网络协议工具Ethereal(Wireshark)的使用

1、1计算机网络实验任课教师 惠煌 王淑云 孙亮 韩瑜办公室： 教学楼C区303&3152实验中心老师及实验课地点介绍n惠煌老师q办公室电话： 62274452qEmail: n王淑云老师q办公室电话： 62274453n孙亮老师q办公室电话： 62274453n实验课地点：教学楼C区310房间3课程介绍n软件学院的H3C网络学院nH3CNE认证n为什么要做网络实验？n教学目标n课程主要内容n课程的评分n教材与参考书4H3C公司 nH3C公司(全称华三通信技术有限公司) 成立于2003年11月，曾经是华为公司和3Com公司的合资公司，总部在杭州,目前公司有员工4800人，其中研发人员占55

2、。qhttp:/q自2006年11月起，3Com控股100%n致力于IP技术的设备与应用的研究、开发、生产、销售及服务。H3C面向行业、商业（中小企业）、运营商三大客户类型分别提供量身定制的整体解决方案。服务于70%以上的中央部委、90%以上的“211”高校、四大银行、首都机场、青藏铁路、国家大剧院、奥运项目国际会议中心及电信、网通、广电等运营商市场。n为构建以业务应用为中心的动态IT架构，H3C提出了IToIP理念。基于IP技术标准提供统一IT基础架构,具备“标准、融合、开放、增值”特征，基于IToIP构建网络、安全、存储、多媒体四大产品线，实现了从网络设备供应商到IToIP整体解决方案供应

3、商的战略跨越，确立了牢固的市场领先地位。目前，H3C在中国的交换机和企业级路由器市场市场份额排名第一，网络安全设备市场份额排名第二，其中IPS产品市场排名第一，IP存储市场份额第一，IP监控技术全球领先，已成为中国平安城市第一品牌。 5H3C公司（续）nH3C每年将销售额的15以上用于研发投入，在中国的北京、杭州和深圳设有研发机构，在北京和杭州设有可靠性试验室以及产品鉴定测试中心。截止2009年上半年，H3C已申请专利超过2000件，其中85是发明专利，年专利申请数在中国通信企业中位居前三。H3C已参与中国通信标准化协会及IETF, SMTA, SPC, PCISG, Wi-Fi, USB,

4、SNIA, VVCI等国际标准组织。6华为技术有限公司n华为技术（“华为”）是全球领先的电信解决方案供应商，致力于向客户提供创新的满足其需求的产品、服务和解决方案，为客户创造长期的价值和潜在的增长。 n华为产品和解决方案涵盖移动（HSDPA/WCDMA/EDGE/GPRS/GSM, CDMA2000 1xEV-DO/CDMA2000 1X, TD-SCDMA和WiMAX）、核心网（IMS, Mobile Softswitch, NGN）网络（FTTx, xDSL, 光网络, 路由器和LAN Switch）、电信增值业务(IN, mobile data service, BOSS)和终端（UMT

5、S/CDMA）等领域。n 华为在美国、德国、瑞典、俄罗斯、印度以及中国的北京、上海和南京等地设立了多个研究所，87,502名员工中的43%从事研发工作。截至2009年6月底，华为已累计申请专利超过39,184件，连续数年成为中国申请专利最多的单位，PCT国际专利申请数居全球第一。华为在全球建立了100多个分支机构，营销及服务网络遍及全球，为客户提供快速、优质的服务。目前，华为的产品和解决方案已经应用于全球100多个国家，服务全球运营商前50强中的36家。7中兴通讯股份有限公司n中兴通讯是全球领先的综合性通信制造业上市公司，是近年全球增长最快的通信解决方案提供商。n中兴通讯的产品涵盖核心网、无线

