实验1 网络协议分析
tcpip实验报告
网络协议分析实验一、实验目的通过使用协议分析软件,对通信系统的通信过程进行监控、分析,以了解通信协议的工作过程。
二、实验内容利用协议分析软件(如:Wireshark)跟踪局域网报文(如条件允许也可跟踪多种局域网协议报文),实验内容如下:将安装协议分析软件的PC接入以太网中,跟踪PC之间的报文,并存入文件以备重新查。
设置过滤器过滤网络报文以检测特定数据流。
利用协议分析软件的统计工具显示网络报文的各种统计信息。
三、实验步骤1、在PC中安装协议分析软件(如:Wireshark)。
具体安装过程详见附录:Wireshark用户指南。
2、启动Wireshark协议分析软件,选择抓包菜单项启动实时监视器,开始实时跟踪显示网络数据报文。
可根据系统提示修改显示方式,详见附录:Wireshark用户指南。
3、调出跟踪存储的历史报文,选择有代表性的ETHERNET,IEEE802.3,IP,ICMP,TCP,UDP报文,对照有关协议逐个分析报文各字段的含义及内容。
EHERNET报文格式IEEE802.3报文格式IP报文格式4、设置过滤器属性,如目的地址,源地址,协议类型等。
如过滤不需要的网络报文,过滤器允许设置第二层,第三层或第四层的协议字段。
过滤器有两种工作方式:1)捕获前过滤:协议分析软件用过滤器匹配网络上的数据报文,仅当匹配通过时才捕获报文。
2)捕获后过滤:协议分析软件捕获所有报文,但仅显示匹配符合过滤条件的报文。
选择统计菜单项可以显示网络中各种流量的统计信息,如:关于字节数,广播中报文数,出错数等。
UDP 客户/服务器实验一、实验目的本实验目的是使用因特网提供的UDP 传输协议,实现一个简单的UDP 客户/服务器程序,以了解传输层所提供的UDP 服务的特点,应用层和传输层之间的软件接口风格,熟悉socket 机制和UDP 客户端/服务器方式程序的结构。
二、实验内容本实验为UDP 客户/服务器实验。
实验内容:UDP echo 客户/服务器程序的设计与实现。
网络协议分析实验报告
实 验 报 告课程名称 计算机网络 实验名称 网络协议分析 系别 专业班级 指导教师 学号 姓名 实验日期 实验成绩一、实验目的掌握常用的抓包软件,了解ARP 、ICMP 、IP 、TCP 、UDP 协议的结构。
二、实验环境1.虚拟机(VMWare 或Microsoft Virtual PC )、Windows 2003 Server 。
2.实验室局域网,WindowsXP三、实验学时2学时,必做实验。
四、实验内容注意:若是实验环境1,则配置客户机A 的IP 地址:192.168.11.X/24,X 为学生座号;另一台客户机B 的IP 地址:192.168.11.(X+100)。
在客户机A 上安装EtherPeek (或者sniffer pro )协议分析软件。
若是实验环境2则根据当前主机A 的地址,找一台当前在线主机B 完成。
1、从客户机A ping 客户机B ,利用EtherPeek (或者sniffer pro )协议分析软件抓包,分析ARP 协议;2、从客户机A ping 客户机B ,利用EtherPeek (或者sniffer pro )协议分析软件抓包,分析icmp 协议和ip 协议;3、客户机A 上访问 ,利用EtherPeek (或者sniffer pro )协议分析软件抓包,分析TCP 和UDP 协议;五、实验步骤和截图(并填表)客户机B客户机AARP Request请求数据包中的“ARP-Address Resolution Protocol”的具体信息:硬件类型:1 Ethernet (10Mb)协议类型:0x0800 IP硬件地址长度:6协议地址长度:4操作类型:1 ARP Request发送方硬件地址:00:16:D3:B4:5F:06接收方协议地址:10.3.179.99发送方协议地址:10.3.179.98目标硬件地址:00:00:00:00:00:00 ARP Response请求数据包中的“ARP-Address Resolution Protocol”的具体信息:硬件类型:1 Ethernet (10Mb)协议类型:0x0800 IP硬件地址长度:6协议地址长度:4操作类型:2 ARP Response发送方硬件地址: 