使用 Ethereal 软件进行数据抓包
Ethereal -抓包、报文分析工具
Ethereal -抓包、报文分析工具Ethereal 是一种开放源代码的报文分析工具,适用于当前所有较为流行的计算机系统,包括 Unix、Linux 和 Windows 。
主界面如上图,点“抓包配置”按钮,出现抓包配置界面如下图。
在“Interface”中选择网卡,即用来抓包的接口,如果选择错误就不能抓到报文;“Capture packets in promiscuous mode(混杂模式抓包)”是指捕捉所有的报文,如不选中就只捕捉本机的收发报文;如果选中“Limit each packet to xx bytes(限制每个包的大小)”则只捕捉小于该限制的包;抓包时,数据量比较大,解析起来速度慢,可在“Capture Filter(抓包过滤设置“Display Options(显示设置)”中建议选中“Update list of packets in realtime(实时更新抓包列表)”、“Automatic scrolling in live capture(自动滚屏)”和“Hide capture info dialog(隐藏抓包信息对话框)”三项。
抓包配置好就可以点击“Start”开始抓包了。
抓包结束,按“停止”按钮即可停止。
为了快速查看需要的报文,在“Filter”栏中输入过滤条件后按回车键即可对抓到的包进行过滤。
注意“Filter”栏中输入的过滤条件正确则其底色为绿色,错误则其底色为红色。
常用有些报文还可以判断网络的状况,例如输入显示过滤条件tcp.analysis.flags,可以显示丢失、重发等异常情况相关的TCP报文,此类报文的出现频率可以作为评估网络状况的一个标尺。
偶尔出现属于正常现象,完全不出现说明网络状态上佳。
tcp.flags.reset==1。
SYN是TCP建立的第一步,FIN是TCP连接正常关断的标志,RST是TCP连接强制关断的标志。
统计心跳报文有无丢失。
在statistics->conversations里选择UDP,可以看到所有装置的UDP报文统计。
Ethereal抓包方法2个版本
在W AN2 接一个HUB或者镜像交换机,被镜像口接4200WAN2,镜像口接电脑开始抓包,即可如何使用Ethereal抓包Ethereal是一个抓取网络数据包的工具,这对分析网络问题是很重要的,下文将会简单的介绍下如何使用Ethereal来抓包。
1、在如下链接下载“ethereal-setup-0.99.0.exe”并在电脑上安装。
/distribution/win32/all-versions/ethereal-setup-0.99.0.exe2、如果之前没有安装过winpcap请在下面图上把安装winpcap的勾选上。
3、打开安装好的Ethereal程序,会看到如下图所示界面:图2 Ethereal主界面下面是抓包方法选择菜单“File”的“save”,取一个文件名“某某地方某某路由器WAN口抓包.cap”保存即可以下是另一个版本,界面稍有不同。
4、上图2就是主界面,打开“Capture”->“Options”,界面如下:图3 抓包选项在最上面的Interface中选择电脑真实的网卡(默认下可能会选中回环网卡),选中网卡后,下面会显示网卡的IP地址,如图中是222.77.77.234,如果IP正确,说明网卡已经正确选择。
Capture Filter这一栏是抓包过滤,一般情况下可以不理会,留为空。
Display options就按照我们勾选的来做就行。
好,点击Start。
图4 正在抓包现在已经在抓包,抓包结束,后点击上图中红框的按钮停止抓包。
这样我们就抓到了数据包。
再打开“File”->“Save”,出现下面界面:图5 抓包保存选择好保存路径和文件名(请不要中文)后,点击保存。
这样我们就完成了一次抓包并保存,剩下的就是要去分析数据包中的内容以发现网络故障所在,这里我们就不一一介绍了。
Ethreal抓包工具
Ethereal使用事例
1 抓包主界面
如上:Capture菜单代表抓包菜单。
一般使用Options设置一下抓包参数。
2 抓包参数设置
如上图:从上到下,第一个红色圈处,设置选择网卡。
第二个红色圈处,设置过滤信息,如只抓IP地址为192.168.1.100,则设置为ip.addr==192.168.1.100,通常情况下不作过滤,以获取全部信息。
