实验报告报文分析

实验五使用Ethereal工具分析网络合同一、实验目的通过使用Ethereal软件掌握Sniffer（嗅探器）工具的使用办法，实现捕获网络合同的数据包，以理解TCP/IP合同族中多个合同的数据构造以及多个合同的交互过程。二、实验内容1．静态路由的配备。2．路由合同RIP、RIPV2，OSPF。三、实验环境安装Windows/XP的PC机，在每一台上安装Ethereal软件。将PC机通过路由器/交换机相连，构成一种局域网。四、实验指导1、Ethereal介绍Ethereal是一款免费的网络合同分析程序，支持Unix、Windows。借助这个程序，你既能够直接从网络上抓取数据进行分析，也能够对由其它嗅探器抓取后保存在硬盘上的数据进行分析。你能交互式地浏览抓取到的数据包，查看每一种数据包的摘要和具体信息。Ethereal有多个强大的特性，如支持几乎全部的合同、丰富的过滤语言、易于查看TCP会话经重构后的数据流等。它的重要特点为：支持Unix系统和Windows系统能够根据不同的原则进行包过滤通过过滤来查找所需要的包根据过滤规则，用不同的颜色来显示不同的包提供了多个分析和统计工具，实现对信息包的分析2、Ethereal安装安装软件能够从网站上下载。3、Ethereal操作指导3.1Ethereal操作界面Ethereal软件界面如图上图所示，在这个窗口上，整个界面环境分为三个窗口，最上面的窗口是抓包列表窗口，通过Ethereal软件抓包后的数据包都会列在这个窗口中，同时你能够根据抓包序列号，抓包时间、源地址、目的地址、合同等进行包列表的排序，这样你能够很容易的找到你所需要的信息包。中间的窗口中显示的是抓包列表上所选择的包对应的各层合同阐明，其中，合同层次信息以树型的构造进行显示。最下面的窗口是数据窗口，显示的是上层窗口选中的信息包的具体数据，同时，在中间树型窗口中所选择的某一合同数据域的内容，在数据窗口中会被突出地显示出来。3.2Ethereal界面菜单菜单中重要有下列几个部分：File：这个子菜单下的操作与Windows菜单下File下的操作类似，涉及了文献的打开，保存、打印以及系统的退出等等。但是这里的文献仅仅指的是抓包文献。Edit：这个子菜单下所包含的操作有：查找某一种特定的帧、跳到某个帧、在一种或更多的帧上打上标记、设立首选项、设立过滤、合同剖析允许/不允许等。在这个菜单下，Windows界面中的某些惯用的操作，例如剪切、复制、粘贴等将不再使用。Capture：在这个菜单下进行开始抓包和停止抓包的操作。3.3有关操作3.3.1抓包3.3.2Captureoptions选项对话框Interfaces：指定在哪个网卡上抓包。普通状况下都是单网卡，因此使用缺省的就能够了。Capturepacketsinpromiscuousmode：与否打开混杂模式。如果打开，抓取全部的数据包。普通状况下只需要监听本机收到或者发出的包，因此应当关闭这个选项。Limiteachpacket：限制每个包的大小，缺省状况不限制。Filter：过滤器。只抓取满足过滤规则的包。File：如果需要将抓到的包写到文献中，在这里输入文献名称。ringbuffer：与否使用循环缓冲。缺省状况下不使用，即始终抓包。注意，循环缓冲只有在写文献的时候才有效。如果使用了循环缓冲，还需要设立文献的数目，文献多大时回卷。其它项：选择缺省的就能够了。3.3.3过滤设立抓包过滤器用来抓取感爱好的包，用在抓包过程中。抓包过滤器使用的是libcap过滤器语言，在tcpdump的手册中有具体的解释，基本构造是：[not]primitive[and|or[not]primitive...]，以下：Ethereal提供了两种过滤设立方式：1）、一种是在抓包以迈进行设立，通过此设立，整个抓包过程将只抓取顾客所需要的特定的数据包。2）、另一种方式是在抓包后来进行设立。在抓包迈进行过滤设立在抓包迈进行过滤设立，是在抓包选项设立对话框中进行的（见上图）。只需在Filter栏中填入特定的设立语句。Ethereal使用libpcapfilter语言来进行抓包的过滤设立。过滤体现式由一系列简朴的体现式和连词（and、or、not）构成：[not]primitive[and|or[not]primitive...]