使用Ethereal工具研究分析网络协议

使用Ethereal工具分析网络协议
————————————————————————————————作者：————————————————————————————————日期：
2
实验五使用Ethereal工具分析网络
协议
一、实验目的
通过使用Ethereal软件掌握Sniffer（嗅探器）工具的使用方法，实现捕捉网络协议的数据包，以理解TCP/IP协议族中多种协议的数据结构以及多种协议的交互过程。

二、实验内容
1．静态路由的配置。

2．路由协议RIP、RIP V2，OSPF。

三、实验环境
安装Windows 2000/XP的PC机，在每一台上安装Ethereal软件。

将PC机通过路由器/交换机相连，组成一个局域网。

四、实验指导
1、Ethereal 简介
Ethereal是一款免费的网络协议分析程序，支持Unix、Windows。

借助这个程序，你既可以直接从网络上抓取数据进行分析，也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。

你能交互式地浏览抓取到的数据包，查看每一个数据包的摘要和详细信息。

Ethereal 有多种强大的特征，如支持几乎所有的协议、丰富的过滤语言、易于查看TCP会话经重构后的数据流等。

它的主要特点为：
•支持Unix系统和Windows系统
•可以根据不同的标准进行包过滤
•通过过滤来查找所需要的包
•根据过滤规则，用不同的颜色来显示不同的包
•提供了多种分析和统计工具，实现对信息包的分析
2、Ethereal 安装
安装软件可以从网站上下载。

3、Ethereal操作指导
3.1 Ethereal 操作界面
Ethereal软件界面如图上图所示，在这个窗口上，整个界面环境分为三个窗口，最上面的窗口是抓包列表窗口，经过Ethereal软件抓包后的数据包都会列在这个窗口中，同时你可以根据抓包序列号，抓包时间、源地址、目标地址、协议等进行包列表的排序，这样你可以很容易的找到你所需要的信息包。

中间的窗口中显示的是抓包列表上所选择的包对应的各层协议说明，其中，协议层次信息以树型的结构进行显示。

最下面的窗口是数据窗口，显示的是上层窗口选中的信息包的具体数据，同时，在中间树型窗口中所选择的某一协议数据域的内容，在数据窗口中会被突出地显示出来。

3.2 Ethereal 界面菜单
菜单中主要有以下几个部分：
File：这个子菜单下的操作与Windows菜单下File下的操作类似，包括了文件的打开，保存、打印以及系统的退出等等。

不过这里的文件仅仅指的是抓包文件。

Edit：这个子菜单下所包含的操作有：查找某一个特定的帧、跳到某个帧、在一个或更多的帧上打上标记、设置首选项、设置过滤、协议剖析允许/不允许等。

在这个菜单下，Windows 界面中的一些常用的操作，例如剪切、复制、粘贴等将不再使用。

Capture：在这个菜单下进行开始抓包和停止抓包的操作。

3.3 相关操作
3.3.1 抓包
3.3.2 Capture options选项对话框
Interfaces：指定在哪个网卡上抓包。

一般情况下都是单网卡，所以使用缺省的就可以了。

Capture packets in promiscuous mode：是否打开混杂模式。

如果打开，抓取所有的数据包。

一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。

Limit each packet：限制每个包的大小，缺省情况不限制。

Filter：过滤器。

只抓取满足过滤规则的包。

File：如果需要将抓到的包写到文件中，在这里输入文件名称。

ring buffer：是否使用循环缓冲。

缺省情况下不使用，即一直抓包。

注意，循环缓冲只有在写文件的时候才有效。

如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。

其他项：选择缺省的就可以了。

3.3.3 过滤设置
抓包过滤器用来抓取感兴趣的包，用在抓包过程中。

抓包过滤器使用的是libcap 过滤器语言，在tcpdump 的手册中有详细的解释，基本结构是：[not] primitive [and|or [not] primitive ...]，如下：
Ethereal提供了两种过滤设置方式：
1）、一种是在抓包以前进行设置，通过此设置，整个抓包过程将只抓取用户所需要的特定的数据包。

