ethereal教程

第 1 章介绍1.1. 什么是WiresharkWireshark 是网络包分析工具。

网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。

你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具，就好像使电工用来测量进入电信的电量的电度表一样。

（当然比那个更高级）过去的此类工具要么是过于昂贵，要么是属于某人私有，或者是二者兼顾。

Wireshark出现以后，这种现状得以改变。

Wireshark可能算得上是今天能使用的最好的开元网络分析软件。

1.1.1. 主要应用下面是Wireshark一些应用的举例：∙网络管理员用来解决网络问题∙网络安全工程师用来检测安全隐患∙开发人员用来测试协议执行情况∙用来学习网络协议除了上面提到的，Wireshark还可以用在其它许多场合。

1.1.2. 特性∙支持UNIX和Windows平台∙在接口实时捕捉包∙能详细显示包的详细协议信息∙可以打开/保存捕捉的包∙可以导入导出其他捕捉程序支持的包数据格式∙可以通过多种方式过滤包∙多种方式查找包∙通过过滤以多种色彩显示包∙创建多种统计分析∙…还有许多不管怎么说，要想真正了解它的强大，您还得使用它才行图 1.1. Wireshark捕捉包并允许您检视其内1.1.3. 捕捉多种网络接口Wireshark 可以捕捉多种网络接口类型的包，哪怕是无线局域网接口。

想了解支持的所有网络接口类型，可以在我们的网站上找到/CaptureSetup/NetworkMedia.1.1.4. 支持多种其它程序捕捉的文件Wireshark可以打开多种网络分析软件捕捉的包，详见???1.1.5. 支持多格式输出Wieshark可以将捕捉文件输出为多种其他捕捉软件支持的格式，详见???1.1.6. 对多种协议解码提供支持可以支持许多协议的解码(在Wireshark中可能被称为解剖)???1.1.7. 开源软件Wireshark是开源软件项目，用GPL协议发行。

实验协议分析软件Ethereal 的使用一、实验目的和要求：熟悉掌握Ethereal软件的使用,并应用该软件分析Ethernet帧以及高级协议，从而能够加深对TCP/IP 协议栈上的参与通信的网络数据包结构以及通信方式有进一步的了解。

二、实验内容和原理1. 安装windows下的Ethereal及WinPcap软件。

2. 捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧（帧的长度字段>1500, 帧的长度字段实际上是类型字段），Ethereal的capture 的options中capture filter设置为：ether[12:2] > 1500 观察并分析帧结构，Ethernet II的帧(ether[12:2] > 1500)的上一层主要是哪些PDU？是IP、LLC还是其它哪种？IP3. 捕捉并分析局域网上的所有ethernet broadcast帧，Ethereal的capture 的options中capture filter设置为：ether broadcast(1). 观察并分析哪些主机在发广播帧，这些帧的高层协议是什么？ARP(2). 你的LAN的共享网段上连接了多少台计算机？1分钟内有几个广播帧？有否发生广播风暴？92台4. 捕捉局域网上主机发出或接受的所有ARP包capture 的options中capture filter设置为：arp host ip (1)主机上执行“arp –d ”清除arp cache.(2)在主机上ping 局域网上的另一主机(3)观察并分析主机发出或接受的所有ARP包，及arp包结构。

5. IP 分组的结构固 定 部分 可变 部分0 48 16192431版 本 标志 生 存 时 间协 议标 识服 务 类 型总 长 度 片 偏 移填 充首 部 检 验 和源 地 址 目 的 地 址可 选 字 段 （长 度 可 变） 比特 首部长度 01 2 3 4 5 6 7 D T R C 未用 优 先 级数 据 部 分首 部6、UDP 报文伪首部源端口目的端口长 度检验和数 据首 部UDP 长度源 IP 地址目的 IP 地址17 IP 数据报字节12 2 2 2 2 字节 发送在前数 据首 部 UDP 用户数据报附：1、Ethernet II的帧结构字节46 ~ 1500 目的地址源地址类型数据FCS目的地址：01:00:5e:22:17:ea源地址：00:1e:90:75:af:4f类型数据2、IP分组的结构版本首部长度服务类型总长度标识标志固 定 部分 可变 部分0 48 16192431版 本 标志 生 存 时 间协 议标 识服 务 类 型总 长 度 片 偏 移填 充首 部 检 验 和源 地 址 目 的 地 址可 选 字 段 （长 度 可 变） 比特 首部长度 01 2 3 4 5 6 7 D T R C 未用 优 先 级数 据 部 分首 部片偏移生存时间协议首部检验和源地址目的地址可选字段 数据3、 ARP 的报文格式硬件地址长度协议类型 发送方IP 地址(八位组0-1) 目标硬件地址(八位组2-5) 目标IP 地址(八位组0-3)发送方硬件地址(八位组0-3)硬件类型操作发送方硬件地址(八位组4-5) 发送方IP 地址(八位组2-3)协议长度目标硬件地址(八位组0-1)* 硬件类型指明发送方想知道的硬件接口类型。