18:A9:05:8D:A0:3F接收方协议地址:10.3.179.99发送方协议地址:10.3.179.98目标硬件地址:00:16:D3:B4:5F:062、分析icmp协议和ip协议,分别填写下表PING Req 请求数据包中“ICMP-Internet Control Messages Protocol”的具体信息类型:8代码:0校验和:0x415C 标识:0x0200序列号:0x000A数据:32bytesPING Reply 应答数据包中“ICMP-Internet Control Messages Protocol”的具体信息类型:0代码:0校验和:0x495C 标识:0x0200序列号:0x000A数据:32bytesPING Req 请求数据包中“IP-Intern Protocol Datagram”的具体信息服务类型:%00000000总长:60版本:4首部长度:5 (20bytes)标识:9876标志:%000片偏移:0生存时间:64协议:1首部校验和:0xD961源IP地址:10.3.179.99目的IP地址:10.3.179.98PING Reply 应答数据包中“IP-Intern Protocol Datagram”的具体信息版本:4首部长度: 5(20bytes)服务类型:%00000000总长:60标识:108标志:%000片偏移:0生存时间:64协议:1首部校验和:0xFF89源IP地址:10.3.179.98目的IP地址:10.3.179.993、分析TCP和UDP 协议,分别填写下表字段第一次第二次第三次说明Source port1252801252源端口号Destination port80125280目标端口号Sequence number755798349347656912975579835表示发送数据包的排序序号Acknowledgment Number07557983503476569130表示希望接受数据包的排序序号Data offset8 (20bytes)8 (20bytes)5 (20bytes)用来说明数据包的大小Reserved Bit%000000%000000%000000保留空间URG0.....0.....0.....紧急指针ACK.0.....1.....1....确认指针PUSH..0.....0.....0...不用等待缓冲区装满而RST...0.....0.....0..复位指针SYN....1.....1.....0.同步信号FIN.....0.....00完成或释放指针Windows65535438065535发送方希望被接受的数据大小Checksum0x4AC10x2E7B0x8019校验和Urgent pointer000紧急指针,告知紧急资料所在的位置表二: UDP 协议字段值含义Source port14593发送进程的端口号10099接收进程的端口号Destinationportlength48UDP数据报的总长度Checksum0x6AD4校验和(注:可编辑下载,若有不当之处,请指正,谢谢!)。
网络协议分析获取并解析ARP
成绩:网络协议分析报告题目:获取并解析网络中的ARP数据包学院:计算机科学与技术学院专业:计算机科学与技术班级:0411203学号:2012211699姓名:李传根一、要求及功能编程序,获取网络中的ARP数据包,解析数据包的内容,将结果显示在标准输出上,并同时写入日志文件.运行格式:程序名日志文件二、原理及方法2.0什么是ARP地址解析协议(Address Resolution Protocol,ARP)是在仅知道主机的IP地址时确定其物理地址的一种协议。
因IPv4和以太网的广泛应用,其主要用作将IP地址翻译为以太网的MAC地址,但其也能在ATM和FDDIIP网络中使用.从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。
ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
在以太网协议中规定,同一局域网中的一台主机要和另一台主机进行直接通信,必须要知道目标主机的MAC地址.而在TCP/IP协议栈中,网络层和传输层只关心目标主机的IP地址。
这就导致在以太网中使用IP协议时,数据链路层的以太网协议接到上层IP协议提供的数据中,只包含目的主机的IP地址。
