实验二 网络抓包及协议分析软件使用说明.doc

实验二 网络抓包及协议分析软件使用说明n 目的及意义：利用网络协议分析工具Ethereal截获网络中传送的数据包，通过观察分析，从而了解和认识（理解）协议的运行机制。n 下载与安装：在Windows下安装Ethereal,可从 下载安装软件，然后执行安装。Ethereal 在0.10.12版本后都内置了Winpcap,如没内置的Winpcap，可先安装Winpcap。有关Winpcap的详细信息可参考。一实验目的：1了解抓包与协议分析软件的简单使用方法。2了解并验证网络上数据包的基本结构。二实验环境1硬件：PC、配备网卡，局域网环境。2软件：Windows 2000或者XP操作系统、winpcap、analyzer。三实验内容利用Ethereal软件抓取网络上的数据包，并作相应分析。四实验范例（1） 安装Etheral的安装非常简单，只要按照提示安装即可。（2） 运行双击桌面的Ethereal，显示“The Ethereal Network Analyzer”的主界面，菜单的功能是：（3） 设置规则这里有两种方式可以设置规则：l 使用interface1） 选择Captureinterfaces，将显示该主机的所有网络接口和所有流经的数据包，单击“Capture”按钮，及执行捕获。2） 如果要修改捕获过程中的参数，可以单击该接口对应的“Prepare”按钮。在捕获选项对话框中，可以进一步设置捕获条件：l Interface确定所选择的网络接口l Limit each packet to N bytes指定所捕获包的字节数。选择该项是为了节省空间，只捕获包头，在包头中已经拥有要分析的信息。l Capture packet in promiscuous mode设置成混杂模式。在该模式下，可以记录所有的分组，包括目的地址非本机的分组。l Capture Filter指定过滤规则有关过滤规则请查阅以下使用Filter方式中的内容。l Capture files指定捕获结果存放位置l Update list of packets in real time实时更新分组每个新分组会随时在显示结果中出现，但在重网络流量时会出现丢包现象。l Stop Capture limits设置停止跟踪的时间如捕获到一定数量的分组（after N packets）、跟踪记录达到一定的大小(after N megabytes)或在一个特定的时间后(after N minutes)。l Name resolution设置名字解析如启用MAC地址转换（Enable MAC name resolution），可以将地址转换成厂商、网络地址转换(Enable network name resolution)，可以将地址转换成主机名、传输名字转换(Enable transport name resolution)，可以将端口号翻译成协议，但在重网络流量时会出现丢包现象。3） 设定完毕后，单击“OK”按钮将按照新设定的条件执行捕获。l 使用filter1） 选择CaptureCapture Filter，显示过滤器对话框，该过滤器可以过滤掉不感兴趣的数据包，使捕获的结果减少。2） 单击“New”按钮，在Filter Name和Filter Sting中填入过滤器名称和过滤规则，最后单击“Save”按钮保存过滤规则。（4） 捕获数据包选择CaptureStart，将按照事先设定的过滤规则进行捕获。捕获结束时，单击“Stop”按钮。没有设定过滤条件时，表示捕获流经本机的所有数据包。（5） 产生一个满足捕获条件的动作如要捕获本机HTTP协议的数据包，可以在本机打开浏览器后访问一个网站。（6） 分析结果捕获结束后，捕获结果将按时间顺序显示在跟踪列表框（第一个窗口）中，包括序号、发送时间、源地址、目的地址、协议等信息，其中源地址和目的地址是物理地址。单击表头中的标题，可以重新按照该标题排序。1） 在跟踪列表框中，单击指定数据分组时，在协议框（第二个窗口）中将显示分组的各层协议：物理层帧、以太网帧及其首部、IP数据包及其首部、UDP数据包及其首部信息等。2） 在协议框中，单击指定协议或者协议的组成部分时，在原始分组框（第三个窗口）中将突显该协议或组成部分中所含数据的每个字节，窗口的左边显示的是十六进制数据，右边显示的是ASCII码。