下载文档原格式
Ethereal -抓包、报文分析工具Ethereal 是一种开放源代码的报文分析工具,适用于当前所有较为流行的计算机系统,包括 Unix、Linux 和 Windows 。
主界面如上图,点“抓包配置”按钮,出现抓包配置界面如下图。
在“Interface”中选择网卡,即用来抓包的接口,如果选择错误就不能抓到报文;“Capture packets in promiscuous mode(混杂模式抓包)”是指捕捉所有的报文,如不选中就只捕捉本机的收发报文;如果选中“Limit each packet to xx bytes(限制每个包的大小)”则只捕捉小于该限制的包;抓包时,数据量比较大,解析起来速度慢,可在“Capture Filter(抓包过滤设置“Display Options(显示设置)”中建议选中“Update list of packets in realtime(实时更新抓包列表)”、“Automatic scrolling in live capture(自动滚屏)”和“Hide capture info dialog(隐藏抓包信息对话框)”三项。
抓包配置好就可以点击“Start”开始抓包了。
抓包结束,按“停止”按钮即可停止。
为了快速查看需要的报文,在“Filter”栏中输入过滤条件后按回车键即可对抓到的包进行过滤。
注意“Filter”栏中输入的过滤条件正确则其底色为绿色,错误则其底色为红色。
常用有些报文还可以判断网络的状况,例如输入显示过滤条件tcp.analysis.flags,可以显示丢失、重发等异常情况相关的TCP报文,此类报文的出现频率可以作为评估网络状况的一个标尺。
偶尔出现属于正常现象,完全不出现说明网络状态上佳。
tcp.flags.reset==1。
SYN是TCP建立的第一步,FIN是TCP连接正常关断的标志,RST是TCP连接强制关断的标志。
统计心跳报文有无丢失。
在statistics->conversations里选择UDP,可以看到所有装置的UDP报文统计。
实验二利用网络嗅探工具Ethereal分析数据报文一、实验目的网络世界中,最基本的单元是数据包。
本实验内容作为将来各个实验的基础,培养对网络通讯协议底层的分析和认识,加强对网络的理解。
实验内容主要关注 ICMP、HTTP 包的检验。
1.学习网络嗅探工具 Ethereal 的使用。
2.利用抓包工具Ethereal,抓取ICMP包,完成对ICMP 包的分析工作。
明白 ICMP 包的结构。
结合 TCP/IP 的模型,分析 ICMP 包各层的功能,以及各层通信使用的地址,了解 ICMP 请求和响应包的 ICMP 协议号。
3.利用抓包工具 Ethereal,抓取 HTTP 包。
了解 HTTP 协议请求、响应包类型,结合课本学习知识完成的 HTTP 协议的剖析和掌握。
将来的课程实验中,需要使用该工具进行包分析,判断大多数安全和网络通讯问题。
二、实验环境1. 局域网环境2. Ethereal软件Ethereal 软件介绍Ethereal是一个网络数据包分析软件。
网络数据包分析软件的功能是截取网络数据包,并尽可能显示出最为详细的网络数据包资料。
网络数据包分析软件的功能可想像成"电工技师使用电表来量测电流、电压、电阻"的工作——只是将场景移植到网络上,并将网络线替换成电线。
三、实验任务1. 任务1:Ethereal 软件的基本功能使用2. 任务2:ICMP 数据报文的检测与分析3. 任务3:HTTP 数据报文的检测与分析四、实验步骤首先安装Ethereal和Winpcap。
任务1:Ethereal 软件的基本功能使用一、 打开 Ethereal,其界面如下图:二、在菜单的“capture”选项中设置抓包的相关参数,如下图:三、选择“interfaces”选项,对话框中显示可操作的网络适配器,如下图:四、通过“Prepare”或上级菜单“Option”选项,可以设置抓包模式、过滤器、数据包限制字节、存档文件模式、停止规则和名字解析等参数,如下图:设置完毕,就可以点击“Capture”,开始数据报文的捕获。