于是需要一种方法,根据目的主机的IP地址,获得其MAC地址.这就是ARP协议要做的事情。
所谓地址解析(address resolution)就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
另外,当发送主机和目的主机不在同一个局域网中时,即便知道目的主机的MAC地址,两者也不能直接通信,必须经过路由转发才可以。
所以此时,发送主机通过ARP协议获得的将不是目的主机的真实MAC地址,而是一台可以通往局域网外的路由器的某个端口的MAC地址。
于是此后发送主机发往目的主机的所有帧,都将发往该路由器,通过它向外发送。
这种情况称为ARP代理(ARP Proxy)。
《网络协议分析》习题答案
备注:以下给出习题答案作为参考,对于部分习题,读者也可以思考给出更好的答案。
第一章1. 讨论TCP/IP成功地得到推广和应用的原因TCP/IP是最早出现的互联网协议,它的成功得益于顺应了社会的需求;DARPA采用开放策略推广TCP/IP,鼓励厂商、大学开发TCP/IP产品;TCP/IP与流行的UNIX系统结合是其成功的主要源泉;相对ISO的OSI模型,TCP/IP更加精简实用;TCP/IP技术来自于实践,并在实践中不断改进。
2. 讨论网络协议分层的优缺点优点:简化问题,分而治之,有利于升级更新;缺点:各层之间相互独立,都要对数据进行分别处理;每层处理完毕都要加一个头结构,增加了通信数据量。
3. 列出TCP/IP参考模型中各层间的接口数据单元(IDU)应用层/传输层:应用层报文;传输层/IP层:TCP报文段或UDP分组;IP层/网络接口层:IP数据报;网络接口层/底层物理网络:帧。
4. TCP/IP在哪个协议层次上将不同的网络进行互联?IP层。
5. 了解一些进行协议分析的辅助工具可在互联网上搜索获取适用于不同操作系统工具,比如Sniffer Pro、Wireshark以及tcpdump等。
利用这些工具,可以截获网络中的各种协议报文,并进一步分析协议的流程、报文格式等。
6. 麻省理工学院的David Clark是众多RFC的设计者,在论及TCP/IP标准的形成及效果时,曾经讲过这样一段话:”We reject kings, presidents and voting. We believe in rough consensus and running code.”你对他的观点有什么评价。
智者见智,我认为这就是“实践是检验真理的唯一标准”。
7. 你认为一个路由器最基本的功能应该包含哪些?对于网桥、网关、路由器等设备的分界已经逐渐模糊。
现代路由器通常具有不同类型的接口模块并具有模块可扩展性,由此可以连接不同的物理网络;路由表的维护、更新以及IP数据报的选路转发等,都是路由器的基本功能。
《网络协议分析》习题答案
备注:以下给出习题答案作为参考,对于部分习题,读者也可以思考给出更好的答案。
第一章1. 讨论TCP/IP成功地得到推广和应用的原因TCP/IP是最早出现的互联网协议,它的成功得益于顺应了社会的需求;DARPA采用开放策略推广TCP/IP,鼓励厂商、大学开发TCP/IP产品;TCP/IP与流行的UNIX系统结合是其成功的主要源泉;相对ISO的OSI模型,TCP/IP更加精简实用;TCP/IP技术来自于实践,并在实践中不断改进。
2. 讨论网络协议分层的优缺点优点:简化问题,分而治之,有利于升级更新;缺点:各层之间相互独立,都要对数据进行分别处理;每层处理完毕都要加一个头结构,增加了通信数据量。
3. 列出TCP/IP参考模型中各层间的接口数据单元(IDU)应用层/传输层:应用层报文;传输层/IP层:TCP报文段或UDP分组;IP层/网络接口层:IP数据报;网络接口层/底层物理网络:帧。
4. TCP/IP在哪个协议层次上将不同的网络进行互联?IP层。
5. 了解一些进行协议分析的辅助工具可在互联网上搜索获取适用于不同操作系统工具,比如Sniffer Pro、Wireshark以及tcpdump等。
利用这些工具,可以截获网络中的各种协议报文,并进一步分析协议的流程、报文格式等。
