基于Ethereal的网络协议分析

实验_网络协议分析Ethereal实验_网络协议分析Ethereal协议编号：XXXX甲方（委托方）：名称：XXX公司地址：XXX省XXX市XXX区XXX街道XXX号联系方式：XXX-XXXXXXXX法定代表人：XXX乙方（被委托方）：名称：XXX律所地址：XXX省XXX市XXX区XXX街道XXX号联系方式：XXX-XXXXXXXX法定代表人：XXX针对甲方委托乙方对实验_网络协议分析Ethereal进行法律服务，双方在平等自愿、遵守法律的基础上，达成以下协议：第一条索引与解释本协议的索引为“实验_网络协议分析Ethereal委托协议”，根据以下约定解释：1.1“甲方”：指根据本协议，向乙方提出网络协议分析Ethereal委托的一方。

1.2“乙方”：指根据本协议，作为网络协议分析Ethereal委托的承接方。

1.3“双方”：指本协议中的甲方和乙方。

第二条委托内容2.1甲方委托乙方对实验_网络协议分析Ethereal进行法律服务，具体包括但不限于分析网络协议相关资料、查阅法律法规、提供法律意见等。

2.2乙方在接到委托后，应当认真履行职责，对网络协议进行全面分析，包括但不限于协议条款解释、履行方式、期限等内容，并对分析结果提供专业、准确、及时的法律意见。

2.3甲方应协助乙方开展工作，如提供必要的相关资料、信息等。

第三条知情权和保密3.1本协议中涉及到的所有信息、资料等，均为双方之间的商业秘密，双方均应予以保密。

3.2双方在履行本协议过程中取得的用户信息和数据，均应本着合法、公正、公开的原则进行管理和使用，并严格保护用户信息和数据的隐私。

第四条权利及义务4.1甲方的权利：4.1.1拥有委托乙方对实验_网络协议分析Ethereal进行法律服务的权利，并要求乙方给予专业、及时、准确的法律意见。

4.2乙方的权利：4.2.1拥有对实验_网络协议分析Ethereal进行法律分析并提供专业、及时、准确的法律意见的权利。

实验二利用网络嗅探工具Ethereal分析数据报文一、实验目的网络世界中，最基本的单元是数据包。

本实验内容作为将来各个实验的基础，培养对网络通讯协议底层的分析和认识，加强对网络的理解。

实验内容主要关注 ICMP、HTTP 包的检验。

1．学习网络嗅探工具 Ethereal 的使用。

2．利用抓包工具Ethereal，抓取ICMP包，完成对ICMP 包的分析工作。

明白 ICMP 包的结构。

结合 TCP/IP 的模型，分析 ICMP 包各层的功能，以及各层通信使用的地址，了解 ICMP 请求和响应包的 ICMP 协议号。

3．利用抓包工具 Ethereal，抓取 HTTP 包。

了解 HTTP 协议请求、响应包类型，结合课本学习知识完成的 HTTP 协议的剖析和掌握。

将来的课程实验中，需要使用该工具进行包分析，判断大多数安全和网络通讯问题。

二、实验环境1. 局域网环境2. Ethereal软件Ethereal 软件介绍Ethereal是一个网络数据包分析软件。

网络数据包分析软件的功能是截取网络数据包，并尽可能显示出最为详细的网络数据包资料。

网络数据包分析软件的功能可想像成"电工技师使用电表来量测电流、电压、电阻"的工作——只是将场景移植到网络上，并将网络线替换成电线。

三、实验任务1. 任务1：Ethereal 软件的基本功能使用2. 任务2：ICMP 数据报文的检测与分析3. 任务3：HTTP 数据报文的检测与分析四、实验步骤首先安装Ethereal和Winpcap。

任务1：Ethereal 软件的基本功能使用一、 打开 Ethereal，其界面如下图：二、在菜单的“capture”选项中设置抓包的相关参数，如下图：三、选择“interfaces”选项，对话框中显示可操作的网络适配器，如下图：四、通过“Prepare”或上级菜单“Option”选项，可以设置抓包模式、过滤器、数据包限制字节、存档文件模式、停止规则和名字解析等参数，如下图：设置完毕，就可以点击“Capture”，开始数据报文的捕获。