⽹络协议分析⼯具Ethereal的使⽤⼤学时计算机⽹络课的实验报告,当时提不起兴趣,今天看来还挺有⽤的。
可以学习下怎样抓数据包,然后分析程序的通信协议。
⼀:学习使⽤⽹络协议分析⼯具Ethereal的⽅法,并⽤它来分析⼀些协议。
实验步骤:1.⽤“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址;(注:缺省路由器即 ”Default Gateway”)命令⾏:Start->Run->CMD->ipconfig /all >C:\Mac.txt(在命令⾏中把ipconfig命令保存在⽂本⽂档⾥⾯备⽤)结果:本机Mac地址:00.09.73.4B.8A.D7 缺省路由器IP:192.168.8.254步骤截图:图1(本机⽹络信息:Mac.txt)2.⽤“arp”命令清空本机的缓存:命令⾏:Start->Run->CMD->arp –d图2(arp命令 –d参数的帮助说明)3.运⾏Ethereal,开始捕获所有属于ARP协议或ICMP协议的,并且源或⽬的MAC地址是本机的包:图3(Capture->Options中关于⽹卡设置和Capture Filter)图4(抓包截图)4.执⾏命令:“ping” 缺省路由器的IP地址:图5(捕获包)图6(ping 过程)⼆:⽤Ethereal观察tracert命令的⼯作过程:1.⽤Ethereal语法内容及参数说明:命令⾏操作步骤:Start->Run->CMD->tracert图1(Tracert命令全部参数的帮助说明)2.运⾏Ethereal, 设定源和⽬的MAC地址是本机的包,捕获tracert命令中⽤到的消息:Tracert使⽤ICMP,相应过滤规则为:ether host 00:09:73:4B:8A:D7 and icmp图3(Capture->Options中关于⽹卡设置和Capture Filter)3.执⾏“tracert -d ” ,捕获包:执⾏命令:tracert -d :图3 (执⾏命令 tracert –d )图4(抓包截图)图5(捕获包)4.Tracert⼯作原理:Tracert使⽤ICMP消息,具体地讲,tracert发出的是Echo Request消息,触发返回的是Time Exceeded消息和Echo Reply消息。
Ethereal软件下载、安装以及基本操作操作步骤:1.双击启动桌面上ethereal图标,按ctrl+K进行“capture option”的选择。
2.首先选择正确的NIC,进行报文的捕获。
3.对“capture option”各选项的详细介绍:Interface是选择捕获接口;Capture packetsin promiscuous mode表示是否打开混杂模式,打开即捕获所有的报文,一般我们只捕获到本机收发的数据报文,所以关掉;Limit each packet 表示限制每个报文的大小;Capture files 即捕获数据包的保存的文件名以及保存位置。
4.“capture option”确认选择后,点击ok就开始进行抓包;同时就会弹出“Ethereal:capture form (nic) driver”,其中(nic)代表本机的网卡型号。
同时该界面会以协议的不同统计捕获到报文的百分比,点击stop即可以停止抓包。
5.下图为Ethereal截取数据包的页面。
由上而下分別是截取数据包的列表以及封包的详细资料,最下面则是封包的內容,这时是以16进制及ASCII编码的方式来表示。
其中在列表这部份,最前面的编号代表收到封包的次序,其次是时间、来源地址、目的地址,最后则是协议的名称以及关于此封包的摘要信息。
6.若是想将截获到的数据包列表资料储存起来,可以执行[File]→[Save]或[Save As]将资料储存起来,存储对话框如下图所示,这些储存的数据包资料可以在以后执行[Open]来加以开启。
