使用Ethereal工具分析网络协议Word文档格式.docx

1、菜单中主要有以下几个部分：File：这个子菜单下的操作与Windows菜单下File下的操作类似，包括了文件的打开，保存、打印以及系统的退出等等。不过这里的文件仅仅指的是抓包文件。Edit：这个子菜单下所包含的操作有：查找某一个特定的帧、跳到某个帧、在一个或更多的帧上打上标记、设置首选项、设置过滤、协议剖析允许/不允许等。在这个菜单下，Windows界面中的一些常用的操作，例如剪切、复制、粘贴等将不再使用。Capture：在这个菜单下进行开始抓包和停止抓包的操作。3.3 相关操作 抓包 Capture options选项对话框Interfaces：指定在哪个网卡上抓包。一般情况下都是单网卡，所

2、以使用缺省的就可以了。Capture packets in promiscuous mode：是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。Limit each packet：限制每个包的大小，缺省情况不限制。Filter：过滤器。只抓取满足过滤规则的包。如果需要将抓到的包写到文件中，在这里输入文件名称。ring buffer： 是否使用循环缓冲。缺省情况下不使用，即一直抓包。注意，循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。其他项：选择缺省的就可以了。 过滤设置抓包过滤器用来抓取感

3、兴趣的包，用在抓包过程中。 抓包过滤器使用的是libcap 过滤器语言，在tcpdump 的手册中有详细的解释，基本结构是： not primitive and|or not primitive .，如下：Ethereal提供了两种过滤设置方式：1）、一种是在抓包以前进行设置，通过此设置，整个抓包过程将只抓取用户所需要的特定的数据包。2）、另一种方式是在抓包以后进行设置。.1 在抓包前进行过滤设置在抓包前进行过滤设置，是在抓包选项设置对话框中进行的（见上图）。只需在Filter栏中填入特定的设置语句。Ethereal使用libpcap filter语言来进行抓包的过滤设置。过滤表达式由一系列简

4、单的表达式和连词（and、or、not）组成：not primitive and|or not primitive .过滤表达式的用法：抓取一个特定的主机的telnet数据包的过滤设置tcp port 23 and host .5通过这个过滤表达式，可以抓取从主机.5发出或发向该主机的所有的telnet数据包。抓取除了来自/发往某主机的telnet数据包的过滤设置tcp port 23 and not host .5在过滤设置字符串中，primitive表达式通常由以下几种形式组成：1）、src|dst host 此表达式通过IP/主机名来过滤一个特定的主机，通过前缀src或dst选择源/目的

5、主机。如果不注明src或者dst，则将抓到流向/流出该主机的所有数据包。2）、ether src|dst host 此表达式用于过滤以太网上流入/流出特定的主机的数据包，不同的是ehost是以太网，为主机的物理。例如：抓取发往物理为00：04：76：42：24：80的数据包ether dst host 00：803）、src|dst net mask |len 此表达式根据网络来过滤来自/发往特定的网络的数据包。4）、tcp|udp src|dst port 此表达式可以设置过滤来自/发往特定的tcp/udp协议端口的数据包。抓取SNMP协议数据包udp port 1615）、less|gre

6、ater 此表达式用于过滤数据包长度小于等于/大于等于特定长度的数据包。抓取数据包长度小于400byte的数据包less 4006）、ip|ether proto 此表达式用于过滤IP层/数据链路层（Ethernet层）上特定的协议数据包。抓取IP层上UDP数据报ip proto UDP7）、ether|ip broadcast|multicast此表达式用于过滤IP/Ethernet的广播包/多播包8）、 relop 此表达式用于创建复杂的过滤表达式，用于选择数据包中特定byte的数据或者某一段数据。.2 在抓包后进行过滤设置只需要在filter文本框中填入相应的表达式即可。如下图：注：如果