6、产品、承载、业务产品、终端产品等五大产品领域。 中兴通讯已成为中国电信市场最主要的设备提供商之一， 并为140多个国家的500多家运营商提供优质的、高性价比的产品与服务 。n中兴通讯是中国重点高新技术企业、技术创新试点企业和国家863高技术成果转化基地，承担了近30项国家“863”重大课题，是通信设备领域承担国家863课题最多的企业之一，公司每年投入的科研经费占销售收入的10%左右，并在美国、印度、瑞典及国内设立了15个研究中心。8H3C网络学院nH3C网络学院 随着互联网技术的广泛普及和应用，通信及电子信息产业在全球迅猛发展起来，从而也带来了网络技术人才需求量的不断增长，网络技术教育和人才培

7、养成为国家一项重要的战略任务。H3C网络学院是H3C公司推出的，以推广网络技术为主要内容的教育计划。该计划依托H3C公司处于业界前沿的网络技术和产品，以“专业务实，学以致用”为理念，助推高等院校及职业院校网络技术教育和人才培养，以满足国家对网络技术人才的迫切需求。 9H3C网络学院（续）nH3C在全球目前共有200多所网络学院n软件学院的H3C网络学院于2005/11/14正式揭牌（图书馆楼407房间）10H3CNE认证n全称是H3C Certified Network Engineer，H3C认证网络工程师 H3C认证体系认证体系11认证体系说明n按照技术应用场合的不同，同时充分考虑客户不同

8、层次的需求，H3C公司为客户提供了从网络助理工程师到网络专家的四级技术认证体系、突出专业技术特色的专题认证体系，构成了全方位的网络技术认证体系。H3C认证网络工程师n H3CNE认证主要定位于中小型网络的规划、设计、配置与维护，包含网络基础、常见接口与电缆、以太网交换机、路由器原理、TCP/IP协议、广域网协议、路由协议、DCC/ISDN、访问控制列表、备份中心、简单网络故障排除。通过H3CNE认证，将证明您对数据通信网络有全面深入的了解，掌握面向中小型企业的网络通用技术，并具备设计中小企业网络以及使用H3C网络设备实施您的设计的能力。n国内最早建立的完善的网络产品技术认证体系，也是中国第一个

9、走向国际市场的IT厂商认证，已成为当前权威的IT认证品牌之一。12HCNE证书13HCNI证书（教师）14为什么要做网络实验？n中国有一句古老的名言：q“不闻不若闻之，闻之不若见之，见之不若知之，知之不若行之。学至于行而止矣。” 荀子 儒效n这句话在西方被广为引用：q“Tell me and I forget. Show me and I remember. Involve me and I understand.” Chinese Proverb n根本原因：q加深对理论的理解q提高实践的能力15教学目标n使学生通过实验更加深刻的理解计算机网络的基本原理、算法和协议 n使学生掌握H3C网络设

10、备的配置、组网方法（不同网络设备制造商生产的设备是大同的）n为学生参加H3C的H3CNE认证考试打下基础 （HCNE认证的特点和社会认可度；对认证保持正确的态度）16课程主要内容n网络协议分析工具Ethereal(Wireshark)的使用 n登录交换机与VRP介绍 n交换机的配置 nVLAN配置 n登录路由器与路由协议配置 n广域网协议配置 n防火墙配置与NAT配置 n路由综合实验与故障诊断n组网综合实验（或实践考核）共计9次实验：17课程的评分n期末成绩由平时成绩累加q实验预习题（每人做一份，回答部分要求手写）q实验时的表现（动手能力，实验结果及行为）q实验报告（按照标准格式，每人一份）q

11、实践考核成绩（机动）nHCNE认证考试自行参加q考试形式为理论考试，由Prometric考试服务公司代理q报名：http:/q考试费大约为1000元，H3C网络学院学员在指定月份考试有相应优惠。18教材与参考书n教材为自编讲义（课程网站下载）q讲稿（PPT文件）q预习题目q实验题目q课程网站： PUBLIC_A_to_O/HuiHuang_Public目录下n参考书qH3C网络设备的操作手册（课程网站下载）qH3C网络学院教材 （一、二学期） （下册）（中文V2.2） H3C公司出版，2009qComputer Networks A Top-down Appro

