ethereal使用以及IP协议解析_第1页
ethereal使用以及IP协议解析_第2页
ethereal使用以及IP协议解析_第3页
ethereal使用以及IP协议解析_第4页
ethereal使用以及IP协议解析_第5页
已阅读5页,还剩5页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、1.主界面介绍随着3g的普及,手机数据业务量(如浏览器,彩信等)的日益增长,对手机侧网络包 的分析显得越來越重要。一般來说,手机数据业务的抓包工具为qxdm,在抓log指导里面已经有了详细参数的配 置介绍(详情见ip数据包抓取方法.doc)。但需要注意的是,在将log转化为.pcap文件 时,必须保证当前电脑里安装冇ethereal软件,否者pcapgenerator这个工具不会出现。(针 对使用tools->pcapgenerator转化.isf文件出错的情况,对以做如下尝试:先使用tools->isf file converter将刚刚保存的.isf文件其转化为.dlf文件,然

2、后使用tools->pcapgenerator将dlf文件转换成.pcap文件)。这里主要针对抓到ip包后,怎么样使用ethereal软件对ip包进行分析,以及一些简单 的tcp/ip协议介绍。口回冈直接点击打开.pcap文件,可以看到如下图1所示界面。© 11 05. 16-28sis_u1ts pdp cohtext 0. 0x80040_ip.pcapetherealeile em yiew qo capture finalyze statistics helpx他吕亘|诊<0否盘§ (3致q钱門剑i no. vtimesourcedestinationp

3、rotocolinfo0. oooooc)010.128.136. 206tcphttp> 58130u* ,ack seq=0ze2 120.379219213.13,145, 30丄-12b丄5lz'jt.tcphttp> 532490n,ackj seq=0 ack=h3 121.421500006tcphttp> 53249ackjseq-1 ack-251 k4 121.602406006tcptcpsegmentofareassemble

4、d pdu5 121.924719006tcptcpsenenrofareassembledpduj6 122.882625006tcptcpseonentofareassembledpdu7 122.942625006tcptcp segmerrtofareassembledpdu8 123.381313006tcptcp segmentofareassembledpdu9 123.481969213.

5、13.145.3006tcptcpsegnentofareassembledpdu10 123.900500006httphttp/1.1 200ok(jpeg jfif image;11 125.324156006tcptcpsegmentofareassembledpdu12 125.465344006tcptcpsegmentofareassembledpdu13 125.864656010.128

6、.136.206tcptcpsegmentofareassembledpduj14 126.023375006tcptcpsegmentofareassembledpdu15 126.023844006tcptcpsegmentofareassembledpdu16 126.861938006tcptcpsegne rvtofareassembledpdu17 126.921938006tcptcpsen

7、entofareassembledpdu18 126.98359419 126.986438000606tcp tcptcp ftcpsegment seamentof ofa areassembled reassembledpdu pdu1nze packet ustav£<©%0004500003c0000400025065c42d5od91le0100a8088ce0050do01bb37602954ef7098020ao1216aoalbf00000204058c0

8、402080ap| file: ueasoftv/areqxdmlog11-05.16-23sms.umts pdp context 0 0x800 . |p 50d:50m:0图1屮间彩色的区域就是ip数据包。从左到右,字段分别是no.,time, source, destination, protocol以及infoo ip包是按照流经手机网卡的时间顺序排列的,no.是标示抓到的ip包是 该抓包文件中的第几个,time则是计算的所有包与第一个包z间的间隔时间,单位毫秒 msc source和destination字段分别表示ip包的源地址和目的地址。protocol显示当前ip 包的上层协

9、议,如tcp, udp,如果应用层协议头也在该ip包屮,优先显示应用层协议, 如 rtsp, http 等。注意中间的彩色显示,不同的颜色代表该ip包中包含了不同内容,这是方便我们对ip 包查看。如上面的大红色,表示的是该数据包损坏,可能是只有一半的内容,也可能是指在 该包与其他包的序号不连续(指在协议层不连续),中间可能岀现丢包的现象。很多时候, ethereal是用不同颜色來区分上层协议的不同(注意ip包屮必须包含上层协议的包头,才 能以该应用的颜色进行标示。因为很多数据包比较人,是通过几个ip包进行传输的,那么 就只冇笫一个包是以上层应用的颜色进行标示,后面的显示为协议层颜色)。如下图2

