实验3网络协议分析Ethereal.docx

1、实验3网络协议分析Ethereal实验三网络协议分析器Ethereal一、实验目的和要求 了解网络协议分析器Ethereal的大体知识 把握Ethereal安装进程 把握利用Ethereal捕捉数据包的方式 能对捕捉到的包简单分析二、实验内容安装Ethereal软件和相应的WinpCap软件，启动Ethereal并设置相应的选项，捕捉一段记录。三、实验设备PC机、Ethereal软件、WinpCap软件四、背景知识Ethereal是一个出名的网络端口探测器，是能够在Linux、Solaris、SGI等各类平台运行的网络监听软件，它主若是针对TCP/IP协议的不平安性对运行该协议的机械进行监听。

2、其功能相当于Windows下的Sniffer，都是在一个共享的网络环境下对数据包进行捕捉和分析，而且还能够自由地为其增加某些插件以实现额外功能。Ethernet网络监测工具可在实时模式或离线模式顶用来捕捉和分析网络通信。下面是利用Ethereal 能够完成的几个工作：网络治理员利用它去帮忙解决网络问题网络平安工程师用它去测试平安问题开发人员用它是调试协议的实现进程用它还能够帮忙人员深切的学习网络协议下面是Ethereal 提供的一些特性：支持UNIX 平台和Windows 平台。从网络接口上捕捉实时数据包以超级详细的协议方式显示数据包能够打开或存贮捕捉的数据包导入/导出数据包，从/到其它的捕捉

3、程序按多种方式过滤数据包按多种方式查找数据包依照过滤条件，以不同的颜色显示数据包能够成立多种统计数据五、实验步骤一、安装Ethereal和 WinpCap。有的Ethereal中自带WinpCap就不需要再另外安装了。实验室里面一样安装好了。下载地址：安装好后，桌面上会显现“”图标，为Ethereal的桌面快捷方式。二、启动Ethereal，界面如下：图1 Ethereal启动界面 最初的窗口中没有数据，因为尚未开始捕捉数据包，第一来熟悉一下界面。Ethereal主窗口有很多的GUI程序组成：(1) (文件)：那个菜单包括：打开文件、归并文件、保留/打印/导出整个或部份捕捉文件、退出。(2)

4、Edit(编辑)那个菜单包括：查找包、时刻参照、标记一个或多个包、设置参数、(剪切、复制、粘贴)。(3) View(查看)：那个菜单操纵捕捉数据的显示，包括：给定特定的一类包标以不同的颜色、字体缩放、在一个新窗口中显示一个包、展开&折叠详细信息面板的树状结构。(4) Go：那个菜单实现转到一个特定包。(5) (捕捉)：那个菜单实现开始、停止捕捉，编辑捕捉过滤条件的功能。(6) Analyze(分析)：那个菜单包括编辑显示过滤、enable(开)或disable(关)协议解码器、配置用户指定的解码方式、追踪一个TCP 流。(7) Statistics(统计)：该菜单完成统计功能。包括捕捉的包的一

5、个摘要、基于协议的包的数量等树状统计图等许多功(8) Help(帮忙)那个菜单包括了一些对用户有效的信息。比如大体帮忙、支持的协议列表、手册页、在线访问到网站等等。3、利用Capture Options对话框。要想取得一个跟踪记录，咱们第一从Capture(捕捉)菜单当选择“Capture Options”（捕捉选项）,并用Capture Options对话框来指定跟踪记录的方方面面。图2 Caption Options 选项框（1）Interface（接口）第一要选择适合的接口，也确实是网卡，如何不选择适合的接口，可能捕捉不到数据包。图2中黄色框1，那个字段指定在哪个接口进行捕捉。这是一个下

6、拉字段，只能从当选择Ethereal 识别出来的接口，要想捕捉到数据，第一要选择正确的适配器（网卡），若是一台机械同时拥有以太网网卡和无线网络网卡，你必需选择其中一个进行监测。（2）IP (IP 地址)所选接口卡的IP 地址。若是不能解析出IP 地址，那么显示unknown。（3）Link-layer header type(链路层头类型)除非你在极个别的情形下可能用到那个字段，大多数情形下维持默许值。（4）Buffer size: n megabyte(s) (缓冲区大小：n 兆)输入捕捉时利用的buffer 的大小。这是核心buffer 的大小，捕捉的数据第一保留在那个地址，直到写入磁盘。