2）、另一种方式是在抓包以后进行设置。

3.3.3.1 在抓包前进行过滤设置
在抓包前进行过滤设置，是在抓包选项设置对话框中进行的（见上图）。

只需在Filter 栏中填入特定的设置语句。

Ethereal使用libpcap filter语言来进行抓包的过滤设置。

过滤表达式由一系列简单的表达式和连词（and、or、not）组成：
[not] primitive [and|or [not] primitive ...]
过滤表达式的用法：
抓取一个特定的主机的telnet数据包的过滤设置
tcp port 23 and host 10.0.0.5
通过这个过滤表达式，可以抓取从主机10.0.0.5发出或发向该主机的所有的telnet数据包。

抓取除了来自/发往某主机的telnet数据包的过滤设置
tcp port 23 and not host 10.0.0.5
在过滤设置字符串中，primitive表达式通常由以下几种形式组成：
1）、[src|dst] host <host>
此表达式通过IP地址/主机名来过滤一个特定的主机，通过前缀src或dst选择源/目的主机。

如果不注明src或者dst，则将抓到流向/流出该主机的所有数据包。

例如：抓取从主机172.18.66.66发出的数据包：
src host 172.18.66.66
2）、ether [src|dst] host <ehost>
此表达式用于过滤以太网上流入/流出特定的主机的数据包，不同的是ehost是以太网地址，为主机的物理地址。

例如：抓取发往物理地址为00：04：76：42：24：80的数据包
ether dst host 00：04：76：42：24：80
3）、[src|dst] net <net> [{mask <mask>}|{len <len>}]
此表达式根据网络地址来过滤来自/发往特定的网络的数据包。

例如：抓取发往/发自网络172.18.0.0的数据包
net 172.18.0.0 mask 255.255.0.0
4）、[tcp|udp] [src|dst] port <port>
此表达式可以设置过滤来自/发往特定的tcp/udp协议端口的数据包。

例如：抓取SNMP协议数据包
udp port 161
5）、less|greater <length>
此表达式用于过滤数据包长度小于等于/大于等于特定长度的数据包。

例如：抓取数据包长度小于400byte的数据包
less 400
6）、ip|ether proto <protocol>
此表达式用于过滤IP层/数据链路层（Ethernet层）上特定的协议数据包。

例如：抓取IP层上UDP数据报
ip proto UDP
7）、ether|ip broadcast|multicast
此表达式用于过滤IP/Ethernet的广播包/多播包
8）、<expr> relop <expr>
此表达式用于创建复杂的过滤表达式，用于选择数据包中特定byte的数据或者某一段数据。

3.3.3.2 在抓包后进行过滤设置
只需要在filter文本框中填入相应的表达式即可。

如下图：
注：如果Filter的背景是绿色的，证明所设定的Filter是合乎规则的；如果Filter的背景是红色的，证明所设定的Filter是Ethereal不允许的，是错误的。

3.3.4 分析数据包内容
中间是协议树，通过协议树可以得到被截获的数据包的更多信息，如主机的MAC地址(Ethernet II)、IP地址(Internet Protocol)、TCP端口号(Transmission Control Protocol)，以及HTTP 协议的具体内容(Hypertext Trnasfer Protocol)。

通过扩展协议树中的相应节点，可以得到该数据包中携带的更详尽的信息。

最下边是以十六制显示的数据包的具体内容，这是被截获的数据包在物理媒体上传输时的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中，这样就可以很方便地对各种协议的数据包进行分析。

（1）实验
1、以太网帧结构
1.1典型帧结构――Ethernet_II，报文结构如下：
字段描述长度
前导码同步码用来使局域网中的所有节点同步7 bytes
帧标志帧的起始标志 1 byte
目的MAC地址接收端的MAC地址6bytes
源MAC地址发送端的MAC地址6bytes
上层协议类型数据包的类型2bytes
数据字段被封装的数据包46-1500bytes
校验错误检验4bytes
通过Ethereal抓包，并观察以太帧结构，如下图：
1.2 Ethernet Example
捕捉并显示所有从本地机器发出和接收的数据包。