Ethereal协议分析实验指导Ethereal是一个开放源码的网络分析系统，也是目前最好的开放源码的网络协议分析器，支持Linux和windows平台。

Ethereal 基本类似于tcpdump，但 Ethereal 还具有设计完美的 GUI 和众多分类信息及过滤选项。

用户通过 Ethereal，同时将网卡插入混杂模式，可以查看到网络中发送的所有通信流量。

Ethereal网络协议分析软件可以十分方便直观地应用于计算机网络原理和网络安全的教学实验，网络的日常安全监测。

使用Ethereal能够非常有效地帮助学生来理解网络原理和协议、帮助学生理解实验现象和诊断实验故障。

一、Ethereal 协议分析软件下载及安装1.下载Ethereal 开源软件Ethereal是免费的，可以从官方网站下载最新版本。

以windows xp操作系统为例，如图2-1所示。

目前可下载最新版本为：Ethereal 0.99.0图2-1 下载Ethereal协议分析软件的界面2.安装Ethereal软件图2-2 Ethereal 安装界面双击Ethereal-setup-0.99.0.exe软件图标，开始安装。

图2-2为Ethereal安装界面。

选择欲安装的选件，一般选择默认即可，如图2-3图2-3选择欲安装的选件选择欲安装的目录，确定软件安装位置。

Ethereal软件的运行需要软件WinPcap的支持，WinPcap是libpcap library的Windows版本，Ethereal可通过WinPcap来劫取网络上的数据包。

在安装Ethereal时可以的过程中也会一并安装WinPcap，不需要再另外安装。

如图2-4所示图2-4选择安装WinPcap如果在安装Ethereal之前未安装Winpcap，可以勾选Install Winpcap 3.1 beta 4。

开始解压缩文件，接着开始安装，接着按Next就可以看到Ethereal的启动画面了。

实验1 网络协议分析Ethereal1．实验目的(1)学会正确安装和配置网络协议分析软件Ethereal；(2)掌握使用Ethereal分析各种网络协议的技能，加深对协议格式、协议层次和协议交互过程的理解。

2．实验环境(1)运行Windows 2000／2003 Server／XP操作系统的PC一台；(2)每台PC具有一块以太网卡，通过双绞线与局域网相连；(3)Ethereal程序(可以从网上下载)。

3．实验步骤(1)安装网络协议分析仪1)安装winPcap。

注意，网络协议分析软件Ethereal的运行需要软件winPcap(wpcap.dll)的支持，应当在执行Ethereal前先霉装WinPcaP。

如果没有安装winPcap，则在执行“Ethereal／Capture ／Star时会出现错误。

2)安装Ethereal。

(2)使用Ethereal分析协议1)启动系统。

点击“Ethereal”程序组中的“Ethereal"图标，将会出现如图1-1所示的系统操作界面。

图1-1 Ethereal 系统主界面2)分组俘获。

点击“Capture／Start’’菜单，出现图1-2所示的界面。

在“Interface”(接口)框的下拉列表中选择一个适当的接口项，其余项可暂时保持默认配置。

然后，点击“OK”按钮，系统开始俘获网络分组。

当按“stop”(停止)按钮时，系统停止俘获分组并将已经俘获明分组信息装载在分析系统中。

图1-2 俘获分组配置界面3)协议分析。

如图1-3所示，在上部的窗口中，有帧编号(No.)、时间(Time)、源地址(Source)、目的地址(Destination)、协议(Protocol)和信息(Info)等列，各列下方依次排列着俘获的分组。

