ethereal使用以及IP协议解析

1、1.主界面介绍随着3g的普及，手机数据业务量（如浏览器，彩信等）的日益增长，对手机侧网络包 的分析显得越來越重要。一般來说，手机数据业务的抓包工具为qxdm,在抓log指导里面已经有了详细参数的配 置介绍（详情见ip数据包抓取方法.doc）。但需要注意的是，在将log转化为.pcap文件 时，必须保证当前电脑里安装冇ethereal软件，否者pcapgenerator这个工具不会出现。（针 对使用tools->pcapgenerator转化.isf文件出错的情况,对以做如下尝试:先使用tools->isf file converter将刚刚保存的.isf文件其转化为.dlf文件，然

2、后使用tools->pcapgenerator将dlf文件转换成.pcap文件）。这里主要针对抓到ip包后，怎么样使用ethereal软件对ip包进行分析，以及一些简单 的tcp/ip协议介绍。口回冈直接点击打开.pcap文件，可以看到如下图1所示界面。© 11 05. 16-28sis_u1ts pdp cohtext 0. 0x80040_ip.pcapetherealeile em yiew qo capture finalyze statistics helpx他吕亘|诊<0否盘§ （3致q钱門剑i no. vtimesourcedestinationp

3、rotocolinfo0. oooooc)010.128.136. 206tcphttp> 58130u* ,ack seq=0ze2 120.379219213.13,145, 30丄-12b丄5lz'jt.tcphttp> 532490n,ackj seq=0 ack=h3 121.421500006tcphttp> 53249ackjseq-1 ack-251 k4 121.602406006tcptcpsegmentofareassemble

4、d pdu5 121.924719006tcptcpsenenrofareassembledpduj6 122.882625006tcptcpseonentofareassembledpdu7 122.942625006tcptcp segmerrtofareassembledpdu8 123.381313006tcptcp segmentofareassembledpdu9 123.481969213.

5、13.145.3006tcptcpsegnentofareassembledpdu10 123.900500006httphttp/1.1 200ok(jpeg jfif image；11 125.324156006tcptcpsegmentofareassembledpdu12 125.465344006tcptcpsegmentofareassembledpdu13 125.864656010.128

6、.136.206tcptcpsegmentofareassembledpduj14 126.023375006tcptcpsegmentofareassembledpdu15 126.023844006tcptcpsegmentofareassembledpdu16 126.861938006tcptcpsegne rvtofareassembledpdu17 126.921938006tcptcpsen

7、entofareassembledpdu18 126.98359419 126.986438000606tcp tcptcp ftcpsegment seamentof ofa areassembled reassembledpdu pdu1nze packet ustav£<©%0004500003c0000400025065c42d5od91le0100a8088ce0050do01bb37602954ef7098020ao1216aoalbf00000204058c0

8、402080ap| file: ueasoftv/areqxdmlog11-05.16-23sms.umts pdp context 0 0x800 . |p 50d:50m:0图1屮间彩色的区域就是ip数据包。从左到右，字段分别是no.,time, source, destination, protocol以及infoo ip包是按照流经手机网卡的时间顺序排列的，no.是标示抓到的ip包是 该抓包文件中的第几个，time则是计算的所有包与第一个包z间的间隔时间，单位毫秒 msc source和destination字段分别表示ip包的源地址和目的地址。protocol显示当前ip 包的上层协

9、议，如tcp, udp,如果应用层协议头也在该ip包屮，优先显示应用层协议， 如 rtsp, http 等。注意中间的彩色显示，不同的颜色代表该ip包中包含了不同内容，这是方便我们对ip 包查看。如上面的大红色，表示的是该数据包损坏，可能是只有一半的内容，也可能是指在 该包与其他包的序号不连续（指在协议层不连续），中间可能岀现丢包的现象。很多时候， ethereal是用不同颜色來区分上层协议的不同（注意ip包屮必须包含上层协议的包头，才 能以该应用的颜色进行标示。因为很多数据包比较人，是通过几个ip包进行传输的，那么 就只冇笫一个包是以上层应用的颜色进行标示，后面的显示为协议层颜色）。如下图2

