网络协议分析工具etheral的安装和使用.doc

实验1.1.1 网络协议分析工具etheral的安装和使用1. 实验目的l 了解常用协议数据包的帧格式l 掌握Etheral侦测、记录和分析数据包的方法2. 实验要求使用Etheral捕获并分析几种协议数据包的信息3. 实验理论基础（1） 网络监听工具及其种类网络监听工具分为软件和硬件两类。软件的网络监听工具是目前应用最广泛的，其优点是价廉物美，易于学习使用；缺点是无法抓取网络上所有的传输，在某些情况下也就无法真正了解网络的故障和运行情况。硬件的网络监听工具通常称为协议分析仪，一般都是商业性的，价格也比较贵。（2） 网络监听防范目前对于网络监听的主要防范有：l 从逻辑或物理上对网络分段l 以交互式集线器代替共享式集线器l 使用加密技术l 划分VLAN（3） EtheralEthereal是免费的网络协议检测程序，支持Unix和Windows，它的主要功能有：l 监视功能用于计算并显示实时网络通信量数据。l 捕获功能用于捕获网络通信量并将当前数据包存储在缓冲区（或者文件）中，以备将来分析使用。l 分析功能用于在捕获过程中分析网络数据包，并对网络中潜在的问题发出警告。l 显示功能用于解码和分析捕获缓冲区中的数据包，并用各种格式加以显示。l 统计功能用于从不同角度统计数据包。（4） 过滤规则的语法Ethereal的过滤器使用pcap (libpcap/WinPcap) 过滤器语言，不同于Ethernet显示过滤器的语言。所有的过滤规则都用原语表达，中间可用and/or/not进行连接，格式为：not 原语 and|or not 原语 .一个原语可以是以下形式中的一种：l src|dst host ，依照IP地址或者名字过滤。如在IP层要捕获所有流经IP地址为0的数据包，规则是：host 0l src|dst host ，依照以太网主机地址过滤。如在以太网层要 所有流经物理地址为08:00:08:15:ca:fe的数据包，规则是：ether host 08:00:08:15:ca:fel gateway host ，依照网关过滤。l src|dst net mask |len ，依照掩码、掩码长度过滤l tcp|udp src|dst port ，依照TCP/UDP端口号过滤如在TCP层要捕获所有流经80端口的TCP数据包，规则是：tcp port 80l less|greater ，依照数据包的长度过滤l ip|ether proto ，依照协议过滤，既可以是以太网层，也可以是IP层l ether|ip broadcast|multicast，依照以太网或者IP广播或多播过滤l relop ，依照数据包的字节或者字节范围创建复杂的过滤表达式。如要捕获所有流经IP地址是0的所有非HTTP的数据包，规则是：host 0 and not tcp port 80这里src|dst表示源地址或者目的地址，如果没有src|dst则表示所捕获的地址既可以是源地址，也可以是目的地址。tcp|udp必须出现在src|dst之前，如果没有tcp|udp则表示该地址所采用的协议既可以是TCP，也可以是UDP。有关原语的详细内容，请参见/tcpdump_man.html。4. 实验环境l 一台PC机l Etheral的安装软件5. 实验方法（1） 安装Etheral的安装非常简单，只要按照提示安装即可。（2） 运行双击桌面的Ethereal，显示“The Ethereal Network Analyzer”的主界面，菜单的功能是：（3） 设置规则这里有两种方式可以设置规则：l 使用interface1） 选择Captureinterfaces，将显示该主机的所有网络接口和所有流经的数据包，单击“Capture”按钮，及执行捕获。2） 如果要修改捕获过程中的参数，可以单击该接口对应的“Prepare”按钮。在捕获选项对话框中，可以进一步设置捕获条件：l Interface确定所选择的网络接口l Limit each packet to N bytes指定所捕获包的字节数。选择该项是为了节省空间，只捕获包头，在包头中已经拥有要分析的信息。l Capture packet in promiscuous mode设置成混杂模式。在该模式下，可以记录所有的分组，包括目的地址非本机的分组。l Capture Filter指定过滤规则有关过滤规则请查阅以下使用Filter方式中的内容。