Ethereal協(xié)議分析實驗指導(dǎo)-2023修改整理

千里之行，始于足下讓知識帶有溫度。第2頁/共2頁精品文檔推薦Ethereal協(xié)議分析實驗指導(dǎo)Ethereal協(xié)議分析試驗指導(dǎo)

Ethereal是一個開放源碼的網(wǎng)絡(luò)分析系統(tǒng)，也是目前最好的開放源碼的網(wǎng)絡(luò)協(xié)議分析器，支持Linux和windows平臺。Ethereal基本類似于tcpdump，但Ethereal還具有設(shè)計完善的GUI和眾多分類信息及過濾選項。用戶通過Ethereal，同時將網(wǎng)卡插入混雜模式，可以查看到網(wǎng)絡(luò)中發(fā)送的全部通信流量。Ethereal網(wǎng)絡(luò)協(xié)議分析軟件可以非常便利直觀地應(yīng)用于計算機網(wǎng)絡(luò)原理和網(wǎng)絡(luò)平安的教學(xué)試驗，網(wǎng)絡(luò)的日常平安監(jiān)測。使用Ethereal能夠十分有效地協(xié)助同學(xué)來理解網(wǎng)絡(luò)原理和協(xié)議、協(xié)助同學(xué)理解試驗現(xiàn)象和診斷試驗故障。

一、Ethereal協(xié)議分析軟件下載及安裝

1.下載Ethereal開源軟件

Ethereal是免費的，可以從HTTP://.E官方網(wǎng)站下載最新版本。以windowsxp操作系統(tǒng)為例，如圖2-1所示。目前可下載最新版本為：Ethereal0.99.0

圖2-1下載Ethereal協(xié)議分析軟件的界面

2.安裝Ethereal軟件

圖2-2Ethereal安裝界面

雙擊Ethereal-setup-0.99.0.exe軟件圖標(biāo)，開頭安裝。圖2-2為Ethereal安裝界面。挑選欲安裝的選件，普通挑選默認(rèn)即可，如圖2-3

圖2-3挑選欲安裝的選件

挑選欲安裝的名目，確定軟件安裝位置。Ethereal軟件的運行需要軟件WinPcap的支持，WinPcap是libpcaplibrary的Windows版本，Ethereal可通過WinPcap來劫取網(wǎng)絡(luò)上的數(shù)據(jù)包。在安裝Ethereal時可以的過程中也會一并安裝WinPcap，不需要再另外安裝。如圖2-4所示

圖2-4挑選安裝WinPcap

假如在安裝Ethereal之前未安裝Winpcap，可以勾選InstallWinpcap3.1beta4。開頭解壓縮文件，接著開頭安裝，接著按Next就可以看到Ethereal的啟動畫面了。如圖2-5所示。

圖2-5Ethereal協(xié)議分析儀系統(tǒng)主界面

二、Ethereal協(xié)議分析軟件的使用

1．使用Ethereal協(xié)議分析軟件的步驟

（1）啟動Ethereal

當(dāng)編譯并安裝好Ethereal后，雙擊“Ethereal”的圖標(biāo)。將浮現(xiàn)如圖2-5的系統(tǒng)操作主界面。

（2）設(shè)置Ethereal的過濾規(guī)章

（3）捕捉分組

可開頭從該網(wǎng)絡(luò)接口捕捉數(shù)據(jù)包。

當(dāng)捕捉運行時，將顯示2-7的對話框

圖2-7捕捉的數(shù)據(jù)包種類

該圖中列出捕捉的數(shù)據(jù)包種類和相關(guān)信息，點擊stop，停止數(shù)據(jù)報的捕捉，并將已捕捉的數(shù)據(jù)包分組信息裝載在分析系統(tǒng)中。

（4）數(shù)據(jù)包分析

圖2-8Ethereal協(xié)議分析界面

要基于協(xié)議類型挑選包，只需要在過濾工具條的Filter:字段里寫上協(xié)議類型，然后按回車就可以。如要只顯示TCP協(xié)議的數(shù)據(jù)包，可在過濾字段里打入tcp后顯示內(nèi)容。注重全部協(xié)議和字段名要用小寫。另外，輸入完后，不要遺忘按一下回車鍵。

圖2-9過濾選項工具條

Ethereal的協(xié)議分析界面主窗口顯示了三個視圖，頂部視圖，中間視圖和底部視圖。

頂部視圖

主要包括分組的簡要狀況列表，最前面的編號代表收到封包的次序。默認(rèn)列將顯示：

●No.包的編號。這個編號即使在使用顯示過濾時也不會轉(zhuǎn)變.

