实验3_网络协议分析Ethereal

1、实验三网络协议分析器Ethereal一、实验目的和要求了解网络协议分析器Ethereal的基本知识掌握Ethereal安装过程掌握使用Ethereal捕捉数据包的方法能对捕获到的包简单分析二、实验内容安装Ethereal软件和相应的 WinpCap软件，启动Ethereal并设置相应的 选项，捕获一段记录。三、实验设备PC机、Ethereal 软件、WinpCap 软件四、背景知识Ethereal是一个有名的网络端口探测器，是可以在Linux、Solaris、SGI等各种平台运行的网络监听软件，它主要是针对TCP/IP协议的不安全性对运行该协议的机器进行监听。其功能相当于Windows下的Sn

2、iffer，都是在一个共享的网络环境下对数据包进行捕捉和分析，而且还能够自由地为其 增加某些插件以实现额外功能。Ethernet网络监测工具可在实时模式或离 线模式中用来捕获和分析网络通信。下面是使用Ethereal可以完成的几个工作：网络管理员使用它去帮助解决网络问题网络安全工程师用它去测试安全问题开发人员用它是调试协议的实现过程用它还可以帮助人员深入的学习网络协议下面是Ethereal提供的一些特性：支持UNIX平台和 Windows平台。从网络接口上捕获实时数据包以非常详细的协议方式显示数据包可以打开或者存贮捕获的数据包导入/导出数据包，从/到其它的捕获程序按多种方式过滤数据包按多种方式

3、查找数据包根据过滤条件，以不同的颜色显示数据包可以建立多种统计数据五、实验步骤1、安装 Ethereal 和 WinpCap。有的Ethereal中自带WinpCap就不需要再另外安装了。实验室里面一 般安装好了。下载地址：安装好后，桌面上会出现“图标，为Ethereal的桌面快捷方式。2、启动Ethereal，界面如下:图1 Ethereal启动界面最初的窗口中没有数据，因为还没有开始捕获数据包，首先来认识一 下界面。Ethereal主窗口有很多的 GUI程序组成：(1) File(文件)：这个菜单包含：打开文件、合并文件、保存/打印/导出整个或部分捕获文件、退出。(2) Edit(编辑)这

4、个菜单包括：查找包、时间参照、标记一个或多个包、 设置参数、(剪切、复制、粘贴)。(3) View(查看)：这个菜单控制捕获数据的显示，包括：给定特定的一类包标以不同的颜色、字体缩放、在一个新窗口中显示一个包、展开&折叠详细信息面板的树状结构。(4) Go：这个菜单实现转到一个特定包。(5) Capture(捕获):这个菜单实现开始、停止捕获，编辑捕获过滤条件的功能。（6）Analyze（分析）:这个菜单包含编辑显示过滤、enable（开）或disable（关）协议解码器、配置用户指定的解码方法、追踪一个TCP流。（7）Statistics（统计）：该菜单完成统计功能。包括捕获的包的一个摘要、

5、基于协议的包的数量等树状统计图等许多功（8）Help（帮助）这个菜单包含了一些对用户有用的信息。比如基本帮助、支持的协议列表、手册页、在线访问到网站等等。3、使用 Capture Options 对话框。要想获得一个跟踪记录，我们首先从Capture（捕获）菜单中选择“ Capture Options”（捕获选项），并用Capture Options对话框来指定跟踪记 录的各个方面。 Ethereal; Capture OptionsI 口回1彳CaptureIrterfa ce:iv.-layer header t/peEtherneiEuff&rsiue. 1bytesj Capture

6、packets in promiscuous mcdeLimit each packet to 一吋:megab;tes!Capture FiletslDisplay Optionse list of packets in realtiAutomatic scrolling in Ei/e cspLire巨 rJpKtfil? ever/tJ&ftfilE e-.er;I tlide capture info dialogRing buffer withStop Capture.apture Filter:Use rnultipie files. after. afterStep captur

7、e afterj Enable LliCnarne resolutionI. . afterT Eraijie network name resolutionJ| Efranspertnam rsclutinStartCartelMicrosoft DeviceMPFJBS5B723F-A2D1-4DFO-a830-OCE3AOEBE22dIP address： 192 168 1.100图 2 Caption Options 选项框(1) In terface (接口)首先要选择合适的接口，也就是网卡，如何不选择合适的接口，可能 捕获不到数据包。图2中黄色框1,这个字段指定在哪个接口进行捕获