⽹络协议分析⼯具Ethereal的使⽤⼤学时计算机⽹络课的实验报告，当时提不起兴趣，今天看来还挺有⽤的。

可以学习下怎样抓数据包，然后分析程序的通信协议。

⼀：学习使⽤⽹络协议分析⼯具Ethereal的⽅法，并⽤它来分析⼀些协议。

实验步骤：1．⽤“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；（注：缺省路由器即 ”Default Gateway”）命令⾏：Start->Run->CMD->ipconfig /all >C:\Mac.txt(在命令⾏中把ipconfig命令保存在⽂本⽂档⾥⾯备⽤)结果：本机Mac地址：00.09.73.4B.8A.D7 缺省路由器IP：192.168.8.254步骤截图：图1（本机⽹络信息：Mac.txt）2．⽤“arp”命令清空本机的缓存：命令⾏：Start->Run->CMD->arp –d图2（arp命令 –d参数的帮助说明）3．运⾏Ethereal，开始捕获所有属于ARP协议或ICMP协议的，并且源或⽬的MAC地址是本机的包：图3（Capture->Options中关于⽹卡设置和Capture Filter）图4（抓包截图）4．执⾏命令：“ping” 缺省路由器的IP地址：图5（捕获包）图6（ping 过程）⼆：⽤Ethereal观察tracert命令的⼯作过程：1．⽤Ethereal语法内容及参数说明：命令⾏操作步骤：Start->Run->CMD->tracert图1（Tracert命令全部参数的帮助说明）2．运⾏Ethereal, 设定源和⽬的MAC地址是本机的包，捕获tracert命令中⽤到的消息：Tracert使⽤ICMP，相应过滤规则为：ether host 00:09:73:4B:8A:D7 and icmp图3（Capture->Options中关于⽹卡设置和Capture Filter）3.执⾏“tracert -d ” ，捕获包：执⾏命令：tracert -d ：图3 （执⾏命令 tracert –d ）图4（抓包截图）图5（捕获包）4．Tracert⼯作原理：Tracert使⽤ICMP消息，具体地讲，tracert发出的是Echo Request消息，触发返回的是Time Exceeded消息和Echo Reply消息。

Ethereal 使用方法一， 使用方法点击Capture 菜单下的Start 。

然后选择相应的参数，点击OK ！Capture Options 选择的常见注意事项(每个选项前面的小方块，凹进去表示选中)：1， Interface ：如果你的计算机安装了多个网卡，注意选择你想抓包的那个网卡。

2， 需要选中的选项：Capture packets in promiscuous mode任何流经这台主机的数据包都将被捕获，如果按钮凸起，则只能捕获从主机发送或者发向该主机的数据包。

Update list of packets in real time是Ethereal 主界面上是否实时地显示抓包变化的选项，当选择了该项时，Ethereal 主界面上将实时地更新抓包列表，若不显示该项，所有的包列表将在抓包过程停止以后一起显示。

Automatic Strolling in live capture选项允许用户在抓包过程中能实时地察看新抓的数据包。

3，注意name resolution的选项不能选，否则抓包，保存，打开等过程会很慢。

“Name resolution”中有三个选项，“Enable MAC name resolution”是否将MAC地址的前三个字节翻译成IETF所规定的厂商前缀。

“Enable network name resolution”用于控制是否将IP地址解析为DNS域名。

“Enable transport name resolution”则用于控制是否将通信端口号转换为协议名称。

4，抓包时可以对所抓的包进行过滤，常用的过滤选项有：sip || mgcp，sip && h225 && h245，ip.addr == 10.11.2.9，udp.port == 1719，tcp.port == 2000等。

5，一般抓包的计算机需要与被抓的目标地址在一个HUB上，如果在一个LAN上，需要做端口镜像。

如何使用Ethereal进行1，先过滤后抓包：首先在Capture Options点击Capture Filter设置过滤规则。

若要实时查看，请勾选Display Options的Update list of packets in real time，然后抓包。

示例：输入host 192.168.1.5 and port 80，仅抓取IP为192.168.1.5，端口为80的包。

2，先抓包后过滤：抓包后，在Filter中输入表达式过滤。

示例：输入ip.src，ip.dst,tcp.srcport，tcp.dstport，tcp.ack，tcp.len，eth等，可与关系表达式配合使用。

如ip.src==192.168.1.5 &&tcp.srcport==80，仅显示源IP为192.168.1.5，源端口为80的包。

Q：如何分析使用Ethereal抓到的包？这里简单以TCP/IP为例（修改网摘），一，数据链路层：1、Destination：目的MAC地址。

(eth.src)2、Source：源MAC地址。

(eth.dst)3、Type：以太网类型（IP0x0800，8表示为以太网）。

(eth.type)二，IP网络层：1、Version＝4，表示IP协议的版本号为4.该部分占4个BIT位。

(ip.version)2、Header Length=20 Bytes，表示IP包头的总长度为20个字节。

该部分占4个BIT位，单位为4个字节，因此，一个IP包头的长度最长为“1111”，即15＊4＝60个字节。

3、Type of Service=00，表示服务类型为0.该部分用二个十六进制值来表示，共占8个BIT.8个BIT的含义是：000前三位不用0表示最小时延，如Telnet服务使用该位0表示吞吐量，如FTP服务使用该位0表示可靠性，如SNMP服务使用该位0表示最小代价0不用4、Total Length=48Bytes，表示该IP包的总长度为48个字节。