设置Ethereal的显示过滤规则操作步骤:1.在抓包完成后,显示过滤器用来找到你所感兴趣的包,依据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找你感兴趣的包。
2.举个例子,如果你只想查看使用tcp协议的包,在ethereal窗口的工具栏的下方的Filter中输入tcp,让后回车,ethereal就会只显示tcp协议的包,如下图所示:3.值比较表达式,可以使用下面的操作符来构造显示过滤器。
计算机网络课程实验报告姓名院系自动化学院学号实验地点东校区机房实验时间实验课表现出勤、表现得分实验报告得分实验总分操作结果得分实验目的:1、熟悉并应用Ethereal软件。
2、捕获数据报并且分析报文的结构。
实验内容:1. 在windows中安装Ethereal软件。
2、配置包捕获模式为混杂模式,捕获网络中所有机器的数据包当捕获到一定数量的数据报后,停止捕获,观察捕获到的数据包,并对照解析结果和原始数据包的具体字段(如了解本机网卡地址字段、IP地址字段、端口号等)结果:分析:可以看出此帧为Ethernet V2帧,端口号为9101。
其中,目的MAC地址为:01:00:5e:00:05:02,源MAC地址为:ec:a8:6b:68:ed:d9类型:0x08 00 为IP协议的数据。
数据里面是一个ip数据报。
其中0x45指是IPV4协议的,并且头部长度为20B+5B。
服务类型字段是:0x00,总长度字段是:0x00 56代表都86字节。
标识字段为:0x20 23,分断标识与段偏移量:0x00 00表示可分片,且为最后一片。
生存期字段:0x20,协议字段:0x11,表示数据部分要提交给UDP协议。
头部校验和字段为:0x54 b5 源地址字段为:0x d2 2a 69 92 目的地址字段为:0x e5 00 05 02,其余为数据部分。
3、配置包捕获过滤器,只捕获特定IP地址、特定端口或特定类型的包,然后重新开始捕获上图是捕获的特定的IP地址的包,为210.42.105.189.上图是捕获的特定端口的包,端口号为:9101。
上图为捕获的特定协议的包,为TCP协议的包。
4. (a)捕捉任何主机发出的Ethernet 802.3格式的帧(帧的长度字段<=1500),Ethereal的capture filter 的filter string设置为:ether[12:2] <= 1500分析:从上图的数据可以看出:为Ethernet 802.3 SAP帧,目的MAC地址为:01:80:c2:00:00:00,源MAC地址:00:1a:a1:57:ab:95,长度字段为:0x00 26,为38。
——用Ethereal捕获并分析数据包学院:计算机工程学院专业:计算机科学与技术姓名:张徽学号:2008404010135TCP报文格式分析◆TCP提供一种面向连接的、全双工的、可靠的字节流服务。
◆在一个TCP连接中,仅有两方进行彼此通信。
广播和多播不能用于TCP。
◆TCP的接收端必须丢弃重复的数据。
◆TCP对字节流的内容不作任何解释。
对字节流的解释由TCP连接双方的应用层解释。
◆TCP通过下列方式来提供可靠性:➢应用数据被分割成TCP认为最适合发送的数据块,称为报文段或段。
➢TCP协议中采用自适应的超时及重传策略。
➢TCP可以对收到的数据进行重新排序,将收到的数据以正确的顺序交给应用层。
➢TCP的接收端必须丢弃重复的数据。
➢TCP还能提供流量控制。
TCP数据报的发送过程图TCP数据报的格式●源端口:占16比特(2个字节),分段的端口号;●目的端口:占16比特(2个字节),分段的目的端口号;端口是传输层与应用层的服务接口。
传输层的复用和分用功能都要通过端口才能实现;●序号字段:占4字节。
TCP连接中传送的数据流中的每一个字节都编上一个序号。
序号字段的值则指的是本报文段所发送的数据的第一个字节的序号。
●确认号字段:占4字节,是期望收到对方的下一个报文段的数据的第一个字节的序号。
●数据偏移:占4比特,它指出TCP报文段的数据起始处距离CP报文段的起始处有多远。