6. 麻省理工学院的David Clark是众多RFC的设计者,在论及TCP/IP标准的形成及效果时,曾经讲过这样一段话:”We reject kings, presidents and voting. We believe in rough consensus and running code.”你对他的观点有什么评价。
智者见智,我认为这就是“实践是检验真理的唯一标准”。
7. 你认为一个路由器最基本的功能应该包含哪些?对于网桥、网关、路由器等设备的分界已经逐渐模糊。
现代路由器通常具有不同类型的接口模块并具有模块可扩展性,由此可以连接不同的物理网络;路由表的维护、更新以及IP数据报的选路转发等,都是路由器的基本功能。
网络协议IP实验报告
2、实验环境(标明拓扑结构、源主机、目的主பைடு நூலகம்的 IP 地址及 MAC 地址)
该实验采用网络结构二。
说明:主机 A、C、D 的默认网关是 172.16.1.1;主机 E、F 的默认网关是 172.16.0.1。 注:我们为第五组实验,只有四台主机,分别是 A、B、E、F.其中,A、B 处于同 一网段,B、E、F 处于同一网段。我实验的主机为主机 B.各主机的 IP 如上图。
1、实验结果(结果截图)
2、实验结果分析
编辑报文时要正确填写源 IP,MAC 地址以及目的主机 IP,MAC 地址,同时可 以手动计算校验和也可以自动计算校验和,然后发送。在接收报文时,首先使用 过滤器赛选需要的 IP 报文,然后在工具栏检查顾虑条件是否为所选条件,只接 收 IP 报文;通过编辑并接收报文理解直接广播地址和受限制广播地址的区别; 对于较大的报文经过路由器时需要进行分片,然后在接收时重组报文。
第 1 步中主机 A 所编辑的报文,经过主机 B 到达主机 E 后,报文数据是否发 生变化?若发生变化,记录变化的字段,并简述发生变化的原因。 答:有变化,但报文中传送过程中的源 IP 地址和目的 IP 地址没变化,只是 在传送过程中经过一些节点生成时间可能有变化。 5.将第 1 步中主机 A 所编辑的报文的“生存时间”设置为 1。重新计算校验和 6.主机 B、E 重新开始捕获数据。 7.主机 A 发送第 5 步中编辑好的报文。 8.主机 B、E 停止捕获数据,在捕获到的数据中查找主机 A 所发送的数据报,并 回答以下问题: 答:可以,因为主机 B 相当于路由器,所以能收到。A 与 E 不在同一个网络, 但可以通过 B 转发,可以收到 A 所发送的报文。
网络协议的分析
河南工业大学实验报告课程名称:计算机通信网络开课实验室:6316 专业班级学号姓名实验项目名称网络协议的分析实验日期2013/6/13成绩评定教师签名:年月日实验三:网络协议的分析一、实验目的:1. 掌握使用Wireshark分析各种网络协议的技能;2. 深入理解应用层协议HTTP和FTP的工作过程,及协议内容;二、实验环境:1. 运行Windows 2000 / 2003 Server / XP操作系统的PC一台;2. 每台PC具有一块以太网卡,通过双绞线与局域网相连;3. Wireshark安装程序(可以从/下载)。
三、实验内容与要求:1. 参照附件一:了解网络协议分析仪Wireshark,完成Wireshark的安装和基本使用。
2. 捕获ICMP数据包运行程序,单击CAPTURE菜单下的start命令,开始捕获数据包。
然后输入过滤条件为只捕获ICMP协议的数据包。
如下图所示。
然后在命令行模式下ping其他同学的电脑。
就可以看到捕获区域有捕获到的ICMP的数据包了。
对该数据包进行分析。
源IP地址172.16.36.94 目的IP地址172.16.36.106是否ping通?是生存时间643.捕获HTTP数据包运行程序,单击CAPTURE菜单下的start命令,开始捕获数据包。
然后输入过滤条件为只捕获http协议的数据包。
然后打开IE浏览器,访问一些网页。
就可以看到捕获区域有捕获到的http的数据包了。
选取连续的两个数据包,并对这两个数据包进行分析。
源端口号52112 目的端口号80源IP地址172.16.36.94 目的IP地址183.232.27.21源MAC地址20:6a:8a:54:05:47 目的MAC地址00:04:96:52:ae:bc 序号 1 确认号 1长度244 应用层协议http4.捕获FTP数据包运行程序,单击CAPTURE菜单下的start命令,开始捕获数据包。
然后输入过滤条件为只捕获ftp协议的数据包。
