使用包嗅探及协议分析软件

1、实验二 使用包嗅探及协议分析软件Ethereal 分析 Ethernet帧【实验目的】掌握包嗅探及协议分析软件Ethereal的使用。掌握Ethernet帧的构成【实验环环境】 安装装好Wiindoows 20000 SServver操操作系统统+Ethhereeal的的计算机机【实验时时间】 2节课课【实验重重点及难难点】重点学习习掌握如如何利用用Ethhereeal来来分析EEtheerneet帧。【实验内内容】1、捕捉捉任何主主机发出出的Ettherrnett 8002.33格式的的帧和DDIX Ettherrnett V22（即EEtheerneet III）格格式的帧帧并进行行分析。

2、2、捕捉捉并分析析局域网网上的所所有ettherrnett brroaddcasst帧进进行分析析。3、捕捉捉局域网网上的所所有ettherrnettmullticcastt帧进行行分析。【实验步步骤】一、Ettherreall的安装装Etheereaal是一一个图形形用户接接口（GGUI）的网络络嗅探器器，由于于Ethhereeal需需要WiinPccap库库, 所所以先安安装WiinPccap_2_33.exxe, 再安装装Ethhereeal.exee。（已装装好）二、仔细细阅读附附件中的的Ethhereeal使使用方法法和TccpDuump的的表达式式详解，学习EEtheereaal的

3、使使用。三、捕捉捉任何主主机发出出的Ettherrnett 8002.33格式的的帧和DDIX Ettherrnett V22（即EEtheerneet III）格格式的帧帧并进行行分析。捕捉任何何主机发发出的EEtheerneet 8802.3格式式的帧（帧的长长度字段段=115000）， EEtheereaal的cappturre ffiltter 的fillterr sttrinng设置置为：eetheer112:22 15500, 帧的的长度字字段实际际上是类类型字段段）， Ethhereeal的的cappturre ffiltter 的fillterr sttrinng设置置为：ee

4、theer112:22 15500。= 1 * GB3观察并并分析帧帧结构，8022.3格式式的帧的的上一层层主要是是哪些PPDU？是IPP、LLLC还是是其它哪哪种？（学校里里可能没没有，如如果没有有，注明明没有就就可以了了）= 2 * GB3观察并并分析帧帧结构，Ethhernnet II的的帧的上上一层主主要是哪哪些PDDU？是是IP、LLCC还是其其它哪种种？四、捕捉捉并分析析局域网网上的所所有ettherrnett brroaddcasst帧，Ethhereeal的的cappturre ffiltter 的fillterr sttrinng设置置为：eetheer bbroaadca

5、ast。= 1 * GB3观察并并分析哪哪些主机机在发广广播帧，这些帧帧的高层层协议是是什么？= 2 * GB3你的LLAN的的共享网网段上连连接了多多少台计计算机？1分钟钟内有几几个广播播帧？有有否发生生广播风风暴？五、捕捉捉局域网网上的所所有ettherrnettmullticcastt帧，EEtheereaal的cappturre ffiltter 的fillterr sttrinng设置置为：eetheer mmultticaast = 1 * GB3观察并并分析哪哪些节点点在发mmultticaast帧帧，这些些帧的高高层协议议是什么么？【实验指指导材料料】用Ethhereeal分分

6、析协议议数据包包Etheereaal是一一个图形形用户接接口（GGUI）的网络络嗅探器器，能够够完成与与Tcppdummp相同同的功能能，但操操作界面面要友好好很多。Ehttereeal和和Tcppdummp都依依赖于ppcapp库（llibppcapp），因因此两者者在许多多方面非非常相似似（如都都使用相同同的过滤滤规则和和关键字字）。EEtheereaal和其其它图形形化的网网络嗅探探器都使使用相同同的界面面模式，如果能能熟练地地使用EEtheereaal，那那么其它它图形用用户界面面的嗅探探器基本本都可以以操作。1. Ettherreall的安装装由于Ettherreall需要WiinP

7、ccap库库, 所所以先安安装WiinPccap_2_33.exxe, 再安装装Ethhereeal.exee。2. 设置EEtheereaal的过过滤规则则当编译译并安装装好Ettherreall后，就就可以执执行“eetheereaal”命命令来启启动Ettherreall。在用用Ethhereeal截截获数据据包之前前，应该该为其设设置相应应的过滤滤规则，可以只只捕获感感兴趣的的数据包包。Ettherreall使用与与Tcppdummp相似似的过滤滤规则(详见下下面的“5.过滤滤规则实实例”)，并且且可以很很方便地地存储已已经设置置好的过过滤规则则。要为为Ethhereeal配配置过滤滤

