实验4通信网络协议分析

实验四 通信网络协议分析实验目的：1、 学生掌握ATM的网络协议；2、 熟悉网络协议分析软件Ethreal的使用3、 了解一些常用的网络协议分析软件实验环境：安装有Ethreal的计算机一台实验要求：学习基本理论，掌握基本概念；按照实验步骤要求完成实验，并完成相关协议的分析，书写实验报告。实验原理： 网络分析是指捕捉网络流动的数据包，将网络数据转换成可读格式，通过查看包内部数据来发现网络中的问题，分析网络性能并发现瓶颈；监视网络通信量，观察网络协议的行为。Ethereal网络协议分析器，是一个可以对活动的网络上或磁盘中捕获数据并分析的重要软件，可应用于故障修复、分析、软件和协议开发以及教育领域，具有如下一些特点：可以在实时时间内，从网络连接处捕获数据，或者从捕获文件处读取数据；是一种开源代码软件，允许用户进行方案添加与修改；此外Ethereal所支持的网络通信协议是所有抓包工具中最全面的，几乎所有的协议，Ethereal都有相应的解码器，可以从以太网，FDDI，PPP，令牌环，IEEE802.11，ATM上的IP和回路接口上读取数据；因此，Ethereal网络协议分析器在通信网络中得以广泛的应用。实验内容与步骤：1、网络协议分析器Ethereal 在windows环境下，安装Ethereal成功后，桌面上出现图标，双击该图标，启动Ethereal，初始界面如图1所示。（图1）1）Capture Options窗口。菜单栏“Capture”下选项“Options”，如图2所示。（图2）窗口中的参数解释如下：aInterface 所选择捕获网络数据报的接口bCapture packets in promiscuous mode是否打开混杂模式。打开即抓取所有的数据包。一般默认关闭此选项。cLimit each packet to限制每个报文的大小为多少字节。dCapture File(s) 捕获数据包的保存的文件名以及保存位置eUpdate list of packets in real time 时时更新该接口捕获的报文对Capture Options窗口的参数进行设置之后，单击“start”按钮，弹出Capture from Generic NdisWan adapter窗口。（图3）2）进入Capture from Generic NdisWan adapter窗口，如图3所示。此时开始抓包动作，窗口中显示的是以不同协议统计捕获得到的报文的百分比。Generic NdisWan表示本机的网卡型号。3）在Capture from Generic NdisWan adapter窗口中单击stop按钮，停止抓包，并把所抓的包显示在Ethereal主窗口中，如图4所示。主窗口有中三个组成面板：a 包的概况面板显示所有捕获到的包的报文号b 包首部详况面板显示包主要部分的树型视图c 包内容面板以十六进制或ASCII码显示的包内容信息（图4）4）打开Capture Filter选项，进入Ethereal Capture Filter窗口，如图5所示。（图5）此窗口可用于捕获特定报文，即事前设置然后抓取报文。a filter name为自己定义的过滤语法起的别名，系统默认是newb filter string 填入对应语句，可以决定数据包的类型。2、Ethereal数据分析1、 协议分析1） 在“Analyze”菜单中选择“Display Filter”命令，弹出Ethereal Display Filter窗口，如图6所示。（图6）参数含义：a Filter name表示为所定义的过滤语法起一个别名b Filter string表示为执行条件所抓的包（注：与Caputre Filter的语法不同）c Expression表示可以通过此按钮在系统自带的过滤条件中选取，单击此按钮，出现图7所示表框，可以在其中对过滤条件加以组合选择。（图7）2） 在“Analyze”菜单中选择“Enabled Protocol”选项，弹出Ethereal Enabled Protocol窗口，如图8所示。此窗口可以选择要启用哪些协议的解析，只有选中的项，其相关的上层协议才能显示出来。（图8）2、 数据统计1） 单击Statistics，Ethereal Summary选项，进入Ethereal Summary窗口。此窗口显示出该条报文的详细信息。（图9）各参数如图9所示，其含义分别如下所述：a Between first and last packet表示开始执行Ethereal软件取报到结束的时间b Packets表示在指定时间内共抓取的数据报的数目c Avg.packets/sec表示每秒平均抓取数据包的个数d Avg.packet size表示数据包的平均大小2） 单击Statistics下的 Protocol Hierarchy选项，如图10所示。显示各协议层报文的统计可以看出其所抓取的数据报文中，Ethernet格式帧的数目，总长度，数据传输率；IP协议，UDP协议以及其他协议在应用中所占的百分比。（图10）3） 单击Statistics下的 conversations选项。显示该会话报文的信息，即通信双方的报文信息。如图11所示（图11）4） 单击Statistics下的 endpoints选项。分别显示单方报文信息，如图12所示（图12）5） 单击Statistics下的 IO Graghs选项，得到报文通信的图像显示，如图13所示（图13）3、其他网络分析工具1）NTop 网络使用状况检测软件2）DSniff 网络审计和渗透测试工具3） NGrep 方便的包匹配和显示工具。能够识别流经以太网、PPP、SLIP、FDDI、令牌网和回环设备上的TCP、UDP和ICMP数据包。4） Paketto Keiretsu 极端的TCP/IP。包含的工具有：Scanrand，快速的网络服务和拓扑发现系统；Minewt，一个NAT/MAT路由器；Linkcat