下载文档原格式
![[工学]协议分析软件Ethereal的使用](https://img.taocdn.com/s1/m/9d96b0b0011ca300a7c39078.png)
实验协议分析软件Ethereal 的使用一、实验目的和要求:熟悉掌握Ethereal软件的使用,并应用该软件分析Ethernet帧以及高级协议,从而能够加深对TCP/IP 协议栈上的参与通信的网络数据包结构以及通信方式有进一步的了解。
二、实验内容和原理1. 安装windows下的Ethereal及WinPcap软件。
2. 捕捉任何主机发出的DIX Ethernet V2(即Ethernet II)格式的帧(帧的长度字段>1500, 帧的长度字段实际上是类型字段),Ethereal的capture 的options中capture filter设置为:ether[12:2] > 1500 观察并分析帧结构,Ethernet II的帧(ether[12:2] > 1500)的上一层主要是哪些PDU?是IP、LLC还是其它哪种?IP3. 捕捉并分析局域网上的所有ethernet broadcast帧,Ethereal的capture 的options中capture filter设置为:ether broadcast(1). 观察并分析哪些主机在发广播帧,这些帧的高层协议是什么?ARP(2). 你的LAN的共享网段上连接了多少台计算机?1分钟内有几个广播帧?有否发生广播风暴?92台4. 捕捉局域网上主机发出或接受的所有ARP包capture 的options中capture filter设置为:arp host ip (1)主机上执行“arp –d ”清除arp cache.(2)在主机上ping 局域网上的另一主机(3)观察并分析主机发出或接受的所有ARP包,及arp包结构。
5. IP 分组的结构固 定 部分 可变 部分0 48 16192431版 本 标志 生 存 时 间协 议标 识服 务 类 型总 长 度 片 偏 移填 充首 部 检 验 和源 地 址 目 的 地 址可 选 字 段 (长 度 可 变) 比特 首部长度 01 2 3 4 5 6 7 D T R C 未用 优 先 级数 据 部 分首 部6、UDP 报文伪首部源端口目的端口长 度检验和数 据首 部UDP 长度源 IP 地址目的 IP 地址17 IP 数据报字节12 2 2 2 2 字节 发送在前数 据首 部 UDP 用户数据报附:1、Ethernet II的帧结构字节46 ~ 1500 目的地址源地址类型数据FCS目的地址:01:00:5e:22:17:ea源地址:00:1e:90:75:af:4f类型数据2、IP分组的结构版本首部长度服务类型总长度标识标志固 定 部分 可变 部分0 48 16192431版 本 标志 生 存 时 间协 议标 识服 务 类 型总 长 度 片 偏 移填 充首 部 检 验 和源 地 址 目 的 地 址可 选 字 段 (长 度 可 变) 比特 首部长度 01 2 3 4 5 6 7 D T R C 未用 优 先 级数 据 部 分首 部片偏移生存时间协议首部检验和源地址目的地址可选字段 数据3、 ARP 的报文格式硬件地址长度协议类型 发送方IP 地址(八位组0-1) 目标硬件地址(八位组2-5) 目标IP 地址(八位组0-3)发送方硬件地址(八位组0-3)硬件类型操作发送方硬件地址(八位组4-5) 发送方IP 地址(八位组2-3)协议长度目标硬件地址(八位组0-1)* 硬件类型指明发送方想知道的硬件接口类型。
Ethereal协议分析实验指导Ethereal是一个开放源码的网络分析系统,也是目前最好的开放源码的网络协议分析器,支持Linux和windows平台。
Ethereal 基本类似于tcpdump,但 Ethereal 还具有设计完美的 GUI 和众多分类信息及过滤选项。
用户通过 Ethereal,同时将网卡插入混杂模式,可以查看到网络中发送的所有通信流量。
Ethereal网络协议分析软件可以十分方便直观地应用于计算机网络原理和网络安全的教学实验,网络的日常安全监测。
使用Ethereal能够非常有效地帮助学生来理解网络原理和协议、帮助学生理解实验现象和诊断实验故障。
一、Ethereal 协议分析软件下载及安装1.下载Ethereal 开源软件Ethereal是免费的,可以从官方网站下载最新版本。
以windows xp操作系统为例,如图2-1所示。
