實(shí)驗(yàn)一：Ethereal使用入門實(shí)驗(yàn)講義

1、 實(shí)驗(yàn)一：Ethereal使用入門一、實(shí)驗(yàn)?zāi)康氖煜し纸M嗅探器Ethereal實(shí)驗(yàn)環(huán)境，學(xué)習(xí)使用Ethereal捕獲數(shù)據(jù)的方法。二、實(shí)驗(yàn)原理學(xué)生對(duì)網(wǎng)絡(luò)協(xié)議的理解通常通過以下方法能夠得到極大的深化：觀察它們的工作過程和使用它們，即觀察兩個(gè)協(xié)議實(shí)體之間交換的報(bào)文序列，鉆研協(xié)議操作的細(xì)節(jié)，使協(xié)議執(zhí)行某些操作，觀察這些動(dòng)作及其后果，這能夠在仿真環(huán)境下或在如因特網(wǎng)這樣的真實(shí)網(wǎng)絡(luò)環(huán)境下完成。在Ethereal實(shí)驗(yàn)中，我們將采用后一種方法，使用桌面上的計(jì)算機(jī)在各種情況下運(yùn)行網(wǎng)絡(luò)應(yīng)用程序，在計(jì)算機(jī)上觀察網(wǎng)絡(luò)協(xié)議與在因特網(wǎng)別處執(zhí)行的協(xié)議實(shí)體進(jìn)行交互和交換報(bào)文的情況。因此，你與你的計(jì)算機(jī)將是這些實(shí)際實(shí)驗(yàn)的組成部分，

2、在實(shí)際動(dòng)手實(shí)驗(yàn)中進(jìn)行觀察學(xué)習(xí)。觀察在執(zhí)行協(xié)議的實(shí)體之間交換的報(bào)文的基本工具被稱為分組嗅探器（packet sniffer）。顧名思義，一個(gè)分組嗅探器被動(dòng)地拷貝（嗅探）由你的計(jì)算機(jī)發(fā)送和接收的報(bào)文，它也能存儲(chǔ)并顯示出這些被俘獲報(bào)文的各個(gè)協(xié)議字段的內(nèi)容。一個(gè)分組嗅探器本身是被動(dòng)的，它觀察運(yùn)行在你計(jì)算機(jī)上的應(yīng)用程序和協(xié)議收發(fā)的報(bào)文，但它自己從不發(fā)送任何分組。同樣，接收到的分組也不會(huì)顯式地標(biāo)注是給分組嗅探器的。實(shí)際上，一個(gè)分組嗅探器收到的是運(yùn)行在你機(jī)器上應(yīng)用程序和協(xié)議收發(fā)的分組的備份。圖1顯示了一個(gè)分組嗅探器的結(jié)構(gòu)。圖1的右邊是正常的運(yùn)行在你的計(jì)算機(jī)上的協(xié)議和應(yīng)用程序（比如FTP client）。在圖

3、中虛線矩形中的分組嗅探器是在你計(jì)算機(jī)中額外安裝的軟件，由兩部分組成：一部分是分組捕獲庫（packet capture library），一部分是分組解析器（packet analyzer）。分組獲取庫獲得了從你主機(jī)發(fā)出或接收的每一個(gè)鏈路層數(shù)據(jù)幀的拷貝，更高層協(xié)議（HTTP、FTP、TCP、UDP、DNS、IP）傳輸?shù)男畔⒆罱K都被封裝在鏈路層幀里，通過物理介質(zhì)傳送出去（如網(wǎng)線）。在圖1中，假定物理介質(zhì)為以太網(wǎng)，則上層協(xié)議數(shù)據(jù)被封裝在以太網(wǎng)幀中。因而抓取了所有的鏈路層幀將使我們可以獲取機(jī)器上的協(xié)議和應(yīng)用程序收發(fā)的所有數(shù)據(jù)。分組嗅探器的第二個(gè)部分是分組解析器（packet analyzer）。它將顯