第三个红色圈处,可选(打勾)可不选(不打勾),不选择,点击“Start”开始抓包后,则显示:
,选择后,单击“Start”开始后,显示:
如上工具栏中,红色圈处,可以停止抓包。
3查看数据包
如上就可以看到各数据包的详细信息,通过在Filter中设置ip.addr==×.×.×.×&&h245等等命令进行分析,如下一个互通中的例子:。
抓包作业
网络抓包实验报告一、实验目的:学习使用网络数据抓包软件Ethereal,对互连网进行数据抓包,巩固对所学知识的理解。
二、实验内容:通过使用抓包工具软件对网络数据进行抓包,观看其结果并进行分析,加深对互连网体系结构的理解。
三、实验工具:Ethereal数据抓包软件四、实验步骤1.下载Ethereal软件在网络搜索引擎上搜索Ethereal软件的相关下载。
并找到较新版本0.99.下载并且保存到指定位置。
2.安装Ethereal软件双击打开下载的文件进行安装。
通过安装提示选择最适合你的配置。
最后完成安装。
3.对Ethereal软件进行设置在使用Ethereal软件进行网络抓包前,我们要对它进行简单的设置。
(1)首先双击打开Ethereal。
点击Edit→Preferences然后在跳出的对话框中选择Capture。
在default interfaces中选择你常用的网卡(如果是笔记本无线上网,请选择无线网卡,一般的都是Broadcom开头的网卡).在Capture packets in promisecuous mode选项中。
把勾去掉。
然后点击APPLY退出(2)点击Capture→options,在跳出的框中选择Capture Filter(3)在跳出的对话框中,Filter name一栏输入一个名字,比如“abc”在下一行输入host 空格加上你要抓包的网络IP(IP获取方式可以是才DOS下ping对方域名得到)然后点击NEW 会发现多出了一个您输入的名字。
点SAVE然后离开4.利用Ethereal对网络进行抓包在都设置好以后,就要开始抓包了。
点击Capture→start就开始抓包了。
此时会显示您已经抓到的包,并且显示是什么类型的。
稍微等一会以后就会有了。
多等一些时间抓到的包就会多。
5.对抓到的数据包进行分析(1)DNS请求报文序号:234Time 50.427507源IP:192.168.1.101目的IP:218.2.135.1Response : Message is a query 请求报文OPCode :Standard Query (0) 标准查询,正向解析 Truncated :Message is not truncated 报文没有被截断Recursion desired :Do query recursively RD=1 请求服务器进行递归解析帧,网络接口层报头这是一个请求报文,详见下面注解Response : Message is a response 这是一个响应报文 OPcode=0 表示标准查询,正向解析 Truncated=0 报文没有被截断 RD=1 请求递归解析RA=1 表示服务器支持递归解析 Rcode=0000 表示没有错误五 试验总结通过这次试验,自己对网络抓包工具Ethereal 从下载到安装的全过程有了比较清晰的认识,培养了自己动手的能力,另外,通过对其的使用,用其来抓取数据包,对以太网的工作原理有了一部的认识,对三次握手建立TCP 连接建立过程有了切实的体会,通过对IP 首部和TCP 首部的分析,是课本上多学的理论知识与实践结合起来,是以前的知识得到深化和巩固,为以后学习新的知识打下基础,也提高了学习的兴趣,收获很大。
实验报告——使用Ethereal进行报文的获取
实验报告——使用Ethereal一、实验目的(1)熟悉Ethereal的工作环境。
(2)掌握使用Ethereal进行报文的捕获。
(3)用所捕获的报文分析网络,巩固自己所学的知识。
二、实验要求1,Ethereal软件的基本功能使用。
2,按照老师所提供的ppt课件和教程进行操作。
3,自己选择过滤条件进行捕获,对所捕获的数据报文的检测与分析。
三、实验环境1,校园局域网环境2,Ethereal软件四、实验步骤网络世界中,最基本的单元是数据包。