10、中， 可以看到dns是以淡蓝色标示，icmp是以黑色标示，tcp的同步（syn&fin建立tcp连 接的三次握手）以深灰色进行标示，而其它的tcp包则以浅灰色标示，http协议使用绿色 进行标示等等。file edit view go capture analyze statistics helpl3隸獄鄭直沔巴因x购e 區仑冷不崖 s 題钱已eilter:timesourcedestinationprotocol info1 0.0000002 4.99346883831212dnsdns3 7.36

11、9538312dns4 9.993843835 12.363156836 14.992968837 16.243312121212183dns dns dns dnsstandard query a ww google .com st a ndard query a ww. google .com sbmaeetssgnesszakibbz 4alhiidmbhabmmstandar

12、d query a ww google .com standard query a ww googlstandard query a ww. google .comstandard qumry response smrgr fa和e com9 17.36321883192168111112dns2st a ndard query a ww. google .com vq3： p 34746 > 8080 syn seq-0 len-0 tsv=4> 34746 syn, ack seq-0 ack-1 34746 > 8080 ack

13、 seq=l ack=l win=513 20.57765614 21.25331218 219033431921681113219 22.223343220 22.36325012 20.56459383831283838312tcphttpget / http/1.1dns5tandard query response, server fa门34746 > 8080 fin, ack seq=471

14、ack=：tcp83加厂59579 > 8080synseq-0 len-0 tsv-4tcp8080 > 34746ackseq=l ack=471 wintcp8080 > 34746ackseq=l ack=472 windnsstandard query a ww. google .com v q3：tcp8080 > 59579syn,ack seq-0 ack-l * v expression. qlear pplyw frame 3 (60 bytes on wire, 60 bytes captured)人i+ raw packet da

15、ta-internet protocol, src: 83 (83), dst: 12 (12)/prcnn d00004500003cbodo4000400010c0a86f7067fa00350000200001000000000000030030676c6503636f6d0000|0a 01 00 b7|fb 60 fb 01 0077 06 67 6f 6f 01e. .< .©. ©.o.jjopg5(1 ww.goo gle cominfool expression. q

16、lear app”8383192丄6811丄3832832http http http http http http httpgut / http/129 24.54221837 27.75400041 27.79493742 27.86381248 29.51368763 42.62081267 45.315312sourcedestin ati on83192.168.111

17、.3838383 83| p: 72 d: 72 m osource (ip.src), 4 bytes帘意界面上的filter框，这个是一个过滤器，可以在界面上过滤掉你不需耍查看的包, 只留下需要的东西。p 11-04. 12-30browser_ults pdp context 0.0x8004.0.ip. pcap - etherealfile edit view go qapture analyze statistics helpget hrtp：/192.168.

18、ill.66/ http/1.1 http/1.1 200 ok (text/html)get 6/index.fi1es/huawe http/1.1 200 ok (jpeg jfif image)get http:/192.168.lll.66/favicon.1 co http/ http/1.1 200 ok (texx/html) httpa-1 200 ok (texr/html)http/ get http:/192168：l：l：l 66/huawei/sunday/ind jhttfv http/1.1 200 ok (text/htm

19、l)s frame 13 (522 bytes on wire, 522 bytes captured)八s raw packet data inter net protocol, src: ：l0l0 183 (10l0l 83), dst: 192.168 11132 (192 丄68 111 32)v00004500020a2eb840004006ctb50a0100b7££©0010coa86f2087baif90324d9b76f3f5ef6d 0 2m.v.m002080180b6858bo00000101080a0000b5f9 00300d486b

20、4d474554202f20485454502f31 hkmget/ http/1004 02e31od0a486f73743a207777772e676f1host:ww. goccccaca、a"33ac7c7/1ml c厂|p 72 d: 10m: 0file: easoftwareqxdmlog11-04.12-30browser umts pdp context 0.0x.图3该过滤器可以通过协议字段进行过滤,只在界血上显示所有包中的符合过滤条件的数据 包，如图3所示。也町以通过source, destination字段进行过滤（通常用在ip的杂收模式，因为只要流 经网卡的

21、包都会被杂收上来，这样就需要过滤源地址和冃的地址为本机地址的数据包）。当 需要显示所有的数据包时，点击输入框右侧的clear,就可以清除当前的过滤条件。2.数据包协议分析界面选定你想查看的数据包，然后看中间的协议分析栏，如图4所示。图4可以看到整个数据包被分为了几部分,frame, raw packet data, internet protocol, transmission control protocol 以及 hypertext transfer protocolo其中frame显示的是该包的一些信息，arrival time为收到包的吋间（009513,需要 注意的是这个时i'

