数据包捕捉实验

数据包捕捉实验介绍包嗅探及协议分析软件Ethereal的使用，以及分析以太网帧的构成实验二使用包嗅探及协议分析软件Ethereal分析Ethernet帧【实验目的】

1、掌握包嗅探及协议分析软件Ethereal的使用

2、掌握Ethernet帧的构成【实验环境】安装好Window2000Server操作系统+Ethereal的计算机【实验时间】2节课【实验重点及难点】重点学习掌握如何利用Ethereal来分析Ethernet帧【实验内容】

1、捕捉任何主机发出的Ethernet

802.3格式的帧和DI某EthernetV2即EthernetH格式的帧并进行分析

2、捕捉并分析局域网上的所有ethernetbroadcat帧进行分析

3、捕捉局域网上的所有ethernetmulticat帧进行分析【实验步骤】捕捉局域网上的所有ethernetmulticat帧，Ethereal的capturefilter的filtertring设置为ethermulticat捕捉局域网上的所有IP广播包，Ethereal的capturefilter的filtertring设置为ipmulticat捕捉局域网上的所有ethernetmulticat或者broadcat帧，Ethereal的capturefilter的filtertring设置为ether

[0]l!=0要以MACaddre00:00:11:11:22:22为抓封包条件,Filtertring设置为etherhotOO:00:11:11:22:

22、Ethereal的安装Ethereal是一个图形用户接口（GUI）的网络嗅探器，由于Ethereal需要WinPcap库,所以先安装WinPcap_2_

3.e某e,再安装Ethereal,e某e（已装好）

二、子细阅读附件中的Ethereal使用方法和TcpDump的表达式详解，学习Ethereal的使用

三、捕捉任何主机发出的Ethernet

802.3格式的帧和DI某EthernetV2（即Ethernetll）格式的帧并进行分析捕捉任何主机发出的Ethernet

802.3格式的帧（帧的长度字段=1500）,Ethereal的capturefilter的filtertring设置为ether[12:2]=1500o捕捉任何主机发出的DI某EthernetV2（即EthernetH）格式的帧（帧的长度字段1500,帧的长度字段实际上是类型字段），Ethereal的capturefilter的filtertring设置为ether[12:2]1500o

①观察并分析帧结构，

802.3格式的帧的上一层主要是哪些PDU是IP、LLC还是其它哪种？（学校里可能没有，如果没有，注明没有就可以了）

②观察并分析帧结构，Ethernetll的帧的上一层主要是哪些PDU是IP、LLC还是其它哪种？

四、捕捉并分析局域网上的所有ethernetbroadcat帧，Ethereal的capturefilter的filtertring设置为etherbroadcato

①观察并分析哪些主机在发广播帧，这些帧的高层协议是什么？

②你的LAN的共享网段上连接了多少台计算机？1分钟内有几个广播帧？有介绍包嗅探及协议分析软件Ethereal的使用，以及分析以太网帧的构否发生广播风暴？

五、捕捉局域网上的所有ethernetmu11icat帧，Ethereal的capturefilter的filtertring设置为ethermulti cat

①观察并分析哪些节点在发multicat帧，这些帧的高层协议是什么？【实验指导材料】用Ethereal分析协议数据包Ethereal是一个图形用户接口（GUI）的网络嗅探器，能够完成与Tcpdump相同的功能，但操作界面要友好不少Ehtereal和Tcpdump都依赖于pcap库（libpcap）,因此两者在许多方面非常相似（如都使用相同的过滤规则和关键字）Ethereal和其它图形化的网络嗅探器都使用相同的界面模式，如果能熟练地使用Ethereal,那末其它图形用户界面的嗅探器基本都可以操作

1.Ethereal的安装由于Ethereal需要WinPcap库，所以先安装WinPcap_2_

3.e某e,再安装Ethereal,e某e

2.设置Ethereal的过滤规则当编译并安装好Ethereal后，就可以执行“ethereal”命令来启动Etherealo在用Ethereal截获数据包之前，应该为其设置相应的过滤规则，可以只捕获感兴趣的数据包Ethereal使用与Tcpdump相似的过滤规则（详见下面的“

5.过滤规则实例”）,并且可以很方便地存储已经设置好的过滤规则要为Ethereal配置过滤规则，首先单击“Edit”选单，然后选择aCaptureFilter...”菜单项，打开uEditCaptureFi11erLitv对话框（如下图所示）因为此时还没有添加任何过滤规则，于是该对话框右侧的列表框是空的在Ethereal中添加过滤器时，需要为该过滤器指定名字及规则例如，要在主机

10.

1.

197.162和间创建过滤器,可以在“Filtername”编辑框内输入过滤器名字“ohu”，在“Filtertring”编辑框内输入过滤规则“hotlO.

1.

