使用Ethereal工具分析网络协议样本.doc

使用Ethereal工具分析网络协议样本 使用l Ethereal工具分析网络协议实验五使用l Ethereal工具分析网络协议 一、实验目的通过使用l Ethereal软件掌握Sniffer（嗅探器）工具的使用方法，实现捕捉网络协议的数据包，以理解P TCP/IP协议族中多种协议的数据结构以及多种协议的交互过程。 二、实验内容11静态路由的配置。 22议路由协议RIP、RIP V2，OSPF。 三、实验环境安装P Windows/XP的的C PC机，在每一台上安装装l Ethereal软件。 将C PC机通过路由器/交换机相连，组成一个局域网。 四、实验指导 1、Ethereal简介Ethereal是一款的网络协议分析程序，支持Unix、Windows。 借助这个程序，你既能够直接从网络上抓取数据进行分析，也能够对由其它嗅探器抓取后保存在硬盘上的数据进行分析。 你能交互式地浏览抓取到的数据包，查看每一个数据包的摘要和详细信息。 l Ethereal有多种强大的特征，如支持几乎所有的协议、丰富的过滤语言、易于查看P TCP。 会话经重构后的数据流等。 它的主要特点为:?持支持Unix系统和Windows系统本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 ?能够根据不同的标准进行包过滤?通过过滤来查找所需要的包?根据过滤规则，用不同的颜色来显示不同的包?提供了多种分析和统计工具，实现对信息包的分析 22、Ethereal安装安装软件能够从网站上下载。 33、E Elthereal操作指导E Ethereal操作界面l Ethereal软件界面如图上图所示，在这个窗口上，整个界面环境分为三个窗口，最上面的窗口是抓包列表窗口，经过l Ethereal软件抓包后的数据包都会列在这个窗口中，同时你能够根据抓包序列号，抓包时间、源地址、目标地址、协议等进行包列表的排序，这样你能够很容易的找到你所需要的信息包。 中间的窗口中显示的是抓包列表上所选择本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 的包对应的各层协议说明，其中，协议层次信息以树型的结构进行显示。 最下面的窗口是数据窗口，显示的是上层窗口选中的信息包的具体数据，同时，在中间树型窗口中所选择的某一协议数据域的内容，在数据窗口中会被突出地显示出来。 Ethereal界面菜单菜单中主要有以下几个部分:File:与这个子菜单下的操作与Windows菜单下File下的操作类似，包括了文件的打开，保存、打印以及系统的退出等等。 不过这里的文件仅仅指的是抓包文件。 Edit:这个子菜单下所包含的操作有:查找某一个特定的帧、跳到某个帧、在一个或更多的帧上打上标记、设置首选项、设置过滤、协议剖析允许/不允许等。 在这个菜单下，Windows界面中的一些常用的操作，例如剪切、复制、粘贴等将不再使用。 Capture:在这个菜单下进行开始抓包和停止抓包的操作。 相关操作抓包本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 Capture options选项对话框本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 Interfaces:指定在哪个网卡上抓包。 一般情况下都是单网卡，所以使用缺省的就能够了。 Capture packetsin promiscuousmode:是否打开混杂模式。 如果打开，抓取所有的数据包。 一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。 Limit eachpacket:限制每个包的大小，缺省情况不限制。 Filter:过滤器。 只抓取满足过滤规则的包。 File:如果需要将抓到的包写到文件中，在这里输入文件名称。 ring buffer:是否使用循环缓冲。 缺省情况下不使用，即一直抓包。 注意，循环缓冲只有在写文件的时候才有效。 如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。 其它项:选择缺省的就能够了。 过滤设置抓包过滤器用来抓取感兴趣的包，用在抓包过程中。 抓包过滤器使用的是libcap过滤器语言，在在tcpdump的手册中有详细的解释，基本结构是是:notprimitiveand|ornotprimitive.，如下下:本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 Ethereal提供了两种过滤设置方式:1）、一种是在抓包以前进行设置，通过此设置，整个抓包过程将只抓取用户所需要的特定的数据包。 2）、另一种方式是在抓包以后进行设置。 在抓包前进行过滤设置在抓包前进行过滤设置，是在抓包选项设置对在话框中进行的（见上图）。 只需在Filter栏中填本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 入特定的设置语句。 Ethereal使用libpcap filter语言来进行抓包的过滤设置。 过滤表达式由一系列简单的表达式和连词（and、or、not）组成:notprimitiveand|ornotprimitive.过滤表达式的用法:的抓取一个特定的主机的tel数据包的过滤设置tcp port23and host通过这个过滤表达式，。 