8、规则，首先单单击“EEditt”选单单，然后后选择“Cappturre FFiltterss.”菜单单项，打打开“EEditt Caaptuure Fillterr Liist”对话框框（如下下图所示示）。因因为此时时还没有有添加任任何过滤滤规则，因而该该对话框框右侧的的列表框框是空的的。在Ethhereeal中中添加过过滤器时时，需要要为该过过滤器指指定名字字及规则则。例如如，要在在主机110.11.1997.1162和和间创建建过滤器器，可以以在“FFiltter namme”编编辑框内内输入过过滤器名名字“ssohuu”，在在“Fiilteer sstriing”编辑框框内输入入过滤规规

9、则“hhostt 100.1.1977.1662 aand ”，然然后单击击“Neew”按按钮即可可，如下下图所示示。在Ethhereeal中中使用的过过滤规则则和Tccpduump几几乎完全全一致，这是因因为两者者都基于于pcaap库的的缘故。Ethhereeal能能够同时时维护很很多个过过滤器。网络管管理员可可以根据据实际需需要选用用不同的的过滤器器，这在在很多情情况下是是非常有有用的。例如，一个过过滤器可可能用于于截获两两个主机机间的数数据包，而另一一个则可可能用于于截获IICMPP包来诊诊断网络络故障。 当所所有需要要的过滤滤器都创创建好后后，单击击“Saave”按钮保保存创建建的过滤

10、滤器，然然后单击击“Cllosee”按钮钮来关闭闭“Eddit Cappturre FFiltter Lisst”对对话框。要将过过滤器应应用于嗅嗅探过程程，需要要在截获获数据包包之前或或之后指指定过滤滤器。要要为嗅探探过程指指定过滤滤器，并并开始截截获数据据包，可可以单击击“Caaptuure”选单，选择“Staart.”选单项项，打开开“Caaptuure Opttionns”对对话框，单击该该对话框框中的“Fillterr:”按按钮，然然后选择择要使用用的过滤滤器，如如下图所示示。注意在“Cappturre OOptiionss”对话话框中，“Uppdatte llistt off pa

11、ackeets in reaal ttimee”复选选框被选选中了。这样可可以使每每个数据据包在被被截获时时就实时时显示出出来，而而不是在在嗅探过过程结束束之后才才显示所所有截获获的数据据包。在选择了了所需要要的过滤滤器后，单击“OK”按钮，整个嗅嗅探过程程就开始始了。EEtheereaal可以以实时显显示截获获的数据据包，因因此能够够帮助网网络管理理员及时时了解网网络的运运行状况况，从而而使其对对网络性性能和流流量能有有一个比比较准确确的把握握。 3. 用用Ethhereeal分分析数据据包Etheereaal和其其它的图图形化嗅嗅探器使使用基本本类似的的界面，整个窗窗口被分分成三个个部分：

12、最上面面为数据据包列表表，用来来显示截截获的每每个数据据包的总总结性信信息；中中间为协协议树，用来显显示选定定的数据据包所属属的协议议信息；最下边边是以十十六进制制形式表表示的数数据包内内容，用用来显示示数据包包在物理理层上传传输时的的最终形形式。使用Ettherreall可以很很方便地地对截获获的数据据包进行行分析，包括该该数据包包的源地地址、目目的地址址、所属属协议等等。图44是在EEtheereaal中对对一个HHTTPP数据包包进行分分析时的的情形。在图4最最上边的的数据包包列表中中，显示示了被截截获的数数据包的的基本信信息。从从图中可可以看出出，当前前选中数数据包的的源地址址是100

13、.1.1977.1662，目目的地址址为611.1335.1150.65，该数据据包所属属的协议议是超文文本传输输协议(HTTTP)。更详细细的信息息表明该该数据包包中含有有一个HHTTPP的GEET命令令，要求求下载sstarrrtllog.js文文件到客客户端的的Webb浏览器器。 图4 用用Ethhereeal分分析数据据包内容容图4中间间是协议议树，通通过协议议树可以以得到被被截获的的数据包包的更多多信息，如主机机的MAAC地址址(Ettherrnett III)、IIP地址址(Innterrnett Prrotoocoll)、TTCP端端口号(Traansmmisssionn Coo

14、ntrrol Prootoccol)，以及及HTTTP协议议的具体体内容(Hypperttextt Trrnassferr Prrotoocoll)。通通过扩展展协议树树中的相相应节点点，可以以得到该该数据包包中携带带的更详详尽的信信息。图4最下下边是以以十六制制显示的的数据包包的具体体内容，这是被被截获的的数据包包在物理理媒体上上传输时时的最终终形式，当在协协议树中中选中xxz某行行时，与与其对应应的十六六进制代代码同样样会被选选中，这这样就可可以很方方便地对对各种协协议的数数据包进进行分析析。 Etheereaal提供供的图形形化用户户界面非非常友好好，管理理员可以以很方便便地查看看到每个