计算机网络协议分析实验
xxxx《计算机网络》实验报告实验内容:A :熟悉sniffer 软件的界面,对常用菜单项进行了解。
1、首先打开sniffer 软件,对所要监听的网卡进行选择2、选择网卡按确定后,进入sniffer 工作主界面,对主界面上的操作按钮加以熟悉。
捕捕获开始捕获暂停捕获停止获停止并查看捕获查看捕获条件编辑选择捕获条件B :设置捕获条件进行抓包 基本的捕获条件有两种:1、链路层捕获,按源MAC 和目的MAC 地址进行捕获,输入方式为十六进制连续输入,如:00E0FC123456。
2、IP 层捕获,按源IP 和目的IP 进行捕获。
输入方式为点间隔方式,如:10.107.1.1。
如果选择IP 层捕获条件则ARP 等报文将被过滤掉。
任基数链意捕获条件编辑获编辑本捕获条件链路层捕获IP 层捕获据流方向路层捕获地址条件高级捕获条件在“Advance ”页面下,你可以编辑你的协议捕获条件,如图:选捕错保择要捕获的协议获帧长度条件误帧是否捕获存过滤规则条件高级捕获条件编辑图在协议选择树中你可以选择你需要捕获的协议条件,如果什么都不选,则表示忽略该条件,捕获所有协议。
在捕获帧长度条件下,你可以捕获,等于、小于、大于某个值的报文。
在错误帧是否捕获栏,你可以选择当网络上有如下错误时是否捕获。
在保存过滤规则条件按钮“Profiles ”,你可以将你当前设置的过滤规则,进行保存,在捕获主面板中,你可以选择你保存的捕获条件。
C :捕获报文的察看:Sniffer 软件提供了强大的分析能力和解码功能。
如下图所示,对于捕获的报文提供了一个Expert 专家分析系统进行分析,还有解码选项及图形和表格的统计信息。
捕专家分析系统专家分析系统获报文的图形分析捕获报文的其他统计信息专家分析专家分分析系统提供了一个只能的分析平台,对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。
在下图中显示出在网络中WINS 查询失败的次数及TCP 重传的次数统计等内容,可以方便了解网络中高层协议出现故障的可能点。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验1 网络协议分析 1. 实验目的 1. 了解一种网络数据捕获工具的基本功能和使用方法。 2. 掌握IP、TCP协议的格式及工作过程 3. 掌握ICMP协议的格式及工作过程
2. 实验环境 1. 实验室提供PC 2. Red Hat Linux 9.0(或Ubuntu Linux 8.04) 3. Windows XP
3.实验原理 网络分析(network analysis)是指捕捉网络流动的数据包,将网络数据转换成可读格式,通过查看包内部数据来发现网络中的问题,分析网络性能并发现瓶颈;监视网络通信量,观察网络协议的行为,了解网络的运行状态;深入了解网络协议的功能。 这一单元介绍些计算机网络分析/监视工具的用法。
3.1网络分析系统的基本原理
3.1.1 Libpcap函数库 网络分析系统的工作依赖于一套捕捉网络数据包的函数库。最早的网络数据包捕捉函数库是UNIX系统中的Libpcap函数库。现在大部分UNIX数据包捕获系统都基于Libpcap或者是在其基础上做些针对性的改进。之后,意大利人Fulvio Risso和Lofts Degioanni为Windows系统提出并实现了一个功能强大的开发式数据包捕获平台——Winpcap函数库。
3.1.2 网络分析系统的结构和工作过程 一个网络分析器通常由5部分组成:硬件、捕包驱动、包缓冲区、实时协议分析和解码器。 网络数据包捕捉函数库工作在网络分析系统的最底层,作用是将一个数据包从链路层接收,即从网卡取得数据包或者根据过滤规则取出数据包的子集。 捕包函数捕回数据包后就需要将其转变给上层的分析模块,进行协议分析和协议还原工作。由于OSI的7层协议模型,协议数据是从上到下判装后发送的。由于协议分析需要从下至上进行:首先对网络层的协议识别后进行组包还原,然后脱去网络层协议头,将里面的数据交给传输层分析,这样一直进行到应用层。
