Ethereal网络实验指导书.docx

Ethereal网络实验指导书.docx

《Ethereal网络实验指导书.docx》由会员分享，可在线阅读，更多相关《Ethereal网络实验指导书.docx（37页珍藏版）》请在冰豆网上搜索。

Ethereal网络实验指导书

《Internet网基本技术与应用》

实验指导书

信息科学与技术分院

网络工程与信息安全教研室

2010.7

目录

实验1Ethereal软件下载、安装以及基本操作2

实验2熟悉Ethereal软件的常用菜单项6

实验3设置Ethereal的过滤规则9

实验4设置Ethereal的显示过滤规则12

实验5设置Ethereal的显示过滤规则15

实验6分析ICMP报文17

实验7分析EtherealⅡ报文20

实验8分析ARP报文格式22

实验9分析FTP协议24

实验10DNS协议分析26

实验11HTTP协议分析28

实验12ethereal使用提高30

实验1Ethereal软件下载、安装以及基本操作

实验目的：

独立完成Ethereal软件下载、安装，并能够进行基本操作。

实验内容：

掌握Ethereal软件的基本操作：

1.指定网卡，截获网络上的数据包。

2.保存截获到的数据包列表资料。

3.熟悉各个主要的菜单项。

操作步骤：

1.双击启动桌面上ethereal图标

，按ctrl+K进行“captureoption”的选择。

2.首先选择正确的NIC，进行报文的捕获。

3.对“captureoption”各选项的详细介绍：

Interface是选择捕获接口；Capturepacketsinpromiscuousmode表示是否打开混杂模式，打开即捕获所有的报文，一般我们只捕获到本机收发的数据报文，所以关掉；Limiteachpacket表示限制每个报文的大小；Capturefiles即捕获数据包的保存的文件名以及保存位置。

4.“captureoption”确认选择后，点击ok就开始进行抓包；同时就会弹出“Ethereal:

captureform（nic）driver”，其中（nic）代表本机的网卡型号。

同时该界面会以协议的不同统计捕获到报文的百分比，点击stop即可以停止抓包。

5.下图为Ethereal截取数据包的页面。

由上而下分別是截取数据包的列表以及封包的详细资料，最下面则是封包的內容，这时是以16进制及ASCII编码的方式来表示。

其中在列表这部份，最前面的编号代表收到封包的次序，其次是时间、来源地址、目的地址，最后则是协议的名称以及关于此封包的摘要信息。

6.若是想将截获到的数据包列表资料储存起来，可以执行[File]→[Save]或[SaveAs]将资料储存起来，存储对话框如下图所示，这些储存的数据包资料可以在以后执行[Open]来加以开启。

思考题：

如果觉得截获的的封包数量太多的話，你要怎么做？

实验2熟悉Ethereal软件的常用菜单项

实验目的：

独立完成Ethereal软件下载、安装，并能够进行基本操作。

实验内容：

熟悉各个常用的菜单项。

操作步骤：

7.

简介File的下拉菜单：

“Open”即打开已存的抓包文件，快捷键是crtl＋Q；“OpenRecent”即打开先前已察看的抓包文件，类似windows的最近访问过的文档；“Merge”字面是合并的意思，其实是追加的意思，即当前捕获的报文追加到先前已保存的抓包文件中；Export是输出的意思；Print打印；Quit退出；Save和saveas即保存、选择保存格式。

注：

其中saveas保存为是有个注意点，Filetype保存选择时注意：

缺省保存为libpcap格式，这个是linux下的tcpdump格式的文件。

只有选择文件保存格式为sniffer（windows－base）1.1和2.0都可，ethereal和sniffer才能双向互相打开对方抓包的文件。

否则只有ethereal能打开sniffer的抓包文件。

8.简介Edit的下拉菜单：

FindPacket就是查询报文，快捷键是ctrl+F；可以支持不同格式的查找；输入正确的语句，那么背景为绿色，语句错误或缺少背景就为红色；FindNext是向下查找；FindPreyious是向上查找；TimeReference做个报文的“时间戳”，方便大量报文的查询；MarkPacket（toggle）是标记报文；Markallpackets和Unamrkallpacket即标记所有报文、取消标记所有报文

注：

点击“preference”进行用户界面的选择，比如说报文察看界面布局的选择，以及协议支持的选择。

9.简介View的下拉菜单：

Maintoolbar主工具栏；FilterToolbar过滤工具栏；Statusbar状态条；Packetlist报文列表；Packetdetails报文详解；Packetbyte报文字节察看；Timedisplayformat时间显示格式（可以显示年月日时分秒）；NameResolution名字解析；Autoscrollinlivecapture捕获时是否跟进显示更新的报文还是显示先前的报文；Zoomin字体的放大；Zoomout字体的缩小；Normalsize标准大小；Resizecolumns格式对齐；Collapseall报文细节内容的缩进；Expandall报文细节内容的展开；ColoringRules颜色规则，即可以对特定的数据包定义特定的颜色；Showpacketinnewwindow在新窗口中查看报文内容；Reload刷新。