Ethereal工具的使用方法1、抓包设置页面选择以太网卡设置为实时刷新报文设置为是否滚动设置一次抓包长度或抓包时间设置抓包存储方式显示过滤显示过滤语法：mms 只显示MMS报文iecgoose 只显示goose报文tcp 只显示tcp报文udp 只显示udp报文== 显示与地址为的服务器交互的报文== 显示源地址IP为的服务器发出的报文== 显示与目的地址IP为的服务器交互的报文== 5a:48:36:30:35:44 显示与MAC地址为5a:48:36:30:35:44的服务器交互的报文== 5a:48:36:30:35:44 显示源MAC地址为5a:48:36:30:35:44的服务器发出的报文== 5a:48:36:30:35:44 显示与目的MAC地址为5a:48:36:30:35:44的服务器交互的报文抓捕过滤抓捕过滤语法Tcp 只抓捕Tcp报文Udp 只抓捕Tcp报文Host 只抓捕IP地址为的报文Ether host 只抓捕MAC地址为5a:48:36:30:35:44的报文限制每个包的大小2、协议显示MMS 报文SNTP 建立以太网通讯时会发ARP 报文ping 报文SV 、GOOSE 抓包时间3、 显示信息报文序号抓取该帧报文时刻，PC 时间该帧报文是谁发出的该帧报文是发给谁的协议类型--以太网类型码报文长度4、 过滤机制 关键字段过滤1）按目的MAC地址过滤2）按源MAC地址过滤3）按优先级过滤4）按VLAN过滤语法 == 2105）按以太网类型码过滤 == 0x88b86）按APPID过滤7）按GOOSE控制块过滤语法：frame[30:9] == 80:07:67:6f:63:62:52:65:66 从该帧报文的第30个字节读取9个字节8）其他字段的过滤类似不在一一举例组合过滤1）找到特征报文的起始点找到自己关注GOOSE的APPID根据GOOSE变位时sequencenumber会变0的特性找到第一帧变位GOOSE2）标注起始报文注意报文编号：28、363）去掉过滤条件，在所有的原始报文中显示标注报文，能找到事件之间的时间关系去掉过滤条件并Apply，在“28、36”附近发生的事情一目了然4）进一步优化时间显示显示绝对时间不含年、月、日绝对时间以第一帧报文为计时起点相对时间以上一帧报文为计时起点查看相邻两帧报文的间隔设置特征报文为计时参考点过滤结果“28”以后的报文均以其为计时起点。

实验一：Ethereal使用入门一、实验目的熟悉分组嗅探器Ethereal实验环境，学习使用Ethereal捕获数据的方法。

二、实验原理“不闻不若闻之，闻之不若见之，见之不若知之，知之不若行之”-----中国谚语。

一个人对网络协议的理解通常通过以下方法能够得到极大的深化：观察它们的工作过程和使用它们，即观察两个协议实体之间交换的报文序列，钻研协议操作的细节，使协议执行某些操作，观察这些动作及其后果，这能够在仿真环境下或在如因特网这样的真实网络环境下完成。

在Ethereal实验中，我们将采用后一种方法，使用桌面上的计算机在各种情况下运行网络应用程序，在计算机上观察网络协议与在因特网别处执行的协议实体进行交互和交换报文的情况。

因此，你与你的计算机将是这些实际实验的组成部分，在实际动手实验中进行观察学习。

观察在执行协议的实体之间交换的报文的基本工具被称为分组嗅探器（packet sniffer）。

顾名思义，一个分组嗅探器被动地拷贝（嗅探）由你的计算机发送和接收的报文，它也能存储并显示出这些被俘获报文的各个协议字段的内容。

一个分组嗅探器本身是被动的，它观察运行在你计算机上的应用程序和协议收发的报文，但它自己从不发送任何分组。

同样，接收到的分组也不会显式地标注是给分组嗅探器的。

实际上，一个分组嗅探器收到的是运行在你机器上应用程序和协议收发的分组的备份。

图1显示了一个分组嗅探器的结构。

图1的右边是正常的运行在你的计算机上的协议和应用程序（比如FTP client）。

在图中虚线矩形中的分组嗅探器是在你计算机中额外安装的软件，由两部分组成：一部分是分组捕获库（packet capture library），一部分是分组解析器（packet analyzer）。

分组获取库获得了从你主机发出或接收的每一个链路层数据帧的拷贝，更高层协议（HTTP、FTP、TCP、UDP、DNS、IP）传输的信息最终都被封装在链路层帧里，通过物理介质传送出去（如网线）。