Ethereal网络协议分析器的使用,实验报告

实验二Wireshark安装和使用实验目的1.安装Wireshark网络协议分析软件；2.学习了解Wireshark软件功能；实验内容1.1Wireshark简介Wireshark（前称Ethereal）是最好的开源网络封包分析软件之一。

网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。

Wireshark使用WinPcap作为接口，直接与网卡进行数据报文交换。

1.Wireshark的主要应用1）网络管理员用来解决网络问题；2）网络安全工程师用来检测安全隐患；3）开发人员用来测试协议执行情况；4）网络初学者用来学习网络协议；5）除了上面提到的，Wireshark还可以用在其它许多场合。

2.Wireshark的主要特性1）支持UNIX和Windows平台；2）在接口实时捕捉包；3）能详细显示包的详细协议信息；4）可以打开/保存捕捉的包；5）可以导入/导出其他捕捉程序支持的包数据格式；6）可以通过多种方式过滤包；7）可以通过多种方式查找包；8）可以通过过滤以多种色彩显示包；9）创建多种统计分析。

1.2安装WiresharkWireshark软件可以通过官方网站（https:///download.html）进行下载，根据主机配置选择下载适合的版本，例如主机操作系统为windows 7 64位旗舰版，可以选择下载版本为Wireshark-win64-2.2.7.exe。

下载完成后，打开下载文件进行如下安装。

1）双击此下载的软件包，开始进行安装，该界面显示了Wireshark的基本信息，点击“Next”，如图2-1所示；图2-1欢迎界面2）该界面显示了使用Wireshark的许可证条款信息。

阅读许可证条款，如果同意接受此条款，点击“I Agree”，如图2-2所示：图2- 1许可协议对话框3）选择希望安装的Wireshark组件，这里接受默认选项即可，如图2-3所示；图2-3 选择组件对话框4）该界面用来设置创建快捷方式的位置和关联文件扩展名，如图2-4所示；图2-4 Select Additional Tasks对话框5）选择Wireshark安装路径，点击“Next”，如图2-5所示：图2-5 安装位置对话框6）该界面提示是否要安装WinPcap。

因特网使用的是协议篇一：网络协议作业实验二 TCP/IP协议数据包分析一、实验目的基于网络协议分析工具Wireshark（原为Ethereal），通过多种网络应用的实际操作，学习和掌握不同网络协议数据包的分析方法，提高TCP/IP协议的分析能力和应用技能。

二、实验前的准备二人一组，分组实验；熟悉Ping、Tracert等命令，学习、SMTP和POP3协议； ? 安装软件工具Wireshark，并了解其功能、工作原理和使用方法；安装任一种端口扫描工具；阅读本实验的阅读文献；三、实验内容、要求和步骤3.1 学习Wireshark工具的基本操作学习捕获选项的设置和使用，如考虑源主机和目的主机，正确设置Capture Filter；捕获后设置Display Filter。

Wireshark（前称Ethereal）是一个网络封包分析软件。

网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。

网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。

在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。

Ethereal的出现改变了这一切。

在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。

Ethereal 是目前全世界最广泛的网络封包分析软件之一。

软件简介Wireshark使用目的：网络管理员使用Wireshark来检测网络问题，网络安全工程师使用Wireshark来检查资讯安全相关问题，开发者使用Wireshark来为新的通讯协定除错，普通使用者使用Wireshark来学习网络协定的相关知识当然，有的人也会“居心叵测”的用它来寻找一些敏感信息??Wireshark不是入侵侦测软件（Intrusion DetectionSoftware,IDS）。

