實(shí)驗(yàn)3_網(wǎng)絡(luò)協(xié)議分析Ethereal

1、實(shí)驗(yàn)三 網(wǎng)絡(luò)協(xié)議分析器 Ethereal一、實(shí)驗(yàn)?zāi)康暮鸵? 了解網(wǎng)絡(luò)協(xié)議分析器 Ethereal 的基本知識? 掌握 Ethereal 安裝過程? 掌握使用 Ethereal 捕捉數(shù)據(jù)包的方法? 能對捕獲到的包簡單分析 二、實(shí)驗(yàn)容安裝Ethereal軟件和相應(yīng)的 WinpCap軟件，啟動Ethereal并設(shè)置相應(yīng) 的選項(xiàng)，捕獲一段記錄。三、實(shí)驗(yàn)設(shè)備PC機(jī)、Ethereal 軟件、WinpCap軟件四、背景知識Ethereal 是一個(gè)有名的網(wǎng)絡(luò)端口探測器，是可以在 Linux 、 Solaris 、 SGI 等各種平臺運(yùn)行的網(wǎng)絡(luò)監(jiān)聽軟件，它主要是針對 TCP/IP 協(xié)議的不安全 性對運(yùn)行該協(xié)議

2、的機(jī)器進(jìn)行監(jiān)聽。其功能相當(dāng)于Windows下的Sniffer ,都是在一個(gè)共享的網(wǎng)絡(luò)環(huán)境下對數(shù)據(jù)包進(jìn)行捕捉和分析，而且還能夠自由 地為其增加某些插件以實(shí)現(xiàn)額外功能。 Ethernet 網(wǎng)絡(luò)監(jiān)測工具可在實(shí)時(shí)模 式或離線模式中用來捕獲和分析網(wǎng)絡(luò)通信。下面是使用 Ethereal 可以完成的幾個(gè)工作：網(wǎng)絡(luò)管理員使用它去幫助解決網(wǎng)絡(luò)問題網(wǎng)絡(luò)安全工程師用它去測試安全問題開發(fā)人員用它是調(diào)試協(xié)議的實(shí)現(xiàn)過程用它還可以幫助人員深入的學(xué)習(xí)網(wǎng)絡(luò)協(xié)議下面是Ethereal提供的一些特性：支持UNIX平臺和 Windows平臺。從網(wǎng)絡(luò)接口上捕獲實(shí)時(shí)數(shù)據(jù)包以非常詳細(xì)的協(xié)議方式顯示數(shù)據(jù)包可以打開或者存貯捕獲的數(shù)據(jù)包導(dǎo)入/導(dǎo)

3、出數(shù)據(jù)包，從/到其它的捕獲程序按多種方式過濾數(shù)據(jù)包按多種方式查找數(shù)據(jù)包根據(jù)過濾條件，以不同的顏色顯示數(shù)據(jù)包可以建立多種統(tǒng)計(jì)數(shù)據(jù)五、實(shí)驗(yàn)步驟1、安裝 Ethereal 和 WinpCap。有的Ethereal中自帶WinpCap就不需要再另外安裝了。實(shí)驗(yàn)室里面一 般安裝好了。下載地址：.Ethereal.安裝好后，桌面上會出現(xiàn)“”圖標(biāo)，為Ethereal的桌面快捷方式。2、啟動Ethereal，界面如下：圖1 Ethereal 啟動界面最初的窗口中沒有數(shù)據(jù)，因?yàn)檫€沒有開始捕獲數(shù)據(jù)包，首先來認(rèn)識一 下界面。Ethereal主窗口有很多的 GUI程序組成：(1) File(文件)：這個(gè)菜單包含：打開

4、文件、合并文件、保存/打印/導(dǎo)出整個(gè)或部分捕獲文件、退出。(2) Edit( 編輯)這個(gè)菜單包括：查找包、時(shí)間參照、標(biāo)記一個(gè)或多個(gè) 包、設(shè)置參數(shù)、(剪切、復(fù)制、粘貼)。(3) View(查看)：這個(gè)菜單控制捕獲數(shù)據(jù)的顯示，包括：給定特定的一類包標(biāo)以不同的顏色、字體縮放、在一個(gè)新窗口中顯示一個(gè)包、展開&折疊詳細(xì)信息面板的樹狀結(jié)構(gòu)。(4) Go :這個(gè)菜單實(shí)現(xiàn)轉(zhuǎn)到一個(gè)特定包。(5) Capture(捕獲)：這個(gè)菜單實(shí)現(xiàn)開始、停止捕獲，編輯捕獲過濾條件的功能。（6）Analyze（分析）：這個(gè)菜單包含編輯顯示過濾、enable（開）或disable（關(guān)）協(xié)議解碼器、配置用戶指定的解碼方法、追蹤一個(gè)T