8、。这是一个下拉 字段，只能从中选择 Ethereal识别出来的接口，要想捕获到数据，首先要 选择正确的适配器（网卡），如果一台机器同时拥有以太网网卡和无线网络 网卡，你必须选择其中一个进行监测。（2）IP address（IP 地址）所选接口卡的IP地址。如果不能解析出IP地址，则显示unknown（ 3） Link-layer header type（ 链路层头类型 ） 除非你在极个别的情况下可能用到这个字段，大多数情况下保持默认 值。（4）Buffer size: n megabyte（s） （ 缓冲区大小： n 兆） 输入捕获时使用的 buffer 的大小。 这是核心 buffer 的大

9、小，捕获的数 据首先保存在这里，直到写入磁盘。如果遇到包丢失的情况，增加这个值 可能解决问题。本实验中保持默认值。（5）Capture packets in promiscuous mode （ 在混杂模式捕获包， 绿色 框 2）这个选项允许设置是否将网卡设置在混杂模式。 如果不指定， Ethereal 仅仅捕获那些进入你的计算机的或送出你的计算机的包。 （而不是 LAN 网 段上的所有包 ）。要想把网络接口设置为混杂模式， 需要对这台计算机具有管理员特权。 本实验中保持默认值。（6）Limit each packet to n bytes （ 限制每一个包为 n 字节 ） 这个字段设置每一个

10、数据包的最大捕获的数据量。 有时称作 snaplen 。 如果 disable 这个选项默认是 65535, 对于大多数协议来讲中够了。本实验中保持默认值。（ 7） Capture Filter（ 捕获过滤，蓝色框 3） 这个字段指定一个捕获过滤。 “在捕获时进行过滤”部分进行讨论。 默认是空的，即没过过滤。也可以点击标为 Capture Filter 的按钮 , Ethereal 将弹出Capture Filters（捕获过滤）对话框，来建立或者选择一个过滤。例如， 你可以用下面的过滤器来捕获那些只从 IP 地址发出和发往它的 分组：host。Ethereal过滤器功能很强，但是需要学习一种

11、简单的过滤语 言。本实验中保持默认值，暂时不需设置。（8）Capture File （捕获文件，紫色框 4）可以指定将捕获的分组直接保存在一个文件中，而不是在内存中。选 择一个合适的文件夹，将捕获的信息存入。（ 9） Use Multiple Files （使用多个文件，枚红色框5）使用这个选项，分组可以被写入多个文件。这些控制对于捕获较大较 长的跟踪记录是很重要的。本实验中保持默认值。（10）Stop Capture （停止捕获） 可以设定一些停止捕获的选项，自动停止捕获。本实验中保持默认值。（ 11 ） Name Resolution （名字解析，黑色框 7） 在任何可能的情况下，可以要求

12、 Ethereal 把分中不同的数字翻译成为 人们易读的名字。如：启用MAC地址转换，Ethereal会将一部分地址转化为厂商的名称。 如启用网络地址转换， Ethereal 会试图将一个网络地址 （的 IP 地址）转化为一个主机名，如。本实验中保持默认值。（ 12） Update list of packets in real time （实时更新分组列表，红色框每个新的分组都会被添加到主窗口中的分组列表中去。本实验中请勾选。4、开始捕获数据包。上述的各项选择好后，点击“ start ”开始捕获数据包，下图为捕获时的情形 Ethereal; Capture fronn Microsoft .

13、0.063.7D0.1%n映0.QKU.UMQ-呼Q.Q伙RunninoKOOlfTotal17170SCTP0TCP5215UDP10935ICMP18ARP2OSPF0GRF口NetBIOS0IPXVINES0Othor0apued packElsH of total图2捕获数据包这个窗口概述了被捕捉的各种类型包的量5、停止捕获。大约等一段时间后（30-60秒），点击“ stop”按钮，停止捕获后，会弹出下面的窗体，显示了刚才捕获到的包。捕捉包序号捕捉时间源地址目的地址上层协议包内容提要过滤器工具栏协议树i-Lir-t - Hhr 宀丨EOil TierJ工具栏LxciBS-siDrnrw

14、SourctDu-lrulierim咖询Info192.1EB. 1,100菜单栏HTTPconi 1 nuai 1 lih or lian-HrTP TrafficHE1CunenuM 仙 I - I Fl IIT1T T|!Zl I -211.161-159 2?mJ I hK 1 imQar松站包概况窗 lUl.nSM ZUdMBHMi7 22：21：2E.211.16,15226 ZZa21：20B5W 丿 I L&l Id 22 Y ?2：21；26.1991 QO& Z2;21：.&M 211.161,145. Z；Qi 22:21:21. GOO ；nl .i