22、;可是本地时i'可，即当前手机显示的时间），frame number是当前包在整个 文件中位置（可以看出这是第13个包），packet length是协议中表示该包的长度 （522bytes），而capture length是实际抓到的包的长度（与packet length相同，则表明 抓包的时候数据没有丢失，否者认为是破损包，标示为大红色），protocols in frame是包中 包含的协议（这个包网络层协议是ip,传输层是tcp,应用层是http）, coloring rules指 的是在主界而显示颜色是根据那一层协议显示的。raw packet data为空，按常理來说这个地

23、方应该显示的是物理层协议的详细信息，例 如使川ethereal对电脑的网卡抓包的话，这个地方显示的为ethernet,解析的是以太网层协 议信息，如冃的网卡和原网r的mac地址z类的物理层信息。因为这里是抓的手机包，不 太清处为什么物理层协议这显示的是空的。还需要跟踪继续対和应的协议进行分析。internet protocol很明显可以看出这里就是对网络层ip协议的解析。对照图5,对 解析出来的每个字段，分析ip层协议。file edit view go capture analyze statistics helpx购吕吻春垦i> q題q钱e3filter: http expressi

24、on. qlear apply13 2057765610l018?19216822 http get / http/1no., timesourcedestination°rotocol info23 22.387593832httpget http：/6/ http/1.127 24.155031192.16&u1.383httphttp/1.1 200 ok (text/html)29 24.542218832httpget http:/192.

25、168.111.66/index.fi1es/huawe37 27.75400083httphttp/1.1 200 ok (jpeg jfif image)41 27.794937832httpget 6/favicon.icohttp/ y+ naw packex aaxa八-internet protocol, src: 83 (83), dst: 2 (2)version: 4he

26、ader lengrh: 20 bytes囹 differentiated services field: 0x00 (dscp 0x00: default; ecn： 0x00)total length: 522identification: 0x2eb8 (11960)±i flags: 0x04 (don't fragmem)fragment offset: 0time to 1ive: 64protocol: tcp (0x06) header checksun: 0xcfb5 correctsource: 83 (83)destina

27、tion: 19216811132 (2) transmission control protocolt src port: 34746 (34746), dst port: 8080 (8080), seq: 1, ack: 1, len: 470 v00000010002000300040aaca4500020ab840004006cfb50a01000a86f20baif90324d9b76f3f5ef80180b68bo00000101080a0000b5cd486b4d4554202f20485454502f2e31od0a6f73743a207777772

28、e67b7|6dl fq316f贬乍 s “ uu de qv c* a* "g um ” 力|p 72d:1om.o|frame (frame). 522 bytesversion标明当前使用的是ipv4的ip协议（现在使用的趋势是ipv6）； header length 标明ip包头的长度（20bytes）； total length整个ip包长度；flags标示ip包是否分）? （0x04 不允许分片）；fragment offset分片偏移（没有偏移）；time to live该包在网络上的生存时 长（还能进行64次转发）；protocol该ip包的传输层协议（0x06-tc

29、p, oxll-udp）； header checksum包头校验码，显示ip协议包头是否正确。source, destination显示该ip包的源 和目的ip地址。在协议解析界面下方就是抓到包的i六进制文件显示窗。在协议解析界面点击相应的字段，就可以在十六进制文件显示窗中看到相应的十六进制字符。但注意有些字段占有的空间比较少，如只冇一位或者两位，在i六进制字段窗口可能不能单独显示的。如ip包头的首 字节45,就代表了两个字段,分别是ip版本号4和ip包头长度20 （5*4）otransmission control protocol很明显可以看出这里就是对传输层tcp协议的解析。对照图6,

30、对解析出來的每个字段，分析ip层协议。source port, destination port 显示该 ip 包的源和目的端口 osequence number 和 next sequence number是保证tcp流连续的关键字段，询一个包的next sequence number应 该和下一个包的sequence number 这样就可以知道网络屮是否存在丢包，并确定需 要重传的数据段。header length标明tcp包头的长度（32bytes）0 window size是tcp滑 动窗口协议中，窗口的大小。header checksum为包头校验码。fil8 edit view