抓取除了/的发往某主机的tel数据包的过滤设置tcp port23and nothost，在过滤设置字符串中，primitive表达式通常由以下几种形式组成:11）、src|dsthost过此表达式通过IP地址/主机名来过滤一个特定缀的主机，通过前缀src或或dst选择源/目的主机。 明如果不注明src或者dst，则将抓到流向/流出该主机的所有数据包。 例如:src host22）、ethersrc|dsthost本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 此表达式用于过滤以太网上流入/流出特定的是主机的数据包，不同的是ehost是以太网地址，为主机的物理地址。 例如:为抓取发往物理地址为00:04:76:42:24:80的数据包ether dsthost00:04:76:42:24:8033）、src|dstmask|len此表达式根据网络地址来过滤/发往特定的网络的数据包。 例如:抓取发往/ mask44）、tcp|udpsrc|dstport自此表达式能够设置过滤/发往特定的tcp/udp协议端口的数据包。 例如:抓取SNMP协议数据包udp port1615）、less|greater此表达式用于过滤数据包长度小于等于/大于等于特定长度的数据包。 例如:抓取数据包长度小于400byte的数据包less400本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 66）、ip|ether proto滤此表达式用于过滤IP层/数据链路层（Ether层）上特定的协议数据包。 例如:抓取IP层上UDP数据报ip protoUDP77）、ether|ip broadcast|multicast此表达式用于过滤IP/Ether的广播包/多播包88）、 在抓包后进行过滤设置在只需要在filter文本框中填入相应的表达式即可。 如下图:本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 注注:果如果Filter的背景是绿色的，证明所设定的Filter是合乎规则的；如果Filter的背景是红色的的，证明所设定的Filter是是Ethereal不允许的，是错误的。 分析数据包内容本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 中间是协议树，通过协议树能够得到被截获的的数据包的更多信息，如主机的MAC地址(Ether II)、IP地址(Inter Protocol)、TCP号端口号(Transmission ControlProtocol)，以及协议的具体内容(Hypertext TrnasferProtocol)。 通过扩展协议树中的相应节点，能够得到该数据包中携带的更详尽的信息。 最下边是以十六制显示的数据包的具体内容，这是被截获的数据包在物理媒体上传输时的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中，这样就能够很方便地对各种协议的数据包进行分析。 （ （1）实验本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 1、以太网帧结构Ether_II，报文结构如下:字段描述长度前导码码同步码码用来使局域网中的所有节点同步7bytes帧标志志帧的起始标志1byte的目的MAC地地址址的接收端的MAC地址6bytes源源MAC地址的发送端的MAC地址6bytes上层协议类型数据包的类型2bytes数据字段被封装的数据包46-1500bytes校验错误检验4bytes过通过Ethereal抓包，并观察以太帧结构，如下图:Ether Example捕捉并显示所有从本地机器发出和接收的数据包。 1地）获取本地MAC地址:在命令行输入本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 ?ipconfig/all2）通过Ethereal抓包。 方法一:将将Ethereal的的capture filter的的filter string设置为:=本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 方法二:将主界面上Filter设置为:=本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 2、IP报头结构IP协议概述?IP提供无连接的数据转发，是Inter数据通信的基础?IP提供的是最底层的、最基础的一部分?这种服务是不提供服务保证的，分组可能丢失、延迟，也不通知发送方或接受方。 一个分组序列有可能沿着不同的路径发送。 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 ?服务是全力转发，不因为资源耗尽或网络故障而停止，因而会引起丢失等不可靠的情形出现。 IP数据报结构IP数据报分为两个部分:数据报报头数据报数据域详细的数据报报头:版本首部长度服务类型总长度标识标志片偏移量生存时间协议首部校验和源源IP地址的目的IP地址IP选项填充过通过Ethereal查看IP数据报报头，如下图:本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 3、ARP协议ARP协议概述ARP协议（Address ResolutionProtocol），即地址解析协议。 ARP协议主要负责将局域网中的32为为IP地地址的转换为对应的48位物理地址，即网卡的MAC地址，。 