如何利用Ethereal进行协议分析

实验协议分析软件Ethereal 的使用一、实验目的和要求：熟悉掌握Ethereal软件的使用,并应用该软件分析Ethernet帧以及高级协议，从而能够加深对TCP/IP 协议栈上的参与通信的网络数据包结构以及通信方式有进一步的了解。

二、实验内容和原理1. 安装windows下的Ethereal及WinPcap软件。

2. 捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧（帧的长度字段>1500, 帧的长度字段实际上是类型字段），Ethereal的capture 的options中capture filter设置为：ether[12:2] > 1500 观察并分析帧结构，Ethernet II的帧(ether[12:2] > 1500)的上一层主要是哪些PDU？是IP、LLC还是其它哪种？IP3. 捕捉并分析局域网上的所有ethernet broadcast帧，Ethereal的capture 的options中capture filter设置为：ether broadcast(1). 观察并分析哪些主机在发广播帧，这些帧的高层协议是什么？ARP(2). 你的LAN的共享网段上连接了多少台计算机？1分钟内有几个广播帧？有否发生广播风暴？92台4. 捕捉局域网上主机发出或接受的所有ARP包capture 的options中capture filter设置为：arp host ip (1)主机上执行“arp –d ”清除arp cache.(2)在主机上ping 局域网上的另一主机(3)观察并分析主机发出或接受的所有ARP包，及arp包结构。

5. IP 分组的结构固 定 部分 可变 部分0 48 16192431版 本 标志 生 存 时 间协 议标 识服 务 类 型总 长 度 片 偏 移填 充首 部 检 验 和源 地 址 目 的 地 址可 选 字 段 （长 度 可 变） 比特 首部长度 01 2 3 4 5 6 7 D T R C 未用 优 先 级数 据 部 分首 部6、UDP 报文伪首部源端口目的端口长 度检验和数 据首 部UDP 长度源 IP 地址目的 IP 地址17 IP 数据报字节12 2 2 2 2 字节 发送在前数 据首 部 UDP 用户数据报附：1、Ethernet II的帧结构字节46 ~ 1500 目的地址源地址类型数据FCS目的地址：01:00:5e:22:17:ea源地址：00:1e:90:75:af:4f类型数据2、IP分组的结构版本首部长度服务类型总长度标识标志固 定 部分 可变 部分0 48 16192431版 本 标志 生 存 时 间协 议标 识服 务 类 型总 长 度 片 偏 移填 充首 部 检 验 和源 地 址 目 的 地 址可 选 字 段 （长 度 可 变） 比特 首部长度 01 2 3 4 5 6 7 D T R C 未用 优 先 级数 据 部 分首 部片偏移生存时间协议首部检验和源地址目的地址可选字段 数据3、 ARP 的报文格式硬件地址长度协议类型 发送方IP 地址(八位组0-1) 目标硬件地址(八位组2-5) 目标IP 地址(八位组0-3)发送方硬件地址(八位组0-3)硬件类型操作发送方硬件地址(八位组4-5) 发送方IP 地址(八位组2-3)协议长度目标硬件地址(八位组0-1)* 硬件类型指明发送方想知道的硬件接口类型。

Ethereal协议分析实验指导Ethereal是一个开放源码的网络分析系统，也是目前最好的开放源码的网络协议分析器，支持Linux和windows平台。

Ethereal 基本类似于tcpdump，但 Ethereal 还具有设计完美的 GUI 和众多分类信息及过滤选项。

用户通过 Ethereal，同时将网卡插入混杂模式，可以查看到网络中发送的所有通信流量。

Ethereal网络协议分析软件可以十分方便直观地应用于计算机网络原理和网络安全的教学实验，网络的日常安全监测。

使用Ethereal能够非常有效地帮助学生来理解网络原理和协议、帮助学生理解实验现象和诊断实验故障。

一、Ethereal 协议分析软件下载及安装1.下载Ethereal 开源软件Ethereal是免费的，可以从官方网站下载最新版本。

以windows xp操作系统为例，如图2-1所示。

目前可下载最新版本为：Ethereal 0.99.0图2-1 下载Ethereal协议分析软件的界面2.安装Ethereal软件图2-2 Ethereal 安装界面双击Ethereal-setup-0.99.0.exe软件图标，开始安装。