10、中, 可以看到dns是以淡蓝色标示,icmp是以黑色标示,tcp的同步(syn&fin建立tcp连 接的三次握手)以深灰色进行标示,而其它的tcp包则以浅灰色标示,http协议使用绿色 进行标示等等。file edit view go capture analyze statistics helpl3隸獄鄭直沔巴因x购e 區仑冷不崖 s 題钱已eilter:timesourcedestinationprotocol info1 0.0000002 4.99346883831212dnsdns3 7.36

11、9538312dns4 9.993843835 12.363156836 14.992968837 16.243312121212183dns dns dns dnsstandard query a ww google .com st a ndard query a ww. google .com sbmaeetssgnesszakibbz 4alhiidmbhabmmstandar

12、d query a ww google .com standard query a ww googlstandard query a ww. google .comstandard qumry response smrgr fa和e com9 17.36321883192168111112dns2st a ndard query a ww. google .com vq3: p 34746 > 8080 syn seq-0 len-0 tsv=4> 34746 syn, ack seq-0 ack-1 34746 > 8080 ack

13、 seq=l ack=l win=513 20.57765614 21.25331218 219033431921681113219 22.223343220 22.36325012 20.56459383831283838312tcphttpget / http/1.1dns5tandard query response, server fa门34746 > 8080 fin, ack seq=471

14、ack=:tcp83加厂59579 > 8080synseq-0 len-0 tsv-4tcp8080 > 34746ackseq=l ack=471 wintcp8080 > 34746ackseq=l ack=472 windnsstandard query a ww. google .com v q3:tcp8080 > 59579syn,ack seq-0 ack-l * v expression. qlear pplyw frame 3 (60 bytes on wire, 60 bytes captured)人i+ raw packet da

15、ta-internet protocol, src: 83 (83), dst: 12 (12)/prcnn d00004500003cbodo4000400010c0a86f7067fa00350000200001000000000000030030676c6503636f6d0000|0a 01 00 b7|fb 60 fb 01 0077 06 67 6f 6f 01e. .< .©. ©.o.jjopg5(1 ww.goo gle cominfool expression. q

16、lear app”8383192丄6811丄3832832http http http http http http httpgut / http/129 24.54221837 27.75400041 27.79493742 27.86381248 29.51368763 42.62081267 45.315312sourcedestin ati on83192.168.111

17、.3838383 83| p: 72 d: 72 m osource (ip.src), 4 bytes帘意界面上的filter框,这个是一个过滤器,可以在界面上过滤掉你不需耍查看的包, 只留下需要的东西。p 11-04. 12-30browser_ults pdp context 0.0x8004.0.ip. pcap - etherealfile edit view go qapture analyze statistics helpget hrtp:/192.168.

18、ill.66/ http/1.1 http/1.1 200 ok (text/html)get 6/index.fi1es/huawe http/1.1 200 ok (jpeg jfif image)get http:/192.168.lll.66/favicon.1 co http/ http/1.1 200 ok (texx/html) httpa-1 200 ok (texr/html)http/ get http:/192168:l:l:l 66/huawei/sunday/ind jhttfv http/1.1 200 ok (text/htm

19、l)s frame 13 (522 bytes on wire, 522 bytes captured)八s raw packet data inter net protocol, src: :l0l0 183 (10l0l 83), dst: 192.168 11132 (192 丄68 111 32)v00004500020a2eb840004006ctb50a0100b7££©0010coa86f2087baif90324d9b76f3f5ef6d 0 2m.v.m002080180b6858bo00000101080a0000b5f9 00300d486b

20、4d474554202f20485454502f31 hkmget/ http/1004 02e31od0a486f73743a207777772e676f1host:ww. goccccaca、a"33ac7c7/1ml c厂|p 72 d: 10m: 0file: easoftwareqxdmlog11-04.12-30browser umts pdp context 0.0x.图3该过滤器可以通过协议字段进行过滤,只在界血上显示所有包中的符合过滤条件的数据 包,如图3所示。也町以通过source, destination字段进行过滤(通常用在ip的杂收模式,因为只要流 经网卡的