31、go capture analyze statistics help聖俺鄭越瑟凸i0x购s回3审幻春蚩（3 致q钱e3 bfilter: http expression. clear applyno. time77> 8：i192,168.111.32http get /http,sourcedestinationdrotocol infoitt23 22.387593832httpget hrtp：/6/ http/1.127 24.155031192.16&111.383ht

32、tphttp/1.1 200 ok (text/html)29 24.542218832httpget 6/1ndex.fi1es/huawe37 27 754 000192168u13210l0 183httphttp/1.1 200 ok (jpeg jfif image)41 27.794937832httpget hrtp：/192.168.ill.66/fav!coh.1cohttp/t internet protocol, src: 83 (10

33、.1.0.183), dst: 2 (2)nsndsson 8ntrol protocol, src port: 34746 (34 746), dst port: 8080 (8080), 5mq: 1, ack:丄，lwn: 470source port: 34746 (34746) destination port: 8080 (8080) sequenew number: 1 (relative sequenee numbwr)next sequence number: 471 (relative sequence number) a

34、cknowledgement number: 1 (relative ack number) header length: 32 bytes£ flags: 0x0018 (psh, ack)window size: 5840 (scaled) checksum: ox58bo corrects options: (12 bytes)s hypertext transfm protocol00100020003000400050ac"co80od2e6fis4817c3 6"od6bod6cac7 ba if 9068 58 bo 00 00 4d43 fn5 7

35、 6a7 8 ex.4 4 2a a 57 06732013aod4c101o o a r2 2 0?9b0887m4 7 476oaf300f500f 5eb77637763dr2e65f 7 on2 6 7 7316f74a/4 2m.v.m nx. hkma/ http/16d f91host : wwwgo accept|p:72d:10m:0transmission control protocol (tep), 32 byteshypertext transfer protocol这里就是对应用层http （超文木）协议的解析，这里就不再详述了。对于tcp流可以通过右键点击打开对话

36、框进行查看，如图7,图8所示。© 11-04.12-30browser_umts pdp coitext 0.0x8004.oip.pcap - etherealfile edit view go capture analyze statistics helpfilter. |h!tpdrotocol info23 22.38759383192丄68.11127 24.1550311921681丄：138329 24.5422188319216811137 27.7540008341 27.

37、79493783192.168.111.;42 27.8638128348 29.5136878363 <42.6208183192.168.111.：67 45.31531283timesourcedestinationfollow ssl streamfollow tcp streamappty as filter prepare a filtermark packet (toggle) time reference0

38、decode as. 尽 print .show packet in new window2.168.111. 66/ http a-1 ok (text/html)2 16& 111. 66/1 n dex.fi 1 es/huawe ok (jpeg jfif image) 6/favicon.ico http/ ok (text/html)i ok (text/html)'2.168 111 66/huawei/sunday/i ndok (text/html)expression. qlear apply±i frame 13 (522

39、bytes on wire, 522 bytes captured)八2 raw packet data創 internet protocol, src: 10l0183 clo1o 183), dst: 192 168 111 32 (192 ：168111 32)00000010002000300040ccec00004" 09027 of o 4 3m. 41057 8 a o 5f rs bb b 4 6 q e 7 8 7 8 八 2 8 5 4 4c* a o 8d a< o 2 6 4 oa 2f bbd/- o 6 o 60a 088817 o 3 14 3 5

40、 o ode4= 4 c 8 02 a6dlooo 4 o 22ccr9b0848仔7d 9if b 6f 367 of 5f7a oeb 2 67 15 0 0 e c of 0 52 330477 of o 57 a 5 6 a 4 7> b 7 o 5 7 a£& 0 hkmget.1.host 2m.v.m / httpa:v»w gofile:me:sofbvareqxdhwog11 -04.12-30browser umts pdpcontexto.ox. p:72d.1om.ofile edit view go captun© follov tcp streabfilter | (ip addr eq 192 168 11122 22.384000no. timesourc21 2238331223 22.38759326 23.81340628 24.15706229 24. 54221830313233343526.063406 26 514 531 26.51584326.99521826.99762527. 514 81236 27.51571837 27.75400038 27.755062 41 27.79493748 29.51368711 1 1 1