10.go的下拉菜单：

Back同样双方的上个报文；Forward同样双方的下一个报文；Gotopacket查找到指定号码的报文；Firstpacket第一个报文；Lastpacket最后一个报文。

11.capture的下拉菜单：

Start开始捕获报文；Interface接口；捕获过滤。

12.Analyze的下拉菜单：

Displayfilters显示过滤，可以直接在主界面的filter上选择；

13.Statistics的下拉菜单：

Summmary报文的详细信息；Protocolhierarchy协议层；即各协议层报文的统计；Conversations显示该会话报文的信息（双方通信的报文信息）；endpoints分别显示单方的报文信息；IOGraphs报文通信图

思考题：

如何改变封包列表的字体以及不同封包的背景色？

实验3设置Ethereal的过滤规则

实验目的：

初步掌握设置Ethereal的过滤规则 。

实验内容：

能够对Ethereal设置简单的过滤规则

操作步骤：

1.

点击菜单“Capture->Options…”弹出对话框“Ethereal:

CaptureOptions”，如下图所示。

2.可以直接在按钮“CaptureFilter”右边的文本框中填写过滤规则。

举例：

1）port53

只捕获DNS的报文

2）portnot53andnotarp

捕获所有报文除了DNS的报文和arp的报文

3）portnot53andnotarp

捕获所有报文除了DNS的报文和arp的报文

3.点击按钮“CaptureFilter”，弹出对话框“Ethereal:

CaptureFilter”，请大家尝试一下Filter文本框中所有ethereal现有的过滤规则。

4.自定义过滤规则：

上图中点击“New”按钮，在Properties中的Filtername中填入你自己拟定的过滤名称，它可以任意命名；在Properties中的Filterstring中输入你的过滤规则字符。

然后点击“Save”按钮即可。

5.Filterstring举例：

a.捕获MAC地址为00:

d0:

f8:

00:

00:

03网络设备通信的所有报文

 etherhost00:

d0:

f8:

00:

00:

03

b.捕获IP地址为192.168.10.1网络设备通信的所有报文

 host192.168.10.1

c.捕获网络web浏览的所有报文

 tcpport80

d.捕获192.168.10.1除了http外的所有通信数据报文

host192.168.10.1andnottcpport80

6.符号在Filterstring语法中的定义：

a.Equal:

eq,==（等于）

b.Notequal:

ne,!

=（不等于）

c.Greaterthan:

gt,>（大于）

d.LessThan:

lt,<   （小于）

e.GreaterthanorEqualto:

ge,>=（大等于）

f.LessthanorEqualto:

le,<=   （小等于）

7.Capturefilter的应用步骤：

点击菜单“Capture->Options…”弹出对话框“Ethereal:

CaptureOptions”（右图），点击按钮“CaptureFilter”，弹出对话框“Ethereal:

CaptureFilter”（左图），双击选择你自定义的过滤规则，回到对话框“Ethereal:

CaptureOptions”（右图）。

过滤规则已被自动填入文本框中。

点击“start”按钮即可使根据你设置的过滤规则进行抓包。

思考题：

请大家设置以下过滤规则：

1.不接受广播报文

2.在主机（自己的ip号）和间创建过滤器

实验4设置Ethereal的显示过滤规则

实验目的：

掌握设置Ethereal的显示过滤规则。

实验内容：

能够对Ethereal设置显示过滤规则

操作步骤：

1.在抓包完成后，显示过滤器用来找到你所感兴趣的包，依据

1）协议

2）是否存在某个域

3）域值

4）域值之间的比较

来查找你感兴趣的包。

2.举个例子，如果你只想查看使用tcp协议的包，在ethereal窗口的工具栏的下方的Filter中输入tcp，让后回车，ethereal就会只显示tcp协议的包，如下图所示：

3.值比较表达式，可以使用下面的操作符来构造显示过滤器。

a.Equal:

eq,==（等于）

b.Notequal:

ne,!

=（不等于）

c.Greaterthan:

gt,>（大于）

d.LessThan:

lt,<（小于）

e.GreaterthanorEqualto:

ge,>=（大等于）

f.LessthanorEqualto:

le,<=（小等于）

4.表达式组合，可以使用下面的逻辑操作符将表达式组合。

a.and&&逻辑与

b.or||逻辑或

c.not!