3.1.3基于插件技术的协议分析器 采用插件技术,就是在程序的设计开发过程中,把整个应用程序分成宿主程序和插件两个部分,宿主程序与插件能够相互通信。在宿主程序不变的情况下,就可以通过增减插件或修改插件来调整应用程序的功能。运用插件技术可以开发出伸缩性良好、便于维护的应用程序,程序有很强的可扩展性,各个功能模块内聚性强。 现在的网络协议种类繁多,为了可以随时增加新的协议分析器,一般的协议分析器都采用插件技术。这样,如果需要对一个新的协议进行分析,只需开发编写这个协议分析器并调用注册函数在系统注册就可以使用了。
3.2网络协议分析器Ethereal
3.2.1 Ethereal概述 1.Ethereal的特点 Ethereal是一个可以对活动的网络上或磁盘中捕获数据并分析的重要软件,它有如下一些特点。 (1)它是当前较为流行的一种计算机网络调试和数据包嗅探软件,可以应用于故障修复、分析、软件和协议开发以及教育领域。 (2)可以在实时时间内,从网络连接处捕获数据,或者从被捕获文件处读取数据。 (3)它是一种开发源代码的许可软件,允许用户向其中添加改进方案。 (4)可以运行在所有的主流操作系统之上(Windows,Linux,Solaris)。 (5)支持的网络通信协议是所有的抓包工具中最全面的,几乎所有的协议,Ethereal都有相应的解码器,可以从以太网、FDDI、PPP、令牌环、IEEE 802.11、ATM上的IP和回路接口上读取实时数据。 (6)支持几乎所有的抓包工具的保存格式,可以读取从tcpdump(1ibpcap)、网络通用嗅探器(被压缩和未被压缩)、SnifferTM专业版等多种网络监控器处捕获的文件。 (7)可以通过editcap程序的命令行交换机,有计划地编辑或修改被捕获文件。 (8)可以通过显示过滤器精确地显示数据,输出文件可以被保存或打印为纯文本格式。 2.Ethereal的下载和安装Ethereal的下载地址
http://winpcap.polito.it/install/default.htm http://www.ethereal.com/distrubution/win32/
注意:以上两个网址中,第一个为;winpcap的网址,第二个网址Ethereal不再使用。 Ethereal现在已更名为wireShark,其网址为http://www.wireshark.org/,软件中已集成有winpcap。Ethereal作为早期版本可在网络中搜索下载,官方网站似乎不再提供下载。 事实上,Ethereal本身并不能抓包,它只能用来解析数据包;要抓取数据包,需要借助于Pcap(在Windows下面的实现称作Winpcap,所以在Windows操作系统下,在安装Ethereal之前,首先要安装Winpcap)。 3.Linux下的Ethereal 在Linux环境下,当安装Ethereal成功后,就可以使用命令方式使用Ethereal。命令格式为: % ethereal -i interface -f filter 其中: ◆ interface网络接口。 ◆ filter捕获过滤器表达式。 在过滤表达式中,可以使用如下逻辑连接符和关系运算符。 (1)逻辑连接运算符有not(!),and(&&),or(||)。 (2)关系运算符有eq(==),ne,(!=),gt(>),lt(<),ge(>=),le(<=)。 它们的用法在后面再加以介绍。 4.Windows下的Ethereal 在Windows环境下,安装Ethereal成功后,桌面上出现Ethereal图标。双击该图标,启动Ethereal,Ethereal初始界面如图1所示。
图1 Ethereal的图形初始界面 下面介绍Ethereal初始界面中的几个重要菜单选项。 (1)Capture Options窗口。操作方法:单击初始界面的Capture→Start命令,弹出 Capture Options窗口,如图2所示。 图2 Capture Options窗口 在该窗口中,可以进行下面的设置: Interface 所选择捕获网络数据包的接口。 Capture packets in promiscuous mode 是否打开混杂模式。打开即抓取所有的数据包。因为一般只须监听本机收到或者发出的包,因此关闭此选项。 Limit each packet to 限制每个报文的大小为多少字节。 Capture File(s) 捕获数据包的保存的文件名以及保存位置。 Update list of packets in real time 时时更新该接口捕获的报文。 (2)Capture from Generic NdisWan adapter窗口。操作方法:在Capture Option窗口中单击OK按钮,进入Capture from Generic NdisWan adapter窗口,如图3所示。
