Ethereal协议分析软件的使用和数据链路层协议分析

实验一协议分析软件使用及数据链路层协议分析一、实验目的TCP/IP 协议栈分为四层，从下往上依次为网络接口层、网际层、传输层和应用层，而网络接口层没有专门的协议，而是使用连接在 Internet 网上的各通信子网本身所固有的协议。

如以太网（Ethernet）的802.3 协议、令牌环网（TokenRing）的802.5 协议、分组交换网的X.25 协议等。

目前Ethernet 网得到了广泛的应用，它几乎成为局域网代名词。

因此，对以太网链路层的帧格式和802.1Q 帧格式进行分析验证，使学生初步了解TCP/IP链路层的主要协议以及这些协议的主要用途和帧结构。

（1）掌握协议分析软件sniffer的使用；（2）熟悉以太网链路层帧格式构成；二、实验要求（1）能进行简单网络设备配置并组网；（2）能运用sniffer工具进行以太网链路层帧格式协议分析。

三、实验原理以太网简介IEEE 802 参考模型把数据链路层分为逻辑链路控制子层（LLC，Logical Link Control）和介质访问控制子层（MAC，Media Access Control）。

与各种传输介质有关的控制问题都放在MAC 层中，而与传输介质无关的问题都放在LLC 层。

因此，局域网对LLC 子层是透明的，只有具体到MAC 子层才能发现所连接的是什么标准的局域网。

IEEE 802.3 是一种基带总线局域网，最初是由美国施乐（Xerox ）于1975 年研制成功的，并以曾经在历史上表示传播电磁波的以太（Ether）来命名。

1981 年，施乐公司、数字设备公司（Digital）和英特尔（Intel）联合提出了以太网的规约。

1982 年修改为第二版，即DIX Ethernet V2，成为世界上第一个局域网产品的规范。

这个标准后来成为IEEE 802.3 标准的基础。

在 802.3 中使用1 坚持的CSMA/CD（Carrier Sense Multiple Access with Collision Detection ）协议。

实验协议分析软件Ethereal 的使用一、实验目的和要求：熟悉掌握Ethereal软件的使用,并应用该软件分析Ethernet帧以及高级协议，从而能够加深对TCP/IP 协议栈上的参与通信的网络数据包结构以及通信方式有进一步的了解。

二、实验内容和原理1. 安装windows下的Ethereal及WinPcap软件。

2. 捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧（帧的长度字段>1500, 帧的长度字段实际上是类型字段），Ethereal的capture 的options中capture filter设置为：ether[12:2] > 1500 观察并分析帧结构，Ethernet II的帧(ether[12:2] > 1500)的上一层主要是哪些PDU？是IP、LLC还是其它哪种？IP3. 捕捉并分析局域网上的所有ethernet broadcast帧，Ethereal的capture 的options中capture filter设置为：ether broadcast(1). 观察并分析哪些主机在发广播帧，这些帧的高层协议是什么？ARP(2). 你的LAN的共享网段上连接了多少台计算机？1分钟内有几个广播帧？有否发生广播风暴？92台4. 捕捉局域网上主机发出或接受的所有ARP包capture 的options中capture filter设置为：arp host ip (1)主机上执行“arp –d ”清除arp cache.(2)在主机上ping 局域网上的另一主机(3)观察并分析主机发出或接受的所有ARP包，及arp包结构。