7、若是碰到包丢失的情形，增加那个值可能解决问题。本实验中维持默许值。（5） Capture packets in promiscuous mode (在混杂模式捕捉包，绿色框2)那个选项许诺设置是不是将网卡设置在混杂模式。若是不指定，Ethereal 仅仅捕捉那些进入你的运算机的或送出你的运算机的包。(而不是LAN 网段上的所有包)。要想把网络接口设置为混杂模式，需要对这台运算机具有治理员特权。本实验中维持默许值。（6）Limit each packet to n bytes (限制每一个包为n 字节)那个字段设置每一个数据包的最大捕捉的数据量。有时称作snaplen 。若是disable 那个

8、选项默许是65535, 关于大多数协议来讲中够了。本实验中维持默许值。（7） Capture Filter(捕捉过滤，蓝色框3)那个字段指定一个捕捉过滤。 “在捕捉时进行过滤”部份进行讨论。默许是空的，即没过过滤。也能够点击标为Capture Filter 的按钮, Ethereal 将弹出Capture Filters(捕捉过滤)对话框，来成立或选择一个过滤。例如，你能够用下面的过滤器来捕捉那些只从IP地址发出和发往它的分组：host 。Ethereal过滤器功能很强，可是需要学习一种简单的过滤语言。本实验中维持默许值，临时不需设置。（8）Capture File（捕捉文件，紫色框4）能够指

9、定将捕捉的分组直接保留在一个文件中，而不是在内存中。选择一个适合的文件夹，将捕捉的信息存入。（9）Use Multiple Files（利用多个文件，枚红色框5）利用那个选项，分组能够被写入多个文件。这些操纵关于捕捉较大较长的跟踪记录是很重要的。本实验中维持默许值。（10）Stop Capture（停止捕捉）能够设定一些停止捕捉的选项，自动停止捕捉。本实验中维持默许值。（11）Name Resolution（名字解析，黑色框7）在任何可能的情形下，能够要求Ethereal把分中不同的数字翻译成为人们易读的名字。如：启用MAC地址转换，Ethereal会将一部份地址转化为厂商的名称。如启用网络地

10、址转换，Ethereal会试图将一个网络地址（的IP地址）转化为一个主机名，如。本实验中维持默许值。（12）Update list of packets in real time （实时更新分组列表，红色框6）每一个新的分组都会被添加到主窗口中的分组列表中去。本实验中请勾选。4、开始捕捉数据包。上述的各项选择好后，点击“start”开始捕捉数据包，以下图为捕捉时的情形。图2 捕捉数据包 那个窗口概述了被捕捉的各类类型包的量。 五、停止捕捉。大约等一段时刻后（30-60秒），点击“stop”按钮，停止捕捉后，会弹出下面的窗体，显示了适才捕捉到的包。图3 网络分析器Ethereal主界面上图中标示

11、出了主界面的各个部份，大伙儿要认真观看，了解捕捉的内容。六、完成捕捉。恭喜你！此刻，你拥有了适才在你的电脑通过网络进行互换的协议消息，你已经完成了一次成功的协议数据捕捉。六、试探题Q一、你没有手动进行网络访问操作，但仍是抓到了一些数据，请列出你抓到的各类包的协议名称，并上网查询下这些包别离是起什么作用的？各是由谁发出的？ Q二、从你抓到的第一个包到最后一个包持续的时刻是多久？ （默许 time 列显示的是开始捕捉后的以秒为单位的持续时刻，若是要在 time 列以time-of-day 格式显示，请选择 Ethereal 的 View 下拉菜单，然后选择时刻显示格式为Time-of-day） Q3、导出这些数据，你能够在 Ethereal 的 File 命令菜单当选择 save 菜单，作为实验报告的结果。