ethereal汉化版用法目录1 Ethereal介绍 51.1 Ethereal为何物？ 51.1.1 Ethereal可以帮人们做什么？ 51.1.2 界面功能 51.1.3 实时的从不同网络介质抓取数据包 6 1.1.4 导入来自其它抓包工具的文件 61.1.5 为其它抓包工具导出文件 61.1.6 丰富的协议解码器 71.1.7 开放源代码软件 71.1.8 Ethereal不能做什么？ 71.2 Ethereal运行平台 71.2.1 Unix 71.2.2 Linux 81.2.3 Microsoft Windows 81.3 那里可以得到ethereal? 81.4 Ethereal的读法 91.5 Ethereal的历史 91.6 Ethereal的设计和维护 91.7 问题报告和获得帮助 91.7.1 Web网站 91.7.2 WIKI 101.7.3 FAQ 101.7.4 邮件列表 101.7.5 问题报告 101.7.6 liunx/unix平台崩溃报告 111.7.7 Windows平台崩溃报告 112 编译和安装ethereal 112.1 介绍 112.2 获得ethereal源代码和应用发布版本 12 2.3 UNIX平台编译ethereal之前准备工作 12 2.4 UNIX平台编译ethereal源代码 132.5 UNIX平台应用版本安装 132.5.1 RedHat 的RPMs方式安装 142.5.2 Debian的安装方式 142.6 解决UNIX下安装失败问题 142.7 Windows下源代码的编译 142.8 Windows下Ethereal安装 142.8.1 安装ethereal 142.8.2 升级ethereal 152.8.3 卸载ethereal 153 用户操作界面 153.1 介绍 153.2 启动ethereal 153.3 ethereal主界面 153.4 “The Menu”主菜单 163.4.1 “File”文件菜单 183.4.2 “Edit”编辑菜单 193.4.3 “View”视图菜单 213.4.4 “GO”跳转菜单 233.4.5 “Capture”抓包菜单 243.4.6 “Analyze”分析菜单 243.4.7 “Statistics”统计报表菜单 263.4.8 “Help”帮助菜单 273.5 “Main”常用工具栏 283.6 “Filter Toolbar”显示过滤器工具栏 303.7 “Packet List”数据包列表窗格 313.8 “Packet Details”数据包信息树窗格 313.9 “Packet Bytes”数据包字节窗格 323.10 “Statusbar”状态栏 324 网络数据包实时抓取 334.1 介绍 334.2 使用Ethereal前的准备工作 334.3 如何开始抓包？ 334.4 “Capture Interfaces”抓包网络接口窗口 344.5 “Capture Options”抓包选项窗口 354.5.1 “Capture”抓包常规框 354.5.2 “Capture File(s)”数据包文件框 364.5.3 “Stop Capture…”停止抓包框 374.5.4 “Display Options”显示选型框 384.5.5 “Name Resolution”名称解析框 384.5.6 “Buttons”按键 394.6 数据包文件和文件模式 394.7 “Link-layer header type”链接层数据头类型 40 4.8 抓包过滤器 404.9 抓包状态信息窗口 424.9.1 停止抓包 424.9.2 重新开始抓取 435 数据包文件导入、导出和打印 435.1 介绍 435.2 “Open”打开数据包文件 435.2.1 “Open Capture File”打开数据包文件窗口 44 5.2.2 支持导入文件格式 455.3 “Save As”存储数据包 455.3.1 输出文件格式 465.4 “Merging”合并数据包文件 475.5 “File Sets”文件系 485.6 “Exporting”导出文件 495.6.1 “Exporting as Plain Text File”导出无格式文件 495.6.2 “Export as PostScript File”导出PS格式文件 505.6.3 “Export as CSV(Comma Seperated Values)File”导出CSV(逗号分割)文件 50 5.6.4 “Export as PSML File”导出PSML格式文件 515.6.5 “Export as PDML File”导出PDML格式文件 515.6.6 “Export selected packet bytes”导出被选择数据包数据 525.7 “Printing”打印数据包 535.8 “Packet Range”数据包范围窗格 556 数据包分析 556.1 如何查看数据包 556.2 显示过滤器 606.3 如何书写显示过滤器表达式 616.3.1 显示过滤器字段 616.3.2 比较操作的数据类型和操作符 626.3.3 组合表达式 626.3.4 显示过滤器常见误解 636.4 “Filter Expression”过滤器表达式窗口 646.5 定义和存储过滤器 656.6 搜索数据包 676.6.1 “Find Packet”搜索数据包窗口 676.6.2 “Find Next”寻找下一个 686.6.3 “Find Previous”寻找上一个 686.7 “GO”跳转 686.7.1 “Go Back”后退 686.7.2 “Go Forward”向前 686.7.3 “Go to Packet”跳转到 686.7.4 “Go to Corresponding Packet”跳转到相关数据包 696.7.5 “Go to First Packet”跳到第一个数据包 696.7.6 “Go to Last Packet”跳到最后一个数据包 696.8 标记数据包 696.9 时间显示格式和时间基准点 706.9.1 时间显示格式 706.9.2 时间基准点 707 高级工具 727.1 介绍 727.2 “Following TCP streams”跟踪TCP数据流 727.2.1 TCP数据流跟踪窗口 737.3 Time Stamps时间标记 747.3.1 Ethereal内部时间格式 747.3.2 数据包文件时间格式 747.3.3 时间正确性 747.4 时区问题 757.4.1 什么是时区？ 757.4.2 为你的计算机设置正确时间 757.4.3 Ethereal和时区 767.5 数据包重组 767.5.1 什么是数据包重组？ 767.5.2 Ethereal如何实现包重组 767.6 名称解析 777.6.1 以太网名称解析(MAC层) 777.6.2 IP名称解析（网络层） 787.6.3 IPX名称解析（网络层） 787.6.4 TCP/UDP端口名称解析（传输层） 787.7 确保数据完整性 787.7.1 Ethereal核对概要 797.7.2 硬件里的概要计算和确认 798 统计 798.1 介绍 798.2 “Summary”统计窗口 808.3 “Protocol Hierrrchy”协议层次统计窗口 81 8.4 “Endpoint”终端统计 828.4.1 Endpoint终端是什么？ 828.4.2 终端统计窗口 838.5 会话统计Conversations 838.5.1 什么是会话 838.5.2 会话窗口 838.6 IO曲线图窗口 858.7 服务响应时间统计 869 Ethereal客户配置 879.1 介绍 879.2 定义数据包颜色 879.3 控制协议解析器 899.3.1 “Enabled Protocols”协议解析开关窗口 89 9.3.2 用户配置解码 909.3.3 查看定义的解码方式 919.4 参数选择 921 Ethereal介绍1.1 Ethereal为何物？Ethereal是开源网络数据包分析软件。

