計算機(jī)網(wǎng)絡(luò)：實(shí)驗(yàn)3 網(wǎng)絡(luò)協(xié)議分析軟件Ethreal

1、實(shí)驗(yàn)三 網(wǎng)絡(luò)協(xié)議分析軟件Ethereal 實(shí)驗(yàn)指導(dǎo)及實(shí)驗(yàn)報告班級 姓名 學(xué)號1. 實(shí)驗(yàn)?zāi)康?) 學(xué)會正確安裝和配置網(wǎng)絡(luò)協(xié)議Ethereal軟件；2) 學(xué)會使用Ethereal分析各種網(wǎng)絡(luò)協(xié)議，加深對協(xié)議格式、協(xié)議層次和協(xié)議交互過程的理解。2. 實(shí)驗(yàn)環(huán)境1) 運(yùn)行Windows 2000/2003 Server/XP操作系統(tǒng)的PC一臺。2) 每臺PC具有一塊以太網(wǎng)卡，通過雙絞線與局域網(wǎng)相連。3) Ethereal程序（可以從下載）。3. 實(shí)驗(yàn)步驟1 安裝網(wǎng)絡(luò)協(xié)議分析儀a) 安裝WinPcap。雙擊WinPcap圖標(biāo)，進(jìn)入安裝過程。根據(jù)提示進(jìn)行確認(rèn)，可順利安裝系統(tǒng)。若程序安裝成功，Windows

2、2000/2003 Server操作系統(tǒng)將會在“本地連接屬性”菜單上出現(xiàn)“Network Monitor Driver”項(xiàng)，而Windows XP則只會在后臺出現(xiàn)該項(xiàng)。說明：網(wǎng)絡(luò)協(xié)議分析軟件Ethereal的運(yùn)行需要軟件WinPcap（wpcap.dll）的支持，應(yīng)當(dāng)在執(zhí)行Ethereal前先安裝WinPcap。如果沒有安裝WinPcap，則在執(zhí)行“Ethereal/Capture/Start”時會出現(xiàn)如圖1所示的錯誤。圖1 沒有安裝驅(qū)動程序錯誤b) 安裝Ethereal。雙擊Ethereal-setup軟件圖標(biāo)，選擇軟件的安裝目錄后，開始安裝過程。當(dāng)協(xié)議分析儀安裝成功后，將會在“程序”菜單上

3、出現(xiàn)“Ethereal”程序組。2 使用Ethereal分析協(xié)議a) 啟動系統(tǒng)。點(diǎn)擊“Ethereal”程序組中的“Ethereal”圖標(biāo)，將會出現(xiàn)如圖2所示的系統(tǒng)操作界面。頂部視圖中間視圖底部視圖圖2 Ethereal系統(tǒng)主界面b) 分組俘獲。點(diǎn)擊“Capture/Start”菜單或選擇快捷圖標(biāo)Start a new live capture，出現(xiàn)圖3所示的界面。其中：Interface：指定在哪個接口（網(wǎng)卡）上抓包。一般情況下都是單網(wǎng)卡，所以使用缺省的就可以了。Capture packets in promiscuous mode：是否打開混雜模式。如果打開，抓取所有的數(shù)據(jù)包。一般情況下只

4、需要監(jiān)聽本機(jī)收到或者發(fā)出的包，因此應(yīng)該關(guān)閉這個選項(xiàng)。Limit each packet：限制每個包的大小，缺省情況不限制Filter：過濾器。只抓取滿足過濾規(guī)則的包（可暫時略過）。 File：如果需要將抓到的包寫到文件中，在這里輸入文件名稱。Ring buffer with：是否使用循環(huán)緩沖。缺省情況下不使用，即一直抓包。注意，循環(huán)緩沖只有在寫文件的時候才有效。如果使用了循環(huán)緩沖，還需要設(shè)置文件的數(shù)目，文件多大時回卷，其他的項(xiàng)選擇缺省的就可以了。當(dāng)按“Stop” （停止）按鈕時，系統(tǒng)停止俘獲分組并將已經(jīng)俘獲的分組信息裝載在分析系統(tǒng)中。圖3 俘獲分組配置界面c) 協(xié)議分析。如圖1-4所示，在上部

5、的窗口中，有幀編號（No.）、時間（Time）、源地址（Source）、目的地址（Destination）、協(xié)議（Protocol）和信息（Info）等列，各列下方依次排列著俘獲的分組。中部的窗口給出選中幀的詳細(xì)內(nèi)容。下部窗口中顯示與中部窗口對應(yīng)的該協(xié)議幀的某字段的十六進(jìn)制數(shù)值內(nèi)容。圖4 協(xié)議分組界面例如，可選擇其中第12號幀進(jìn)行分析（參見圖5）。從圖中的中間視圖可見該幀的詳細(xì)信息：第一欄，顯示幀信息。到達(dá)時間為09年8月30號的20:11:03.824657000；相對前一個包的時間延遲是0.185232000秒；傳輸時間為俘獲后的4.209044000秒；幀號為12；包長度為60個字節(jié)；捕

6、獲到的長度是60字節(jié)。第二欄，顯示以太網(wǎng)信息。MAC地址是00 : 21 :27 : 1c :76 :ba；目的地址MAC地址是00 : 1d : 09 : 34 : 13 : 2e。第三欄，顯示因特網(wǎng)協(xié)議信息。包的源地址是61.152.242.231；目的地址是192.168.1.100；版本號4；包頭長20字節(jié)等。第四欄，顯示傳輸控制協(xié)議信息。源端口80；目的端口2917等。此外，我們還可以將俘獲的幀與網(wǎng)絡(luò)教材中的ARP、UDP、ICMP、SNMP等協(xié)議幀格式進(jìn)行對照，并分析其中的信息。分別在過濾工具欄中輸入ARP、UDP、ICMP、SNMP等過濾條件，找到相應(yīng)的包，解析其中的信息，以加深

7、對這些應(yīng)用層協(xié)議幀的理解和認(rèn)識。圖5 對第12號幀的分析d) 使用Ethereal的顯示過濾器在抓包完成以后，顯示過濾器可以用來找到你感興趣的包，可以根據(jù)1)協(xié)議；2)是否存在某個域；3)域值；4)域值之間的比較來查找你感興趣的包。例如，如果你只想查看使用tcp 協(xié)議的包，在ethereal 窗口的左下角的Filter 中輸入tcp， 然后回車，ethereal 就會只顯示tcp 協(xié)議的包。如圖6所示。圖6 只顯示TCP協(xié)議的包值比較表達(dá)式和表達(dá)式組合可以使用自然語言類c 表示，如圖7所示。圖7 表達(dá)式過濾注：只有在Filter的背景是綠色，才說明你設(shè)定的Filter是Ethereal允許的，當(dāng)背景是紅色時，就說明設(shè)定的Filter是Ethereal不允許的。3 其他a) 俘獲UDP分組。分析其中的MAC分組、IP分組和UDP分組的關(guān)系，以及各個協(xié)議字段中的內(nèi)容。復(fù)