图2-2为Ethereal安装界面。

选择欲安装的选件，一般选择默认即可，如图2-3图2-3选择欲安装的选件选择欲安装的目录，确定软件安装位置。

Ethereal软件的运行需要软件WinPcap的支持，WinPcap是libpcap library的Windows版本，Ethereal可通过WinPcap来劫取网络上的数据包。

在安装Ethereal时可以的过程中也会一并安装WinPcap，不需要再另外安装。

如图2-4所示图2-4选择安装WinPcap如果在安装Ethereal之前未安装Winpcap，可以勾选Install Winpcap 3.1 beta 4。

开始解压缩文件，接着开始安装，接着按Next就可以看到Ethereal的启动画面了。

1.主界面介绍随着3G的普及，手机数据业务量（如浏览器，彩信等）的日益增长，对手机侧网络包的分析显得越来越重要。

一般来说，手机数据业务的抓包工具为QXDM，在抓LOG指导里面已经有了详细参数的配置介绍(详情见《IP数据包抓取方法.doc》)。

但需要注意的是，在将LOG转化为.pcap文件时，必须保证当前电脑里安装有Ethereal软件，否者PCAPGenerator这个工具不会出现。

（针对使用Tools->PCAPGenerator转化.isf文件出错的情况，可以做如下尝试：先使用Tools->ISF File Converter将刚刚保存的.isf文件其转化为.dlf文件，然后使用Tools->PCAPGenerator将.dlf 文件转换成.pcap文件）。

这里主要针对抓到IP包后，怎么样使用Ethereal软件对IP包进行分析，以及一些简单的TCP/IP协议介绍。

直接点击打开.pcap文件，可以看到如下图1所示界面。

图1中间彩色的区域就是IP数据包。

从左到右，字段分别是No.，Time，Source，Destination，Protocol以及Info。

IP包是按照流经手机网卡的时间顺序排列的，NO.是标示抓到的IP包是该抓包文件中的第几个，Time则是计算的所有包与第一个包之间的间隔时间，单位毫秒ms。

Source和Destination字段分别表示IP包的源地址和目的地址。

Protocol显示当前IP包的上层协议，如TCP，UDP，如果应用层协议头也在该IP包中，优先显示应用层协议，如RTSP，HTTP等。

注意中间的彩色显示，不同的颜色代表该IP包中包含了不同内容，这是方便我们对IP 包查看。

如上面的大红色，表示的是该数据包损坏，可能是只有一半的内容，也可能是指在该包与其他包的序号不连续（指在协议层不连续），中间可能出现丢包的现象。

很多时候，Ethereal是用不同颜色来区分上层协议的不同（注意IP包中必须包含上层协议的包头，才能以该应用的颜色进行标示。

实验四利用Ethereal分析HTTP实验四利用Ethereal分析HTTP、TCP和IP一、实验目的熟悉并掌握Ethereal的基本操作，了解网络协议实体间进行交互以及报文交换的情况。