目前可下载最新版本为:Ethereal 0.99.0图2-1 下载Ethereal协议分析软件的界面2.安装Ethereal软件图2-2 Ethereal 安装界面双击Ethereal-setup-0.99.0.exe软件图标,开始安装。
图2-2为Ethereal安装界面。
选择欲安装的选件,一般选择默认即可,如图2-3图2-3选择欲安装的选件选择欲安装的目录,确定软件安装位置。
Ethereal软件的运行需要软件WinPcap的支持,WinPcap是libpcap library的Windows版本,Ethereal可通过WinPcap来劫取网络上的数据包。
在安装Ethereal时可以的过程中也会一并安装WinPcap,不需要再另外安装。
如图2-4所示图2-4选择安装WinPcap如果在安装Ethereal之前未安装Winpcap,可以勾选Install Winpcap 3.1 beta 4。
开始解压缩文件,接着开始安装,接着按Next就可以看到Ethereal的启动画面了。
1.主界面介绍随着3G的普及,手机数据业务量(如浏览器,彩信等)的日益增长,对手机侧网络包的分析显得越来越重要。
一般来说,手机数据业务的抓包工具为QXDM,在抓LOG指导里面已经有了详细参数的配置介绍(详情见《IP数据包抓取方法.doc》)。
但需要注意的是,在将LOG转化为.pcap文件时,必须保证当前电脑里安装有Ethereal软件,否者PCAPGenerator这个工具不会出现。
(针对使用Tools->PCAPGenerator转化.isf文件出错的情况,可以做如下尝试:先使用Tools->ISF File Converter将刚刚保存的.isf文件其转化为.dlf文件,然后使用Tools->PCAPGenerator将.dlf 文件转换成.pcap文件)。
这里主要针对抓到IP包后,怎么样使用Ethereal软件对IP包进行分析,以及一些简单的TCP/IP协议介绍。
直接点击打开.pcap文件,可以看到如下图1所示界面。
图1中间彩色的区域就是IP数据包。
从左到右,字段分别是No.,Time,Source,Destination,Protocol以及Info。
IP包是按照流经手机网卡的时间顺序排列的,NO.是标示抓到的IP包是该抓包文件中的第几个,Time则是计算的所有包与第一个包之间的间隔时间,单位毫秒ms。
Source和Destination字段分别表示IP包的源地址和目的地址。
Protocol显示当前IP包的上层协议,如TCP,UDP,如果应用层协议头也在该IP包中,优先显示应用层协议,如RTSP,HTTP等。
注意中间的彩色显示,不同的颜色代表该IP包中包含了不同内容,这是方便我们对IP 包查看。
如上面的大红色,表示的是该数据包损坏,可能是只有一半的内容,也可能是指在该包与其他包的序号不连续(指在协议层不连续),中间可能出现丢包的现象。
很多时候,Ethereal是用不同颜色来区分上层协议的不同(注意IP包中必须包含上层协议的包头,才能以该应用的颜色进行标示。
姓名:学号:班级:实验一以太网链路层协议分析一.实验目的1.学会正确安装和配置网络协议分析仪软件Ethereal;2.掌握使用Ethereal分析各种网络协议的技能,加深对协议格式,协议层次和协议交互过程的理解。
二.实验环境1.运行WIN2000/2003Server/XP操作系统的PC一台;2.每台PC具有一块以太网卡,通过双绞线与局域网相连;3.Ethereal程序(通过共享下载)。
三.实验内容1. 网络协议分析软件介绍;2.实验组网;3.报文截获及结果上传;4.以太网链路层报文格式分析。
四.实验步骤1. 分析Ethernet规定的报文封装格式,绘制报文结构;2. 安装网络协议分析仪;3. 安装Ethereal;4. 使用Ethereal分析协议:启动系统、分组俘获、协议分析。
五.实验结果与分析(附图)分析:框一:侦号3,时间1.381124,源地址(IP)192.168.0.254, 目的地址Broadcast,高层协议ARP,包内信息概况Who has 192.168.0.102? Tell 192.168.0.254框二:3号帧,线路60字节,实际捕获60字节;以太网协议版本II,源地址:厂名_序号(网卡地址),目的:厂名_序号(网卡地址);ARP地址解析协议(请求)。