“数据偏移”的单位不是字节而是32bit字(4字节为计算单位)。
●保留字段:占6bit,保留为今后使用,但目前应置为0。
●编码位:编码位含义紧急比特URG 当URG=1时,表明紧急指针字段有效。
它告诉系统此报文段中有紧急数据,应尽快传送(相当于高优先级的数据)。
确认比特ACK只有当ACK=1时确认号字段才有效。
当ACK=0时,确认号无效。
推送比特PSH 当PSH=1时,表示请求急迫操作,即分段一到马上就发送应用程序而不等到接收缓冲区满时才发送应用程序。
系别计算机科学与技术实验室网络工程实验室实验时间2012.2.22 1.实验名称实验一Ethereal的使用、以太网数据分析2. 实验目的(1)掌握嗅探工具Ethereal协议分析软件的使用方法(2)利用Ethereal软件工具截获以太网帧并完成报文分析3. 实验内容(1)Ethereal协议分析软件的使用(2)以太网链路层帧格式分析实验4. 实验环境实验设备和连接图如图所示,一台交换机连接了2 台PC 机,分别命名为PC1、PC2。
每两人一小组,每小组各自独立完成实验。
5. 实验步骤步骤1:按照如图所示连接好设备,配置PC1 和PC2 的IP 地址;(注:实验室中任何一台PC都可以作为模型中的PC1或PC2。
)步骤2:在:PC1 和PC2 上运行Ethereal 截获报文,为了只截获和实验内容有关的报文,将Ethereal 的Captrue Filter 设置为“No Broadcast and no Multicast ”;步骤3:在:PC1 和PC2互相ping对方;步骤4:停止截获报文:将结果保存为MAC-学号,并对按要求对截获的报文进行分析。
步骤5:启动系统中Messenger 服务。
步骤6:PC1和PC2互相发送消息报文。
如以PC1为例:PC1 和PC2 上运行Ethereal 截获报文,然后进入PC1 的Windows 命令行窗口,执行如下命令:net send PC2IP地址Hello(4)回答实验步骤4的问题:[1] 列出截获的一个报文中的各层协议类型,观察这些协议之间的关系。
[2] 在网络课程学习中,Ethernet规定以太网的MAC层的报文格式分为7字节的前导符、1字节的帧首定界、6字节的目的MAC地址、6字节的源MAC地址、2字节的类型、46~1500字节的数据字段和4字节的帧尾校验字段。
分析一个Ethernet 帧,查看这个帧由几部分组成,缺少了哪几部分?为什么?6.实验结论及心得对于Ethernet软件有了一个初步的了解,懂得了数据包的抓取和发送。
实验1-Ethereal的使⽤和⽹络协议的层次观察实验1 Ethereal的使⽤和⽹络协议的层次观察⼀、实验⽬的:1、了解⽹络协议的层次结构2、初步掌握Ethereal的使⽤⽅法⼆、实验环境1、Ethereal⽹络分析软件2、实验⽂件“计算机⽹络-实验⽂件.cap”三、实验要求1、能够了解⽹络协议的层次结构2、能够正确掌握Ethereal的使⽤⽅法四、实验内容1、Ethereal介绍Ethereal是⼀个优秀的⽹络数据包分析软件,可以捕获(Capture) 和浏览(Display) ⽹络侦测的内容,还可以定义Filters规则,监视所有在⽹络上被传送的封包,并分析其内容。
Ethereal通常⽤来检查⽹络运作的状况,或是⽤来发现⽹络程序的bugs。
它可以分析的协议有:RTP、IP、ISAKMP、ICMP、SMB、SMB-PIPE、VTP、SNMPv3、Ethernet、GRE、EIGRP、DHCP、IPX、X.25、RSVP等。
2、Ethereal的使⽤启动ethereal后,选择菜单Capature->Options, 定义获取数据包的⽅式。
主要选项有,Interface: 指定在哪个接⼝(⽹卡)上抓包;Limit each packet: 限制每个包的⼤⼩以避免数据过⼤,缺省情况下可不限制;Capture packets in promiscuous mode: 是否打开混杂模式。
如果打开,则抓取共享⽹络上可以探测的所有数据包。