二、实验环境Windows 9x/NT/2000/XP/2003与因特网连接的计算机网络系统 Ethereal等软件。

三、实验原理1、深入理解网络协议，仔细观察协议实体之间交换的报文序列。

在仿真环境下或在如因特网这样的真实网络环境中完成。

观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer）。

一般情况下，分组嗅探器将存储和显示出被俘获报文的各协议头部字段的内容。

2、分组嗅探器（虚线框中的部分）是附加计算机普通软件上的，主要有两部分组成。

分组俘获库（packet capture library）接收计算机发送和接收的每一个链路层帧的拷贝。

高层协议（如：HTTP、FTP、TCP、UDP、DNS、IP 等）交换的报文都被封装在链路层帧中，并沿着物理媒体（如以太网的电缆）传输。

3、分组嗅探器的第二个组成部分是分析器。

分析器用来显示协议报文所有字段的内容。

为此，分析器必须能够理解协议所交换的所有报文的结构。

分组分析器理解以太网帧格式，能够识别包含在帧中的IP 数据报。

分组分析器也要理解IP 数据报的格式，并能从IP 数据报中提取出TCP 报文段。

然后，它需要理解TCP 报文段，并能够从中提取出HTTP 消息。

最后，它需要理解HTTP 消息。

Ethereal 是一种可以运行在Windows, UNIX, Linux 等操作系统上的分组分析器。

ethereal 的界面主要有五个组成部分：命令菜单（command menus）：最常用菜单命令有两个：File、Capture。

File 菜单允许你保存俘获的分组数据或打开一个已被保存的俘获分组数据文件或退出ethereal 程序。

Capture 菜单允许你开始俘获分组。

⽹络协议分析⼯具Ethereal的使⽤⼤学时计算机⽹络课的实验报告，当时提不起兴趣，今天看来还挺有⽤的。

可以学习下怎样抓数据包，然后分析程序的通信协议。

⼀：学习使⽤⽹络协议分析⼯具Ethereal的⽅法，并⽤它来分析⼀些协议。

实验步骤：1．⽤“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；（注：缺省路由器即 ”Default Gateway”）命令⾏：Start->Run->CMD->ipconfig /all >C:\Mac.txt(在命令⾏中把ipconfig命令保存在⽂本⽂档⾥⾯备⽤)结果：本机Mac地址：00.09.73.4B.8A.D7 缺省路由器IP：192.168.8.254步骤截图：图1（本机⽹络信息：Mac.txt）2．⽤“arp”命令清空本机的缓存：命令⾏：Start->Run->CMD->arp –d图2（arp命令 –d参数的帮助说明）3．运⾏Ethereal，开始捕获所有属于ARP协议或ICMP协议的，并且源或⽬的MAC地址是本机的包：图3（Capture->Options中关于⽹卡设置和Capture Filter）图4（抓包截图）4．执⾏命令：“ping” 缺省路由器的IP地址：图5（捕获包）图6（ping 过程）⼆：⽤Ethereal观察tracert命令的⼯作过程：1．⽤Ethereal语法内容及参数说明：命令⾏操作步骤：Start->Run->CMD->tracert图1（Tracert命令全部参数的帮助说明）2．运⾏Ethereal, 设定源和⽬的MAC地址是本机的包，捕获tracert命令中⽤到的消息：Tracert使⽤ICMP，相应过滤规则为：ether host 00:09:73:4B:8A:D7 and icmp图3（Capture->Options中关于⽹卡设置和Capture Filter）3.执⾏“tracert -d ” ，捕获包：执⾏命令：tracert -d ：图3 （执⾏命令 tracert –d ）图4（抓包截图）图5（捕获包）4．Tracert⼯作原理：Tracert使⽤ICMP消息，具体地讲，tracert发出的是Echo Request消息，触发返回的是Time Exceeded消息和Echo Reply消息。

1.主界面介绍随着3G的普及，手机数据业务量（如浏览器，彩信等）的日益增长，对手机侧网络包的分析显得越来越重要。

一般来说，手机数据业务的抓包工具为QXDM，在抓LOG指导里面已经有了详细参数的配置介绍(详情见《IP数据包抓取方法.doc》)。

但需要注意的是，在将LOG转化为.pcap文件时，必须保证当前电脑里安装有Ethereal软件，否者PCAPGenerator这个工具不会出现。

（针对使用Tools->PCAPGenerator转化.isf文件出错的情况，可以做如下尝试：先使用Tools->ISF File Converter将刚刚保存的.isf文件其转化为.dlf文件，然后使用Tools->PCAPGenerator将.dlf 文件转换成.pcap文件）。