分析:框一:侦号24,时间7.176822,源地址(IP)192.168.0.38,目的地址192.168.0.255,高层协议NBNS,包内信息概况Name query NB <00>.框二:24号帧,线路92字节,实际捕获92字节;以太网协议版本II,源地址:厂名_序号(网卡地址),目的:厂名_序号(网卡地址);互联网协议,源IP地址,目的IP地址;用户数据报协议,源IP地址,目的IP地址;NBNS NetBIOS名称服务分析:框一:侦号31,时间10.275808,源地址(IP)192.168.0.54, 目的地址192.168.0.44,高层协议SMB,包内信息概况Read Andx Response,FID:0x0007,16384 bytes.框二:31号帧,线路1514字节,实际捕获1514字节;以太网协议版本II,源地址:厂名_序号(网卡地址),目的:厂名_序号(网卡地址);互联网协议,源IP地址,目的IP地址;传输控制协议TCP的内容;NetBIOS会话服务;SMB服务器信息块协议。
⽹络协议分析⼯具Ethereal的使⽤⼤学时计算机⽹络课的实验报告,当时提不起兴趣,今天看来还挺有⽤的。
可以学习下怎样抓数据包,然后分析程序的通信协议。
⼀:学习使⽤⽹络协议分析⼯具Ethereal的⽅法,并⽤它来分析⼀些协议。
实验步骤:1.⽤“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址;(注:缺省路由器即 ”Default Gateway”)命令⾏:Start->Run->CMD->ipconfig /all >C:\Mac.txt(在命令⾏中把ipconfig命令保存在⽂本⽂档⾥⾯备⽤)结果:本机Mac地址:00.09.73.4B.8A.D7 缺省路由器IP:192.168.8.254步骤截图:图1(本机⽹络信息:Mac.txt)2.⽤“arp”命令清空本机的缓存:命令⾏:Start->Run->CMD->arp –d图2(arp命令 –d参数的帮助说明)3.运⾏Ethereal,开始捕获所有属于ARP协议或ICMP协议的,并且源或⽬的MAC地址是本机的包:图3(Capture->Options中关于⽹卡设置和Capture Filter)图4(抓包截图)4.执⾏命令:“ping” 缺省路由器的IP地址:图5(捕获包)图6(ping 过程)⼆:⽤Ethereal观察tracert命令的⼯作过程:1.⽤Ethereal语法内容及参数说明:命令⾏操作步骤:Start->Run->CMD->tracert图1(Tracert命令全部参数的帮助说明)2.运⾏Ethereal, 设定源和⽬的MAC地址是本机的包,捕获tracert命令中⽤到的消息:Tracert使⽤ICMP,相应过滤规则为:ether host 00:09:73:4B:8A:D7 and icmp图3(Capture->Options中关于⽹卡设置和Capture Filter)3.执⾏“tracert -d ” ,捕获包:执⾏命令:tracert -d :图3 (执⾏命令 tracert –d )图4(抓包截图)图5(捕获包)4.Tracert⼯作原理:Tracert使⽤ICMP消息,具体地讲,tracert发出的是Echo Request消息,触发返回的是Time Exceeded消息和Echo Reply消息。
实验5 用Ethereal进行协议分析5.1实验性质本实验为操作分析性实验。
5.2实验目的1. 掌握Ethereal软件的基本使用方法2. 掌握基本的网络协议分析方法3. 通过抓包工具,分析Mac帧的格式、ARP分组的格式、IP数据报的格式、ICMP报文的格式、TCP报文段的格式、UDP数据报的格式。
5.3实验环境1. 分组实验,每组4~8人2. 设备:计算机4~8台3. 网络环境:LAN或Internet4. Ethereal软件5.4 实验用时180分钟(4学时)。
5.5 实验内容与要求5.5.1 下载、安装EtherealEthereal下载网址: /download.html到Ethereal的站站后,点击download,接着选择要安装的系统平台,如Windows或Linux (Red Hat / Fedora),然后点击下载链接即可进行下载。
Ethereal的安装非常简单,只要执行下载的软件(如ethereal-setup-0.99.0.exe),然后按提示操作。
注意:安装时,要勾选Install Winpcap。
WinPcap是libpcap library的Windows版本。
