数据包捕获与分析

1、内容二 数据包捕获与分析一、实验环境搭建： 1) 运行Windows 2000/2003 Server/XP操作系统的PC一台 2) 每台PC具有一块以太网卡，通过双绞线与局域网相连 3) Ethereal程序、WinPcap程序二、实验目的： 1）学会正确安装和配置网络协议分析仪软件Ethereal。 2）掌握使用Ethereal分析各种网络协议的技能，加深对帧格式、协议格式、协议层次的理解。三、实验步骤：Ethereal是一个图形用户接口（GUI）的网络嗅探器， Ethereal和其它图形化的网络嗅探器都使用相同的界面模式，如果能熟练地使用Ethereal，那么其它图形用户界面的嗅探器基本

2、都可以操作。 1. Ethereal的安装 由于Ethereal需要WinPcap库, 所以先安装WinPcap_2_3.exe, 再安装Ethereal.exe。2. 查看Ethereal的捕获接口 图1-1 Capture Interfaces打开Ethereal，在菜单Capture 下点击Interfaces， 选取要抓包的网卡， 这里选取地址为7 的所在本主机的网卡抓取数据包，接口选择Broadcom NetXtreme Gigabit Ethernet Driver (Microsofts Packet Scheduler)如图1-1：3.设置Ethereal

3、的捕获过滤器 在配置完捕获接口以后，我们可以设置相应的捕获数据包的过滤规则，就可以捕获到我们感兴趣的数据包。首先单击“Edit”选单，然后选择“Capture Filters.”菜单项，打开“Edit Capture Filter List”对话框（如图1-2所示）。因为此时还没有添加任何过滤规则，因而该对话框右侧的列表框是空的。 图1-2 Ethereal过滤器配置对话框 在Ethereal中添加过滤器时，需要为该过滤器指定名字及规则。例如，要在主机和间创建过滤器，可以在“Filter name”编辑框内输入过滤规则的名字“1”，在“Filter string”编辑框内输入过滤规则“host

4、 7 and 8”，然后单击“New”按钮即可，可以捕获到在主机7和8之间传输的数据包，如图1-3所示。图1-3 为Ethereal添加一个过滤器 当所有需要的过滤器都创建好后，单击“Save”按钮保存创建的过滤器，然后单击“Close”按钮来关闭“Edit Capture Filter List”对话框。要将过滤器应用于嗅探过程，需要在截获数据包之前或之后指定过滤器。要为嗅探过程指定过滤器，并开始截获数据包，可以单击“Capture”选单，选择“Start.”选单项，打开“Capture Options”

5、对话框，单击该对话框中的“Filter:”按钮，然后选择要使用的过滤器，如图1-4所示。图1-4 为Ethereal指定过滤器对图1-4中的术语进行如下解释：Interface:这个字段指定在哪个接口进行捕获。这是一个下拉字段，只能从中选择Ethereal识别出来的接口，默认是第一块支持捕获的非loopback接口卡。如果没有接口卡，那么第一个默认就是第一块loopback接口卡。在某些系统中，loopback接口卡不能用来捕获（loopback接口卡在Windows平台是不可用的） IP address（IP地址）:所选接口卡的IP地址。如果不能解析出IP地址，则显示unknown Link

6、-layer header type（链路层头类型）:除非你在极个别的情况下可能用到这个字段，大多数情况下保持默认值。Buffer size: n megabyte(s) （缓冲区大小：n 兆）:输入捕获时使用的buffer的大小。这是核心buffer的大小，捕获的数据首先保存在这里，直到写入磁盘。如果遇到包丢失的情况，增加这个值可能解决问题。 Capture packets in promiscuous mode （在混杂模式捕获包）:这个选项允许设置是否将网卡设置在混杂模式。如果不指定，Ethereal仅仅捕获那些进入你的计算机的或送出你的计算机的包。 (而不是LAN网段上的所有包). L

7、imit each packet to n bytes （限制每一个包为n 字节）:这个字段设置每一个数据包的最大捕获的数据量。有时称作snaplen 。如果disable这个选项，默认是65535, 对于大多数协议来讲中够了。 注意在“Capture Options”对话框中，“Update list of packets in real time”复选框被选中了。这样可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束之后才显示所有截获的数据包。 4.捕获分析 在设置捕获过滤规则之后，单击“OK”按钮，整个嗅探过程就开始了。Ethereal可以实时显示截获的数据包，因此能够帮助网

8、络管理员及时了解网络的运行状况，从而使其对网络性能和流量能有一个比较准确的把握。在主操作系统中使用ping 的命令，来ping 另一台主机。我们来看看抓取的数据包如图1-5。 （PING命令是基于ICMP协议，所以我们看到的是ICMP协议，由于发送数据包需要用到ARP协议来获到硬件地址，所以同时看到ARP协议）图1-5用Ethereal分析数据包内容图1-5中间是协议树，通过协议树可以得到被截获的数据包的更多信息，如主机的MAC地址(Ethernet II)、IP地址(Internet Protocol)、TCP端口号(Transmission Control Protocol)，以及HTTP

9、协议的具体内容(Hypertext Trnasfer Protocol)。通过扩展协议树中的相应节点，可以得到该数据包中携带的更详尽的信息。 最下边是以十六制显示的数据包的具体内容，这是被截获的数据包在物理媒体上传输时的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中，这样就可以很方便地对各种协议的数据包进行分析。 5.设置etheral的显示过滤器 刚才设置的过滤器是在抓包之前，我们根据设置过滤规则来过滤掉我们感兴趣的数据包，显示过滤器是在抓完包以后，通过显示过滤器可以用来从已经捕获的数据包中找到你感兴趣的包，并显示出来。举个例子，如果你只想查看使用TCP协议的包，eth

10、eral窗口的左下角的Filter中输入tcp,然后回车，ethereal就会只显示tcp协议的包。如下图所示：图1-6 Etheral的显示设置表达式也可以使用下面的操作符构造显示过滤器IIFrame.pkt_len10请记住一个窍门：当Filter的背景是绿色，就证明你设定的Filter是合乎规定的，但是当背景是红色的，说明你设定的Filter是Ethereal不允许的。6.捕获FTP包进行分析捕捉局域网上主机5发出或接受的所有FTP包（即src or dst port21），Ethereal的capture filter 的filter string设置为：tcp port 21 and host 5，如图1-10所示，然后将Capture options中的Capture filter选择该项，点击Start开始捕获，这时出现如图1-7。 图1-7 图 1-8 当我们点击Stop时，这时就出现FTP数据包解码界面如图1-9所示,从图中我们可以发现大量有用的信息，有源地址、目的地址、协议类型、包发送到达的时间、从中还捕获到登陆FTP服务器时输入的用户名和密码，下面的分析正说明了FTP中的数据是以明文形式传输的，因此在捕获的数据包中可以分析到被监听主机的任何FTP