这里主要针对抓到IP包后，怎么样使用Ethereal软件对IP包进行分析，以及一些简单的TCP/IP协议介绍。

直接点击打开.pcap文件，可以看到如下图1所示界面。

图1中间彩色的区域就是IP数据包。

从左到右，字段分别是No.，Time，Source，Destination，Protocol以及Info。

IP包是按照流经手机网卡的时间顺序排列的，NO.是标示抓到的IP包是该抓包文件中的第几个，Time则是计算的所有包与第一个包之间的间隔时间，单位毫秒ms。

Source和Destination字段分别表示IP包的源地址和目的地址。

Protocol显示当前IP包的上层协议，如TCP，UDP，如果应用层协议头也在该IP包中，优先显示应用层协议，如RTSP，HTTP等。

注意中间的彩色显示，不同的颜色代表该IP包中包含了不同内容，这是方便我们对IP 包查看。

如上面的大红色，表示的是该数据包损坏，可能是只有一半的内容，也可能是指在该包与其他包的序号不连续（指在协议层不连续），中间可能出现丢包的现象。

很多时候，Ethereal是用不同颜色来区分上层协议的不同（注意IP包中必须包含上层协议的包头，才能以该应用的颜色进行标示。

实验5 用Ethereal进行协议分析5.1实验性质本实验为操作分析性实验。

5.2实验目的1. 掌握Ethereal软件的基本使用方法2. 掌握基本的网络协议分析方法3. 通过抓包工具，分析Mac帧的格式、ARP分组的格式、IP数据报的格式、ICMP报文的格式、TCP报文段的格式、UDP数据报的格式。

5.3实验环境1. 分组实验，每组4~8人2. 设备：计算机4~8台3. 网络环境:LAN或Internet4. Ethereal软件5.4 实验用时180分钟（4学时）。

5.5 实验内容与要求5.5.1 下载、安装EtherealEthereal下载网址: /download.html到Ethereal的站站后，点击download，接着选择要安装的系统平台，如Windows或Linux （Red Hat / Fedora），然后点击下载链接即可进行下载。

Ethereal的安装非常简单，只要执行下载的软件（如ethereal-setup-0.99.0.exe），然后按提示操作。

注意：安装时，要勾选Install Winpcap。

WinPcap是libpcap library的Windows版本。

Ethereal可透过WinPcap来劫取网络上的数据包。

在安装Ethereal的过程中也会一并安装WinPcap，不需要再另外安装。

5.5.2 启动EtherealEthereal启动后，如图所示：5.5.3抓包点击Capture菜单，选Interfaces…项。

打开如下图所示窗口。

选择要抓包的接口右边的Capture按钮，本例选择了抓取IP地址为210.30.12.46的接口。

点击Capture按钮后将启动抓包过程。

注意：为配合抓包，需要进行网络通信。

1）要抓ARP分组的包、ICMP报文的包、UDP数据报，可以在CMD窗口中，使用命令ARP -D删除当前ARP缓存,使用PING命令PING某台主机IP地址（例如PING 网关IP地址），使用TRACERT命令跟踪分组从源点到终点的路径（例如TRACERT 网关IP地址）。

实验一：使用包嗅探及协议分析软件Ethereal 分析 Ethernet帧及应用层FTP协议的分析【实验目的】1、掌握包嗅探及协议分析软件Ethereal的使用。

2、掌握Ethernet帧的构成3、掌握 FTP协议包的构成【实验环境】安装好Windows 2000 Server操作系统+Ethereal的计算机【实验时间】2节课【实验重点及难点】重点学习掌握如何利用Ethereal来分析Ethernet帧。

【实验内容】1、捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2（即EthernetII）格式的帧并进行分析。

2、捕捉并分析局域网上的所有ethernet broadcast帧进行分析。

3、捕捉局域网上的所有ethernet multicast帧进行分析。

【实验步骤】一、Ethereal的安装Ethereal是一个图形用户接口（GUI）的网络嗅探器，由于Ethereal需要WinPcap库, 所以先安装WinPcap_2_3.exe, 再安装Ethereal.exe。

（已装好）二、仔细阅读附件中的Ethereal使用方法和TcpDump的表达式详解，学习Ethereal的使用。

三、捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2（即EthernetII）格式的帧并进行分析。

捕捉任何主机发出的Ethernet 802.3格式的帧（帧的长度字段<=1500），Ethereal的capture filter 的filter string设置为：ether[12:2] <= 1500。

捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧（帧的长度字段>1500, 帧的长度字段实际上是类型字段），Ethereal的capture filter 的filter string设置为：ether[12:2] > 1500。