etherealEthereal （Ethereal：A Network Packet Sniffing Tool）是当前较为流行的一种计算机网络调试和数据包嗅探软件。

Ethereal 基本类似于tcpdump，但Ethereal 还具有设计完美的GUI和众多分类信息及过滤选项。

用户通过Ethereal，同时将网卡插入混合模式，可以查看到网络中发送的所有通信流量。

Ethereal 应用于故障修复、分析、软件和协议开发以及教育领域。

它具有用户对协议分析器所期望的所有标准特征，并具有其它同类产品所不具备的有关特征。

目录应用范围软件特征【使用入门】【用Ethereal协议分析系统介绍】【用Ethereal分析协议数据包】【Ethereal支持的常用协议端口号】应用范围Ethereal 是一种开发源代码的许可软件，允许用户向其中添加改进方案。

Ethereal 适用于当前所有较为流行的计算机系统，包括Unix、Linux和Windows。

软件特征Ethereal 主要具有以下特征：在实时时间内，从网络连接处捕获数据，或者从被捕获文件处读取数据；Ethereal 可以读取从tcpdump（libpcap）、网络通用嗅探器（被压缩和未被压缩）、SnifferTM 专业版、NetXrayTM、Sun snoop 和atmsnoop、Shomiti/Finisar 测试员、AIX的iptrace、Microsoft的网络监控器、Novell的LANalyzer、RADCOM 的WAN/LAN 分析器、ISDN4BSD 项目的HP-UX nettl 和i4btrace、Cisco 安全IDS iplog 和pppd 日志（pppdump 格式）、WildPacket 的EtherPeek/TokenPeek/AiroPeek 或者可视网络的可视UpTime 处捕获的文件。

