1、实验二用Ethereal软件工具捕获报文并进行分析Ethereal软件下载、安装以及基本操作操作步骤:1. 双击启动桌面上ethereal图标 ,按ctrl+K进行“capture option”的选择。2. 首先选择正确的NIC,进行报文的捕获。3. 对 “capture option”各选项的详细介绍:Interface是选择捕获接口;Capture packets in promiscuous mode表示是否打开混杂模式,打开即捕获所有的报文,一般我们只捕获到本机收发的数据报文,所以关掉;Limit each packet 表示限制每个报文的大小;Capture files 即捕获数据
2、包的保存的文件名以及保存位置。4. “capture option”确认选择后,点击ok就开始进行抓包;同时就会弹出“Ethereal:capture form (nic) driver”,其中(nic)代表本机的网卡型号。同时该界面会以协议的不同统计捕获到报文的百分比,点击stop即可以停止抓包。5. 下图为Ethereal截取数据包的页面。由上而下分別是截取数据包的列表以及封包的详细资料,最下面则是封包的內容,这时是以16进制及ASCII编码的方式来表示。其中在列表这部份,最前面的编号代表收到封包的次序,其次是时间、来源地址、目的地址,最后则是协议的名称以及关于此封包的摘要信息。6. 若是
3、想将截获到的数据包列表资料储存起来,可以执行FileSave或Save As将资料储存起来,存储对话框如下图所示,这些储存的数据包资料可以在以后执行Open来加以开启。设置Ethereal的显示过滤规则操作步骤:1. 在抓包完成后,显示过滤器用来找到你所感兴趣的包,依据1) 协议2) 是否存在某个域3) 域值4) 域值之间的比较来查找你感兴趣的包。2. 举个例子,如果你只想查看使用tcp协议的包,在ethereal窗口的工具栏的下方的Filter中输入tcp,让后回车,ethereal就会只显示tcp协议的包,如下图所示:3. 值比较表达式,可以使用下面的操作符来构造显示过滤器。a. Equa
4、l: eq, = (等于)b. Not equal: ne, != (不等于)c. Greater than: gt, (大于)d. Less Than: lt, = (大等于)f. Less than or Equal to: le, = (小等于)4. 表达式组合,可以使用下面的逻辑操作符将表达式组合。a. and & 逻辑与b. or | 逻辑或c. not! 逻辑非5. 举例抓取ip地址是192.168.2.10的主机,它所接受或发送的所有http报文,那么合适的显示过滤器是:ip.addr=192.168.2.10 and http。6. 如果Filter的背景是绿色的,那么证明你设
5、定的Filter合乎规定,如果背景是红色的,那么说明你设定的Filter是ethereal不允许的,是不对的。如下图:7. 所有过滤器都可在Filter旁边的Expression中选取。思考题:请大家设置以下显示过滤规则:1. 抓取ip地址是192.168.2.10的主机,它所接受或发送的所有udp报文2. ip地址不是192.168.2.10的主机3. 研究Expression对话框的使用实验 分析ICMP报文实验目的:通过ping命令,抓取ICMP报文,分析报文结构,巩固课堂知识。实验内容:通过ping命令,抓取ICMP报文,分析报文结构。操作步骤:1. 点击工具栏中的首个按钮,弹出对话框
6、“Ethereal: Capture Interfaces”。点击其中的“Capture”按钮进行捕获。2. 在操作系统的运行中输入如下命令:ping 某主机的ip地址。例如:192.168.47.16。3、然后,点击“stop”按钮,停止抓包。观察抓包结果。3. ICMP 报文格式:关于ICMP 的“类型”和“代码”字段,如下表4. 分析箭头所指的两个ICMP数据包的具体内容,可以看出其中一个是ping请求,其中一个是ping应答。如下图所示:思考题:进一步详细分析抓到的ICMP数据包。实验 分析Ethereal报文实验目的:通过ping命令,分析Ethereal报文,巩固课堂知识。实验内容
7、:通过ping命令,分析Ethereal报文结结构。操作步骤:5. 点击工具栏中的首个按钮,弹出对话框“Ethereal: Capture Interfaces”。点击其中的“Capture”按钮进行捕获。6. 在操作系统的运行中输入如下命令:ping 某主机的ip地址。例如:192.168.47.16。7. 然后,点击“stop”按钮,停止抓包。观察抓包结果。8. Ethereal报文格式:9. 尽管Ethernet II 和802.3 的封包格式不同,但Ethereal 在解码时,都是从“类型”字段来判断一个包是IP 数据报还是ARP 请求/应答或RARP 请求/应答。类型显示这是IP数据
8、报。思考题:进一步详细分析抓到的Ethereal报文。实验 分析ARP报文格式实验目的:通过ping命令,抓取arp报文,分析报文结构,巩固课堂知识。实验内容:通过ping命令,抓取arp报文,分析报文结构。操作步骤:10. 点击工具栏中的首个按钮,弹出对话框“Ethereal: Capture Interfaces”。点击其中的“Capture”按钮进行捕获。11. 在操作系统的运行中输入如下命令:ping 某主机的ip地址。例如:192.168.126.128。12. 然后,点击“stop”按钮,停止抓包。观察抓包结果。到判断一个ARP 分组是ARP 请求还是应答的字段是“op”,当其值为
9、0x0001 时是请求,为0x0002 时是应答13. ARP报文被封装在以太网帧头部中传输,如图所示,是ARP请求报文头部格式。14. 根据ARP报文格式知道,所抓报文所在的硬件类型是以太网;协议类型是ip;硬件地址长度为6个字节;协议地址长度为4个字节。思考题:进一步详细分析抓到的arp报文。实验 HTTP协议分析实验目的:通过浏览网站,使用软件ethereal来分析HTTP的工作流程,加深对DNS的理解与认识。实验内容:通过浏览网站,使用软件ethereal来分析HTTP的工作流程。操作步骤:15. 点击工具栏中的首个按钮,弹出对话框“Ethereal: Capture Interfac
10、es”。点击其中的“Capture”按钮进行捕获。16. 在IE浏览器中输入17. 点击“stop”按钮,停止抓包。观察抓包结果。18. 用户点击鼠标后所发生的事件:(1) 浏览器分析超链指向页面的 URL。(2) 浏览器向 DNS 请求解析 的 IP 地址。(3) 域名系统 DNS 解析出清华大学服务器的 IP 地址。(4) 浏览器与服务器建立 TCP 连接(三次握手建立连接),如下图所示:(5) 浏览器发出取文件命令GET /qhdwzy/index.jsp。如下图所示:(6) 服务器 给出响应,把文件 index.htm 发给浏览器。(7) TCP 连接释放。(8) 浏览器显示“清华大学”首页。19. 观察HTTP协议所使用的运输层协议是tcp,它的upd报文中源端口号与目的端口号如下图所示。思考题:进一步详细分析所HTTP协议的运行过程。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1