12、ach Featuring the Internet （第三版，英文影印） James F. Kurose, Keith W. Ross 著 高等教育出版社，2005 19对大家的期望和要求n实验前要作充分的准备q阅读大量的文献资料，找出完成实验题目的方法q强调自学自学的能力n实验中要勤于动手动脑q强调独立解决问题独立解决问题的能力n实验后要作深入的总结q强调写作写作的能力这门课将非常辛苦！20特别强调的一些规则1 预习题必须当堂实验课前交上，否则不准进行当次实验，并取消当次实验成绩。2 预习题和实验报告如有抄袭现象，一经发现取消当次实验成绩，两次及两次以上抄袭者取消课程成绩。3 禁止在实验室

13、内进食，饮用水必须放在教师指定位置，严禁将水带至实验台及饮用，违者取消课程成绩并处纪律处分。4 禁止穿拖鞋进入实验室，禁止在实验课上上网聊天及游戏，违者取消课程成绩并处纪律处分。5 实验结束后，必须将设备及桌椅复位并关闭好实验台电源，整理好线缆，告知教师检查后方可离21特别强调的一些规则（续）开，否则取消全组当次实验课堂成绩。6 迟到30分钟及早退将被视为旷课处理，病事假持假条请假，旷课3次取消课程成绩。7 在实验过程中必须积极配合教师对实验结果的检查。8 认真阅读实验室墙上的各项相关规定，了解实验室安全知识。9 未经教师授权或同意，不得动用实验平台内外一切设备（尤其是电源），违者取消课程成绩

14、并处纪律处分。10 服从教师在实验室的其他与课程相关的安排。11 全实验课程期间在实验室内保持低调,不得喧哗。22第一讲 网络协议分析工具Ethereal(Wireshark)的使用nWireshark概览nWireshark的图形界面nWireshark的基本用法nWireshark的过滤规则23Wireshark概览nWireshark是目前使用最广泛的网络协议分析工具（Network Protocol Analyzer）nWireshark能够实时地捕获网络上的包（所以又被称为是“A Packet Sniffer”），并对包中每个域的细节进行解释nWireshark的广为流行主要有以下三

15、个原因：q功能相当强大q开源并且免费q具有非常详细的文档 n2006年后，Ethereal改名为Wireshark，最新的安装文件和文档可以在下载 24Wireshark的图形界面n菜单项和工具栏：Wireshark提供的所有功能都可以从这一部分中找到nFilter: 又称Display Filter，用于在显示被捕获包时对它们进行过滤n被捕获包列表：给出了被捕获包的一般信息，例如被捕获的时间，源和目的IP地址，所属的协议类型等n选中包分析：解释选中包的每一个域的具体信息，从以太网帧的首部开始，一直到应用层协议的负载 n选中包原貌：显示选中包的16

16、进制和ASCII表示，以帮助用户来了解一个包的本来的样子 共分为5个部分：25Wireshark的基本用法 捕获包n选择”Capture”菜单项中的”Options” n配置”Options”对话框：q选择执行”Capture”的网卡（即”Interface”）q配置”Capture Filter”q选中“Update list of packets in real time” n点击“Start”按钮26Wireshark的基本用法 保存结果n选择”File”菜单项中的”Save” n”Save”对话框：q在“Name:”栏填入保存文件名q在“Save in folder:”栏选择保存路径n

17、点击“Save”按钮27Wireshark的过滤规则n精通Wireshark使用的重点所在nWireshark支持在两处配置过滤规则：qWireshark Display FilterqWireshark Capture Filtern两处过滤规则的语法并不相同28Display Filter 过滤规则（1）n根据协议来进行包过滤：qeth, ip, tcp, http, telnet等n根据包格式中的域值来进行包过滤q例：显示以太网地址为 00:d0:f8:00:00:03 的设备的所有帧 eth.addr=00.d0.f8.00.00.03q例：显示 IP地址为