15、个数据包包的详细细信息，协议树树及其对对应的十十六进制制表示对对分析每每个数据据包的目目的很有有帮助，综合使使用Ettherreall和Tccpduump能能够基本本满足网网络管理理员在LLinuux和winndowws系统统上的所所有嗅探探要求。4. ttcpddumpp的表达达式介绍绍tccpduump的的表达式式就是前前面提到到的Ettherreall过滤规规则。表达式是是一个正正则表达达式，ttcpddumpp利用它它作为过过滤报文文的条件件，如果果一个报报文满足足表达式式的条件件，则这这个报文文将会被被捕获。如果没没有给出出任何条条件，则则网络上上所有的的信息包包将会被被截获。 在表

16、达达式中一一般如下下几种类类型的关关键字，一种是是关于类类型的关关键字，主要包包括hoost，nett，poort, 例如如 hoost 2100.277.488.2，指明 2100.277.488.2是是一台主主机，nnet 200 指明明200是一个个网络地地址，pportt 233 指明明端口号号是233。如果果没有指指定类型型，缺省省的类型型是hoost. 第二种种是确定定传输方方向的关关键字，主要包包括srrc , dsst ,dstt orr srrc, dstt annd ssrc , 这这些关键键字指明明了传输输的方向向。举例例说明，srcc 2

17、110.227.448.22 ,指指明ipp包中源源地址是是2100.277.488.2 , ddst nett 2002.00.0.0 指指明目的的网络地地址是2202.0.00.0 。如果果没有指指明方向向关键字字，则缺缺省是ssrc or dstt关键字字。 第第三种是是协议的的关键字字，主要要包括：ethher, fdddi, trr, ipp, ipp6, arpp, raarp, deecneet, tcpp,uddp.。Fdddi指指明是在在 FDDDI(分布式式光纤数数据接口口网络)上的特特定的网网络协议议，实际际上它是是ettherr的别别名，ffddii和ettherr具有

18、类类似的源源地址和和目的地地址，所所以可以以将fdddi协协议包当当作ettherr的包进进行处理理和分析析。 其其他的几几个关键键字就是是指明了了监听的的包的协协议内容容。如果果没有指指定任何何协议，则tccpduump将将会监听听所有协协议的信信息包。除了这三三种类型型的关键键字之外外，其他他重要的的关键字字如下：gattewaay, brooadccastt,leess,greeateer,还还有三种种逻辑运运算，取取非运算算是 nott ! , 与运算算是aand,&;或运算算 是or ,|； 这些些关键字字可以组组合起来来构成强强大的组组合条件件来满足足人们的的需要，下面举举几个例例

19、子来1、想要要截获所所有2110.227.448.11 的主主机收到到的和发发出的所所有的数数据包： #tcppdummp hhostt 2110.227.448.11 2、想要截截获主机机2100.277.488.1 和主机机2100.277.488.2 或2110.227.448.33的通信信，使用用命令：（在命命令行中中适用括括号时，一定要要 #tcppdummp hhostt 2110.227.448.11 annd (2 oor 2 ) 33、如果果想要获获取主机机2100.277.488.1除除了和主主机2110.227.448.22之外

20、所所有主机机通信的的ip包包，使用用命令： ip hosst 2 aand ! 2 44、如果果想要获获取主机机2100.277.488.1接接收或发发出的ttelnnet包包，使用用如下命命令： tccp pportt 233 hoost 2100.277.488.15.过滤滤规则实实例捕捉主机机3和和wwww服务器器 HYPERLINK 之间的的通信（这里主主机100.144.266.533可以是是自身，也可以以是通过过普通HHUB（而不是是交换机机）与本本机相连连的LAAN上的的其它主主机或路路由器,下同），Ettherre

21、all的cappturre ffiltter 的fillterr sttrinng设置置为：hostt 100.144.266.533 annd HYPERLINK 捕捉局域域网上的的所有AARP包包，Ettherreall的cappturre ffiltter 的fillterr sttrinng设置置为：arp捕捉局域域网上主主机100.144.266.533发出或或接受的的所有AARP包包，Ettherreall的cappturre ffiltter 的fillterr sttrinng设置置为：aarp hosst 53或者等价价地设置置为：aarp andd hoost 10.12.

22、1055.277捕捉局域域网上主主机100.144.266.533发出或或接受的的所有PPOP包包（即ssrc or dsttporrt1110），Ettherreall的cappturre ffiltter 的fillterr sttrinng设置置为：tcp porrt 1110 andd hoost 3或者等价价地设置置为：ttcp andd poort 1100 annd hhostt 100.144.266.533捕捉局域域网上主主机100.144.266.533发出或或接受的的所有FFTP包包（即ssrc or dsttporrt221），Ethhereeal的的cappturre ffiltter 的fillterr sttrinng设置置为：tcp porrt 221 aand hosst 53(1). 在主主机100.144.266.533上用FFTP客客户端软软件访问问。(2). 观察察并分析析3和和之间传传输的EEtheerneet III(即DIIX EEtheerneet vv2) 帧结构构，IPP数据报报结构，TCPP seegmeent结结构。(3). 观察察并分析析名称和和结构。注意53发出出的 PPDU中中以USSER开开头、以以PASSS开头头的两个个P