过滤体现式的使用方法：抓取一种特定的主机的telnet数据包的过滤设立tcpport23andhost通过这个过滤体现式，能够抓取从主机发出或发向该主机的全部的telnet数据包。抓取除了来自/发往某主机的telnet数据包的过滤设立tcpport23andnothost在过滤设立字符串中，primitive体现式普通由下列几个形式构成：1）、[src|dst]host<host>此体现式通过IP地址/主机名来过滤一种特定的主机，通过前缀src或dst选择源/目的主机。如果不注明src或者dst，则将抓到流向/流出该主机的全部数据包。例如：抓取从主机6发出的数据包：srchost62）、ether[src|dst]host<ehost>此体现式用于过滤以太网上流入/流出特定的主机的数据包，不同的是ehost是以太网地址，为主机的物理地址。例如：抓取发往物理地址为00：04：76：42：24：80的数据包etherdsthost00：04：76：42：24：803）、[src|dst]net<net>[{mask<mask>}|{len<len>}]此体现式根据网络地址来过滤来自/发往特定的网络的数据包。例如：抓取发往/发自网络的数据包netmask4）、[tcp|udp][src|dst]port<port>此体现式能够设立过滤来自/发往特定的tcp/udp合同端口的数据包。例如：抓取SNMP合同数据包udpport1615）、less|greater<length>此体现式用于过滤数据包长度不大于等于/不不大于等于特定长度的数据包。例如：抓取数据包长度不大于400byte的数据包less4006）、ip|etherproto<protocol>此体现式用于过滤IP层/数据链路层（Ethernet层）上特定的合同数据包。例如：抓取IP层上UDP数据报ipprotoUDP7）、ether|ipbroadcast|multicast此体现式用于过滤IP/Ethernet的广播包/多播包8）、<expr>relop<expr>此体现式用于创立复杂的过滤体现式，用于选择数据包中特定byte的数据或者某一段数据。在抓包后进行过滤设立只需要在filter文本框中填入对应的体现式即可。以下图：注：如果Filter的背景是绿色的，证明所设定的Filter是合乎规则的；如果Filter的背景是红色的，证明所设定的Filter是Ethereal不允许的，是错误的。3.3.4分析数据包内容中间是合同树，通过合同树能够得到被截获的数据包的更多信息，如主机的MAC地址(EthernetII)、IP地址(InternetProtocol)、TCP端标语(TransmissionControlProtocol)，以及HTTP合同的具体内容(HypertextTrnasferProtocol)。通过扩展合同树中的对应节点，能够得到该数据包中携带的更详尽的信息。最下边是以十六制显示的数据包的具体内容，这是被截获的数据包在物理媒体上传输时的最后形式，当在合同树中选中某行时，与其对应的十六进制代码同样会被选中，这样就能够很方便地对多个合同的数据包进行分析。实验1、以太网帧构造1.1典型帧构造――Ethernet_II，报文构造以下：字段描述长度前导码同时码用来使局域网中的全部节点同时7bytes帧标志帧的起始标志1byte目的MAC地址接受端的MAC地址6bytes源MAC地址发送端的MAC地址6bytes上层合同类型数据包的类型2bytes数据字段被封装的数据包46-1500bytes校验错误检查4bytes通过Ethereal抓包，并观察以太帧构造，以下图：1.2EthernetExample捕获并显示全部从本地机器发出和接受的数据包。1）获取本地MAC地址：在命令行输入arp-a2）通过Ethereal抓包。办法一：将Ethereal的capturefilter的filterstring设立为：eth.addr==00.17.9a办法二：将主界面上Filter设立为：eth.addr==00.17.9a2、IP报头构造2.1IP合同概述IP提供无连接的数据转发，是Internet数据通信的基础IP提供的是最底层的、最基础的一部分这种服务是不提供服务确保的，分组可能丢失、延迟，也不告知发送方或接受方。