逻辑非

5.举例抓取ip地址是192.168.2.10的主机，它所接受或发送的所有http报文，那么合适的显示过滤器是：

ip.addr=192.168.2.10andhttp。

6.如果Filter的背景是绿色的，那么证明你设定的Filter合乎规定，如果背景是红色的，那么说明你设定的Filter是ethereal不允许的，是不对的。

如下图：

7.所有过滤器都可在Filter旁边的Expression…中选取。

思考题：

请大家设置以下显示过滤规则：

1.抓取ip地址是192.168.2.10的主机，它所接受或发送的所有udp报文

2.ip地址不是192.168.2.10的主机

3.研究Expression…对话框的使用

实验5设置Ethereal的显示过滤规则

实验目的：

掌握设置Ethereal的显示过滤规则。

实验内容：

能够对Ethereal设置显示过滤规则

操作步骤：

1.根据下表能对Ethereal显示过滤，进行较为高级的设置。

Table2.1:

IPDisplayFiltersInternetProtocol（IP）

InternetProtocol（IP）

Field

Name

Type

ip.addr

SourceorDestinationAddress

IPv4address

ip.checksum

Headerchecksum

Unsigned16-bitinteger

ip.checksum_bad

BadHeaderchecksum

Boolean

ip.dsfield

DifferentiatedServicesfield

Unsigned8-bitinteger

ip.dsfield.ce

ECN-CE

Unsigned8-bitinteger

ip.dsfield.dscp

DifferentiatedServicesCodepoint

Unsigned8-bitinteger

ip.dsfield.ect

ECN-CapableTransport（ECT）

Unsigned8-bitinteger

ip.dst

Destination

IPv4address

ip.flags

Flags

Unsigned8-bitinteger

ip.flags.df

Don’tfragment

Boolean

ip.flags.mf

Morefragments

Boolean

ip.frag_offset

Fragmentoffset

Unsigned16-bitinteger

ip.fragment

IPFragment

Framenumber

ip.fragment.error

Defragmentationerror

Framenumber

ip.fragment.multipletails

Multipletailfragmentsfound

Boolean

ip.fragment.overlap

Fragmentoverlap

Boolean

ip.fragment.overlap.conflict

Conflictingdatainfragmentoverlap

Boolean

ip.fragment.toolongfragment

Fragmenttoolong

Boolean

ip.fragments

IPFragments

Novalue

ip.hdr_len

HeaderLength

Unsigned8-bitinteger

ip.id

Identification

Unsigned16-bitinteger

ip.len

TotalLength

Unsigned16-bitinteger

ip.proto

Protocol

Unsigned8-bitinteger

ip.reassembled_in

ReassembledIPinframe

Framenumber

ip.src

Source

IPv4address

ip.tos

TypeofService

Unsigned8-bitinteger

ip.tos.cost

Cost

Boolean

ip.tos.delay

Delay

Boolean

ip.tos.precedence

Precedence

Unsigned8-bitinteger

ip.tos.reliability

Reliability

Boolean

ip.tos.throughput

Throughput

Boolean

ip.ttl

Timetolive

Unsigned8-bitinteger

ip.version

Version

Unsigned8-bitinteger

思考题：

参考学过的ip报文头部的知识，根据上表，进行各种显示过滤的尝试。

实验6分析ICMP报文

实验目的：

通过ping命令，抓取ICMP报文，分析报文结构，巩固课堂知识。

实验内容：

通过ping命令，抓取ICMP报文，分析报文结构。

操作步骤：

2.点击工具栏中的首个按钮，弹出对话框“Ethereal:

CaptureInterfaces”。

点击其中的“Capture”按钮进行捕获。

3.在操作系统的运行中输入如下命令：

ping某主机的ip地址。

例如：

192.168.47.16。

3、然后，点击“stop”按钮，停止抓包。

观察抓包结果。

4.ICMP报文格式：

关于ICMP的“类型”和“代码”字段，如下表

5.分析箭头所指的两个ICMP数据包的具体内容，可以看出其中一个是ping请求，其中一个是ping应答。

如下图所示：

思考题：

进一步详细分析抓到的ICMP数据包。

实验7分析EtherealⅡ报文

实验目的：

通过ping命令，分析EtherealⅡ报文，巩固课堂知识。

实验内容：

通过ping命令，分析EtherealⅡ报文结结构。

操作步骤：

6.点击工具栏中的首个按钮，弹出对话框“Ethereal:

CaptureInterfaces”。

点击其中的“Capture”按钮进行捕获。

7.在操作系统的运行中输入如下命令：

ping某主机的ip地址。

例如：

192.168.47.16。

8.然后，点击“stop”按钮，停止抓包。

观察抓包结果。

9.EtherealⅡ报文格式：

10.尽管EthernetII和802.3的封包格式不同，但Ethereal在解码时，都是从“类型”字段来判断一个包是IP数据报还是ARP请求/应答或RARP请求/应答。