⼀般情况下只需要监听本机收到或者发出的包,可以关闭这个选项。
Filter:设定过滤规则,只抓取满⾜过滤规则的包;File:如果需要将抓到的包写到⽂件中,在这⾥输⼊⽂件名称。
其他的项选择缺省的就可以了。
选择start开始抓包。
选择stop,则停⽌抓包。
3 . 实验⽂件“计算机⽹络-实验⽂件.cap”的获取该实验⽂件的建⽴是在本⼈主机上完成的,运⾏以下命令,期间通过浏览器访问BAIDU,同时使⽤ethereal抓取期间⽹络数据包:ipconfig /release (释放当前IP配置)arp –d (释放当前ARP缓存)ipconfig /flushdns (释放当前DNS缓存)pause (准备开始抓取⽹络数据包)ipconfig /renew (重新配置当前IP配置,本⼈主机需要执⾏DHCP协议)ping -l 2000 -f 219.222.170.254 (不拆分2000字节数据包,发送⾄⽹关)ping -l 2000 219.222.170.254 (发送2000字节数据包⾄⽹关,允许拆分)tracert /doc/323e6c0616fc700abb68fc0c.html (跟踪当前主机到/doc/323e6c0616fc700abb68fc0c.html 的路由)pause4.数据包的分析打开⽂件“计算机⽹络-实验⽂件.cap”,这是⼀个包括204个分组的⽹络通信记录,当前主机IP地址是219.222.170.14 、⽹关地址是219.222.170.254、⽂件中出现的119.75.217.56 是百度公司的IP地址、172.30.0.19是东莞理⼯学院⽹络中⼼提供的Windows Server Update Services (WSUS)。
“飞秋”抓包分析前期筹备工作。
在接到教员布置的任务之后,我们班找了时间对这个报告工作所要解决的问题进行了归纳,再对实验的过程进行了讨论,然后对报告撰写进行了比较详细的讨论。
也在网上搜集了必要的资源和一些方法。
一.实验名称飞秋聊天和传输文件的抓包分析二.实验目的通过对飞秋聊天和传输文件时的抓包分析,了解飞秋的数据包的结构以及功能。
三.实验过程环境配置:<一>、抓包软件的配置。
一开始我们组选择的是sniffer这个软件来进行抓包和分析,但是在先后下载了几个版本都未能在电脑上面很好的运行,后来查阅资料显示sniffer在win7 64位上面确实存在兼容问题。
于是我们组选择了另外一个抓包软件Ethereal。
相比之下,ethereal的安装和配置就显得流畅得多。
很快就在电脑上运行了起来。
<二>、局域网的组建。
我们组采取的是wifi无线联接。
由一台电脑开启免费热点,然后其他几台电脑输入密码进行连接。
这样,局域网就组建了起来。
经过这几步,抓包相关的配置都已准备齐全,剩下来就是具体的抓包和分析了。
<三>抓包过程:1、运行飞秋。
可以看到飞秋主界面在局域网连接的状况下,打开软件就可以看到提示:有N名好友在线。
可以试着发送一些文件或短消息,检查连接和软件运行状况。
2、打开Ethereal软件,可以看到其全英文的主界面:界面顶部是三栏功能栏,第一栏为所有功能,分别是文件、添加、编辑、运行、捕获、分析、统计,帮助。
第二栏为快捷键,第三栏为抓包过滤选项(此项后面可以用到)。
界面下部分是可视窗口,显示抓到的包和简略的包数据。
3、开始抓包。
点击capture—options。
可以看到抓包界面:界面显示的是珠宝相关的一些操作,我们能用到的主要有红色标明的一些栏目,分别是1网卡选择、2及时显示抓到的数据包、3开始。
首先选择要抓取的网卡,选折好后可以看到挨着那一栏的ipaddress核对是否和飞秋上现实的自己的地址是否相同,检查完就可以开始了。
上面所示图片是用Wireshark软件进行抓包数据分析的截屏,下面我将选取1号帧作为代表分别分析相应的数据:1、数据帧的相关信息:获取时间为0;源地址为118.123.234.160;目的地址为192.168.1.100;高层协议为UDP;包内信息概况为:源端口为irdmi,目标端口为51820,表示QQ聊天软件与本机网络连接的信息。
