的最基本功能是捕获网络包，其使用方法很简单，按如下步骤即可：(1)选择“Capture”菜单项中的“Option”,这时会弹出一个对话框，如下所示。

这个对话框中的栏目虽然很多，但一般只需配置其中两项。

一项是“Capture Filter”栏。

在这个栏中，可以输入过滤规则，用于规定Ethereal捕获包的种类(注：过滤规则的写法将在下一节作专门介绍)；如果不输入过滤规则，则Ethereal将捕获所有从网卡发送或收到的包。

另外一项是“Update list of packets in real time”选项，请大家一定要选中这一项，这样可以使Ethereal在捕获包的同时，实时地把捕获的包显示出来。

(2)在完成如上配置后，点击“Start”按钮，Ethereal便开始捕获包。

四、Ethereal的过滤规则Ethereal的过滤规则可以有两种形式：(1)一个原语：一个原语即一条最基本的过滤规则(2)用“and”、“or”、“not”关系去处运算符，以及括号组合起来的原语。

实验报告课程名称计算机网络实验项目Ethereal的使用一：实验目的1、了解并会初步使用Ethereal，能对包进行分析。

2、通过对这个协议分析工具使用，进一步巩固学习计算机网络的相关知识。

二：实验设备和环境一台安装好Windows XP的PC机，连接好的100BaseT以太网三：实验内容启动ethereal 以后，选择菜单Capature->Start ，就OK 了。

当你不想抓的时候，按一下stop，抓的包就会显示在面板中，并且已经分析好了。

如下图：ethereal使用－capture选项如下：nterface: 指定在哪个接口（网卡）上抓包。

一般情况下都是单网卡，所以使用缺省的就可以了Limit each packet: 限制每个包的大小，缺省情况不限制Capture packets in promiscuous mode: 是否打开混杂模式。

如果打开，抓取所有的数据包。

一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。

Filter：过滤器。

只抓取满足过滤规则的包（可暂时略过） File：如果需要将抓到的包写到文件中，在这里输入文件名称。

use ring buffer：是否使用循环缓冲。

缺省情况下不使用，即一直抓包。

注意，循环缓冲只有在写文件的时候才有效。

ethereal的抓包过滤器抓包过滤器用来抓取感兴趣的包，用在抓包过程中。

抓包过滤器使用的是libcap 过滤器语言，基本结构是： [not] primitive [and|or [not] primitive ...] 如果你想抓取某些特定的数据包时，可以在抓包的时候，就先定义好抓包过滤器，这样结果就是只抓到你设定好的那些类型的数据包；也可以把本机收到或者发出的包一股脑的抓下来，然后使用显示过滤器，只让Ethereal 显示那些你想要的那些类型的数据包；etheral的显示过滤器在抓包完成以后，显示过滤器可以用来找到你感兴趣的包，可以根据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找你感兴趣的包。

实验一：使用包嗅探及协议分析软件Ethereal 分析 Ethernet帧及应用层FTP协议的分析【实验目的】1、掌握包嗅探及协议分析软件Ethereal的使用。

2、掌握Ethernet帧的构成3、掌握 FTP协议包的构成【实验环境】安装好Windows 2000 Server操作系统+Ethereal的计算机【实验时间】2节课【实验重点及难点】重点学习掌握如何利用Ethereal来分析Ethernet帧。

【实验内容】1、捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2（即EthernetII）格式的帧并进行分析。

2、捕捉并分析局域网上的所有ethernet broadcast帧进行分析。

3、捕捉局域网上的所有ethernet multicast帧进行分析。

【实验步骤】一、Ethereal的安装Ethereal是一个图形用户接口（GUI）的网络嗅探器，由于Ethereal需要WinPcap库, 所以先安装WinPcap_2_3.exe, 再安装Ethereal.exe。

（已装好）二、仔细阅读附件中的Ethereal使用方法和TcpDump的表达式详解，学习Ethereal的使用。

三、捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2（即EthernetII）格式的帧并进行分析。

捕捉任何主机发出的Ethernet 802.3格式的帧（帧的长度字段<=1500），Ethereal的capture filter 的filter string设置为：ether[12:2] <= 1500。

捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧（帧的长度字段>1500, 帧的长度字段实际上是类型字段），Ethereal的capture filter 的filter string设置为：ether[12:2] > 1500。

实验1 学习使用Ethereal进行网络协议分析实验目的：掌握使用Ethereal软件分析网络协议的基本技能，加深对协议格式、协议层次和协议交互过程的理解。

实验过程：（1）分组俘获。

下面左图为俘获分组的配置界面，实验时只有最上面的Interface是自己选择的，其余均采用默认值。

右图为俘获过程中的一个截图，当时还没有俘获到TCP帧。

（2）协议分析。

下图是捕捉到的一个TCP帧的基本信息：观察最上面蓝色条形选框中的信息，可以得出：1)俘获到的此帧的编号为：22（No.）；2)时间为：2.200445s（Time）；3)源地址为：192.168.0.99（Source）；4)目的地址为：192.168.0.53（Destination）；5)协议为：TCP协议（Protocol）；6)帧携带的信息为：1422>microsoft-ds[SYN] Seq=0 Ack=0……（Info）；位于中部的窗口中列出了上面所选中的TCP帧的详细内容，下面将其按顺序展开，逐个进行分析：1）第一行（Frame22（62 bytes on ware，62 bytes captured））展开如上图中部所示：★Arrival Time：帧到达的时间，也就是俘获到帧的时间为：2010-12-24-18:48:20.706671000；★Time delta from previous packet：与上一帧的时间间隔为：0.000061000秒。

观察上图可得第21帧的时间为2.200384s，与22帧的时间2.200445s之间的时间间隔为：2.200445-2.200384=0.000061s，恰好为0.000061秒!★Time since reference or first frame：从俘获到第一帧到俘获到此帧经过的时间为2.200445000s；★Frame Number：帧的编号为22；★Packet Length：数据包的大小为62字节；★Capture Length：俘获到的大小为62字节，即整个数据包都被俘获；2）第二行（Etherne tⅡ,Src:00:0d:87:f8:43:c0,Dst:00:0d:87:f9:70:3a）展开如上图所示：★Destination:00:0d:87:f9:70:3a(192.168.0.53):目的地址。

竭诚为您提供优质文档/双击可除ethereal实验报告篇一：TcpIp实验一协议分析工具ethereal使用基础湖北文理学院《Tcp/Ip协议原理与应用》实验报告专业班级：姓名：学号：任课教师：20XX年11月20日实验一协议分析工具ethereal使用基础（2学时）一、实验目的和要求1、了解网络协议分析器ethereal的基本知识2、掌握ethereal安装过程3、掌握使用ethereal捕捉数据包的方法4、能对捕获到的包简单分析二、预习与准备1、安装ethereal并了解ethereal的用法。

2、对抓到的包进行分析，需要了解各协议。

三、实验内容1、安装ethereal并运行，对其进行设置，抓包。

2、对抓到的包进行分析。

四、实验过程1、安装ethereal，安装完成后启动，2、进行“captureoption”的选择3、开始抓包4、停止捕获5、分析协议内容选定一个Icmp报文，可以解读出其到达时间报长度等，可以看到其源物理地址为00:1e:90:88:05:0f目的物理地址为01:00:5e:00:00:16,源ip地址为172.15.100.36目的ip地址为224.0.0.22以及报文格式等有用信息。

五、思考题解答Q2、从你抓到的第一个包到最后一个包持续的时间是多久？（默认time列显示的是开始捕获后的以秒为单位的持续时间，如果要在time列以time-of-day格式显示，请选择ethereal的View下拉菜单，然后选择时间显示格式为Time-of-day）共持续了37秒Q3、导出这些数据，你可以在ethereal的File命令菜单中选择save菜单，作为实验报告的结果。

实验所捕获的包六、实验总结与体会01.cap本次实验主要考察ethereal的使用以及对抓到的包进行分析，由于是第一次接触这个软件，所以在刚开始的时候操作起来不是很流畅，按照实验步骤抓包后进行分析，与课堂上学到的知识进行印证，加深了对各协议的认识。