7、Filter的背景是绿色的，证明所设定的Filter是合乎规则的；如果Filter的背景是红色的，证明所设定的Filter是Ethereal不允许的，是错误的。 分析数据包内容中间是协议树，通过协议树可以得到被截获的数据包的更多信息，如主机的MAC（Ethernet II）、IP（Internet Protocol）、TCP端口号（Transmission Control Protocol），以及协议的具体内容（Hypertext Trnasfer Protocol）。通过扩展协议树中的相应节点，可以得到该数据包中携带的更详尽的信息。最下边是以十六制显示的数据包的具体内容，这是被截获的数据包在

8、物理媒体上传输时的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中，这样就可以很方便地对各种协议的数据包进行分析。（1）实验1、以太网帧结构1.1典型帧结构Ethernet_II，报文结构如下：字段描述长度前导码同步码用来使局域网中的所有节点同步 7 bytes帧标志帧的起始标志1 byte目的MAC接收端的MAC6bytes源MAC发送端的MAC上层协议类型数据包的类型2bytes数据字段被封装的数据包46-1500bytes校验错误检验4bytes通过Ethereal抓包，并观察以太帧结构，如下图：1.2 Ethernet Example捕捉并显示所有从本地机器发出和接

9、收的数据包。1）获取本地MAC： 在命令行输入ipconfig/all2）通过Ethereal抓包。方法一：将Ethereal的capture filter 的filter string设置为：eth.addr=08.2e.5f方法二：将主界面上Filter设置为：2、IP报头结构2.1 IP协议概述IP提供无连接的数据转发，是Internet数据通信的基础IP提供的是最底层的、最基础的一部分这种服务是不提供服务保证的，分组可能丢失、延迟，也不通知发送方或接受方。一个分组序列有可能沿着不同的路径发送。服务是全力转发，不因为资源耗尽或网络故障而停止，因而会引起丢失等不可靠的情形出现。2.2 IP

10、 数据报结构IP数据报分为两个部分：数据报报头数据报数据域详细的数据报报头：版本首部长度服务类型总长度标识标志片偏移量生存时间协议首部校验和源IP目的IPIP选项填充通过Ethereal查看IP数据报报头，如下图：通过Ethereal查看IP为3的数据包3、ARP协议3.1 ARP协议概述ARP协议（Address Resolution Protocol），即解析协议。-0F-FD-1D-2B。整个转换过程是一台主机先向目标主机发送包含IP信息的广播数据包，即ARP请求，然后目标主机向该主机发送一个含有IP和MAC数据包，通过MAC两个主机就可以实现数据传输了。3.2 ARP命令在安装了以太网

11、网络适配器的计算机中都有专门的ARP缓存，包含一个或多个表，用于保存IP以及经过解析的MAC。在Windows中要查看或者修改ARP缓存中的信息，可以使用arp命令来完成，比如在Windows XP的命令提示符窗口中键入“arp -a”或“arp -g”可以查看ARP缓存中的内容；键入“arp -d IPaddress”表示删除指定的IP项（IPaddress表示IP）。arp命令的其它用法可以键入“arp /?”查看到。3.2 ARP协议应用举例为了解释ARP协议的作用，就必须理解数据在网络上的传输过程。这里举一个简单的PING例子。1）、应用程序构造数据包，该示例是产生ICMP包，被提交给

12、内核（网络驱动程序）；2）、内核检查是否能够转化该IP为MAC，也就是在本地的ARP缓存中查看IP-MAC对应表；3）、如果存在该IP-MAC对应关系，那么跳到步骤7；如果不存在该IP-MAC对应关系，那么接续下面的步骤；4）、内核进行ARP广播，目的地的MAC是FF-FF-FF-FF-FF-FF，ARP命令类型为REQUEST（1），其中包含有自己的MAC；7）、内核将把IP转化为MAC，然后封装在以太网头部结构中，再把数据发送出去；使用arp-a命令就可以查看本地的ARP缓存内容，所以，执行一个本地的PING命令后，ARP缓存就会存在一个目的IP的记录了。当然，如果你的数据包是发送到不同网