Ethereal可透过WinPcap来劫取网络上的数据包。
在安装Ethereal的过程中也会一并安装WinPcap,不需要再另外安装。
5.5.2 启动EtherealEthereal启动后,如图所示:5.5.3抓包点击Capture菜单,选Interfaces…项。
打开如下图所示窗口。
选择要抓包的接口右边的Capture按钮,本例选择了抓取IP地址为210.30.12.46的接口。
点击Capture按钮后将启动抓包过程。
注意:为配合抓包,需要进行网络通信。
1)要抓ARP分组的包、ICMP报文的包、UDP数据报,可以在CMD窗口中,使用命令ARP -D删除当前ARP缓存,使用PING命令PING某台主机IP地址(例如PING 网关IP地址),使用TRACERT命令跟踪分组从源点到终点的路径(例如TRACERT 网关IP地址)。
实验一:使用包嗅探及协议分析软件Ethereal 分析 Ethernet帧及应用层FTP协议的分析【实验目的】1、掌握包嗅探及协议分析软件Ethereal的使用。
2、掌握Ethernet帧的构成3、掌握 FTP协议包的构成【实验环境】安装好Windows 2000 Server操作系统+Ethereal的计算机【实验时间】2节课【实验重点及难点】重点学习掌握如何利用Ethereal来分析Ethernet帧。
【实验内容】1、捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2(即EthernetII)格式的帧并进行分析。
2、捕捉并分析局域网上的所有ethernet broadcast帧进行分析。
3、捕捉局域网上的所有ethernet multicast帧进行分析。
【实验步骤】一、Ethereal的安装Ethereal是一个图形用户接口(GUI)的网络嗅探器,由于Ethereal需要WinPcap库, 所以先安装WinPcap_2_3.exe, 再安装Ethereal.exe。
(已装好)二、仔细阅读附件中的Ethereal使用方法和TcpDump的表达式详解,学习Ethereal的使用。
三、捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2(即EthernetII)格式的帧并进行分析。
捕捉任何主机发出的Ethernet 802.3格式的帧(帧的长度字段<=1500),Ethereal的capture filter 的filter string设置为:ether[12:2] <= 1500。
捕捉任何主机发出的DIX Ethernet V2(即Ethernet II)格式的帧(帧的长度字段>1500, 帧的长度字段实际上是类型字段),Ethereal的capture filter 的filter string设置为:ether[12:2] > 1500。
实验1 学习使用Ethereal进行网络协议分析实验目的:掌握使用Ethereal软件分析网络协议的基本技能,加深对协议格式、协议层次和协议交互过程的理解。
实验过程:(1)分组俘获。
下面左图为俘获分组的配置界面,实验时只有最上面的Interface是自己选择的,其余均采用默认值。
右图为俘获过程中的一个截图,当时还没有俘获到TCP帧。
(2)协议分析。
下图是捕捉到的一个TCP帧的基本信息:观察最上面蓝色条形选框中的信息,可以得出:1)俘获到的此帧的编号为:22(No.);2)时间为:2.200445s(Time);3)源地址为:192.168.0.99(Source);4)目的地址为:192.168.0.53(Destination);5)协议为:TCP协议(Protocol);6)帧携带的信息为:1422>microsoft-ds[SYN] Seq=0 Ack=0……(Info);位于中部的窗口中列出了上面所选中的TCP帧的详细内容,下面将其按顺序展开,逐个进行分析:1)第一行(Frame22(62 bytes on ware,62 bytes captured))展开如上图中部所示:★Arrival Time:帧到达的时间,也就是俘获到帧的时间为:2010-12-24-18:48:20.706671000;★Time delta from previous packet:与上一帧的时间间隔为:0.000061000秒。