4、示在一個(gè)協(xié)議信息包中的所有內(nèi)容。為了做到這一點(diǎn)，分組解析器必須“理解”被協(xié)議交換的所有信息的結(jié)構(gòu)。比如：假設(shè)我們想要顯示HTTP協(xié)議所傳遞的信息的各個(gè)字段的內(nèi)容，分組解析器理解以太網(wǎng)的幀格式，因此能從中截取IP分組；它也能理解IP分組的格式，因此從中截取TCP報(bào)文段；它能理解TCP報(bào)文段的格式，因此從中截取HTTP數(shù)據(jù)包。最后，它理解HTTP數(shù)據(jù)包的格式，知道HTTP信息的前幾個(gè)字節(jié)將包含字符串“GET”、“POST”或“HEAD”。 圖1 分組嗅探器結(jié)構(gòu)我們將使用Ethereal分組嗅探器 Windows、Linux/Unix、Mac計(jì)算機(jī)上。它是一個(gè)理想的分組解析器它穩(wěn)定，有較大的用戶基礎(chǔ)

5、和良好的文檔支持，包括用戶指南（參見user-guide）、手冊(cè)頁（參見(Frequently Asked Questions,“經(jīng)常問到的問題”)，它有豐富的功能，能夠分析500多種協(xié)議，擁有設(shè)計(jì)良好的用戶界面，它除了工作在點(diǎn)對(duì)點(diǎn)協(xié)議（如PPP）上之外，還可以工作在使用以太網(wǎng)連入互聯(lián)網(wǎng)的計(jì)算機(jī)上。Ethereal的名字就來源于以太網(wǎng)Ethernet協(xié)議。三、實(shí)驗(yàn)步驟1.獲取Ethereal為了運(yùn)行Ethereal，你需要有一臺(tái)支持Ethereal和libpcap分組獲取庫的計(jì)算機(jī)。如果這個(gè)libpcap軟件未被安裝到你的操作系統(tǒng)中，為了使用Ethereal你需要安裝它。參見下載并安裝Ethe

6、real和libpcap軟件：l 如果需要，則下載安裝libpcap軟件。在Ethereal下載頁中提供了libpcap軟件的鏈接。對(duì)于Windows主機(jī)而言， libpcap被稱為WinPCap,在http:/winpcap.polito.it/可以找到它。參見http:/winpcap.polito.it/上的FAQ question #2來決定你的機(jī)器上是否已被安裝WinPCap。l 到l 下載Ethereal用戶指南。Ethereal FAQ中有很多有幫助的建議和有趣的信息，如果在安裝運(yùn)行Ethereal過程中遇到問題它們可能很有用。2.運(yùn)行Ethereal當(dāng)你運(yùn)行Ethereal，E

7、thereal的圖形用戶界面將被顯示（如圖2所示）。初始狀態(tài)，在各個(gè)窗口都沒有數(shù)據(jù)顯示。Ethereal界面有五個(gè)主要部分（捕獲到數(shù)據(jù)后可以看到）： 圖2：Ethereal用戶圖形界面l 命令菜單（command menus）是位于窗口上部的標(biāo)準(zhǔn)下拉菜單。我們現(xiàn)在感興趣的是“文件”(File)、“捕獲”(Capture)子菜單?！拔募辈藛慰梢员４姹徊东@的分組數(shù)據(jù)或打開一個(gè)包含過去捕獲的分組數(shù)據(jù)的文件，以及退出Ethereal?！安东@”菜單可以開始分組捕獲。l 分組列表窗口（packet-listing window）顯示了為每一個(gè)被捕獲的分組生成的一行總結(jié)，包括分組號(hào)（由Ethereal分配