18、的主机的所有报文 ip.addr=q例：显示所有 Web 浏览的报文 tcp.port=8029Display Filter 过滤规则（2）n类似C语言的表达式q关系运算符：=, , =, != 等q逻辑连接符：&, |, ! 等 q还可以用 ( ) 来指定运算顺序q例：显示除了http外的所有报文ip.addr= & tcp.port!=80n书写过滤规则的两个诀窍：q看Display Filter的背景色n绿色时，说明规则符合语法；红色时，则否。q使用Expression对话框n查询协议或域的关键字30

19、Capture Filter 的过滤规则（1）n过滤规则共有两种形式：q一个原语（Primitive）；q用 ”and”, “or”, “not” 关系运算符，以及括号”()”将原语组合起来而构成的表达式； n因此，我们只要掌握了原语的写法，再用关系运算符把它们组合起来，就可以写出满足各种不同要求的过滤规则了。31Capture Filter 的过滤规则（2）nether src|dst host q捕获所有源或目的MAC地址是 ”08:00:1B:D3:D3:61”的以太网帧 ether host 08:00:1B:D3:D3:61q捕获所有源MAC地址是 ”08:00:1B:D3:D3:6

20、1”的以太网帧 ether src host 08:00:1B:D3:D3:61nsrc|dst host q捕获所有源或目的IP地址是 ”3”的报文 host 3q捕获所有目的IP地址是 ”3”的报文 dst host 332Capture Filter 的过滤规则（3）ntcp|udp src|dst port q捕获所有源或目的端口号是80的TCP协议的包 tcp port 80q捕获所有目的端口号是53的UDP协议的包 udp dst port 53narp | ip | icmp | udp |

21、tcp 等q 捕获所有ICMP协议的包 icmp q 捕获所有ARP协议的包 arp 33Capture Filter 的过滤规则（4）n用关系运算符组合原语举例:q例1：捕获主机 0 发出或收到的，除HTTP协议之外的所有网络包 host 0 and not tcp port 80 注：HTTP协议通常使用TCP 端口号 80。 q例2：记主机 0为 A，捕获 A 与主机 0 或 A 与主机 0 之间的网络包 host 0 and (host 192.168.0

22、.20 or host 0 )34附录一：traceroute 和 tracertntracerouteq请参见课程网站上的文章“Traceroute-from-Linux.doc”ntracertq请参见课程网站上的文章 “Tracert-from-Microsoft.doc”35附录二：DNS（Domain Name System）n起因n历史n域名 (Domain Names)n域名服务器 (Name Servers)n域名解析 (Name Resolution)n资源纪录 (Resource Records)nDNS消息36DNS 起因n网络设备使用IP地址，但I

23、P地址难于记忆n人们容易记忆有意义的名字qwww.huawei-nDNS (Domain Name System) 就是用于在IP地址和主机名字之间进行相互转换的查询系统。37DNS 历史n在DNS产生之前，人们使用一个文本文件来记录IP地址和主机名字之间的映射q/etc/hostsq今天仍然在使用n1983年之后，人们逐渐开始使用DNS.qRFC 882, 883 1983qRFC 1034, 1035 1987 - today38DNS 域名nInternet上的主机数目极其巨大 (4.4亿个, Jul 2006), 如何管理数目如此巨大的名字呢？n方法：把Internet上的主机名字组织

24、成分层的树状结构。q模仿地名系统 : 国家 - 省份 - 城市 - 街道39DNS 域名 (续)n树状结构上的每一个非叶节点都对应于一个域 (domain)。n树状结构上的每一个叶节点都对应于一个主机名字。n一个域可以包含子域或主机名字。40DNS 域名 (续)n树状结构上的每一个节点都具有一个标记，这个标记被称为该节点的 label。n兄弟节点不可以具有相同的 label, 但非兄弟节点可以。41DNS 域名 (续)n域的名字或主机的名字被称为域名 (Domain Name)。n域名由该节点到根节点路径上的每个节点的 label 连接而成，并且这些 label 之间用.分开。q例如：acm.