这个实验主要是练习Ethereal的使用,在网上抓包,培养对网络通讯协议底层的分析和认识,加强对网络的理解。
(1)这个工具要安装Ethereal。
这个很简单,大家根据安装提示点“下一步”就可以了。
(2)下面是抓包的具体步骤:双击打开Ethereal,出现Ethereal的工作界面,如图1,a.点窗口中的Capture选项中设置抓包的相关参数。
1)选择合适的网卡(网卡=网络适配器)Interface(NIC),Capture packets in promiscuous mode 是所抓包的类型,我们不用混杂选项,所以不打勾。
b.按ctrl+K进行“capture option”的选择。
如图2,start,等一小会点stop停止抓包,如图3现在所显示的图4就是我所抓到的包。
(3)分析我所抓到的包数据报文的源地址:10.3.133.55目的地址:10.3.131.74UDP协议(4)捕获过滤捕获条件A:udpFilter选项为捕获过滤条件,红色是不正确的语句,绿色为正确语句。
相同的为一种颜色。
捕获条件B :ip.addr==10.3.131.12捕获条件C:http五、实验总结通过这次实验,我了解了Ethereal软件的应用。
学会了使用Ethereal进行抓包,分析网络。
在遇到不明白的地方仔细查阅书籍,巩固了自己的知识。
在做视频时下载录制视频软件,录制视频也使我获益匪浅。
实验一:Ethereal的使用
计算机网络实验报告年级:姓名:学号:实验日期:实验名称:Ethereal(wireshark)的使用一、实验目的1、下载安装抓包工具ethereal;熟悉ethereal的操作环境;2、学习使用ethereal(wireshark)的使用方法,会用ethereal工具进行抓包;3、学会分析抓包工具获得的信息,对其进行简单分析和过滤。
二、实验器材1、接入Internet的网络的主机;2、安装抓包工具ethereal(wireshark)软件;和wincap软件;3、截图软件SnagIt。
三、实验内容1、launch ethereal, how to capture the packet by the ethereal? what's type packets youcaptured抓包方法:(1)打开抓包软件wireshark,单击工具栏list the available capture interface,如下图所示。
单击后出现如下图:(2)、单击Start,再打开一个网页(),抓包开始。
(3)网页显示完后,单击上图中的“stop”,抓包结束。
2、start capture packets, try to visit a homepage (), and check the captured packets.(1)、访问:后抓包结果如下图(2)check the captured packets ,过滤拉检测所抓的包。
如下图:3、how to save the captured packets? how to analyse the captured packets(抓包)?(1)、save the captured packets:单击save图标(如下图所示),选择要保存的路径和要报的名字,单击确定即可保存。
4 、can you capture other computer's packets? if can, what types?答:有两种情况;1)广播包时:广播包可以抓到所需要的包;2)非广播包时有以下三种情况可以抓包:a、在交换式的以太网下抓不到别人的非广播包;b、局域网信道是广播信道的可以抓包;c、在广播信道下可以抓到别人的非广播包。
实验二 WireShark(Ethereal)抓包实验
WireShark的安装很简单,安装 过程中会提示安装WinPcap,一切 都按默认设置即可。
10
10
(二)捕获数据包的一般操作
步骤 01 启动Wireshark,显示图2-1所示的主界面。
图2-1 启动Wireshark
11
11
(二)捕获数据包的一般操作
步骤 02
首先设置捕获参数。选择“Capture”(捕获)菜单中的“Options”(选项)命令,打开“Capture Option”(捕获选项)对话框。“Capture Option”对话框显示了多项设置和过滤器,用于确定捕获的数 据通信类型及数量等,如图2-2所示。