8、，而并不是包含在協(xié)議頭部的分組號(hào)）、分組捕獲的時(shí)間、分組的源地址和目的地址、協(xié)議類型以及包含在分組中與協(xié)議相關(guān)的信息?？梢酝ㄟ^單擊列名來使分組列表按某一列數(shù)據(jù)排序。協(xié)議類型字段列出的是發(fā)送或接收該分組的最高層協(xié)議，也就是說列出的是這分組的源協(xié)議或最終協(xié)議。l 分組頭部詳細(xì)信息窗口（packet-header details window）提供了在分組列表窗口選擇的分組(高亮顯示)的詳細(xì)信息。（要在分組列表窗口選擇一個(gè)分組，將鼠標(biāo)放在窗口內(nèi)的該分組的一行總結(jié)上，左鍵單擊）。顯示的詳細(xì)信息包括：封裝該分組的以太網(wǎng)幀和IP數(shù)據(jù)報(bào)的信息?？梢酝ㄟ^點(diǎn)擊分組頭部詳細(xì)信息窗口以太網(wǎng)幀或IP數(shù)據(jù)報(bào)左邊的向右箭

9、頭或向下箭頭來擴(kuò)展或最小化被顯示的以太網(wǎng)層和IP層的詳細(xì)信息的數(shù)量。如果該分組是通過TCP或UDP攜帶傳送的，TCP或UDP協(xié)議的細(xì)節(jié)也可以被顯示，同樣也可以被擴(kuò)展或最小化。最后，發(fā)送或接收分組的最高層的協(xié)議細(xì)節(jié)也被提供。l 分組內(nèi)容窗口（packet-contents window）顯示被捕獲幀的全部?jī)?nèi)容（以ASCII碼和十六進(jìn)制格式顯示）。l 在Ethereal用戶窗口界面的上方是分組顯示過濾區(qū)域（packet display filter field），可以在此窗口輸入?yún)f(xié)議名或其他信息以過濾在分組列表窗口顯示的信息（從而過濾分組頭部詳細(xì)信息窗口和分組內(nèi)容窗口中的信息）。在下面的例子中，我

10、們將利用分組顯示過濾器區(qū)域讓Ethereal將所有與HTTP信息無關(guān)的分組隱藏起來3.Ethereal試運(yùn)行學(xué)習(xí)使用任何一種軟件最好的辦法是試著使用它。試著進(jìn)行以下操作：1) 啟動(dòng)你喜愛的瀏覽器，顯示你選擇的主頁2) 啟動(dòng)Ethereal軟件，一開始將看到一個(gè)與圖2相似的窗口，當(dāng)然由于Ethereal還沒有開始捕獲分組，在分組列表、分組頭部或分組內(nèi)容窗口沒有顯示任何分組數(shù)據(jù)3) 選擇“Capture”下拉菜單，選擇“Options”，“Ethereal Capture Options”窗口將顯示出來，如圖3所示。選擇“OK”，開始分組捕獲圖3：Ethereal捕獲選項(xiàng)窗口4) 你可以使用這個(gè)窗

11、口中的全部默認(rèn)值。你計(jì)算機(jī)上連接網(wǎng)絡(luò)使用的網(wǎng)絡(luò)接口（即物理網(wǎng)絡(luò)）將在“Capture Options”窗口中的上方的“Interface”下拉菜單顯示。如果你的機(jī)器有不止一個(gè)的活動(dòng)網(wǎng)絡(luò)接口（比如你有無線和有線的兩種以太網(wǎng)連接），你需要選擇一個(gè)被用于收發(fā)分組的接口（通常選有線接口）。選擇完接口后（或采用Ethereal選擇的默認(rèn)接口）點(diǎn)擊OK。分組捕獲現(xiàn)在開始所有被你主機(jī)發(fā)送或接收的分組都將被Ethereal捕獲！5) 一旦開始分組捕獲，將出現(xiàn)一個(gè)“分組捕獲總結(jié)窗口”，如圖4所示。這個(gè)窗口將總結(jié)被捕獲的不同類型的分組的數(shù)目，同時(shí)窗口中的“Stop”按鈕將使你可以停止捕獲（重要?。?。但現(xiàn)在還不要這