5. IP 分组的结构固 定 部分 可变 部分0 48 16192431版 本 标志 生 存 时 间协 议标 识服 务 类 型总 长 度 片 偏 移填 充首 部 检 验 和源 地 址 目 的 地 址可 选 字 段 （长 度 可 变） 比特 首部长度 01 2 3 4 5 6 7 D T R C 未用 优 先 级数 据 部 分首 部6、UDP 报文伪首部源端口目的端口长 度检验和数 据首 部UDP 长度源 IP 地址目的 IP 地址17 IP 数据报字节12 2 2 2 2 字节 发送在前数 据首 部 UDP 用户数据报附：1、Ethernet II的帧结构字节46 ~ 1500 目的地址源地址类型数据FCS目的地址：01:00:5e:22:17:ea源地址：00:1e:90:75:af:4f类型数据2、IP分组的结构版本首部长度服务类型总长度标识标志固 定 部分 可变 部分0 48 16192431版 本 标志 生 存 时 间协 议标 识服 务 类 型总 长 度 片 偏 移填 充首 部 检 验 和源 地 址 目 的 地 址可 选 字 段 （长 度 可 变） 比特 首部长度 01 2 3 4 5 6 7 D T R C 未用 优 先 级数 据 部 分首 部片偏移生存时间协议首部检验和源地址目的地址可选字段 数据3、 ARP 的报文格式硬件地址长度协议类型 发送方IP 地址(八位组0-1) 目标硬件地址(八位组2-5) 目标IP 地址(八位组0-3)发送方硬件地址(八位组0-3)硬件类型操作发送方硬件地址(八位组4-5) 发送方IP 地址(八位组2-3)协议长度目标硬件地址(八位组0-1)* 硬件类型指明发送方想知道的硬件接口类型。

Ethereal协议分析实验指导Ethereal是一个开放源码的网络分析系统，也是目前最好的开放源码的网络协议分析器，支持Linux和windows平台。

Ethereal 基本类似于tcpdump，但 Ethereal 还具有设计完美的 GUI 和众多分类信息及过滤选项。

用户通过 Ethereal，同时将网卡插入混杂模式，可以查看到网络中发送的所有通信流量。

Ethereal网络协议分析软件可以十分方便直观地应用于计算机网络原理和网络安全的教学实验，网络的日常安全监测。

使用Ethereal能够非常有效地帮助学生来理解网络原理和协议、帮助学生理解实验现象和诊断实验故障。

一、Ethereal 协议分析软件下载及安装1.下载Ethereal 开源软件Ethereal是免费的，可以从官方网站下载最新版本。

以windows xp操作系统为例，如图2-1所示。

目前可下载最新版本为：Ethereal 0.99.0图2-1 下载Ethereal协议分析软件的界面2.安装Ethereal软件图2-2 Ethereal 安装界面双击Ethereal-setup-0.99.0.exe软件图标，开始安装。

图2-2为Ethereal安装界面。

选择欲安装的选件，一般选择默认即可，如图2-3图2-3选择欲安装的选件选择欲安装的目录，确定软件安装位置。

Ethereal软件的运行需要软件WinPcap的支持，WinPcap是libpcap library的Windows版本，Ethereal可通过WinPcap来劫取网络上的数据包。

在安装Ethereal时可以的过程中也会一并安装WinPcap，不需要再另外安装。

如图2-4所示图2-4选择安装WinPcap如果在安装Ethereal之前未安装Winpcap，可以勾选Install Winpcap 3.1 beta 4。

开始解压缩文件，接着开始安装，接着按Next就可以看到Ethereal的启动画面了。

1.主界面介绍随着3G的普及，手机数据业务量（如浏览器，彩信等）的日益增长，对手机侧网络包的分析显得越来越重要。

一般来说，手机数据业务的抓包工具为QXDM，在抓LOG指导里面已经有了详细参数的配置介绍(详情见《IP数据包抓取方法.doc》)。

但需要注意的是，在将LOG转化为.pcap文件时，必须保证当前电脑里安装有Ethereal软件，否者PCAPGenerator这个工具不会出现。

（针对使用Tools->PCAPGenerator转化.isf文件出错的情况，可以做如下尝试：先使用Tools->ISF File Converter将刚刚保存的.isf文件其转化为.dlf文件，然后使用Tools->PCAPGenerator将.dlf 文件转换成.pcap文件）。