13、段的目的地，那么就一定存在一条网关的IP-MAC对应的记录。4、ICMP 协议4.1 ICMP 协议概述IP协议是一种不可靠的协议，无法进行差错控制。但IP协议可以借助其他协议来实现这一功能，如ICMP。ICMP（Internet Control Messages Protocol,网际控制报文协议）允许主机或路由器报告差错情况和提供有关异常情况的报告。一般来说，ICMP报文提供针对网络层的错误诊断、拥塞控制、路径控制和查询服务四项大的功能。如，当一个分组无法到达目的站点或TTL超时后，路由器就会丢弃此分组，并向源站点返回一个目的站点不可到达的ICMP报文。4.2 ICMP 报文类型 ICMP

14、报文类型ICMP报文大体可以分为两种类型，即ICMP差错报文和ICMP询问报文。 ICMP回射请求和应答报文头部格式IP 头部（20 bytes）类型代码校验和标识符序列号选项常见ICMP报文类型8回射请求回射应答11超时4.3 ICMP Ping命令Ping命令利用ICMP回射请求报文和回射应答报文来测试目标系统是否可达。ICMP回射请求和ICMP回射应答报文是配合工作的。当源主机向目标主机发送了ICMP回射请求数据包后，它期待着目标主机的回答。目标主机在收到一个ICMP回射请求数据包后，它会交换源、目的主机的，然后将收到的ICMP回射请求数据包中的数据部分原封不动地封装在自己的ICMP回射

15、应答数据包中，然后发回给发送ICMP回射请求的一方。如果校验正确，发送者便认为目标主机的回射服务正常，也即物理连接畅通。开启Ethereal的抓包功能，如下图：在windows命令行输入：ping icmp（a）类型字段值为：8； （b）代码字段值为：0； （c）标识符：任选16位二进制数（如0x1234）； （d）序列号：任选16位二进制数（如0x5677）； （e）数据字段：任选； （f）校验和：首先把该字段置为0，接下来计算ICMP首部的校验和。其算法与IP首部 校验和的计算方法相同。对数据进行分析。5. TCP三次握手开启Ethereal的抓包功能打开IE浏览器，随意输入一个网站，例如

16、，待页面完全打开之后，关闭IE浏览器，停止截取报文，进行分析。五、实验报告1.实验名称2.实验目的3.实验内容（截取任意MAC、IP、ICMP、UDP、TCP的数据包，根据首部格式分析该包）4.小结（出错及解决方法，调试的结果和体会）用命令Ping t c:回声请求报文。ICMP Request数据包（ICMP请求包）由于是电脑A发起的ping请求，所以第一个包是icmp request，由电脑A发出，可以看到在网络层的Src IP（源IP）是192.168.1.108，Dst IP（目的IP）是61.135.169.105如图；第二个包，是电脑B的ICMP Reply，可以看到网络层的源和目

17、的IP对调了ICMP Request和ICMP Reply数据包的详细内容：Type：类型字段，8代表icmp的请求，0代表icmp的回应Code：代码字段，0代表icmp的请求Checksum：对ICMP头部的校验值，如果传递过程中ICMP被篡改或损坏，与该值不匹配，接收方就将这个ICMP数据包作废Identifier：进程ID标识，从哪个进程产生的ICMP数据包，这个例子中，因为这四个icmp数据包都是从一个cmd进程下产生的，所以8个icmp数据包的这个字段都是一样Sequence Number：序列号，同一个进程中，会产生很多个ICMP数据包，用来描述当前这个数据包是是哪一个，每一对ICMP Request和ICMP Reply这个字段应该要一样Data：ICMP中的数据，一般都是无意义的填充字段，这个部分可能会被黑客加入恶意代码，实施ICMP攻击小结1，取ICMP数据包时先在filter栏中填写icmp（小写），然后打开CMD进程随意ping一个网站，如果来不及获取ICMP数据包，可以采用ping t c: 这样可以持续产生ping数据包，易于获取。