中部的窗口给出选中的某帧的详细内容。

下部窗口中是与中部窗口对应的该协议帧某字段的十六进制数值内容。

图1-3 协议分析界面可以将俘获的帧与网络教材中的ARP、UDP、ICMP、SNMP等协议帧格式进行对照，并分析其中的信息。

1.主界面介绍随着3G的普及，手机数据业务量（如浏览器，彩信等）的日益增长，对手机侧网络包的分析显得越来越重要。

一般来说，手机数据业务的抓包工具为QXDM，在抓LOG指导里面已经有了详细参数的配置介绍(详情见《IP数据包抓取方法.doc》)。

但需要注意的是，在将LOG转化为.pcap文件时，必须保证当前电脑里安装有Ethereal软件，否者PCAPGenerator这个工具不会出现。

（针对使用Tools->PCAPGenerator转化.isf文件出错的情况，可以做如下尝试：先使用Tools->ISF File Converter将刚刚保存的.isf文件其转化为.dlf文件，然后使用Tools->PCAPGenerator将.dlf 文件转换成.pcap文件）。

这里主要针对抓到IP包后，怎么样使用Ethereal软件对IP包进行分析，以及一些简单的TCP/IP协议介绍。

直接点击打开.pcap文件，可以看到如下图1所示界面。

图1中间彩色的区域就是IP数据包。

从左到右，字段分别是No.，Time，Source，Destination，Protocol以及Info。

IP包是按照流经手机网卡的时间顺序排列的，NO.是标示抓到的IP包是该抓包文件中的第几个，Time则是计算的所有包与第一个包之间的间隔时间，单位毫秒ms。

Source和Destination字段分别表示IP包的源地址和目的地址。

Protocol显示当前IP包的上层协议，如TCP，UDP，如果应用层协议头也在该IP包中，优先显示应用层协议，如RTSP，HTTP等。

注意中间的彩色显示，不同的颜色代表该IP包中包含了不同内容，这是方便我们对IP 包查看。

如上面的大红色，表示的是该数据包损坏，可能是只有一半的内容，也可能是指在该包与其他包的序号不连续（指在协议层不连续），中间可能出现丢包的现象。

很多时候，Ethereal是用不同颜色来区分上层协议的不同（注意IP包中必须包含上层协议的包头，才能以该应用的颜色进行标示。

实验1 Ethereal的使用和网络协议的层次观察一、实验目的：1、了解网络协议的层次结构2、初步掌握Ethereal的使用方法二、实验环境1、Ethereal网络分析软件2、实验文件“网络协议的层次观察.cap”三、实验要求1、能够了解网络协议的层次结构2、能够正确掌握Ethereal的使用方法四、实验内容1、Ethereal介绍Ethereal是一个优秀的网络分析仪，可以捕获(Capture) 和浏览(Display) 网络侦测的内容，还可以定义Filters规则，监视所有在网络上被传送的封包，并分析其内容。

Ethereal通常用来检查网络运作的状况，或是用来发现网络程序的bugs。

它可以分析的协议有：RTP、IP、ISAKMP、ICMP、SMB、SMB-PIPE、VTP、SNMPv3、Ethernet、GRE、EIGRP、DHCP、IPX、X.25、RSVP等。

2、Ethereal的使用启动ethereal后，选择菜单Capature－>Options, 定义获取数据包的方式。

主要选项有，Interface: 指定在哪个接口（网卡）上抓包；Limit each packet: 限制每个包的大小以避免数据过大，缺省情况下可不限制；Capture packets in promiscuous mode: 是否打开混杂模式。

如果打开，则抓取共享网络上可以探测的所有数据包。

一般情况下只需要监听本机收到或者发出的包，可以关闭这个选项。

Filter：设定过滤规则，只抓取满足过滤规则的包；File：如果需要将抓到的包写到文件中，在这里输入文件名称。

其他的项选择缺省的就可以了。

选择start开始抓包。

选择stop，则停止抓包。

3．数据包的分析打开文件“网络协议的层次观察.cap”，这是一个包括100个分组的网络通信记录，详细记录了分组的序号、相对时间、源地址、目标地址、协议类型、内容，如图1是对第6个分组的详细信息。

实验二利用分组嗅探器（ethereal）分析协议HTTP一、实验目的分析HTTP协议二、实验环境与因特网连接的计算机网络系统；主机操作系统为windows；Ethereal、IE等软件。

