Ethereal网络实验指导书 (2).doc

Internet网基本技术与应用实验指导书信息科学与技术分院网络工程与信息安全教研室2010.7目 录实验1 Ethereal软件下载、安装以及基本操作2实验2 熟悉Ethereal软件的常用菜单项6实验3设置Ethereal的过滤规则9实验4设置Ethereal的显示过滤规则12实验5设置Ethereal的显示过滤规则15实验6 分析ICMP报文17实验7 分析Ethereal报文20实验8 分析ARP报文格式22实验9 分析FTP协议24实验10 DNS协议分析26实验11 HTTP协议分析28实验12 ethereal使用提高30实验1 Ethereal软件下载、安装以及基本操作实验目的：独立完成Ethereal软件下载、安装，并能够进行基本操作。实验内容：掌握Ethereal软件的基本操作：1. 指定网卡，截获网络上的数据包。2. 保存截获到的数据包列表资料。3. 熟悉各个主要的菜单项。操作步骤：1. 双击启动桌面上ethereal图标 ，按ctrl+K进行“capture option”的选择。2. 首先选择正确的NIC，进行报文的捕获。3. 对 “capture option”各选项的详细介绍：Interface是选择捕获接口；Capture packets in promiscuous mode表示是否打开混杂模式，打开即捕获所有的报文，一般我们只捕获到本机收发的数据报文，所以关掉；Limit each packet 表示限制每个报文的大小；Capture files 即捕获数据包的保存的文件名以及保存位置。4. “capture option”确认选择后，点击ok就开始进行抓包；同时就会弹出“Ethereal:capture form (nic) driver”，其中(nic)代表本机的网卡型号。同时该界面会以协议的不同统计捕获到报文的百分比，点击stop即可以停止抓包。5. 下图为Ethereal截取数据包的页面。由上而下分別是截取数据包的列表以及封包的详细资料，最下面则是封包的內容，这时是以16进制及ASCII编码的方式来表示。其中在列表这部份，最前面的编号代表收到封包的次序，其次是时间、来源地址、目的地址，最后则是协议的名称以及关于此封包的摘要信息。6. 若是想将截获到的数据包列表资料储存起来，可以执行FileSave或Save As将资料储存起来，存储对话框如下图所示，这些储存的数据包资料可以在以后执行Open来加以开启。思考题：如果觉得截获的的封包数量太多的話，你要怎么做？实验2 熟悉Ethereal软件的常用菜单项实验目的：独立完成Ethereal软件下载、安装，并能够进行基本操作。实验内容：熟悉各个常用的菜单项。操作步骤：7. 简介File的下拉菜单：“Open”即打开已存的抓包文件，快捷键是crtlQ；“Open Recent”即打开先前已察看的抓包文件，类似windows的最近访问过的文档；“Merge”字面是合并的意思，其实是追加的意思，即当前捕获的报文追加到先前已保存的抓包文件中；Export是输出的意思；Print 打印；Quit退出；Save和save as即保存 、选择保存格式。注：其中save as保存为是有个注意点，File type保存选择时注意：缺省保存为libpcap格式，这个是linux下的tcpdump格式的文件。只有选择文件保存格式为sniffer（windowsbase）1.1和2.0都可，ethereal和sniffer才能双向互相打开对方抓包的文件。否则只有ethereal能打开sniffer的抓包文件。8. 简介Edit的下拉菜单：Find Packet 就是查询报文，快捷键是ctrl+F；可以支持不同格式的查找；输入正确的语句，那么背景为 绿色，语句错误或缺少背景就为 红色；Find Next是向下查找；Find Preyious是向上查找；Time Reference做个报文的“时间戳”，方便大量报文的查询；Mark Packet（toggle）是标记报文；Mark all packets 和 Unamrk all packet即标记所有报文 、取消标记所有报文注：点击“preference”进行用户界面的选择，比如说 报文察看界面布局的选择，以及协议支持的选择。9. 