1）获取本地MAC地址：在命令行输入 ipconfig/all
2）通过Ethereal抓包。

方法一：将Ethereal的capture filter 的filter string设置为：eth.addr==08.2e.5f.29.6b.a0
方法二：将主界面上Filter设置为：eth.addr==08.2e.5f.29.6b.a0
2、IP报头结构
2.1 IP协议概述
➢IP提供无连接的数据转发，是Internet数据通信的基础
➢IP提供的是最底层的、最基础的一部分
➢这种服务是不提供服务保证的，分组可能丢失、延迟，也不通知发送方或接受方。

一个分组序列有可能沿着不同的路径发送。

➢服务是全力转发，不因为资源耗尽或网络故障而停止，因而会引起丢失等不可靠的情形出现。

2.2 IP 数据报结构
IP数据报分为两个部分：
数据报报头数据报数据域
详细的数据报报头：
版本首部长度服务类型总长度
标识标志片偏移量生存时间协议首部校验和
源IP地址
目的IP地址
IP选项填充
通过Ethereal查看IP数据报报头，如下图：
通过Ethereal查看IP地址为192.168.0.103的数据包
3、ARP协议
3.1 ARP协议概述
ARP协议（Address Resolution Protocol），即地址解析协议。

ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址，即网卡的MAC地址，比如IP地址为192.168.0.1网卡MAC地址为00-03-0F-FD-1D-2B。

整个转换过程是一台主机先向目标主机发送包含IP地址信息的广播数据包，即ARP请求，然后目标主机向该主机发送一个含有IP地址和MAC地址数据包，通过MAC地址两个主机就可以实现数据传输了。

3.2 ARP命令
在安装了以太网网络适配器的计算机中都有专门的ARP缓存，包含一个或多个表，用于保存IP地址以及经过解析的MAC地址。

在Windows中要查看或者修改ARP缓存中的信息，可以使用arp命令来完成，比如在Windows XP的命令提示符窗口中键入“arp -a”或“arp -g”可以查看ARP缓存中的内容；键入“arp -d IPaddress”表示删除指定的IP地址项（IPaddress表示IP地址）。

arp命令的其它用法可以键入“arp /?”查看到。

3.2 ARP协议应用举例
为了解释ARP协议的作用，就必须理解数据在网络上的传输过程。

这里举一个简单的PING例子。

假设我们的计算机IP地址是192.168.1.1，要执行这个命令：ping192.168.1.2。

该命令会通过ICMP协议发送ICMP数据包。

该过程需要经过下面的步骤：
1）、应用程序构造数据包，该示例是产生ICMP包，被提交给内核（网络驱动程序）；2）、内核检查是否能够转化该IP地址为MAC地址，也就是在本地的ARP缓存中查看IP-MAC 对应表；
3）、如果存在该IP-MAC对应关系，那么跳到步骤7；如果不存在该IP-MAC对应关系，那么接续下面的步骤；
4）、内核进行ARP广播，目的地的MAC地址是FF-FF-FF-FF-FF-FF，ARP命令类型为
REQUEST（1），其中包含有自己的MAC地址；
5）、当192.168.1.2主机接收到该ARP请求后，就发送一个ARP的REPL Y（2）命令，其中包含自己的MAC地址；
6）、本地获得192.168.1.2主机的IP-MAC地址对应关系，并保存到ARP缓存中；
7）、内核将把IP转化为MAC地址，然后封装在以太网头部结构中，再把数据发送出去；
使用arp-a命令就可以查看本地的ARP缓存内容，所以，执行一个本地的PING命令后，ARP缓存就会存在一个目的IP的记录了。

