实验二网络抓包及协议分析软件使用说明模板.doc

试验二 网络抓包及协议分析软件使用说明 n 目及意义: 利用网络协议分析工具Ethereal截获网络中传送数据包, 经过观察分析, 从而了解和认识（了解）协议运行机制。 n 下载与安装: 在Windows下安装Ethereal,可从 下载安装软件, 然后实施安装。Ethereal 在0.10.12版本后都内置了Winpcap,如没内置Winpcap, 可先安装Winpcap。相关Winpcap具体信息可参考。 一．试验目: 1．了解抓包与协议分析软件简单使用方法。 2．了解并验证网络上数据包基础结构。 二．试验环境 1．硬件: PC、 配置网卡, 局域网环境。 2．软件: Windows 或者XP操作系统、 winpcap、 analyzer。 三．试验内容 利用Ethereal软件抓取网络上数据包, 并作对应分析。 四．试验范例 （1） 安装 Etheral安装非常简单, 只要根据提醒安装即可。 （2） 运行 双击桌面Ethereal, 显示“The Ethereal Network Analyzer”主界面, 菜单功效是: （3） 设置规则 这里有两种方法能够设置规则: l 使用interface 1） 选择Capture—>interfaces, 将显示该主机全部网络接口和全部流经数据包, 单击“Capture”按钮, 及实施捕捉。 2） 假如要修改捕捉过程中参数, 能够单击该接口对应“Prepare”按钮。在捕捉选项对话框中, 能够深入设置捕捉条件: l Interface——确定所选择网络接口 l Limit each packet to N bytes——指定所捕捉包字节数。 选择该项是为了节省空间, 只捕捉包头, 在包头中已经拥有要分析信息。 l Capture packet in promiscuous mode——设置成混杂模式。 在该模式下, 能够统计全部分组, 包含目地址非本机分组。 l Capture Filter——指定过滤规则 相关过滤规则请查阅以下使用Filter方法中内容。 l Capture files——指定捕捉结果存放位置 l Update list of packets in real time——实时更新分组 每个新分组会随时在显示结果中出现, 但在重网络流量时会出现丢包现象。 l Stop Capture limits——设置停止跟踪时间 如捕捉到一定数量分组（…after N packets）、 跟踪统计达成一定大小(…after N megabytes)或在一个特定时间后(…after N minutes)。 l Name resolution——设置名字解析 如启用MAC地址转换（Enable MAC name resolution）, 能够将地址转换成厂商、 网络地址转换(Enable network name resolution), 能够将地址转换成主机名、 传输名字转换(Enable transport name resolution), 能够将端口号翻译成协议, 但在重网络流量时会出现丢包现象。 3） 设定完成后, 单击“OK”按钮将根据新设定条件实施捕捉。 l 使用filter 1） 选择Capture—>Capture Filter, 显示过滤器对话框, 该过滤器能够过滤掉不感爱好数据包, 使捕捉结果降低。 2） 单击“New”按钮, 在Filter Name和Filter Sting中填入过滤器名称和过滤规则, 最终单击“Save”按钮保留过滤规则。 （4） 捕捉数据包 选择Capture—>Start, 将根据事先设定过滤规则进行捕捉。捕捉结束时, 单击“Stop”按钮。没有设定过滤条件时, 表示捕捉流经本机全部数据包。 （5） 产生一个满足捕捉条件动作 如要捕捉本机HTTP协议数据包, 能够在本机打开浏览器后访问一个网站。 （6） 分析结果 捕捉结束后, 捕捉结果将按时间次序显示在跟踪列表框（第一个窗口）中, 包含序号、 发送时间、 源地址、 目地址、 协议等信息, 其中源地址和目地址是物理地址。单击表头中标题, 能够重新根据该标题排序。 1） 在跟踪列表框中, 单击指定数据分组时, 在协议框（第二个窗口）中将显示分组各层协议: 物理层帧、 以太网帧及其首部、 IP数据包及其首部、 UDP数据包及其首部信息等。 2） 在协议框中, 单击指定协议或者协议组成部分时, 在原始分组框（第三个窗口）中将突显该协议或组成部分中所含数据每个字节, 窗口左边显示是十六进制数据, 右边显示是ASCII码。 3） 选择Analyze——>Follow TCP Stream, 能够查看控制通道传输全部内容。 （7） 统计分组 1） 选择Statistic——>Summary, 能够查看跟踪统计概要, 显示结果包含通信总字节数、 通信频率、 分组平均大小等。 