15、hi .is j2 ID 22:21:26.600 1J92.1GK. 1-10000 1W 169. L* LOT211.I61./159, 22IM-IfcB, 1,100窗体协议树窗体laoaa-川Ki r：rMMnoidrr- .cIlittf conn run ion： or iw)-rmrp trafficTCP http 3 05丄 LACK. Sec=432a ACk =3 1113926 LEWDHTTP CCWHTTHUlTiH flF HOT*-HTTP IFflfflCTCP 591? Exp AC* SeQ-BB Adr-$7 Wir-2M le

16、n-Q HTtfCc-Tt rnujtirin http ACKAck-6iQ Win2?S Lm-CXI干*rivtfr lrii.4r lri nrI4f TP 1 r jIT Ifr irrw 1 (1J4 Qtcs cm wirefel?yt cs ckptured)* Ernirnei: II. 5rc： OTild:Qfi：rt：e2 (Q(J：1 F Dst: LK.lfii.l工DO (102.1M.1.LD4J* 1T51；&豹51 0rWD!| Ff Olac9 ,話IX PWL： Kip (M)ROt： StSlS (59512 s0, ACk； 6 Lr1J 140Hp

17、rt cart Tr jrrsf or Pot 口oh4匚&%f413 v电価* r_ 15-0 牛d 21 匚-e1G B 4 e JD B D -u V E-l.: obtOTdbdcisrtasI bc! b &- 7 m ! .n eJ cfldrL6 cJ2 -&l h- J a ftoa黑01包的16进制代码区包的ASCI代码区图3网络分析器Ethereal主界面上图中标示出了主界面的各个部分，大家要仔细观察，了解捕获的内容。6、完成捕获。恭喜你！现在，你拥有了刚才在你的电脑通过网络进行交换的协议消 息，你已经完成了一次成功的协议数据捕获。六、思考题Q1、你没有手动进行网络访问操作

18、，但还是抓到了一些数据，请列出 你抓到的各种包的协议名称，并上网查询下这些包分别是起什么作用的各 是由谁发出的Q2、从你抓到的第一个包到最后一个包持续的时间是多久（默认time列显示的是开始捕获后的以秒为单位的持续时间，如果要在time列以time-of-day格式显示，请选择 Ethereal的View下拉菜单，然后选择时 间显示格式为Time-of-day)Q3、导出这些数据，你可以在 Ethereal的File命令菜单中选择 save菜单，作为实验报告的结果。笫矗京盯亍印*S14)a qu/ry TH 且 Z； -FQ!：L.if |rFi 甲e 覧 t-Pluir 旳他 E帅沁s tM

19、uFitir-RUUt%H Edk.q Ehsdulailik Bute4 am： ariri swwr 届g芻 llgw); -IDl-2 X 心 DaUH = cDo J 武閒M * dF專审0忍 占過工第呂 國生中睿殳 匕I門 *団任曰匚 g WKS OHwrlM.|l|itf!|Bp*a jmf * hTimaSiXifEb口 -fi-u visionklcDi If/DJLt23.U2 55.J.- 5. 14S 46,O?LfiSTh115:5ITs1157TT丄扎*.丄2MM 44.M5470 LU. 1jS&. 12.2MM$ 45bfiL2$tA LW. 1.12.211Si

20、rTZoaoBHL LdlKU.3OZM2 4E.lim7 MO.iM.lJ.aiD30.1,12i鸵艸215JU5怎qiiQiy xhhi ma qufl.-ry 血h卓边总取）un qufy B 益g.i56hQ* Fl igi j OudONkTlriHniut f 1眄 Count 7 0 瓠豊 e* OPFSM.： Q isra cqu192.168.122555192.168.12192.63.122C525、41 5.C0?91C?342 5 13939719216812 2Q2344 C. 331062345 巧.612558 II192.168.12.

21、20751192.19.12192.168.12255255N6NSN6NShie uery Nd 4ClWane query hb PS2.P.QQ.COM347丄5703刀358192.168.12255NBhJSName query nb ts? qQCCM(XiA34807910807192.168.12255N6Nquery H9 401349 44. 6050151192.168.12255NBNSWane query NB PS2. P. CC0MOX351 “X51792855MENSKane query NB TS7.CM4iwns Naive query hr nt .gj.gtimjucxw nbns Name query nb RS今，QQC Toxal dm a count: 6Maw Prmprpr Count: 0Max Data Count: 0 mix Setup Count: 0 Reserved: 00 Flags: oxoooo Tineout: 1 second Reserved: OOlkiPar so