此外Ethereal 也能从Lucent/Ascend W AN 路由器和Toshiba ISDN 路由器中读取跟踪报告，还能从VMS的TCPIP 读取输出文本和DBS Etherwatch。

实验四 IP协议分析实验四 IP协议/TCP协议分析实验一、实验目的通过对截获帧进行分析，验证TCP/IP的主要协议和协议的层次结构，掌握对应数据包的内部封装结构。

二、实验内容使用Ethereal网络监听软件对TCP/IP体系下的以太网链路层MAC帧，网络层ARP协议、ICMP协议和IP协议，传输层TCP协议和UDP协议格式进行分析。

三、实验知识局域网按照网络拓扑结构可以分为星形网、环形网、总线网和树形网，相应代表性的网络主要有以太网、令牌环形网、令牌总线网等。

局域网经过近三十年的发展，尤其是近些年来快速以太网（100Mb/s）、吉比特以太网（1Gb/s）和10吉比特以太网（10Gb/s）的飞速发展，采用CSMA/CD（Carrier sense，Multiple Access with Collision detection）接入方法的以太网已经在局域网市场中占有绝对优势，以太网几乎成为局域网的同义词。

因此，本章的实验以以太网为主。

以太网MAC帧常用的以太网MAC帧格式有两种标准，一种是DI_ Ethemet V2标准，另一种是IEEE 的802.3标准。

图 4-1显示了这两种不同的MAC帧格式。

这种802.3+802.2帧已经很少使用了当长度/类型字段表示长度时 6 802.3 字节 MAC帧目的地址 6 源地址 1 1 802.2 字节 1 LLC帧 DSAP SSAP 控制 2 1 1 1 IP数据 IP层数据 43_1497 数据 4 FCS LLC子层长度/类型 DSAP SSAP 控制 MAC子层 IP数据 6 以太网V2 字节目的地址 MAC帧插入 8字节 7字节 1字节 MAC帧 6 源地址 2 长度/类型 46_1500 IP数据 4 FCS IP层 MAC子层物理层 10101010101010??101010101010 10101011 前同步码帧开始定界符图 4-1 Ethernet和IEEE 802.3/802.2定义的帧封装结构Ethernet V2标准的MAC帧格式DI_ Ethernet V2标准是指数字设备公司（Digital Equipment Corp.）、英特尔公司（Intel Corp.）和_ero_公司在1982年联合公布的一个标准。