类型显示这是IP数据报。

思考题：

进一步详细分析抓到的EtherealⅡ报文。

实验8分析ARP报文格式

实验目的：

通过ping命令，抓取arp报文，分析报文结构，巩固课堂知识。

实验内容：

通过ping命令，抓取arp报文，分析报文结构。

操作步骤：

11.点击工具栏中的首个按钮，弹出对话框“Ethereal:

CaptureInterfaces”。

点击其中的“Capture”按钮进行捕获。

12.在操作系统的运行中输入如下命令：

ping某主机的ip地址。

例如：

192.168.126.128。

13.然后，点击“stop”按钮，停止抓包。

观察抓包结果。

到判断一个ARP分组是ARP请求还是应答的字段是“op”，当其值为0x0001时是请求，为0x0002时是应答

14.ARP报文被封装在以太网帧头部中传输，如图所示，是ARP请求报文头部格式。

15.根据ARP报文格式知道，所抓报文所在的硬件类型是以太网；协议类型是ip；硬件地址长度为6个字节；协议地址长度为4个字节。

思考题：

进一步详细分析抓到的arp报文。

实验9分析FTP协议

实验目的：

通过ftp命令，使用软件ethereal来分析ftp的工作流程，加深对ftp的理解与认识。

实验内容：

通过ftp命令，使用软件ethereal来分析ftp的工作流程。

操作步骤：

16.点击工具栏中的首个按钮，弹出对话框“Ethereal:

CaptureInterfaces”。

点击其中的“Capture”按钮进行捕获。

17.在IE浏览器中输入ftp:

//202.206.41.8。

3、连接上ftp地址以后，点击“stop”按钮，停止抓包。

观察抓包结果。

18.注意观察与“ftp:

//202.206.41.8”建立连接之前有3个tcp报文，它的作用是建立连接——三次握手。

逐个观察这3个tcp报文的flags字段。

19.连接建立之后，观察抓包情况，从而了解ftp的工作过程，其中包括用户名、密码的交互以及改变目录等操作。

如下图所示：

思考题：

进一步详细分析所抓到的tcp数据包。

实验10DNS协议分析

实验目的：

通过浏览网站，使用软件ethereal来分析DNS的工作流程，加深对DNS的理解与认识。

实验内容：

通过浏览网站，使用软件ethereal来分析DNS的工作流程。

操作步骤：

20.点击工具栏中的首个按钮，弹出对话框“Ethereal:

CaptureInterfaces”。

点击其中的“Capture”按钮进行捕获。

21.在IE浏览器中输入

3、点击“stop”按钮，停止抓包。

观察抓包结果。

22.分析这两个使用DNS的数据包，得到一个是请求报文一个是应答报文。

主机192.168.48.117向域名服务器202.206.32.1请求DNS服务，请求解析的IP地址。

域名系统DNS解析出清华大学服务器的IP地址为166.111.4.100，如下图所示。

23.观察DNS服务所使用的运输层协议是udp，它的upd报文中源端口号与目的端口号如下图所示。

思考题：

进一步详细分析所抓到的udp数据包。

实验11HTTP协议分析

实验目的：

通过浏览网站，使用软件ethereal来分析HTTP的工作流程，加深对DNS的理解与认识。

实验内容：

通过浏览网站，使用软件ethereal来分析HTTP的工作流程。

操作步骤：

24.点击工具栏中的首个按钮，弹出对话框“Ethereal:

CaptureInterfaces”。

点击其中的“Capture”按钮进行捕获。

25.在IE浏览器中输入

26.点击“stop”按钮，停止抓包。

观察抓包结果。

27.用户点击鼠标后所发生的事件：

（1）浏览器分析超链指向页面的URL。

（2）浏览器向DNS请求解析的IP地址。

（3）域名系统DNS解析出清华大学服务器的IP地址。

（4）浏览器与服务器建立TCP连接（三次握手建立连接），如下图所示：

（5）浏览器发出取文件命令GET/qhdwzy/index.jsp。

如下图所示：

（6）服务器给出响应，把文件index.htm发给浏览器。

（7）TCP连接释放。

（8）浏览器显示“清华大学”首页。

28.观察HTTP协议所使用的运输层协议是tcp，它的upd报文中源端口号与目的端口号如下图所示。

思考题：

进一步详细分析所HTTP协议的运行过程。

实验12ethereal使用提高

实验目的：

使用软件ethereal的一些高级功能。

实验内容：

使用软件ethereal的一些高级功能。

技巧：

1.在使用“Ethereal:

captureform（nic）driver”抓包的同时，可以通过最小化or使用alt+tab的快捷键直接切换到报文浏览的主界面。

2.Sinffer也是一种出色的抓包软件，如何使Sinffer、ethereal可以相互打开对方的文件？

Filetype保存选择时注意：

缺省保存为libpcap