简介View的下拉菜单：Main toolbar 主工具栏；Filter Toolbar 过滤工具栏；Statusbar 状态条；Packet list 报文列表；Packet details 报文详解；Packet byte 报文字节察看；Time display format 时间显示格式（可以显示年月日时分秒）；Name Resolution 名字解析；Auto scroll in live capture捕获时是否跟进显示更新的报文还是显示先前的报文；Zoom in 字体的放大；Zoom out 字体的缩小；Normal size 标准大小；Resize columns 格式对齐；Collapse all 报文细节内容的缩进；Expand all 报文细节内容的展开；Coloring Rules 颜色规则，即可以对特定的数据包定义特定的颜色；Show packet in new window在新窗口中查看报文内容；Reload 刷新。10. go的下拉菜单：Back 同样双方的上个报文；Forward 同样双方的下一个报文；Go to packet 查找到指定号码的报文；First packet 第一个报文；Last packet 最后一个报文。11. capture的下拉菜单：Start 开始捕获报文；Interface 接口；捕获过滤。12. Analyze的下拉菜单：Display filters 显示过滤，可以直接在主界面的filter上选择；13. Statistics的下拉菜单：Summmary 报文的详细信息；Protocol hierarchy 协议层； 即各协议层报文的统计；Conversations 显示该会话报文的信息 （双方通信的报文信息）； endpoints 分别显示单方的报文信息；IO Graphs 报文通信图思考题：如何改变封包列表的字体以及不同封包的背景色？ 实验3设置Ethereal的过滤规则实验目的：初步掌握设置Ethereal的过滤规则。实验内容：能够对Ethereal设置简单的过滤规则操作步骤：1. 点击菜单“Capture-Options”弹出对话框“Ethereal: Capture Options”，如下图所示。2. 可以直接在按钮“Capture Filter”右边的文本框中填写过滤规则。举例：1) port 53 只捕获DNS的报文2) port not 53 and not arp捕获所有报文除了DNS的报文和arp的报文3) port not 53 and not arp捕获所有报文除了DNS的报文和arp的报文3. 点击按钮“Capture Filter”，弹出对话框“Ethereal: Capture Filter”，请大家尝试一下Filter文本框中所有ethereal现有的过滤规则。4. 自定义过滤规则：上图中点击“New”按钮，在Properties中的Filter name中填入你自己拟定的过滤名称，它可以任意命名；在Properties中的Filter string中输入你的过滤规则字符。然后点击“Save”按钮即可。5. Filter string举例：a.捕获 MAC地址为 00:d0:f8:00:00:03 网络设备通信的所有报文 ether host 00:d0:f8:00:00:03b.捕获 IP地址为 网络设备通信的所有报文 host c.捕获网络web浏览的所有报文 tcp port 80d.捕获除了http外的所有通信数据报文host and not tcp port 806. 符号在Filter string语法中的定义：a. Equal: eq, = (等于）b. Not equal: ne, != （不等于）c. Greater than: gt, （大于）d. Less Than: lt, = （大等于）f. Less than or Equal to: le, Options”弹出对话框“Ethereal: Capture Options”（右图），点击按钮“Capture Filter”，弹出对话框“Ethereal: Capture Filter”（左图），双击选择你自定义的过滤规则，回到对话框“Ethereal: Capture Options”（右图）。过滤规则已被自动填入文本框中。点击“start”按钮即可使根据你设置的过滤规则进行抓包。思考题：请大家设置以下过滤规则：1. 不接受广播报文2. 在主机（自己的ip号）和间创建过滤器实验4设置Ethereal的显示过滤规则实验目的：掌握设置Ethereal的显示过滤规则。实验内容：能够对Ethereal设置显示过滤规则操作步骤：1. 在抓包完成后，显示过滤器用来找到你所感兴趣的包，依据1) 协议2) 是否存在某个域3) 域值4) 域值之间的比较来查找你感兴趣的包。2. 举个例子，如果你只想查看使用tcp协议的包，在ethereal窗口的工具栏的下方的Filter中输入tcp，让后回车，ethereal就会只显示tcp协议的包，如下图所示：3. 值比较表达式，可以使用下面的操作符来构造显示过滤器。a. Equal: eq, = (等于）b. Not equal: ne, != （不等于）c. Greater than: gt, （大于）d. Less Than: lt, = （大等于）f. Less than or Equal to: le, = （小等于）4. 