整个转换过程是一台主机先向目标主机含发送包含IP地址信息的广播数据包，即ARP请请有求，然后目标主机向该主机发送一个含有IP地地和址和MAC地址数据包，通过MAC地址两个主机就能够实现数据传输了。 ARP命令在安装了以太网网络适配器的计算机中都有本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 的专门的ARP缓存，包含一个或多个表，用于保存存IP地址以及经过解析的MAC地址。 在在Windows中要查看或者修改ARP缓存中的用信息，能够使用arp命令来完成，比如在Windows XP的命令提示符窗口中键入“arp-a”或“arp-g”能够查看ARP缓存中的内容；键入“arp-d IPaddress”表示删除指定的IP地址项（IPaddress表示IP地址）。 arp命令的其它用法能够键入“arp/?”查看到。 ARP协议应用举例释为了解释ARP协议的作用，就必须理解数据的在网络上的传输过程。 这里举一个简单的PING例子。 ，要执行这个命令:。 该命令会通过ICMP协议送发送ICMP数据包。 该过程需要经过下面的步骤骤:1）、应用程序构造数据包，该示例是产生ICMP包，被提交给内核（网络驱动程序）；2）、内核检查是否能够转该化该IP为地址为MAC的地址，也就是在本地的ARP缓存中查看IP-MAC对应表；3该）、如果存在该IP-MAC对应关系，那么跳到本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 骤步骤7；如果不存在该IP-MAC对应关系，那么接续下面的步骤；4）、内核进行ARP广播，目的地的MAC地址是是FF-FF-FF-FF-FF-FF，ARP命令类型为REQUEST （1），其中包含有自己的MAC；地址；5）、，就发送一个ARP的的REPLY （2）命令，其的中包含自己的MAC地址；6）、，并保存到ARP缓存中；7）、内核将把IP转化为MAC地址，然后封装在以太网头部结构中，再把数据发送出去；用使用arp-a命令就能够查看本地的ARP缓存的内容，所以，执行一个本地的PING命令后，ARP缓存就会存在一个目的IP的记录了。 当然，如果你的数据包是发送到不同网段的目的地，那的么就一定存在一条网关的IP-MAC地址对应的记录。 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 4、ICMP协议ICMP协议概述IP协议是一种不可靠的协议，无法进行差错但控制。 但IP协议能够借助其它协议来实现这一如功能，如ICMP。 ICMP（Inter ControlMessages Protocol,本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 网际控制报文协议）允许主机或路由器报告差错情况和提供有关异常情况的报告。 一般来说，ICMP报文提供针对网络层的错误诊断、拥塞控制、路径控制和查询服务四项大的或功能。 如，当一个分组无法到达目的站点或TTL超时后，路由器就会丢弃此分组，并向源站点返的回一个目的站点不可到达的ICMP报文。 ICMP报文类型ICMP报文类型ICMP报文大体能够分为两种类型，即ICMP差差和错报文和ICMP询问报文。 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 ICMP回射请求和应答报文头部格式本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 IP头部（20bytes）类型代码校验和标识符序列号选项见常见ICMP报文类型型类型代码描述80回射请求00回射应答110超时ICMP Ping命令Ping命令利用ICMP回射请求报文和回射应答报文来测试目标系统是否可达。 ICMP和回射请求和ICMP回射应答报文是配了合工作的。 当源主机向目标主机发送了ICMP回射请求数据包后，它期待着目标主机的回答。 个目标主机在收到一个ICMP回射请求数据包后，它会交换源、目的主机的地址，然后将收到的ICMP回射请求数据包中的数据部分原封不动的地封装在自己的ICMP回射应答数据包中，然后送发回给发送ICMP回射请求的一方。 如果校验正本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 确，发送者便认为目标主机的回射服务正常，也即物理连接畅通。 启开启Ethereal的抓包功能，如下图:在在windows命令行输入:ping上将主界面上Filter设置为:icmp本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 (a)类型字段值为:8；(b)代码字段值为:0；(c)标识符:任选16位二进制数（如0x1234；）；(d)序列号:任选16位二进制数（如0x5677；）；(e)数据字段:任选；(f)校验和:为首先把该字段置为0，接下来计算算ICMP首部的校验和。 其算法与IP首部校验和的计算方法相同。 对数据进行分析。 5.TCP三次握手本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 启开启Ethereal的抓包功能开打开IE浏览器，随意输入一个网站，例如，待闭页面完全打开之后，关闭IE浏览器，停止截取报文，进行分析。 五、实验报告(截取任意MAC、IP、ICMP、UDP、P TCP的数据包，根据首部格式分析该包)（出错及解决方法，调试的结果和体会）用命令P Pingt回声请求报文。 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