观察上图可得第21帧的时间为2.200384s,与22帧的时间2.200445s之间的时间间隔为:2.200445-2.200384=0.000061s,恰好为0.000061秒!★Time since reference or first frame:从俘获到第一帧到俘获到此帧经过的时间为2.200445000s;★Frame Number:帧的编号为22;★Packet Length:数据包的大小为62字节;★Capture Length:俘获到的大小为62字节,即整个数据包都被俘获;2)第二行(Etherne tⅡ,Src:00:0d:87:f8:43:c0,Dst:00:0d:87:f9:70:3a)展开如上图所示:★Destination:00:0d:87:f9:70:3a(192.168.0.53):目的地址。
Ethereal软件的安装与使用一、实验目的学会安装Ethereal软件,熟悉Ethereal,用ethereal来观察网络。
了解ethereal工具的使用方法。
了解使用ethereal抓包中各个字段的含义。
为进一步实验做准备。
二、实验内容Ethereal是一个开放源码的网络分析系统,也是目前最好的开放源码的网络协议分析器,支持Linux和Windows平台。
Ethereal起初由Gerald Combs开发,随后由一个松散的Etheral团队组织进行维护开发。
自从1998年发布最早的0.2版本至今,大量的志愿者为Ethereal添加新的协议解析器,如今Ethereal已经支持五百多种协议解析。
很难想象如此多的人开发的代码可以很好的融入系统中;并且在系统中加入一个新的协议解析器很简单,一个不了解系统的结构的新手也可以根据留出的接口进行自己的协议开发。
这都归功于Ehereal良好的设计结构。
事实上由于网络上各种协议种类繁多,各种新的协议层出不穷。
一个好的协议分析器必需有很好的可扩展性和结构,这样才能适应网络发展的需要不断加入新的协议解析器。
关于ethereal软件中option选项的说明:如下图所示。
●IP address:选择的网卡所对应的IP地址●Link-layer header type:数据链路层的协议,在以太网中一般是Ethernet II●Buffer size:数据缓存大小设定,默认是1M字节●Interface:选择采集数据包的网卡●Capture packets in promiscuous mode:设定在混杂模式下捕获数据,如果不选中,将只能捕获本机的数据通讯,默认情况下选中该项 Limit each packet to:设定只捕获数据包的前多少个字节(从以太网头开始计算),默认是68●Capture Filter:设定当前的数据包采集过滤器●File:设定数据包文件的保存位置和保存文件名,默认不保存●Use multiple files:启用多文件保存,默认不启用●Next file every:设定每个数据包文件的大小(单位是M,默认1M),只有启用Use multiple files后此项才可用●Next file every: 设定每个数据包文件的大小(单位是分钟,默认1分钟),只有启用Use multiple files后此项才可用●Ring buffer with:当保存多少个数据包文件后循环缓存,默认是2个文件,即保存2个数据包文件后丢弃缓存中的数据包,再添加新采集到的数据包●Stop capture after: 当保存多少个数据包文件后停止捕获,默认是1个文件Stop Capture 中●… after:捕获到多少个数据包后停止捕获,默认不启用,如启用,默认值是1●… after:捕获到多少M字节的数据包后停止捕获,默认不启用,如启用,默认值是1●… after:捕获多少分钟后停止捕获,默认不启用,如启用,默认值是1Display Options●Update list of packets in real time:实时更新捕获到的数据包列表信息●Automatic scrolling in live capture:对捕获到的数据包信息进行自动滚屏显示●Hide capture info dialog:隐藏捕获信息对话框Name Resolution●Enable MAC name resolution:把MAC地址前3位解析为相应的生产厂商●Enable network name resolution:启用网络地址解析,解析IP,IPX地址对应的主机名●Enable transport name resolution:启用端口名解析,解析端口号对应的端口名三、实验要求要求抓图(如下图),说明每一个字段的含义。