表达式组合，可以使用下面的逻辑操作符将表达式组合。a. and & 逻辑与b. or | 逻辑或c. not! 逻辑非5. 举例抓取ip地址是0的主机，它所接受或发送的所有http报文，那么合适的显示过滤器是：ip.addr=0 and http。6. 如果Filter的背景是绿色的，那么证明你设定的Filter合乎规定，如果背景是红色的，那么说明你设定的Filter是ethereal不允许的，是不对的。如下图：7. 所有过滤器都可在Filter旁边的Expression中选取。思考题：请大家设置以下显示过滤规则：1. 抓取ip地址是0的主机，它所接受或发送的所有udp报文2. ip地址不是0的主机3. 研究Expression对话框的使用实验5设置Ethereal的显示过滤规则实验目的：掌握设置Ethereal的显示过滤规则。实验内容：能够对Ethereal设置显示过滤规则操作步骤：1. 根据下表能对Ethereal显示过滤，进行较为高级的设置。Table 2.1: IP Display Filters Internet Protocol (IP)Internet Protocol (IP)FieldNameTypeip.addrSource or Destination AddressIPv4 addressip.checksumHeader checksumUnsigned 16-bit integerip.checksum_badBad Header checksumBooleanip.dsfieldDifferentiated Services fieldUnsigned 8-bit integerip.dsfield.ceECN-CEUnsigned 8-bit integerip.dsfield.dscpDifferentiated Services CodepointUnsigned 8-bit integerip.dsfield.ectECN-Capable Transport (ECT)Unsigned 8-bit integerip.dstDestinationIPv4 addressip.flagsFlagsUnsigned 8-bit integerip.flags.dfDont fragmentBooleanip.flags.mfMore fragmentsBooleanip.frag_offsetFragment offsetUnsigned 16-bit integerip.fragmentIPFragmentFrame numberip.fragment.errorDefragmentation errorFrame numberip.fragment.multipletailsMultiple tail fragments foundBooleanip.fragment.overlapFragment overlapBooleanip.fragment.overlap. conflictConflicting data in fragment overlapBooleanip.fragment. toolongfragmentFragment too longBooleanip.fragmentsIPFragmentsNo valueip.hdr_lenHeader LengthUnsigned 8-bit integerip.idIdentificationUnsigned 16-bit integerip.lenTotal LengthUnsigned 16-bit toProtocolUnsigned 8-bit integerip.reassembled_inReassembled IP in frameFrame numberip.srcSourceIPv4 addressip.tosType of ServiceUnsigned 8-bit integerip.tos.costCostBooleanip.tos.delayDelayBooleanip.tos.precedencePrecedenceUnsigned 8-bit integerip.tos.reliabilityReliabilityBooleanip.tos.throughputThroughputBooleanip.ttlTime to liveUnsigned 8-bit integerip.versionVersionUnsigned 8-bit integer思考题：参考学过的ip报文头部的知识，根据上表，进行各种显示过滤的尝试。