12、樣做。圖4：Ethereal分組捕獲窗口6) 當(dāng)Ethereal正運(yùn)行時(shí)，輸入以下URL:“/ethereal-labs/INTRO-ethereal-file1.html”，讓這個(gè)網(wǎng)頁顯示在你的瀏覽器中。為了顯示該網(wǎng)頁，你的瀏覽器將聯(lián)系在上的HTTP服務(wù)器，與服務(wù)器交換HTTP信息以下載該網(wǎng)頁。封裝這些HTTP信息的以太網(wǎng)幀將被Ethereal捕獲。7) 瀏覽器顯示INTRO-ethereal-file1.html頁后，在Ethereal捕獲窗口中選擇stop來停止Ethereal分組捕獲。這使Ethereal分

13、組捕獲窗口消失，主Ethereal窗口將顯示所有被捕獲分組。主Ethereal窗口看起來與圖2類似。你現(xiàn)在獲得的最新數(shù)據(jù)包含了在你主機(jī)與其他網(wǎng)絡(luò)實(shí)體之間交換的所有協(xié)議信息。與網(wǎng)絡(luò)服務(wù)器交換的HTTP報(bào)文應(yīng)該在被捕獲的分組列表中，但同時(shí)還有很多其他類型的分組顯示（比如在圖2中Protocol列顯示的多個(gè)不同的協(xié)議類型）。即使你只做了下載一個(gè)網(wǎng)頁這一個(gè)動(dòng)作，仍有許多不可見的協(xié)議運(yùn)行在你的主機(jī)上。今后我們將學(xué)習(xí)這些協(xié)議的更多知識(shí)?，F(xiàn)在你只要知道正在運(yùn)行的協(xié)議遠(yuǎn)遠(yuǎn)超過你肉眼看見的！8) 在Ethereal主窗口上方的分組顯示過濾窗口鍵入“http”（沒有引號(hào)，小寫在E

14、thereal中所有協(xié)議名均小寫）。然后選擇“Apply”（在你鍵入“http”的右邊）。這將使只有HTTP數(shù)據(jù)在分組列表窗口顯示。9) 選擇分組列表窗口的第一條HTTP報(bào)文。這應(yīng)該是從你機(jī)器上發(fā)往 HTTP服務(wù)器的HTTP GET報(bào)文。當(dāng)選中HTTP GET報(bào)文，以太網(wǎng)幀、IP數(shù)據(jù)報(bào)、TCP報(bào)文段、HTTP報(bào)文頭部信息將在分組頭部窗口顯示2。通過點(diǎn)擊分組詳細(xì)信息窗口左邊的加號(hào)和減號(hào)，最小化被顯示的幀、以太網(wǎng)、IP、TCP的信息量，最大化被顯示的HTTP協(xié)議的信息量。你的Ethereal應(yīng)與圖5相似（注意：在分組頭部窗口將HTTP協(xié)議信息量最大化，將其他協(xié)議的信息量最小化）圖5：第9步后的Ethereal顯示10) 退出Ethereal.四、實(shí)驗(yàn)問題探討第一個(gè)實(shí)驗(yàn)的目標(biāo)主要是介紹Ethereal?；卮鹣旅娴膯栴}將表明你已經(jīng)能夠啟動(dòng)運(yùn)行Ethereal，并探索了它的一些功能。根據(jù)Ethereal實(shí)驗(yàn)回答下列問題：1) 列出實(shí)驗(yàn)中的第7步時(shí)在未進(jìn)行過濾的分組列表窗口中協(xié)議列出現(xiàn)的不同協(xié)議2) 從發(fā)出HTTP GET到收到HTTP OK應(yīng)答需要多長(zhǎng)時(shí)間？（默認(rèn)地在分組列表窗口的時(shí)間列上記錄的是從Ethereal跟蹤數(shù)據(jù)以來