图3 Capture from Generic NdisWan adapter窗口 此时开始进行抓包操作,此窗口中显示的是以不同协议统计捕获到的报文的百分比。 Generic NdisWan表示本机的网卡型号。 (3)Ethereal主窗口。操作方法:在Capture from Generic NdisWan adapter窗口中单击Stop按钮,停止抓包,并把所抓的包显示在Ethereal主窗口中,如图4所示。
包的概况 包首部详况 包内容
图4 Ethereal主窗口 Ethereal主窗口由3个面板组成: ◆ 包的概况面板显示所有捕获到的包的报文号、时间戳、源、目的、协议和信息域。 ◆ 包首部详况面板 显示包主要部分的树型视图。 ◆ 包内容面板 以十六进制或ASCII码显示的包内容信息。 (4)Capture Filter窗口。操作方法:在Ethereal初始界面的Capture菜单中选择Capture Filter选项,进入Ethereal Capture Filter窗口,如图5所示。 此窗口可用于捕获特定报文,即事前设置然后抓取报文。 ◆ Filter name为自己定义的过滤语法起的别名,系统默认是new。
图5 Ethereal Capture Filter窗口 ◆ Filter string 填入对应语句,可以决定数据包的类型。 例如,在Filter strin9框中填入host 172.18.0.192,而实际捕获的是IP地址为192.168.10.1的所有报文。
3.2.2 Ethereal的过滤器 1.抓包过滤器与显示过滤器 在进行网络的管理和监控时,往往需要对特定的数据包进行分析。在Ethereal中,选取特定包的部件是过滤器(Filter)。具体过滤的方法有两种。 (1)在抓包时过滤,使用的过滤器称为抓包过滤器(capture filter)。为此在抓包的时候,就要先定义好抓包过滤器,这样就会只抓到设定好的那些类型的数据包。 (2)先把本机收到或发出的包全部抓下来,只让Ethereal显示需要的那些类型的数据包。这时要使用显示过滤器(display filter)。 2.抓包过滤器与显示过滤器的过滤表达式的不同 表6.1表明Ethereal的抓包过滤器和与显示过滤器的过滤表达式语法的不同。它们使用的关键词不尽相同,关系运算符的用法也不相同。 表6.1 Ethereal的抓包过滤器和与显示过滤器的过滤表达式语法比较 功 能 显示过滤表达式 抓包过滤表达式 显示/捕获MAC地址为00:d0:f8:00:00:03网络设备通信的所有报文 eth.addr==00.d0.f8.O0.00.03ether host 00:d0:f8:00:00:03
显示/捕获IP地址为192.168.10.1网络设备通信的所有报文 ip.addr==192.168.10.1 host l92.168.10.1
显示/捕获所有设备Web浏览的所有报文 tcp.port==80 tcp port 80 显示/捕获192.168.10.1除了http以外的所有通信数据报文 ip.addr==192.168.10.1 && tcp.port!=80 host l92.168.10.1 and not tcp port 80
3.显示过滤 在Windows环境下,显示过滤的操作方法是:当Filter的背景是绿色时,在Filter中输入所需分析的类型,当背景是红色,表明设定的Filter是不被允许的。也可以在Filter旁边的Expression中选取。下面是两种典型的用法。 (1)显示特定协议(如TCP)包。操作方法:在Filter框中输入tcp并按Enter键,如图6所示。 此时,在包的概况窗口中会显示通过本机使用tcp协议的所有数据包。 (2)显示与选定IP地址相匹配包。操作方法:在Filter框中输入ip.addr==192.168.2.10 and http,如图7所示,则抓取IP地址为192.168.2.10的主机所接收或发送的所有http报文。