3） 选择AnalyzeFollow TCP Stream，可以查看控制通道传输的所有内容。（7） 统计分组1） 选择StatisticSummary，可以查看跟踪记录的概要，显示的结果包括通信的总字节数、通信的频率、分组的平均大小等。 2） 选择StatisticProtocol Hierarchy，可以按照协议层次统计，显示结果包括指定协议分组的数据包数（Packets）、字节数（Bytes）、指定协议是最后一个协议（嵌套最深）的数据包数（End Packets）和字节数（End Bytes）。3） 选择StatisticConverstion，指定协议类型后，可以观察指定协议的连接过程。（8） 改变显示结果1） 选择ViewColoring Rules Dialog，显示颜色过滤器，可以改变跟踪列表框中指定分组的颜色。2） 在Coloring Rules对话框中，单击“New”按钮，完成显示规则的名称、颜色过滤器的表达式以及前景色（Foreground Color）和背景色（Background Color）设置后，单击“OK”按钮，则跟踪列表中分组将以新的颜色过滤规则显示。如果对描述颜色过滤器表达式的语法不熟悉，可以单击“+Expression”按钮，利用帮助菜单中协议的组成元素创建一个表达式。3） 在Ethereal的主窗口的Filter文本框中，输入显示过滤器的规则后，单击“Apply”按钮，将按新规则显示结果。显示过滤器与颜色过滤器对规则描述的语法是相同的，如果对描述显示过滤器表达式的语法不熟悉，可以单击“+Expression”按钮，利用帮助菜单中协议的组成元素创建一个表达式。也可以选择AnalyzeDisplay Filter完成显示过滤器规则的编辑。（9） 搜索分组1） 选择EditFind Packet，通过设置显示过滤器的规则可以快速定位到指定分组。2） 选择EditFind Next，可以按照已设定的显示过滤器规则定位到后一个满足条件的分组。3） 选择EditFind Previous，可以按照已设定的显示过滤器规则定位到前一个满足条件的分组。n Filter string 语法输入的格式u src|dst host u ether src|dst host u gateway host u src|dst net mask |len u tcp|udp src|dst port u less|greater u ip|ether proto u ether|ip broadcast|multicastu relop expr元素介绍：表格 1Primitive描述src|dst host 允许设定主机IP或名称过滤器。可以使用前缀操作符 src 或 dst 指定此主机为源地址还是目的地址。如果没有指定前缀操作符，则抓取与此主机相关的所有数据包。Ether src|dst host 允许设置以太网主机地址（MAC地址）过滤器。可以在ether 和host之间随意包含src|dst前缀操作符，指定此主机为源地址还是目的地址。如果没有指定前缀操作符，则抓取与此主机相关的所有数据包。Gateway host 设定以此主机为网关的数据包过滤器。即那些以太网源或目的地址为此主机以太网地址(MAC地址)，而IP地址却不是此主机IP地址的数据包都被取。src|dst net mask |len 设置希望抓取数据的网络数。可是使用前缀操作符 src或dst指定你希望抓取的是源网络或是目标网络。如果不加前缀操作符，则抓取于此网络相关的所有数据。如果与您主机的掩码或CIDR不同，可以通过mask 掩码和len CIDR设置。tcp|udp src|dst port 设置tcp或udp过滤端口号。可以使用前缀tcp或udp 和 src或dst设置你要过滤的是tcp还是udp，是源端口还是目的端口。Tcp|udp必须在src|dst前面。Less|greater 设置过滤数据包长度。被抓取得数据包长度小于等于或大于等于设定的长度。Ip|ether proto 设定ip或以太网层成滤协议。Ether|ip broadcast|multicast设定过滤以太网或IP层的广播或多播 relop 设置一个复合过滤表达式，去选择数据包中的字节或字节范围实验语法示例： 1)捕获 MAC地址为 00:d0:f8:00:00:03 网络