5、CP流。（7）Statistics（ 統(tǒng)計(jì)）：該菜單完成統(tǒng)計(jì)功能。包括捕獲的包的一個(gè) 摘要、基于協(xié)議的包的數(shù)量等樹狀統(tǒng)計(jì)圖等許多功（8）Help（幫助）這個(gè)菜單包含了一些對用戶有用的信息。比如基本幫助、支持的協(xié)議列表、手冊頁、在線訪問到等等。3、使用 Capture Options 對話框。要想獲得一個(gè)跟蹤記錄，我們首先從Capture（捕獲）菜單中選擇“ Capture Options ”（捕獲選項(xiàng)），并用Capture Options對話框來指定跟 蹤記錄的各個(gè)方面。CaptureIrterfa ce:iv.-layer header t/peEtherneiEuff&rsiue. 1by

6、tesj Capture packets in promiscuous mcdeLimit each packet to 一吋:megab;tes!Capture FiletslDisplay Optionse list of packets in realtiAutomatic scrolling in Ei/e cspLire巨 rJpKtfil? ever/tJ&ftfilE e-.er;I tlide capture info dialogRing buffer withStop Capture.apture Filter:Use rnultipie files. after. aft

7、erStep capture afterj Enable LliCnarne resolutionI. . afterT Eraijie network name resolutionJ| Efranspertnam rsclutinStartCartelMicrosoft DeviceMPFJBS5B723F-A2D1-4DFO-a830-OCE3AOEBE22dIP address： 192 168 1.100圖 2 Caption Options選項(xiàng)框(1) In terface(接口)首先要選擇合適的接口，也就是網(wǎng)卡，如何不選擇合適的接口，可能 捕獲不到數(shù)據(jù)包。圖2中黃色框1,這個(gè)字段

8、指定在哪個(gè)接口進(jìn)行捕獲。這是一個(gè)下拉 字段，只能從中選擇 Ethereal識別出來的接口，要想捕獲到數(shù)據(jù)，首先 要選擇正確的適配器（網(wǎng)卡），如果一臺機(jī)器同時(shí)擁有以太網(wǎng)網(wǎng)卡和無線網(wǎng) 絡(luò)網(wǎng)卡，你必須選擇其中一個(gè)進(jìn)行監(jiān)測。（2）IP address（IP 地址）所選接口卡的IP地址。如果不能解析出IP地址，則顯示unknown（ 3） Link-layer header type（鏈路層頭類型 ）除非你在極個(gè)別的情況下可能用到這個(gè)字段，大多數(shù)情況下保持默認(rèn) 值。（ 4） Buffer size: n megabyte（s） （緩沖區(qū)大?。?n 兆 ）輸入捕獲時(shí)使用的 buffer 的大小。 這是核心

9、 buffer 的大小，捕獲的 數(shù)據(jù)首先保存在這里，直到寫入磁盤。如果遇到包丟失的情況，增加這個(gè) 值可能解決問題。本實(shí)驗(yàn)中保持默認(rèn)值。（ 5） Capture packets in promiscuous mode （在混雜模式捕獲包，綠色框 2）這個(gè)選項(xiàng)允許設(shè)置是否將網(wǎng)卡設(shè)置在混雜模式。 如果不指定， Ethereal 僅僅捕獲那些進(jìn)入你的計(jì)算機(jī)的或送出你的計(jì)算機(jī)的包。 （而不是 LAN 網(wǎng) 段上的所有包 ） 。要想把網(wǎng)絡(luò)接口設(shè)置為混雜模式， 需要對這臺計(jì)算機(jī)具有管理員特權(quán)。 本實(shí)驗(yàn)中保持默認(rèn)值。（6） Limit each packet to n bytes （限制每一個(gè)包為 n 字節(jié) ）