即“途经”该网卡但不发往该计算机的数据包)。
13
13
(二)捕获数据包的一般操作
步骤 05 步骤 06
“Capture”设置区的“Capture Filter”栏用来设置是抓包过虑,除非需要过虑特定的数据包,否则一 般情况下可以保持默认设置,即留空。 单击“Start”(开始)按钮即可开始数据包捕获。图2-3所示为开启捕获后的Wireshark的主显示窗 口,主要有五个组Байду номын сангаас部分。
与上一次显示 帧的时间间隔
帧号为6 捕获长度为74字节
与上一次被捕获帧的时间间隔
与参考帧或第1帧的时间间隔 帧长为74字节 帧不会被忽略
帧没有被标记
图2-7 物理层数据帧概况
帧内封装的协 议层次结构 被着色字符串为icmp, icmpv6
19
被着色规则名 称为ICMP
19
(三)ping PDU数据的捕获和分析
菜单和工具命令 协议筛选 数据包列表
数据包首部明细 数据包内容
14 图2-3 开启捕获后的主显示窗口
Ethereal抓包工具使用方法
Ethereal 使用方法一, 使用方法点击Capture 菜单下的Start 。
然后选择相应的参数,点击OK !Capture Options 选择的常见注意事项(每个选项前面的小方块,凹进去表示选中):1, Interface :如果你的计算机安装了多个网卡,注意选择你想抓包的那个网卡。
2, 需要选中的选项:Capture packets in promiscuous mode任何流经这台主机的数据包都将被捕获,如果按钮凸起,则只能捕获从主机发送或者发向该主机的数据包。
Update list of packets in real time是Ethereal 主界面上是否实时地显示抓包变化的选项,当选择了该项时,Ethereal 主界面上将实时地更新抓包列表,若不显示该项,所有的包列表将在抓包过程停止以后一起显示。
Automatic Strolling in live capture选项允许用户在抓包过程中能实时地察看新抓的数据包。
3,注意name resolution的选项不能选,否则抓包,保存,打开等过程会很慢。
“Name resolution”中有三个选项,“Enable MAC name resolution”是否将MAC地址的前三个字节翻译成IETF所规定的厂商前缀。
“Enable network name resolution”用于控制是否将IP地址解析为DNS域名。
“Enable transport name resolution”则用于控制是否将通信端口号转换为协议名称。
4,抓包时可以对所抓的包进行过滤,常用的过滤选项有:sip || mgcp,sip && h225 && h245,ip.addr == 10.11.2.9,udp.port == 1719,tcp.port == 2000等。
5,一般抓包的计算机需要与被抓的目标地址在一个HUB上,如果在一个LAN上,需要做端口镜像。
如何使用Ethereal进行
如何使用Ethereal进行1,先过滤后抓包:首先在Capture Options点击Capture Filter设置过滤规则。
若要实时查看,请勾选Display Options的Update list of packets in real time,然后抓包。
示例:输入host 192.168.1.5 and port 80,仅抓取IP为192.168.1.5,端口为80的包。
2,先抓包后过滤:抓包后,在Filter中输入表达式过滤。
示例:输入ip.src,ip.dst,tcp.srcport,tcp.dstport,tcp.ack,tcp.len,eth等,可与关系表达式配合使用。
如ip.src==192.168.1.5 &&tcp.srcport==80,仅显示源IP为192.168.1.5,源端口为80的包。
Q:如何分析使用Ethereal抓到的包?这里简单以TCP/IP为例(修改网摘),一,数据链路层:1、Destination:目的MAC地址。
(eth.src)2、Source:源MAC地址。
(eth.dst)3、Type:以太网类型(IP0x0800,8表示为以太网)。
(eth.type)二,IP网络层:1、Version=4,表示IP协议的版本号为4.该部分占4个BIT位。