21、包都会被杂收上来,这样就需要过滤源地址和冃的地址为本机地址的数据包)。当 需要显示所有的数据包时,点击输入框右侧的clear,就可以清除当前的过滤条件。2.数据包协议分析界面选定你想查看的数据包,然后看中间的协议分析栏,如图4所示。图4可以看到整个数据包被分为了几部分,frame, raw packet data, internet protocol, transmission control protocol 以及 hypertext transfer protocolo其中frame显示的是该包的一些信息,arrival time为收到包的吋间(009513,需要 注意的是这个时i'

22、;可是本地时i'可,即当前手机显示的时间),frame number是当前包在整个 文件中位置(可以看出这是第13个包),packet length是协议中表示该包的长度 (522bytes),而capture length是实际抓到的包的长度(与packet length相同,则表明 抓包的时候数据没有丢失,否者认为是破损包,标示为大红色),protocols in frame是包中 包含的协议(这个包网络层协议是ip,传输层是tcp,应用层是http), coloring rules指 的是在主界而显示颜色是根据那一层协议显示的。raw packet data为空,按常理來说这个地

23、方应该显示的是物理层协议的详细信息,例 如使川ethereal对电脑的网卡抓包的话,这个地方显示的为ethernet,解析的是以太网层协 议信息,如冃的网卡和原网r的mac地址z类的物理层信息。因为这里是抓的手机包,不 太清处为什么物理层协议这显示的是空的。还需要跟踪继续対和应的协议进行分析。internet protocol很明显可以看出这里就是对网络层ip协议的解析。对照图5,对 解析出来的每个字段,分析ip层协议。file edit view go capture analyze statistics helpx购吕吻春垦i> q題q钱e3filter: http expressi

24、on. qlear apply13 2057765610l018?19216822 http get / http/1no., timesourcedestination°rotocol info23 22.387593832httpget http:/6/ http/1.127 24.155031192.16&u1.383httphttp/1.1 200 ok (text/html)29 24.542218832httpget http:/192.

25、168.111.66/index.fi1es/huawe37 27.75400083httphttp/1.1 200 ok (jpeg jfif image)41 27.794937832httpget 6/favicon.icohttp/ y+ naw packex aaxa八-internet protocol, src: 83 (83), dst: 2 (2)version: 4he

26、ader lengrh: 20 bytes囹 differentiated services field: 0x00 (dscp 0x00: default; ecn: 0x00)total length: 522identification: 0x2eb8 (11960)±i flags: 0x04 (don't fragmem)fragment offset: 0time to 1ive: 64protocol: tcp (0x06) header checksun: 0xcfb5 correctsource: 83 (83)destina

27、tion: 19216811132 (2) transmission control protocolt src port: 34746 (34746), dst port: 8080 (8080), seq: 1, ack: 1, len: 470 v00000010002000300040aaca4500020ab840004006cfb50a01000a86f20baif90324d9b76f3f5ef80180b68bo00000101080a0000b5cd486b4d4554202f20485454502f2e31od0a6f73743a207777772

28、e67b7|6dl fq316f贬乍 s “ uu de qv c* a* "g um ” 力|p 72d:1om.o|frame (frame). 522 bytesversion标明当前使用的是ipv4的ip协议(现在使用的趋势是ipv6); header length 标明ip包头的长度(20bytes); total length整个ip包长度;flags标示ip包是否分)? (0x04 不允许分片);fragment offset分片偏移(没有偏移);time to live该包在网络上的生存时 长(还能进行64次转发);protocol该ip包的传输层协议(0x06-tc

29、p, oxll-udp); header checksum包头校验码,显示ip协议包头是否正确。source, destination显示该ip包的源 和目的ip地址。在协议解析界面下方就是抓到包的i六进制文件显示窗。在协议解析界面点击相应的字段,就可以在十六进制文件显示窗中看到相应的十六进制字符。但注意有些字段占有的空间比较少,如只冇一位或者两位,在i六进制字段窗口可能不能单独显示的。如ip包头的首 字节45,就代表了两个字段,分别是ip版本号4和ip包头长度20 (5*4)otransmission control protocol很明显可以看出这里就是对传输层tcp协议的解析。对照图6,

30、对解析出來的每个字段,分析ip层协议。source port, destination port 显示该 ip 包的源和目的端口 osequence number 和 next sequence number是保证tcp流连续的关键字段,询一个包的next sequence number应 该和下一个包的sequence number 这样就可以知道网络屮是否存在丢包,并确定需 要重传的数据段。header length标明tcp包头的长度(32bytes)0 window size是tcp滑 动窗口协议中,窗口的大小。header checksum为包头校验码。fil8 edit view