●Time時光：包的時光戳。

●Source源：包的源地址

●Destination目的：包的目的地址

●Protocol協(xié)議：簡寫的協(xié)議名稱

●Info：關(guān)于包的內(nèi)容的附加信息

圖2-10Ethereal協(xié)議分析頂部視圖

注重：假如覺得截獲的的封包數(shù)量太多的話，在抓取封包之前，可用CaptureFilter的功能，挑選想要過濾的協(xié)議即可。

中間視圖

圖2-11Ethereal協(xié)議分析中間

中間視圖顯示包括當(dāng)前選定分組的具體內(nèi)容，以可讀的方式顯示協(xié)議各字段的數(shù)值。協(xié)議和字段的顯示采納了樹狀結(jié)構(gòu)，可以被綻開及折疊。

底部視圖

底部視圖是封包的內(nèi)容，是以十六進(jìn)制及ASCII編碼的方式來表示。就象通常的十六進(jìn)制顯示一樣，左邊顯示偏移量，中間顯示十六進(jìn)制數(shù)值，右邊顯示相應(yīng)的ASCII字符。

圖2-12Ethereal協(xié)議分析底部視圖

（5）保存捕捉分組

可以指定將捕捉到的分組直接保存在一個文件里，而不是存于內(nèi)存中。若是想將捕捉到的數(shù)據(jù)包列表資料儲存起來，可以執(zhí)行[File]→[Save]或[SaveAs]將資料儲存起來。捕捉的文件擴(kuò)展名為.pcap或.cap。

三、捕捉規(guī)章

假如要捕捉特定的報文，那在抓取packet前就要設(shè)置，打算數(shù)據(jù)包的類型?？梢詾镋thereal設(shè)置過濾規(guī)章，即只捕捉感愛好的數(shù)據(jù)包。

單擊“Capture”選單，然后挑選“CaptureFilters...”捕捉過濾的對話框，來建立或者挑選一個過濾。如圖2-13，2-14所示。

圖2-13

圖2-14Ethereal過濾器配置對話框

Ethereal還可以使用libpcap過濾語言舉行捕捉過濾。在CaptureOption對話框中，將捕捉過濾表達(dá)式輸入到過濾字段，一個過濾表達(dá)式是由幾個容易的表達(dá)式通過and/or及not銜接在一起形成的。

Filterstring語法輸入的格式

[src|dst]host

●ether[src|dst]host

●gatewayhost

●[src|dst]net[{mask}|{len}

●[tcp|udp][src|dst]port

●less|greater

●ip|etherproto

●ether|ipbroadcast|multicast

●relop

比如說：

●捕捉MAC地址為00:d0:f8:00:00:03網(wǎng)絡(luò)設(shè)備通信的全部報文

過濾表達(dá)式為：etherhost00:d0:f8:00:00:03

●捕捉IP地址為網(wǎng)絡(luò)設(shè)備通信的全部報文

過濾表達(dá)式為：host

●捕捉網(wǎng)絡(luò)web掃瞄的全部報文

過濾表達(dá)式為：tcpport80

●捕捉除了http外的全部通信數(shù)據(jù)報文

過濾表達(dá)式為：hostandnottcpport80

●捕捉過濾：從一個主機到另一個主機的telnet

過濾表達(dá)式為：TCPport23andhost。

●捕捉全部除主機以外的telnet流量

過濾表達(dá)式為：TCPport23andnothost

四、利用Ethereal協(xié)議分析軟件分析ping命令試驗實例

試驗一使用了ping命令使用，但是我們并不了解ping命令的實質(zhì)。實際上ping命令是通過發(fā)送方向接收方發(fā)送“互聯(lián)網(wǎng)控制報文協(xié)議ICMP”回顯哀求消息，接收方對該回顯哀求舉行自動回顯應(yīng)答，來驗證兩臺支持“TCP/IP”協(xié)議之間的IP層銜接，并在發(fā)送方將回顯應(yīng)答消息的接收狀況與來回過程的次數(shù)一起顯示出來。

通過試驗來查看ping的發(fā)包及收包的過程，假設(shè)本機IP地址為9，要ping的目的主機的IP地址為5。

試驗步驟：

（1）進(jìn)入ms-dos，輸入ping–t5

圖2-15不停的發(fā)送ping命令的數(shù)據(jù)包

（2）打開ethereal協(xié)議分析軟件，確定網(wǎng)卡接口，并開頭捕捉數(shù)據(jù)包

圖2-16確定網(wǎng)卡接口

圖2-17顯示捕捉數(shù)據(jù)包的類型

（3）捕捉數(shù)據(jù)分析

圖2-18設(shè)置顯示過濾

（4）顯示篩選規(guī)章中輸入“ICMP”，單擊“apply”，舉行過濾顯示，顯示的捕捉數(shù)據(jù)包均為ICMP協(xié)議數(shù)據(jù)包。

（5）通過ethereal分析的中間視圖，來查看ICMP協(xié)議的相應(yīng)字段。

圖2-19顯示IP數(shù)據(jù)包字段

圖2-20顯示ICMP數(shù)據(jù)字段

試驗結(jié)果分析：

（1）ICMP數(shù)據(jù)包有request和reply兩種類型。

（2）當(dāng)發(fā)送request哀求數(shù)據(jù)包時：源主機IP地址9。目的主機IP地址為5。即源主機為本機，目的主機為哀求ping的另一方。

（3）當(dāng)發(fā)送request響應(yīng)數(shù)據(jù)包時：源主機IP地址為5，目的主機IP地址為