这里主要针对抓到IP包后，怎么样使用Ethereal软件对IP包进行分析，以及一些简单的TCP/IP协议介绍。

直接点击打开.pcap文件，可以看到如下图1所示界面。

图1中间彩色的区域就是IP数据包。

从左到右，字段分别是No.，Time，Source，Destination，Protocol以及Info。

IP包是按照流经手机网卡的时间顺序排列的，NO.是标示抓到的IP包是该抓包文件中的第几个，Time则是计算的所有包与第一个包之间的间隔时间，单位毫秒ms。

Source和Destination字段分别表示IP包的源地址和目的地址。

Protocol显示当前IP包的上层协议，如TCP，UDP，如果应用层协议头也在该IP包中，优先显示应用层协议，如RTSP，HTTP等。

注意中间的彩色显示，不同的颜色代表该IP包中包含了不同内容，这是方便我们对IP 包查看。

如上面的大红色，表示的是该数据包损坏，可能是只有一半的内容，也可能是指在该包与其他包的序号不连续（指在协议层不连续），中间可能出现丢包的现象。

很多时候，Ethereal是用不同颜色来区分上层协议的不同（注意IP包中必须包含上层协议的包头，才能以该应用的颜色进行标示。

姓名：学号：班级：实验一以太网链路层协议分析一．实验目的1.学会正确安装和配置网络协议分析仪软件Ethereal；2.掌握使用Ethereal分析各种网络协议的技能，加深对协议格式，协议层次和协议交互过程的理解。

二．实验环境1.运行WIN2000/2003Server/XP操作系统的PC一台；2.每台PC具有一块以太网卡，通过双绞线与局域网相连；3.Ethereal程序（通过共享下载）。

三．实验内容1. 网络协议分析软件介绍；2.实验组网；3.报文截获及结果上传；4.以太网链路层报文格式分析。

四．实验步骤1. 分析Ethernet规定的报文封装格式，绘制报文结构；2. 安装网络协议分析仪；3. 安装Ethereal；4. 使用Ethereal分析协议：启动系统、分组俘获、协议分析。

五．实验结果与分析（附图）分析：框一：侦号3，时间1.381124，源地址（IP）192.168.0.254, 目的地址Broadcast,高层协议ARP，包内信息概况Who has 192.168.0.102? Tell 192.168.0.254框二：3号帧，线路60字节，实际捕获60字节；以太网协议版本II，源地址：厂名_序号（网卡地址），目的：厂名_序号（网卡地址）；ARP地址解析协议（请求）。

分析：框一：侦号24，时间7.176822，源地址（IP）192.168.0.38，目的地址192.168.0.255,高层协议NBNS，包内信息概况Name query NB <00>.框二：24号帧，线路92字节，实际捕获92字节；以太网协议版本II，源地址：厂名_序号（网卡地址），目的：厂名_序号（网卡地址）；互联网协议，源IP地址，目的IP地址；用户数据报协议，源IP地址，目的IP地址；NBNS NetBIOS名称服务分析：框一：侦号31，时间10.275808，源地址（IP）192.168.0.54, 目的地址192.168.0.44,高层协议SMB，包内信息概况Read Andx Response,FID:0x0007,16384 bytes.框二：31号帧，线路1514字节，实际捕获1514字节；以太网协议版本II，源地址：厂名_序号（网卡地址），目的：厂名_序号（网卡地址）；互联网协议，源IP地址，目的IP地址；传输控制协议TCP的内容；NetBIOS会话服务；SMB服务器信息块协议。