(ip.version)2、Header Length=20 Bytes,表示IP包头的总长度为20个字节。
该部分占4个BIT位,单位为4个字节,因此,一个IP包头的长度最长为“1111”,即15*4=60个字节。
3、Type of Service=00,表示服务类型为0.该部分用二个十六进制值来表示,共占8个BIT.8个BIT的含义是:000前三位不用0表示最小时延,如Telnet服务使用该位0表示吞吐量,如FTP服务使用该位0表示可靠性,如SNMP服务使用该位0表示最小代价0不用4、Total Length=48Bytes,表示该IP包的总长度为48个字节。
实验-使用wireshark(Ethereal)分析数据包
Find Preyious是向上查找
Time Reference 字面是时间参 考,使用后明白是 做个报文 的“时间戳”,方便大量报文 的查询
Edit的下拉菜单报文标签
使用Time Reference标
签后,原先time的就变成 “REF”缩写的标记 附注:可以在多个报文间 用时间戳标记,方便 查询。
Ethereal工具的构成与安装
Winpcap.exe是Win32平台上进行包捕获和网络协 议分析的开源库,含有很重要的包过滤动态链接 库(packet.dll库)和wpcap.dll库,这两个动态链接 库都提供有抓包工具必需的应用编程接口API。 在安装Ethereal之前,必须要先安装WinPcap, 否则抓包无法完成。值得一提的是,0.10.14版本 的Ethereal工具已经把WinPcap工具固化在 Ethereal的安装程序中,只需要按照提示步骤默 认安装即可。
Analyze下的Display filters
正确的语法如下,和“Capture Filter”的语法有所不同:
显示 以太网地址为 00:d0:f8:00:00:03 设备通信的所有报文 eth.addr==00.d0.f8.00.00.03
显示 IP地址为 192.168.10.1 网络设备通信的所有报文 ip.addr==192.168.10.1
Mark Packet(toggle) 是标记报文 Mark all packets 和 Unamrk all packet即 标记所有报文 、取消 标记所有报文
Edit的下拉菜单
点击 “preference”
进行用户界 面的选择, 比如说 报文 察看界面布 局的选择, 以及协议支 持的选择。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在客户端打开IE浏览器,访问新建网站。单击向导“下一步”,在说明中输入该站的网站名称。
(5)设置虚拟目录
目录作用是在地址栏中除了输入主机名外,还用“/目录名”来进一步指向某个子目录或网页文件。
单击“开始—程序—管理工具—Internet服务管理器”,打开Internet信息服务单元,选中准备新建虚拟目录的网站“默认Web站点”,打开快捷菜单的“新建—虚拟目录”。
3、分析捕获到的典型的数据帧。
实验环境
Windows 2003 server
实验内容(算法、程序、步骤和方法)
1安装配置DNS服务
(1)选择“开始”→“设置”→“控制面板”→“添加/删除程序”→“添加/删除Windows组件”命令→选择“网络服务”选项→请选择“域名服务系统(DNS)”后单击“确定”按钮。
File:如果需要将抓到的包写到文件中,在这里输入文件名称。
Use ring buffer:是否使用循环缓冲。缺省情况下不使用,即一直抓包。注意,循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲,还需要设置文件的数目,文件多大时出现滚动条。
其他的项选择缺省的就可以了。
(3)Ethereal的抓包过滤器
输入:ipconfig /flushdns
捕获HTTP数据包,打开网页访问自己建的网站即可
捕获FTP数据包,打开网页访问自己建的FTP站点即可
数据记录
和计算
DHCP抓包
DNS抓包
HTTP抓包
FTP抓包
结论
(结果)
通过Ethereal软件成功捕获四种数据包
小结