2、物理层的数据帧概况从图中可以看出:1号帧,线路上有101字节,实际捕获101字节,捕获时间为2010年10月24日18:14:36,测试时间为1287915276.685846000秒,此包与前一捕获帧的时间间隔为0秒,与前一个显示帧时间间隔为0秒,与第一帧的时间间隔为0秒,帧号为1,帧长为101字节,捕获长度为101字节,此帧没有被标记且没有被忽略,帧内封装的协议结构为UDP数据协议,用不同颜色染色标记的协议名为UDP,染色显示规则字符串为udp。
3、数据链路层以太网帧头部信息此包为以太网协议版本2,源地址为Tp-LinkT_a9:d9:c6 (00:19:e0:a9:d9:c6),说明本机的网络是有TP-Link路由器分出来的,其网卡地址为00:19:e0:a9:d9:c6;目标地址为HewlettP_78:9f:34 (00:25:b3:78:9f:34),说明本机的网卡是Hewlett厂家生产的,网卡地址为00:25:b3:78:9f:34。
帧内封装的上层协议类型为IP,十六进制代码为0800。
4、互联网层IP包头部信息互联网协议IPv4,源地址为118.123.234.160,目标地址为192.168.1.100,IP包头部长度为20字节,差分服务字段为0x00 (DSCP 0x00: Default; ECN: 0x00),表示一个特定的上层协议所分配的重要级别,默认的DSCP值是0,相当于尽力传送,ECN字段被分为ECN-Capable Transport (ECT) bit和CE bit,ECT bit设置为“ 0 ”表明该传输协议将忽略ignore CE bit,CE bit将由路由器设置,设置为0说明对末端节点不挤塞,IP包的总长度为87字节,标志字段为0,标记字段为0x02,没有分片,分片的偏移量为0,生存期为57,当减少为0时,该数据包将被丢弃以保证数据包不会无限制的循环,上层协议为UDP,报头的检验和显示为正确。
第1章常用操作方法和工具介绍1.1 镜像抓包工具现场人员进行故障处理,有时需要抓数据包进行分析。
本节介绍终端的抓包方法,用于指导现场工程师进行操作。
抓包工具很多,有Ethreal,WireShark,Sniffer等。
其中Ethreal和WireShark较为常见。
由于Wireshark 和Ethreal工具为同一产品的不同版本,并且Ethreal使用比较广泛版本比较新。
本节主要介绍Ethreal 的使用方法。
1.1.1 简介在这节,将介绍怎样通过Ethereal截包;怎样通过Ethereal观察包;在Ethereal怎样过滤包;怎样分析媒体包;还有其它功能。
1.1.2 截包我们通过选择“Capture”菜单中的“Start”子菜单或主工具条相对应的项来截包。
弹出“Caputure Options”对话框,如图1.1-1图 1.1-1 抓包开始选项1.1.2.1 截包参数的设定Interface:这项用于指定截包的网卡。
Link-layer header type:指定链路层包的类型,一般使用默认值。
Buffer size(n megabyte(s)):用于定义Ethereal用于截包的缓冲,当缓冲写满后,就将截的数据写道磁盘上。
如果遇到ethereal丢包现象,将该缓冲尽量增大。
Capture packets in promiscuous mode:截包时,Ethereal将网口置于混杂模式。
如果没有配置这项,Ethereal只能截取该PC发送和接收的包(而不是同一LAN上的所有包)。
Limit each packet to n bytes:定义Ethereal截取包的最大数据数,大于这个值的数据包将被丢掉。
默认为65535。
1.1.2.2 截包过滤条件的设定Ethereal 截包过滤条件,通过and 和or,将一系列的primitive 表达式连接在一起,有时可在primitive 表达式前用not。