l Capture files指定捕获结果存放位置l Update list of packets in real time实时更新分组每个新分组会随时在显示结果中出现，但在重网络流量时会出现丢包现象。l Stop Capture limits设置停止跟踪的时间如捕获到一定数量的分组（after N packets）、跟踪记录达到一定的大小(after N megabytes)或在一个特定的时间后(after N minutes)。l Name resolution设置名字解析如启用MAC地址转换（Enable MAC name resolution），可以将地址转换成厂商、网络地址转换(Enable network name resolution)，可以将地址转换成主机名、传输名字转换(Enable transport name resolution)，可以将端口号翻译成协议，但在重网络流量时会出现丢包现象。3） 设定完毕后，单击“OK”按钮将按照新设定的条件执行捕获。l 使用filter1） 选择CaptureCapture Filter，显示过滤器对话框，该过滤器可以过滤掉不感兴趣的数据包，使捕获的结果减少。2） 单击“New”按钮，在Filter Name和Filter Sting中填入过滤器名称和过滤规则，最后单击“Save”按钮保存过滤规则。（4） 捕获数据包选择CaptureStart，将按照事先设定的过滤规则进行捕获。捕获结束时，单击“Stop”按钮。没有设定过滤条件时，表示捕获流经本机的所有数据包。（5） 产生一个满足捕获条件的动作如要捕获本机HTTP协议的数据包，可以在本机打开浏览器后访问一个网站。（6） 分析结果捕获结束后，捕获结果将按时间顺序显示在跟踪列表框（第一个窗口）中，包括序号、发送时间、源地址、目的地址、协议等信息，其中源地址和目的地址是物理地址。单击表头中的标题，可以重新按照该标题排序。1） 在跟踪列表框中，单击指定数据分组时，在协议框（第二个窗口）中将显示分组的各层协议：物理层帧、以太网帧及其首部、IP数据包及其首部、UDP数据包及其首部信息等。2） 在协议框中，单击指定协议或者协议的组成部分时，在原始分组框（第三个窗口）中将突显该协议或组成部分中所含数据的每个字节，窗口的左边显示的是十六进制数据，右边显示的是ASCII码。3） 选择AnalyzeFollow TCP Stream，可以查看控制通道传输的所有内容。（7） 统计分组1） 选择StatisticSummary，可以查看跟踪记录的概要，显示的结果包括通信的总字节数、通信的频率、分组的平均大小等。 2） 选择StatisticProtocol Hierarchy，可以按照协议层次统计，显示结果包括指定协议分组的数据包数（Packets）、字节数（Bytes）、指定协议是最后一个协议（嵌套最深）的数据包数（End Packets）和字节数（End Bytes）。3） 选择StatisticConverstion，指定协议类型后，可以观察指定协议的连接过程。（8） 改变显示结果1） 选择ViewColoring Rules Dialog，显示颜色过滤器，可以改变跟踪列表框中指定分组的颜色。2） 在Coloring Rules对话框中，单击“New”按钮，完成显示规则的名称、颜色过滤器的表达式以及前景色（Foreground Color）和背景色（Background Color）设置后，单击“OK”按钮，则跟踪列表中分组将以新的颜色过滤规则显示。如果对描述颜色过滤器表达式的语法不熟悉，可以单击“+Expression”按钮，利用帮助菜单中协议的组成元素创建一个表达式。3） 在Ethereal的主窗口的Filter文本框中，输入显示过滤器的规则后，单击“Apply”按钮，将按新规则显示结果。显示过滤器与颜色过滤器对规则描述的语法是相同的，如果对描述显示过滤器表达式的语法不熟悉，可以单击“+Expression”按钮，利用帮助菜单中协议的组成元素创建一个表达式。也可以选择AnalyzeDisplay Filter完成显示过滤器规则的编辑。（9） 搜索分组1） 选择EditFind Packet，通过设置显示过滤器的规则可以快速定位到指定分组。2） 选择EditFind Next，可以按照已设定的显示过滤器规则定位到后一个满足条件的分组。3） 选择EditFind Previous，可以按照已设定的显示过滤器规则定位到前一个满足条件的分组。6. 实验报告（1） 设计一个捕获HTTP实现的完整过程，并对捕获