⽹络协议分析⼯具Ethereal的使⽤⼤学时计算机⽹络课的实验报告，当时提不起兴趣，今天看来还挺有⽤的。

可以学习下怎样抓数据包，然后分析程序的通信协议。

⼀：学习使⽤⽹络协议分析⼯具Ethereal的⽅法，并⽤它来分析⼀些协议。

实验步骤：1．⽤“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；（注：缺省路由器即 ”Default Gateway”）命令⾏：Start->Run->CMD->ipconfig /all >C:\Mac.txt(在命令⾏中把ipconfig命令保存在⽂本⽂档⾥⾯备⽤)结果：本机Mac地址：00.09.73.4B.8A.D7 缺省路由器IP：192.168.8.254步骤截图：图1（本机⽹络信息：Mac.txt）2．⽤“arp”命令清空本机的缓存：命令⾏：Start->Run->CMD->arp –d图2（arp命令 –d参数的帮助说明）3．运⾏Ethereal，开始捕获所有属于ARP协议或ICMP协议的，并且源或⽬的MAC地址是本机的包：图3（Capture->Options中关于⽹卡设置和Capture Filter）图4（抓包截图）4．执⾏命令：“ping” 缺省路由器的IP地址：图5（捕获包）图6（ping 过程）⼆：⽤Ethereal观察tracert命令的⼯作过程：1．⽤Ethereal语法内容及参数说明：命令⾏操作步骤：Start->Run->CMD->tracert图1（Tracert命令全部参数的帮助说明）2．运⾏Ethereal, 设定源和⽬的MAC地址是本机的包，捕获tracert命令中⽤到的消息：Tracert使⽤ICMP，相应过滤规则为：ether host 00:09:73:4B:8A:D7 and icmp图3（Capture->Options中关于⽹卡设置和Capture Filter）3.执⾏“tracert -d ” ，捕获包：执⾏命令：tracert -d ：图3 （执⾏命令 tracert –d ）图4（抓包截图）图5（捕获包）4．Tracert⼯作原理：Tracert使⽤ICMP消息，具体地讲，tracert发出的是Echo Request消息，触发返回的是Time Exceeded消息和Echo Reply消息。

1、Ethereal(Vinancy)协议分析器Ethereal是目前最好的、开放源码的、获得广泛应用的网络协议分析器，支持Linux 和windows 平台，支持五百多种协议解析，是一款基于数据底层的简单实用的网络侦听和报文分析工具。

首先了解 Ethereal主菜单功能1．F文件菜单 :打开、合并抓包文件，存储、打印、输出，退出Ethereal。

2．E 编辑菜单：查询包，时间查询，标记或标识，剪切，拷贝。

3．V 视图菜单：包数据的显示，包括颜色，字型，压缩和展开。

4．G跳转菜单：以不同方式指向特定的包。

5．C 抓包菜单：开始和停止抓包过程以及编辑抓包过滤器。

6．A 分析菜单：显示过滤器，允许/不允许协议解析，配置用户指定的译码器,跟踪TCP。

7．S 统计菜单:各种统计已经抓到的包的摘要，显示协议的分层统计等等.打开抓包—网络接口，显示本机网络接口信息。

设置网络接口的抓包参数：混杂模式、缓冲区大小(默认1MB)开始抓包，动态地显示和统计以太网冲突域内各种通信协议停止抓包后，视窗界面分为上中下三个部分，上部为报文列表窗口，显示抓到的每个数据报文的顺序号、捕获时间、源地址、目标地址、协议、信息摘要，缺省按捕获时间数据排序，你也可以按其他数据排序，比如按协议类型排序。

在此窗口选择某个报文，则有关该报文更详细的信息将在中下窗口显示出来。

中部为具体报文的协议层窗口，显示的是数据报文各层协议，逐层展开该报文各层协议将显示出详细的封装结构信息。

下部为16 进制报文内容窗口，显示该报文的协议数据和封装内容。

如下图所示的 DNS协议封装的数据内容(阴影部分)显示过滤：可以按协议类型或表达式，只显示出需要的数据包，以便分析查看。

如下图显示过滤：仅列出arp报文只列出arp和SNMP报文（用or运算符）更复杂的显示过滤，需要使用表达式多重条件(and运算符)显示过滤：只列出源IP是192.168.4.10且大小>=1000字节的I CMP报文打开统计，统计概要、协议分布、会话统计信息。