实验6 分析ICMP报文实验目的：通过ping命令，抓取ICMP报文，分析报文结构，巩固课堂知识。实验内容：通过ping命令，抓取ICMP报文，分析报文结构。操作步骤：2. 点击工具栏中的首个按钮，弹出对话框“Ethereal: Capture Interfaces”。点击其中的“Capture”按钮进行捕获。3. 在操作系统的运行中输入如下命令：ping 某主机的ip地址。例如：6。3、然后，点击“stop”按钮，停止抓包。观察抓包结果。4. ICMP 报文格式：关于ICMP 的“类型”和“代码”字段，如下表5. 分析箭头所指的两个ICMP数据包的具体内容，可以看出其中一个是ping请求，其中一个是ping应答。如下图所示：思考题：进一步详细分析抓到的ICMP数据包。实验7 分析Ethereal报文实验目的：通过ping命令，分析Ethereal报文，巩固课堂知识。实验内容：通过ping命令，分析Ethereal报文结结构。操作步骤：6. 点击工具栏中的首个按钮，弹出对话框“Ethereal: Capture Interfaces”。点击其中的“Capture”按钮进行捕获。7. 在操作系统的运行中输入如下命令：ping 某主机的ip地址。例如：6。8. 然后，点击“stop”按钮，停止抓包。观察抓包结果。9. Ethereal报文格式：目的地址 源地址 类型 数据 CRC10. 尽管Ethernet II 和802.3 的封包格式不同，但Ethereal 在解码时，都是从“类型”字段来判断一个包是IP 数据报还是ARP 请求/应答或RARP 请求/应答。类型显示这是IP数据报。思考题：进一步详细分析抓到的Ethereal报文。实验8 分析ARP报文格式实验目的：通过ping命令，抓取arp报文，分析报文结构，巩固课堂知识。实验内容：通过ping命令，抓取arp报文，分析报文结构。操作步骤：11. 点击工具栏中的首个按钮，弹出对话框“Ethereal: Capture Interfaces”。点击其中的“Capture”按钮进行捕获。12. 在操作系统的运行中输入如下命令：ping 某主机的ip地址。例如：28。13. 然后，点击“stop”按钮，停止抓包。观察抓包结果。到判断一个ARP 分组是ARP 请求还是应答的字段是“op”，当其值为0x0001 时是请求，为0x0002 时是应答14. ARP报文被封装在以太网帧头部中传输，如图所示，是ARP请求报文头部格式。15. 根据ARP报文格式知道，所抓报文所在的硬件类型是以太网；协议类型是ip；硬件地址长度为6个字节；协议地址长度为4个字节。思考题：进一步详细分析抓到的arp报文。实验9 分析FTP协议实验目的：通过ftp命令，使用软件ethereal来分析ftp的工作流程，加深对ftp的理解与认识。实验内容：通过ftp命令，使用软件ethereal来分析ftp的工作流程。操作步骤：16. 点击工具栏中的首个按钮，弹出对话框“Ethereal: Capture Interfaces”。点击其中的“Capture”按钮进行捕获。17. 在IE浏览器中输入。3、连接上ftp地址以后，点击“stop”按钮，停止抓包。观察抓包结果。18. 注意观察与“” 建立连接之前有3个tcp报文，它的作用是建立连接三次握手。逐个观察这3个tcp报文的flags字段。19. 连接建立之后，观察抓包情况，从而了解ftp的工作过程，其中包括用户名、密码的交互以及改变目录等操作。如下图所示：思考题：进一步详细分析所抓到的tcp数据包。实验10 DNS协议分析实验目的：通过浏览网站，使用软件ethereal来分析DNS的工作流程，加深对DNS的理解与认识。实验内容：通过浏览网站，使用软件ethereal来分析DNS的工作流程。操作步骤：20. 点击工具栏中的首个按钮，弹出对话框“Ethereal: Capture Interfaces”。点击其中的“Capture”按钮进行捕获。21. 在IE浏览器中输入/。3、点击“stop”按钮，停止抓包。观察抓包结果。22. 分析这两个使用DNS的数据包，得到一个是请求报文一个是应答报文。主机17向域名服务器请求DNS服务，请求解析 的 IP 地址。域名系统 DNS 解析出清华大学服务器的 IP 地址为00，如下图所示。23. 观察DNS服务所使用的运输层协议是udp，它的upd报文中源端口号与目的端口号如下图所示。思考题：进一步详细分析所抓到的udp数据包。实验11 HTTP协议分析实验目的：通过浏览网站，使用软件ethereal来分析HTTP的工作流程，加深对DNS的理解与认识。实验内容：通过浏览网站，使用软件ethereal来分析HTTP的工作流程。操作步骤：24. 点击工具栏中的首个按钮，弹出对话框“Ethereal: Captur