一种分组序列有可能沿着不同的途径发送。服务是全力转发，不由于资源耗尽或网络故障而停止，因而会引发丢失等不可靠的情形出现。2.2IP数据报构造IP数据报分为两个部分：数据报报头数据报数据域具体的数据报报头：版本首部长度服务类型总长度标记标志片偏移量生存时间合同首部校验和源IP地址目的IP地址IP选项填充通过Ethereal查看IP数据报报头，以下图：通过Ethereal查看IP地址为03的数据包3、ARP合同3.1ARP合同概述ARP合同（AddressResolutionProtocol），即地址解析合同。ARP合同重要负责将局域网中的32为IP地址转换为对应的48位物理地址，即网卡的MAC地址，例如IP地址为网卡MAC地址为00-03-0F-FD-1D-2B。整个转换过程是一台主机先向目的主机发送包含IP地址信息的广播数据包，即ARP请求，然后目的主机向该主机发送一种含有IP地址和MAC地址数据包，通过MAC地址两个主机就能够实现数据传输了。3.2ARP命令在安装了以太网网络适配器的计算机中都有专门的ARP缓存，包含一种或多个表，用于保存IP地址以及通过解析的MAC地址。在Windows中要查看或者修改ARP缓存中的信息，能够使用arp命令来完毕，例如在WindowsXP的命令提示符窗口中键入“arp-a”或“arp-g”能够查看ARP缓存中的内容；键入“arp-dIPaddress”表达删除指定的IP地址项（IPaddress表达IP地址）。arp命令的其它使用方法能够键入“arp/?”查看到。3.2ARP合同应用举例为理解释ARP合同的作用，就必须理解数据在网络上的传输过程。这里举一种简朴的PING例子。假设我们的计算机IP地址是，要执行这个命令：ping。该命令会通过ICMP合同发送ICMP数据包。该过程需要通过下面的环节：1）、应用程序构造数据包，该示例是产生ICMP包，被提交给内核（网络驱动程序）；2）、内核检查与否能够转化该IP地址为MAC地址，也就是在本地的ARP缓存中查看IP-MAC对应表；3）、如果存在该IP-MAC对应关系，那么跳到环节7；如果不存在该IP-MAC对应关系，那么接续下面的环节；4）、内核进行ARP广播，目的地的MAC地址是FF-FF-FF-FF-FF-FF，ARP命令类型为REQUEST（1），其中包含有自己的MAC地址；5）、当主机接受到该ARP请求后，就发送一种ARP的REPLY（2）命令，其中包含自己的MAC地址；6）、本地获得主机的IP-MAC地址对应关系，并保存到ARP缓存中；7）、内核将把IP转化为MAC地址，然后封装在以太网头部构造中，再把数据发送出去；使用arp-a命令就能够查看本地的ARP缓存内容，因此，执行一种本地的PING命令后，ARP缓存就会存在一种目的IP的统计了。固然，如果你的数据包是发送到不同网段的目的地，那么就一定存在一条网关的IP-MAC地址对应的统计。4、ICMP合同4.1ICMP合同概述IP合同是一种不可靠的合同，无法进行差错控制。但IP合同能够借助其它合同来实现这一功效，如ICMP。ICMP（InternetControlMessagesProtocol,网际控制报文合同）允许主机或路由器报告差错状况和提供有关异常状况的报告。普通来说，ICMP报文提供针对网络层的错误诊疗、拥塞控制、途径控制和查询服务四项大的功效。如，当一种分组无法达成目的站点或TTL超时后，路由器就会丢弃此分组，并向源站点返回一种目的站点不可达成的ICMP报文。4.2ICMP报文类型4.2.1ICMP报文类型ICMP报文大致能够分为两种类型，即ICMP差错报文和ICMP询问报文。4.2.2ICMP回射请求和应答报文头部格式IP头部（20bytes）类型代码校验和标记符序列号选项常见ICMP报文类型类型代码描述80回射请求00回射应答110超时4.3ICMPPing命令Ping命令运用ICMP回射请求报文和回射应答报文来测试目的系统与否可达。ICMP回射请求和ICMP回射应答报文是配合工作的。