31、go capture analyze statistics help聖俺鄭越瑟凸i0x购s回3审幻春蚩(3 致q钱e3 bfilter: http expression. clear applyno. time77> 8:i192,168.111.32http get /http,sourcedestinationdrotocol infoitt23 22.387593832httpget hrtp:/6/ http/1.127 24.155031192.16&111.383ht

32、tphttp/1.1 200 ok (text/html)29 24.542218832httpget 6/1ndex.fi1es/huawe37 27 754 000192168u13210l0 183httphttp/1.1 200 ok (jpeg jfif image)41 27.794937832httpget hrtp:/192.168.ill.66/fav!coh.1cohttp/t internet protocol, src: 83 (10

33、.1.0.183), dst: 2 (2)nsndsson 8ntrol protocol, src port: 34746 (34 746), dst port: 8080 (8080), 5mq: 1, ack:丄,lwn: 470source port: 34746 (34746) destination port: 8080 (8080) sequenew number: 1 (relative sequenee numbwr)next sequence number: 471 (relative sequence number) a

34、cknowledgement number: 1 (relative ack number) header length: 32 bytes£ flags: 0x0018 (psh, ack)window size: 5840 (scaled) checksum: ox58bo corrects options: (12 bytes)s hypertext transfm protocol00100020003000400050ac"co80od2e6fis4817c3 6"od6bod6cac7 ba if 9068 58 bo 00 00 4d43 fn5 7

35、 6a7 8 ex.4 4 2a a 57 06732013aod4c101o o a r2 2 0?9b0887m4 7 476oaf300f500f 5eb77637763dr2e65f 7 on2 6 7 7316f74a/4 2m.v.m nx. hkma/ http/16d f91host : wwwgo accept|p:72d:10m:0transmission control protocol (tep), 32 byteshypertext transfer protocol这里就是对应用层http (超文木)协议的解析,这里就不再详述了。对于tcp流可以通过右键点击打开对话

36、框进行查看,如图7,图8所示。© 11-04.12-30browser_umts pdp coitext 0.0x8004.oip.pcap - etherealfile edit view go capture analyze statistics helpfilter. |h!tpdrotocol info23 22.38759383192丄68.11127 24.1550311921681丄:138329 24.5422188319216811137 27.7540008341 27.

37、79493783192.168.111.;42 27.8638128348 29.5136878363 <42.6208183192.168.111.:67 45.31531283timesourcedestinationfollow ssl streamfollow tcp streamappty as filter prepare a filtermark packet (toggle) time reference0

38、decode as. 尽 print .show packet in new window2.168.111. 66/ http a-1 ok (text/html)2 16& 111. 66/1 n dex.fi 1 es/huawe ok (jpeg jfif image) 6/favicon.ico http/ ok (text/html)i ok (text/html)'2.168 111 66/huawei/sunday/i ndok (text/html)expression. qlear apply±i frame 13 (522

39、bytes on wire, 522 bytes captured)八2 raw packet data創 internet protocol, src: 10l0183 clo1o 183), dst: 192 168 111 32 (192 :168111 32)00000010002000300040ccec00004" 09027 of o 4 3m. 41057 8 a o 5f rs bb b 4 6 q e 7 8 7 8 八 2 8 5 4 4c* a o 8d a< o 2 6 4 oa 2f bbd/- o 6 o 60a 088817 o 3 14 3 5

40、 o ode4= 4 c 8 02 a6dlooo 4 o 22ccr9b0848仔7d 9if b 6f 367 of 5f7a oeb 2 67 15 0 0 e c of 0 52 330477 of o 57 a 5 6 a 4 7> b 7 o 5 7 a£& 0 hkmget.1.host 2m.v.m / httpa:v»w gofile:me:sofbvareqxdhwog11 -04.12-30browser umts pdpcontexto.ox. p:72d.1om.ofile edit view go captun© follov tcp streabfilter | (ip addr eq 192 168 11122 22.384000no. timesourc21 2238331223 22.38759326 23.81340628 24.15706229 24. 54221830313233343526.063406 26 514 531 26.51584326.99521826.99762527. 514 81236 27.51571837 27.75400038 27.755062 41 27.79493748 29.51368711 1 1 1

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论