10、這個(gè)字段設(shè)置每一個(gè)數(shù)據(jù)包的最大捕獲的數(shù)據(jù)量。 有時(shí)稱作 snaplen 。如果 disable 這個(gè)選項(xiàng)默認(rèn)是 65535, 對于大多數(shù)協(xié)議來講中夠了。 本實(shí)驗(yàn)中保持默認(rèn)值。（ 7） Capture Filter（捕獲過濾，藍(lán)色框 3）這個(gè)字段指定一個(gè)捕獲過濾。 “在捕獲時(shí)進(jìn)行過濾”部分進(jìn)行討論。默認(rèn)是空的，即沒過過濾。也可以點(diǎn)擊標(biāo)為Capture Filter 的按鈕 ,Ethereal將彈出Capture Filters（ 捕獲過濾）對話框，來建立或者選擇一 個(gè)過濾。例如，你可以用下面的過濾器來捕獲那些只從IP地址發(fā)出和發(fā)往它的分組：。Ethereal過濾器功能很強(qiáng)，但是需要學(xué)習(xí)一種簡單的

11、過濾語言。本實(shí)驗(yàn)中保持默認(rèn)值，暫時(shí)不需設(shè)置。（8） Capture File（捕獲文件，紫色框 4）可以指定將捕獲的分組直接保存在一個(gè)文件中，而不是在存中。選擇 一個(gè)合適的文件夾，將捕獲的信息存入。（9） Use Multiple Files（使用多個(gè)文件，枚紅色框5）使用這個(gè)選項(xiàng)，分組可以被寫入多個(gè)文件。這些控制對于捕獲較大較 長的跟蹤記錄是很重要的。本實(shí)驗(yàn)中保持默認(rèn)值。（10）Stop Capture （停止捕獲）可以設(shè)定一些停止捕獲的選項(xiàng)，自動停止捕獲。本實(shí)驗(yàn)中保持默認(rèn)值。（11）Name Resolution （名字解析，黑色框 7）在任何可能的情況下，可以要求Ethereal把分中不

12、同的數(shù)字翻譯成為 人們易讀的名字。如：啟用 MAC地址轉(zhuǎn)換，Ethereal會將一部分地址轉(zhuǎn)化 為廠商的名稱。如啟用網(wǎng)絡(luò)地址轉(zhuǎn)換，Ethereal會試圖將一個(gè)網(wǎng)絡(luò)地址（的IP地址）轉(zhuǎn)化為一個(gè)主機(jī)名，如.foo.。本實(shí)驗(yàn)中保持默認(rèn)值。（實(shí)時(shí)更新分組列表，(12) Update list of packets in real time紅色框6）每個(gè)新的分組都會被添加到主窗口中的分組列表中去。本實(shí)驗(yàn)中請勾選。4、開始捕獲數(shù)據(jù)包。上述的各項(xiàng)選擇好后，點(diǎn)擊“ start ”開始捕獲數(shù)據(jù)包，下圖為捕獲時(shí) 的情形。 Ethereal; Capture fronn Microsoft .% of totalT

13、olal17170SCTP0DMTCP521536.2UDP109 J 5ichP10時(shí)將ARP2OSPF0Q們GRE00側(cè)NctSIOSIPX0o.oVINES0債呵Other00,呵Running3000;1Q圖2捕獲數(shù)據(jù)包這個(gè)窗口概述了被捕捉的各種類型包的量5、停止捕獲。大約等一段時(shí)間后（30-60秒），點(diǎn)擊“ stop ”按鈕，停止捕獲后，會 彈出下面的窗體，顯示了剛才捕獲到的包。工具欄過濾器工具欄捕捉包序號捕捉時(shí)間目的地址包內(nèi)容提要源地址上層協(xié)議菜單欄_.- -：h孚1二|勺我口 誦團(tuán)更琳 H口tearInfo包概況窗1.10D159.Z2lawca5M ZU . 161 jOT 2