25、org, , 等42DNS 域名 (续)nLabel 的最大长度为63个字节, 域名的最大长度为255个字节 (RFC 1034)。n域名不区分大小写qwww.DLut.En域名可以被分为两类：qAbsolute: .qRelative: ssdut43DNS 域名 (续)n顶级域 (Top Level Domains, TLD)是处于域名树状结构中最高层的域，目前一共有200多个。n顶级域主要被分为以下三类：qGeneric TLD: com, edu, org, gov, mil, net, 等.qCountry Code TLD: cn, us,

26、jp, it, de, 等.qReverse domain: 44DNS 域名 (续)nICANN (Internet Corporation For Assigned Names and Numbers 互联网名称与数字地址分配机构)具有对顶级域的管理权q/q2000年，ICANN新增加了四个顶级域：biz (business), info (information), name (peoples names), pro (professions)n每个单位或组织拥有对属于自己的域的管理权。q子域划分q主机或子域命名45DNS 域

27、名服务器nDNS由三种域名服务器 (Name Servers)组成：qRoot Name ServersqTLD Name ServersqAuthoritative Name Servers46DNS 域名服务器 (续)n拥有域的机构至少要有一个 primary name server 和一个或多个 secondary name servers。nPrimary name server中存储该 机构中域名和IP地址对应的最新信息。nSecondary name server中存储的是primary name server中信息的拷贝。n当primary name server不能正常运行时，

28、查询请求会被送到secondary name server。47DNS 域名解析n应用程序通过一个系统函数调用来查询一个主机名字所对应的IP地址，这个系统函数调用被称为“resolver”.q例如：gethostbyname()nResovler会把域名解析请求传送给本地域名服务器，并把由本地域名服务器收到的回答返回给应用程序。n如果本地域名服务器知道被查询域名所对应的IP地址，那么它就会直接把这个IP地址回答给resovler。否则，它会去查询其它的域名服务器。48DNS 域名解析 (续)n举例：49DNS 根域名服务器n本地域名服务器在不知道被查询域名所对应的IP地址的情况下，它一般会把这

29、个查询请求传递给根域名服务器 (Root Name Servers)。n根域名服务器知道每个顶级域名服务器（例如，edu, com, cn, jp, 等）的地址。n从而这个查询请求能够依次向下传递。50DNS 根域名服务器 (续)全球一共有13组根域名服务器 ( a m):b USC-ISI Marina del Rey, CAl ICANN Marina del Rey, CAe NASA Mt View, CAf Internet Software C. Palo Alto, CAi NORDUnet Stockholmk RIPE Londonm WIDE Tokyoa NSI Hern

30、don, VAc PSInet Herndon, VAd U Maryland College Park, MDg DISA Vienna, VAh ARL Aberdeen, MDj NSI (TBD) Herndon, VA察看镜像情况：/51DNS 亚太地区根域名服务器镜像 截至2006年7月52DNS 解析方式n域名服务器解析域名的方式一共有两种：qRecursive: 被查询域名服务器承担起继续查询的任务qIterative: 被查询域名服务器返回另外一个域名服务器的地址53DNS 解析方式 (续)nRecursive:q举例：解析

31、地址 requesting root name serverlocal name 1234567854DNS 解析方式 (续)nIterative:q举例：解析地址 requesting local name 1768root name server234555DNS Cachingn域名服务器把每次解析的结果都暂时存放在缓存 (Cache)里面nCache中的结果都具有一定的生存期 (Time-to-live)；如果生存期结束，该结果就被删除。n由缓存中返回的结果被称为“non-authoritative answer