通过这次实验,熟悉并初步掌握了Ethereal软件的使用,该软件分析了网络协议TCP,DHCP,DNS,FTP并成功捕获数据包,使得其更直观的展现在面前。通过本次实验加深了对网络数据包结构的理解和认识,为以后的深入学习打下了基础。虽然这次实验自己做了很长时间,但是感觉自己收获颇丰。
授权给DHCP服务器
建立可用的IP作用域
5.配置Ethereal
(1)启动Ethereal以后,选择菜单Capature->Start就可以了。当不再抓数据包的时候,按一下stop,抓的包就会显示在面板中,并且已经分析好了。
(2)选择菜单Capature->Start时
Interface:指定在哪个接口(网卡)上抓数据包。一般情况下都是单网卡,调整为所有的网卡即可。
(2)设置网页
单击“开始—程序—管理工具—Internet服务管理器”
在Internet服务器管理单元中选中默认Web服务器
在“属性”对话框中单击“主目录”选项卡,然后指定主目录位置
(3)用Web向导新建一个网站
在D(假设)盘上建立好网页目录及文件
选中“默认Web站点””,右键单击“新建—站点”
单击向导“下一步”,在说明中输入该站的网站名称。
四川大学计算机学院、软件学院
实验报告
学号:_0943041311_姓名:张治专业:计算机科学与技术班级:1第12周
课程名称
计算机网络课程设计
实验课时
2
实验项目
使用Ethereal软件进行数据抓包
实验时间
2011/11/16
实验目的
1、通过网络访问多种类型的资源;
2、使用Ethereal软件捕获各种类型的数据帧;
(2)DNS客户端的设置
(3)在DNS服务器中创建搜索区
(4)建立正向标准主要区域
(5)新建记录到主要区域内
(6)创建反向标准主要区域
(7)在反向区域内创建记录
2安装配置WEB服务器
安装IIS组件
(1)单击“开始—设置—控制面板—添加/删除程序”
选择“配置Windows”,单击“组件”按扭,添加IIS组件
抓包过滤器是用来抓取某种特定的数据包,用在抓包过程中。
如果上机过程中,想抓取某些特定的数据包时,可以有以下两种方法:
1.在抓包的时候,先定义好抓包过滤器,这样结果就是只抓到设定好的那些类型的数据包;
2.把本机所收到的数据包全部抓下来,然后使用显示过滤器,只让Ethereal显示那些用户想要的那些类型的数据包;
3安装配置FTP服务器
实验步骤同Web服务器设置类似:
(1)安装IIS组件
(2)设置Ftp
(3)用Ftp向导新建一个网站
(4)测试新建的网站
(5)设置虚拟目录
4.安装配置Dቤተ መጻሕፍቲ ባይዱCP服务器
(1)DHCP服务器的安装
选择“开始”→“设置”→“控制面板”→“添加/删除程序”→“添加/删除Windows组件”命令→选择“网络服务”后单击“详细信息”按钮→选择“动态主机配置协议(DHCP)”后单击“确定”按钮
Limit each packet:限制每个包的大小,缺省情况不限制
Capture packets in promiscuous mode:是否打开混杂模式。如果打开,抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。
Filter:过滤器。只抓取满足过滤规则的包(可暂时略过)
(4)ethereal的显示过滤器
在抓包完成以后,显示过滤器可以用来找到用户感兴趣的数据包,可以根据协议、是否存在某个域、域值、域值之间的比较来查找感兴趣的包。
6.用Ethereal进行数据抓包
(1)捕获DHCP数据包:
输入:ipconfig /release然后:ipconfig /renew
(2)捕获DNS数据包
在向导的提示下输入别名,即虚拟目录名,如“my virtual directory”。
在向导的提示下输入网页文件的真实路径。实际路径的文件夹甚至可以在别的主机上,可以通过浏览查找。
除了在客户端打开IE外,也可以直接在当前服务器上查看。输入网址http://localhost/myvirtual directory。
指导老师评议
成绩评定:指导教师签名:
在站点IP地址栏中输入服务器的IP地址和端口值。
输入新站点的主目录路径,可用浏览的方法
设置访问网站方式。若选中允许“浏览”,则访问者可以查看文件目录。
(4)测试新建的网站
单击“开始—程序—管理工具—Internet服务管理器”,打开Internet信息服务单元,选中“默认Web站点”,打开快捷菜单的“停止”,这样先关闭原来的Web网站。