14、11.IbL594 03.101599 19Z.16IBMhttpconi 1 nuaiian or non-http Traffic211. 161-159. 221*1 j i)KK i imIK.ll.LOT211.161. 159.2?TlrWS jurcsDgulrijiltmT 目 GHE5IDI211-16171517221S2716E1,100MTTP Cll1rTU1On or XHrrTTP iriTTKTCP htt|3 ieLZ .ACltJ 毎皂C=4320 ACk=J65 W1rk=39Z6 Len=D mttp CdHiriHiiiTion or norHrrp

15、TrafficTCP 5 http ACK Efo-SS Ack-40 Win-275 Lsn-CHTTP -rwt fp i r-rr u協(xié)議樹窗體協(xié)議樹窗體LIL口 fii-ia D02Q- MM 仙tl rf p.i- 2 町hdr 葉6 AftHn w4 r- & s F黑鬪-oonu n B o D I.7 obLor血罷Beb&卜7bA llill:dc_Cfljr：-iaJM-c*0.1 H_ F _B 叫.異.1 P.XH.IE包的ASCII代碼區(qū)包的16進(jìn)制代碼區(qū)圖3 網(wǎng)絡(luò)分析器Ethereal主界面上圖中標(biāo)示出了主界面的各個(gè)部分，大家要仔細(xì)觀察，了解捕獲的容。6、完成捕獲。

16、恭喜你！現(xiàn)在，你擁有了剛才在你的電腦通過網(wǎng)絡(luò)進(jìn)行交換的協(xié)議消息，你已經(jīng)完成了一次成功的協(xié)議數(shù)據(jù)捕獲。六、思考題Q1、你沒有手動進(jìn)行網(wǎng)絡(luò)訪問操作，但還是抓到了一些數(shù)據(jù)，請列出 你抓到的各種包的協(xié)議名稱，并上網(wǎng)查詢下這些包分別是起什么作用的？ 各是由誰發(fā)出的？Q2、從你抓到的第一個(gè)包到最后一個(gè)包持續(xù)的時(shí)間是多久？（默認(rèn)time列顯示的是開始捕獲后的以秒為單位的持續(xù)時(shí)間，如果要在time列以time-of-day格式顯示，請選擇 Ethereal 的View 下拉菜單，然后選擇時(shí)間顯示格式為 Time-of-day )Q3導(dǎo)出這些數(shù)據(jù)，你可以在Ethereal 的File命令菜單中選擇save菜單，

17、作為實(shí)驗(yàn)報(bào)告的結(jié)果。 I iI I i r h _- eWL5L -jr BP-.MH-WaMl YiMnCu-iliuiNLies tfT-aF-jjcbd Sdifdumi|P JMt： b開哺 0甘和 141 u*G-eSErEil： * rlipa dudOttTriec ut r 1OMQPrjireteir CffUrTET D F 瓠電I：甘 oftitt： Q iara cou a .Add KK B CTimaSlXlfEa口 .fifitiaitifi=takcDi i-r/Db5J7 -4 5. ?O3 7?l140 屯科g川九f dqufifv VB R37-3.CCV

18、RUUA3SB 44.M5470 LU.iS. 12.2M.su. 4 s. eta cm. lammmr.-.rtJTmj- = . .! .：1.1.世 qypf u =a,BQQM-：gQ rTL.Lis 詞.斗 n:XJIfl quflfy “El P Si- F-Ql. ErMrULTJ-quaty fiB tsTK-Cziz-jj? qpflffy teB e1 duhy B 靈QIUlUSi.U. J 5 5Fir EE 更e 典 pm*r 旳購？ E曲禪:徭日貝勲專審0說 白爲(wèi)工第呂 國* 中睿 QU凸 濾團(tuán)1亦Eerewm 凰|整由WhElm2555192.63.122C52

19、5、41 2C?342 5 13939719216812 2Q2344 C. 331062345 巧.612558 II0751192.19.12192.168.12255255N6NSN6NShie uery Nd 4ClWane query hb PS2.P.QQ.COM347丄5703刀358192.168.12255NBhJSName query nb ts? qQCCM(XiA34807910807192.168.12255N6Nquery H9 401349 44. 6050151192.168.12255NBNSWane query NB PS2. P. CC0MOX351 “X51792855MENSKane query NB TS7.CM4iwns Naive query hr nt .gj.gtimjucxw nbns Name query nb RS今，QQC Toxal dm a count: 6Maw Prmprpr Count: 0Max Data Count: 0 mix Setup Co