三、实验步骤1、HTTP GET/response交互首先通过下载一个非常简单的HTML文件（该文件非常短，并且不嵌入任何对象）。

（1）启动Web browser。

（2）启动Ethereal分组嗅探器。

在窗口的显示过滤说明处输入“http”，分组列表子窗口中将只显示所俘获到的HTTP报文。

（3）一分钟以后，开始Ethereal分组俘获。

（4）在打开的Web browser窗口中输入一下地址（浏览器中将显示一个只有一行文字的非常简单的HTML文件）：/ethereal-labs/HTTP-ethereal-file1.html（5）停止分组俘获。

窗口如图1所示。

根据俘获窗口内容，回答“四、实验报告内容”中的1-6题。

图1分组俘获窗口2、HTTP 条件GET/response交互（1）启动浏览器，清空浏览器的缓存（在浏览器中，选择“工具”菜单中的“Internet 选项”命令，在出现的对话框中，选择“删除文件”）。

（2）启动Ethereal分组俘获器。

开始Ethereal分组俘获。

（3）在浏览器的地址栏中输入以下URL: /ethereal-labs/HTTP-ethereal-file2.html,你的浏览器中将显示一个具有五行的非常简单的HTML文件。

（4）在你的浏览器中重新输入相同的URL或单击浏览器中的“刷新”按钮。

（5）停止Ethereal分组俘获，在显示过滤筛选说明处输入“http”,分组列表子窗口中将只显示所俘获到的HTTP报文。

根据操作回答“四、实验报告内容”中的7-10题。

3、获取长文件（1）启动浏览器，将浏览器的缓存清空。

（2）启动Ethereal分组俘获器。

开始Ethereal分组俘获。

（3）在浏览器的地址栏中输入以下URL: /ethereal-labs/HTTP-ethereal-file3.html，浏览器将显示一个相当大的美国权力法案。

⽹络协议分析⼯具Ethereal的使⽤⼤学时计算机⽹络课的实验报告，当时提不起兴趣，今天看来还挺有⽤的。

可以学习下怎样抓数据包，然后分析程序的通信协议。

⼀：学习使⽤⽹络协议分析⼯具Ethereal的⽅法，并⽤它来分析⼀些协议。

实验步骤：1．⽤“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；（注：缺省路由器即 ”Default Gateway”）命令⾏：Start->Run->CMD->ipconfig /all >C:\Mac.txt(在命令⾏中把ipconfig命令保存在⽂本⽂档⾥⾯备⽤)结果：本机Mac地址：00.09.73.4B.8A.D7 缺省路由器IP：192.168.8.254步骤截图：图1（本机⽹络信息：Mac.txt）2．⽤“arp”命令清空本机的缓存：命令⾏：Start->Run->CMD->arp –d图2（arp命令 –d参数的帮助说明）3．运⾏Ethereal，开始捕获所有属于ARP协议或ICMP协议的，并且源或⽬的MAC地址是本机的包：图3（Capture->Options中关于⽹卡设置和Capture Filter）图4（抓包截图）4．执⾏命令：“ping” 缺省路由器的IP地址：图5（捕获包）图6（ping 过程）⼆：⽤Ethereal观察tracert命令的⼯作过程：1．⽤Ethereal语法内容及参数说明：命令⾏操作步骤：Start->Run->CMD->tracert图1（Tracert命令全部参数的帮助说明）2．运⾏Ethereal, 设定源和⽬的MAC地址是本机的包，捕获tracert命令中⽤到的消息：Tracert使⽤ICMP，相应过滤规则为：ether host 00:09:73:4B:8A:D7 and icmp图3（Capture->Options中关于⽹卡设置和Capture Filter）3.执⾏“tracert -d ” ，捕获包：执⾏命令：tracert -d ：图3 （执⾏命令 tracert –d ）图4（抓包截图）图5（捕获包）4．Tracert⼯作原理：Tracert使⽤ICMP消息，具体地讲，tracert发出的是Echo Request消息，触发返回的是Time Exceeded消息和Echo Reply消息。