Ethereal软件的安装与使用一、实验目的学会安装Ethereal软件，熟悉Ethereal，用ethereal来观察网络。

了解ethereal工具的使用方法。

了解使用ethereal抓包中各个字段的含义。

为进一步实验做准备。

二、实验内容Ethereal是一个开放源码的网络分析系统，也是目前最好的开放源码的网络协议分析器，支持Linux和Windows平台。

Ethereal起初由Gerald Combs开发，随后由一个松散的Etheral团队组织进行维护开发。

自从1998年发布最早的0.2版本至今，大量的志愿者为Ethereal添加新的协议解析器，如今Ethereal已经支持五百多种协议解析。

很难想象如此多的人开发的代码可以很好的融入系统中；并且在系统中加入一个新的协议解析器很简单，一个不了解系统的结构的新手也可以根据留出的接口进行自己的协议开发。

这都归功于Ehereal良好的设计结构。

事实上由于网络上各种协议种类繁多，各种新的协议层出不穷。

一个好的协议分析器必需有很好的可扩展性和结构，这样才能适应网络发展的需要不断加入新的协议解析器。

关于ethereal软件中option选项的说明：如下图所示。

●IP address:选择的网卡所对应的IP地址●Link-layer header type:数据链路层的协议，在以太网中一般是Ethernet II●Buffer size:数据缓存大小设定，默认是1M字节●Interface:选择采集数据包的网卡●Capture packets in promiscuous mode:设定在混杂模式下捕获数据，如果不选中，将只能捕获本机的数据通讯，默认情况下选中该项 Limit each packet to:设定只捕获数据包的前多少个字节（从以太网头开始计算），默认是68●Capture Filter:设定当前的数据包采集过滤器●File:设定数据包文件的保存位置和保存文件名，默认不保存●Use multiple files:启用多文件保存，默认不启用●Next file every:设定每个数据包文件的大小（单位是M，默认1M），只有启用Use multiple files后此项才可用●Next file every: 设定每个数据包文件的大小（单位是分钟，默认1分钟），只有启用Use multiple files后此项才可用●Ring buffer with:当保存多少个数据包文件后循环缓存，默认是2个文件，即保存2个数据包文件后丢弃缓存中的数据包，再添加新采集到的数据包●Stop capture after: 当保存多少个数据包文件后停止捕获，默认是1个文件Stop Capture 中●… after:捕获到多少个数据包后停止捕获，默认不启用，如启用，默认值是1●… after:捕获到多少M字节的数据包后停止捕获，默认不启用，如启用，默认值是1●… after:捕获多少分钟后停止捕获，默认不启用，如启用，默认值是1Display Options●Update list of packets in real time:实时更新捕获到的数据包列表信息●Automatic scrolling in live capture:对捕获到的数据包信息进行自动滚屏显示●Hide capture info dialog:隐藏捕获信息对话框Name Resolution●Enable MAC name resolution:把MAC地址前3位解析为相应的生产厂商●Enable network name resolution:启用网络地址解析，解析IP,IPX地址对应的主机名●Enable transport name resolution:启用端口名解析，解析端口号对应的端口名三、实验要求要求抓图（如下图），说明每一个字段的含义。

【关键字】分析应用层协议分析报告篇一：实验二应用层协议分析实验报告(2)实验二应用层协议分析实验报告1．实验目的：分析HTTP协议报文的首部格式，理解HTTP协议的工作过程；分析DNS的工作过程。

2．实验环境：（1）连入Internet的主机一台（2）主机安装Ethereal软件3．实验步骤：a.下载一个非常简单的HTML文件（该文件不嵌入任何东西），利用Ethereal软件分析HTTP协议。

（1）启动Web browser。

清空浏览器的缓存。

（2）启动Ethereal，开始Ethereal分组俘获。

（3）在打开的Web browser窗口中可输入下列地址之一? ? ? ? /retype/zoom/ac16f50503d8ce2f006623a3?pn=2&x=0&y=0&raww=531&rawh=92&o=jpg_6_0__ _____&type=pic&aimh=&md5sum=f6ff18528fdafd1f217dad03259c93db&sign=ec&zoom=&png= 1342-3133&jpg=0-37736" target="_blank">点此查看首部字段：（3）打开test1的捕获文件，分析响应报文状态行字段：首部行字段：（4）根据捕获的报文，填写相应的内容实验b.根据操作回答下面的问题。

（1）填写浏览器的输入的URL地址。

URL地址：/ 。

（2）分析test2的捕获文件，你的浏览器一共发出了多少个HTTP GET请求，每个GET 请求的东西是什么？这些请求被发送到的目的地的IP地址是多少？（3）分析你的浏览器向服务器发出的第一个HTTP GET请求的内容，在该请求报文中，是否有一行是：IF-MODIFIED-SINCE？分析服务器响应报文的内容，服务器是否明确返回了文件的内容？如何获知？在该请求报文中，没有IF-MODIFIED-SINCE行。