2） 选择Statistic——>Protocol Hierarchy, 能够根据协议层次统计, 显示结果包含指定协议分组数据包数（Packets）、 字节数（Bytes）、 指定协议是最终一个协议（嵌套最深）数据包数（End Packets）和字节数（End Bytes）。 3） 选择Statistic——>Converstion, 指定协议类型后, 能够观察指定协议连接过程。 （8） 改变显示结果 1） 选择View——>Coloring Rules Dialog, 显示颜色过滤器, 能够改变跟踪列表框中指定分组颜色。 2） 在Coloring Rules对话框中, 单击“New”按钮, 完成显示规则名称、 颜色过滤器表示式以及前景色（Foreground Color）和背景色（Background Color）设置后, 单击“OK”按钮, 则跟踪列表中分组将以新颜色过滤规则显示。 假如对描述颜色过滤器表示式语法不熟悉, 能够单击“+Expression”按钮, 利用帮助菜单中协议组成元素创建一个表示式。 3） 在Ethereal主窗口Filter文本框中, 输入显示过滤器规则后, 单击“Apply”按钮, 将按新规则显示结果。 显示过滤器与颜色过滤器对规则描述语法是相同, 假如对描述显示过滤器表示式语法不熟悉, 能够单击“+Expression”按钮, 利用帮助菜单中协议组成元素创建一个表示式。也能够选择Analyze——>Display Filter完成显示过滤器规则编辑。 （9） 搜索分组 1） 选择Edit——>Find Packet, 经过设置显示过滤器规则能够快速定位到指定分组。 2） 选择Edit——>Find Next, 能够根据已设定显示过滤器规则定位到后一个满足条件分组。 3） 选择Edit——>Find Previous, 能够根据已设定显示过滤器规则定位到前一个满足条件分组。 n Filter string 语法输入格式 u [src|dst] host <host> u ether [src|dst] host <ehost> u gateway host <host> u [src|dst] net <net> [{mask <mask>}|{len <len>} u [tcp|udp] [src|dst] port <port> u less|greater <length> u ip|ether proto <protocol> u ether|ip broadcast|multicast u <expr> relop <expr 元素介绍: 表格 1 Primitive 描述 [src|dst] host <host> 许可设定主机IP或名称过滤器。能够使用前缀操作符 src 或 dst 指定此主机为源地址还是目地址。假如没有指定前缀操作符, 则抓取与此主机相关全部数据包。 Ether [src|dst] host <ehost> 许可设置以太网主机地址（MAC地址）过滤器。能够在ether 和host之间随意包含src|dst前缀操作符, 指定此主机为源地址还是目地址。假如没有指定前缀操作符, 则抓取与此主机相关全部数据包。 Gateway host <host> 设定以此主机为网关数据包过滤器。即那些以太网源或目地址为此主机以太网地址(MAC地址), 而IP地址却不是此主机IP地址数据包都被取。 [src|dst] net <net> [{mask <mask>}|{len <length>}] 设置期望抓取数据网络数。可是使用前缀操作符 src或dst指定你期望抓取是源网络或是目标网络。假如不加前缀操作符, 则抓取于此网络相关全部数据。假如与您主机掩码或CIDR不一样, 能够经过mask 掩码和len CIDR设置。 [tcp|udp] [src|dst] port <port> 设置tcp或udp过滤端口号。能够使用前缀tcp或udp 和 src或dst设置你要过滤是tcp还是udp, 是源端口还是目端口。Tcp|udp必需在src|dst前面。 Less|greater <length> 设置过滤数据包长度。被抓取得数据包长度小于等于或大于等于设定长度。 Ip|ether proto <protocol> 设定ip或以太网层成滤协议。 Ether|ip broadcast|multicast 设定过滤以太网或IP层广播或多播 <expr> relop <expr> 设置一个复合过滤表示式, 去选择数据包中字节或字节范围 试验语法示例: 1)捕捉 MAC地址为 00:d0:f8:00:00:03 网络设备通信全部报文   ether host 00:d0:f8:00:00:03 2) 捕捉 IP地址为 192.168.10.1 网络设备通信全部报文   host 192.168.10.1 3) 捕捉网络web浏览全部报文   tcp port 80 4) 捕捉192.168.10.1除了http外全部通信数据报文   host 192.168.10.1 and not tcp port 80