当然，如果你的数据包是发送到不同网段的目的地，那么就一定存在一条网关的IP-MAC地址对应的记录。

4、ICMP 协议
4.1 ICMP 协议概述
IP协议是一种不可靠的协议，无法进行差错控制。

但IP协议可以借助其他协议来实现这一功能，如ICMP。

ICMP（Internet Control Messages Protocol,网际控制报文协议）允许主机或路由器报告差错情况和提供有关异常情况的报告。

一般来说，ICMP报文提供针对网络层的错误诊断、拥塞控制、路径控制和查询服务四项大的功能。

如，当一个分组无法到达目的站点或TTL超时后，路由器就会丢弃此分组，并向源站点返回一个目的站点不可到达的ICMP报文。

4.2 ICMP 报文类型
4.2.1 ICMP报文类型
ICMP报文大体可以分为两种类型，即ICMP差错报文和ICMP询问报文。

4.2.2 ICMP回射请求和应答报文头部格式
IP 头部（20 bytes）
类型代码校验和
标识符序列号
选项
常见ICMP报文类型
类型代码描述
8 0 回射请求
0 0 回射应答
11 0 超时
4.3 ICMP Ping命令
Ping命令利用ICMP回射请求报文和回射应答报文来测试目标系统是否可达。

ICMP回射请求和ICMP回射应答报文是配合工作的。

当源主机向目标主机发送了ICMP 回射请求数据包后，它期待着目标主机的回答。

目标主机在收到一个ICMP回射请求数据包后，它会交换源、目的主机的地址，然后将收到的ICMP回射请求数据包中的数据部分原封不动地封装在自己的ICMP回射应答数据包中，然后发回给发送ICMP回射请求的一方。

如果校验正确，发送者便认为目标主机的回射服务正常，也即物理连接畅通。

开启Ethereal的抓包功能，如下图：
在windows命令行输入：ping
将主界面上Filter设置为：icmp
(a)类型字段值为：8；
(b)代码字段值为：0；
(c)标识符：任选16位二进制数（如0x1234）；
(d)序列号：任选16位二进制数（如0x5677）；
(e)数据字段：任选；
(f)校验和：首先把该字段置为0，接下来计算ICMP首部的校验和。

其算法与IP首部
校验和的计算方法相同。

对数据进行分析。

5. TCP三次握手
开启Ethereal的抓包功能
打开IE浏览器，随意输入一个网站，例如，待页面完全打开之后，关闭IE浏览器，停止截取报文，进行分析。

五、实验报告
1.实验名称
2.实验目的
3.实验内容
(截取任意MAC、IP、ICMP、UDP、TCP的数据包，根据首部格式分析该包)
4.小结（出错及解决方法，调试的结果和体会）
用命令Ping –t 以持续获取ICMP回声请求报文。

ICMP Request数据包（ICMP请求包）
由于是电脑A发起的ping请求，所以第一个包是icmp request，由电脑A发出，可以看到在网络层的Src IP（源IP）是192.168.1.108，Dst IP（目的IP）是61.135.169.105如图；
第二个包，是电脑B的ICMP Reply，可以看到网络层的源和目的IP对调了
ICMP Request和ICMP Reply数据包的详细内容：
•Type：类型字段，8代表icmp的请求，0代表icmp的回应
•Code：代码字段，0代表icmp的请求
•Checksum：对ICMP头部的校验值，如果传递过程中ICMP 被篡改或损坏，与该值不匹配，接收方就将这个ICMP数据包作废
•Identifier：进程ID标识，从哪个进程产生的ICMP数据包，这个例子中，因为这四个icmp数据包都是从一个cmd进程下产生的，所以8个icmp数据包的这个字段都是一样
•Sequence Number：序列号，同一个进程中，会产生很多个ICMP数据包，用来描述当前这个数据包是是哪一个，每一对ICMP Request和ICMP Reply这个字段应该要一样
•Data：ICMP中的数据，一般都是无意义的填充字段，这个部分可能会被黑客加入恶意代码，实施ICMP攻击
•
小结
1，取ICMP数据包时先在filter栏中填写icmp(小写)，然后打开CMD进程随意ping一
个网站，如果来不及获取ICMP数据包，可以
采用ping –t 这样可以持续产
生ping数据包，易于获取。