实验二用Ethereal软件工具捕获报文并进行分析.docx

1、实验二用Ethereal软件工具捕获报文并进行分析Ethereal软件下载、安装以及基本操作操作步骤：1. 双击启动桌面上ethereal图标 ，按ctrl+K进行“capture option”的选择。2. 首先选择正确的NIC，进行报文的捕获。3. 对 “capture option”各选项的详细介绍：Interface是选择捕获接口；Capture packets in promiscuous mode表示是否打开混杂模式，打开即捕获所有的报文，一般我们只捕获到本机收发的数据报文，所以关掉；Limit each packet 表示限制每个报文的大小；Capture files 即捕获数据

2、包的保存的文件名以及保存位置。4. “capture option”确认选择后，点击ok就开始进行抓包；同时就会弹出“Ethereal:capture form (nic) driver”，其中(nic)代表本机的网卡型号。同时该界面会以协议的不同统计捕获到报文的百分比，点击stop即可以停止抓包。5. 下图为Ethereal截取数据包的页面。由上而下分別是截取数据包的列表以及封包的详细资料，最下面则是封包的內容，这时是以16进制及ASCII编码的方式来表示。其中在列表这部份，最前面的编号代表收到封包的次序，其次是时间、来源地址、目的地址，最后则是协议的名称以及关于此封包的摘要信息。6. 若是

3、想将截获到的数据包列表资料储存起来，可以执行FileSave或Save As将资料储存起来，存储对话框如下图所示，这些储存的数据包资料可以在以后执行Open来加以开启。设置Ethereal的显示过滤规则操作步骤：1. 在抓包完成后，显示过滤器用来找到你所感兴趣的包，依据1) 协议2) 是否存在某个域3) 域值4) 域值之间的比较来查找你感兴趣的包。2. 举个例子，如果你只想查看使用tcp协议的包，在ethereal窗口的工具栏的下方的Filter中输入tcp，让后回车，ethereal就会只显示tcp协议的包，如下图所示：3. 值比较表达式，可以使用下面的操作符来构造显示过滤器。a. Equa

4、l: eq, = (等于）b. Not equal: ne, != （不等于）c. Greater than: gt, （大于）d. Less Than: lt, = （大等于）f. Less than or Equal to: le, = （小等于）4. 表达式组合，可以使用下面的逻辑操作符将表达式组合。a. and & 逻辑与b. or | 逻辑或c. not! 逻辑非5. 举例抓取ip地址是192.168.2.10的主机，它所接受或发送的所有http报文，那么合适的显示过滤器是：ip.addr=192.168.2.10 and http。6. 如果Filter的背景是绿色的，那么证明你设

5、定的Filter合乎规定，如果背景是红色的，那么说明你设定的Filter是ethereal不允许的，是不对的。如下图：7. 所有过滤器都可在Filter旁边的Expression中选取。思考题：请大家设置以下显示过滤规则：1. 抓取ip地址是192.168.2.10的主机，它所接受或发送的所有udp报文2. ip地址不是192.168.2.10的主机3. 研究Expression对话框的使用实验 分析ICMP报文实验目的：通过ping命令，抓取ICMP报文，分析报文结构，巩固课堂知识。实验内容：通过ping命令，抓取ICMP报文，分析报文结构。操作步骤：1. 点击工具栏中的首个按钮，弹出对话框

6、“Ethereal: Capture Interfaces”。点击其中的“Capture”按钮进行捕获。2. 在操作系统的运行中输入如下命令：ping 某主机的ip地址。例如：192.168.47.16。3、然后，点击“stop”按钮，停止抓包。观察抓包结果。3. ICMP 报文格式：关于ICMP 的“类型”和“代码”字段，如下表4. 分析箭头所指的两个ICMP数据包的具体内容，可以看出其中一个是ping请求，其中一个是ping应答。如下图所示：思考题：进一步详细分析抓到的ICMP数据包。实验 分析Ethereal报文实验目的：通过ping命令，分析Ethereal报文，巩固课堂知识。实验内容

7、：通过ping命令，分析Ethereal报文结结构。操作步骤：5. 点击工具栏中的首个按钮，弹出对话框“Ethereal: Capture Interfaces”。点击其中的“Capture”按钮进行捕获。6. 在操作系统的运行中输入如下命令：ping 某主机的ip地址。例如：192.168.47.16。7. 然后，点击“stop”按钮，停止抓包。观察抓包结果。8. Ethereal报文格式：9. 尽管Ethernet II 和802.3 的封包格式不同，但Ethereal 在解码时，都是从“类型”字段来判断一个包是IP 数据报还是ARP 请求/应答或RARP 请求/应答。类型显示这是IP数据

8、报。思考题：进一步详细分析抓到的Ethereal报文。实验 分析ARP报文格式实验目的：通过ping命令，抓取arp报文，分析报文结构，巩固课堂知识。实验内容：通过ping命令，抓取arp报文，分析报文结构。操作步骤：10. 点击工具栏中的首个按钮，弹出对话框“Ethereal: Capture Interfaces”。点击其中的“Capture”按钮进行捕获。11. 在操作系统的运行中输入如下命令：ping 某主机的ip地址。例如：192.168.126.128。12. 然后，点击“stop”按钮，停止抓包。观察抓包结果。到判断一个ARP 分组是ARP 请求还是应答的字段是“op”，当其值为

9、0x0001 时是请求，为0x0002 时是应答13. ARP报文被封装在以太网帧头部中传输，如图所示，是ARP请求报文头部格式。14. 根据ARP报文格式知道，所抓报文所在的硬件类型是以太网；协议类型是ip；硬件地址长度为6个字节；协议地址长度为4个字节。思考题：进一步详细分析抓到的arp报文。实验 HTTP协议分析实验目的：通过浏览网站，使用软件ethereal来分析HTTP的工作流程，加深对DNS的理解与认识。实验内容：通过浏览网站，使用软件ethereal来分析HTTP的工作流程。操作步骤：15. 点击工具栏中的首个按钮，弹出对话框“Ethereal: Capture Interfac

10、es”。点击其中的“Capture”按钮进行捕获。16. 在IE浏览器中输入17. 点击“stop”按钮，停止抓包。观察抓包结果。18. 用户点击鼠标后所发生的事件：(1) 浏览器分析超链指向页面的 URL。(2) 浏览器向 DNS 请求解析 的 IP 地址。(3) 域名系统 DNS 解析出清华大学服务器的 IP 地址。(4) 浏览器与服务器建立 TCP 连接（三次握手建立连接），如下图所示：(5) 浏览器发出取文件命令GET /qhdwzy/index.jsp。如下图所示：(6) 服务器 给出响应，把文件 index.htm 发给浏览器。(7) TCP 连接释放。(8) 浏览器显示“清华大学”首页。19. 观察HTTP协议所使用的运输层协议是tcp，它的upd报文中源端口号与目的端口号如下图所示。思考题：进一步详细分析所HTTP协议的运行过程。