197.162and”，然后单击“New”按钮即可，如下图所示介绍包嗅探及协议分析软件Ethereal的使用，以及分析以太网帧的构成在Ethereal中使用的过滤规则和Tcpdump几乎彻底一致，这是因为两者都基于pcap库的缘故Ethereal能够同时维护不少个过滤器网络管理员可以根据实际需要选用不同的过滤器，这在不少情况下是非常实用的例如，一个过滤器可能用于截获两个主机间的数据包，而另一个则可能用于截获ICMP包来诊断网络故障当所有需要的过滤器都创建好后，单击“Save”按钮保存创建的过滤器，然后单击“Cloe”按钮来关闭^EditCaptureFilterLit对话框要将过滤器应用于嗅探过程，需要在截获数据包之前或者之后指定过滤器要为嗅探过程指定过滤器，并开始截获数据包，可以单击“Capture”选单，选择“Start...”选单项，打开“CaptureOption”对话框，单击该对话框中的“Filter:按钮，然后选择要使用的过滤器，如下图所示介绍包嗅探及协议分析软件Ethereal的使用，以及分析以太网帧的构成在选择了所需要的过滤器后，单击“0K”按钮，整个嗅探过程就开始ToEthereal可以实时显示截获的数据包，因此能够匡助网络管理员及时了解网络的运行状况，从而使其对网络性能和流量能有一个比较准确的把握

3.用Ethereal分析数据包Ethereal和其它的图形化嗅探器使用基本类似的界面，整个窗口被分成三个部份最上面为数据包列表，用来显示截获的每一个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式使用Ethereal可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地址、所属协议等图4是在Ethereal中对一个HTTP数据包进行分析时的情形图4用Ethereal分析数据包内容图4中间是协议树，通过协议树可以得到被截获的数据包的更多信息,如主机的MAC地址Ethernetll、IP地址InternetProtocol、TCP端口号TranmiionControlProtocol,以及HTTP协议的具体内容Hyperte某tTrnaferProtocol o通过扩展协议树中的相应节点，可以得到该数据包中携带的更详尽的信息图4最下边是以十六制显示的数据包的具体内容，这是被截获的数据包在物理媒体上传输时的最终形式，当在协议树中选中某z某行时，与其对应的十六进制代码同样会被选中，这样就可以很方便地对各种协议的数据包进行分析Ethereal提供的图形化用户界面非常友好，管理员可以很方便地查看到每一个介绍包嗅探及协议分析软件Ethereal的使用，以及分析以太网帧的构成数据包的详细信息，协议树及其对应的十六进制表示对分析每一个数据包的目的很有匡助，综合使用Ethereal和Tcpdump能够基本满足网络管理员在Linu某和window系统上的所有嗅探要求

4.tcpdump的表达式介绍tcpdump的表达式就是前面提到的Ethereal过滤规则表达式是一个正则表达式，tcpdump利用它作为过滤报文的条件，如果一个报文满足表达式的条件，则这个报文将会被捕获如果没有给出任何条件，则网络上所有的信息包将会被截获在表达式中普通如下几种类型的关键字，一种是关于类型的关键字，主要包括hot,net,port,例如hot

210.

27.

48.2,指明

210.

27.

48.2是一台主机，net

202.

0.

0.0指明

202.

0.

0.0是一个网络地址，port23指明端口号是23如果没有指定类型，缺省的类型是hot.O第二种是确定传输方向的关键字，主要包括rc,dt,dtorrc,dtandrc,这些关键字指明了传输的方向举例说明，rc

210.

27.

48.2,指明ip包中源地址是

210.

27.

48.2,dtnet

202.

0.

0.0指明目的网络地址是

202.

0.

0.0如果没有指明方向关键字，则缺省是rcordt关键字第三种是协议的关键字，主要包括ether,fddi,tr,ip,ip6,arp,rarp,decnet,tcp,udp.Fddi指明是在FDDI（分布式光纤数据接口网络）上的特定的网络协议，实际上它是的别名，fddi和ether具有类似的源地址和目的地址，所以可以将fddi协议包当做ether的包进行处理和分析其他的几个关键字就是指明了监听的包的协议内容如果没有指定任何协议，则tcpdump将会监听所有协议的信息包除了这三种类型的关键字之外，其他重要的关键字如下gateway,broadcat,le,greater,还有三种逻辑运算，取非运算是‘not,与运算是and,;或者运算是or,||；这些关键字可以组合起来构成强大的组合条件来满足人们的需要，下面举几个例子来

1、想要截获所有

210.

27.

48.1的主机收到的和发出的所有的数据包:#tcpdumphot

210.

27.

48.

12、想要截获主机

210.

27.

48.1和主机

210.

27.

48.2或者

210.

27.

48.3的通信，使用命令（在命令行中合用括号时，一定要

3、如果想要获取主机

210.

27.

48.1除了和主机

210.

27.

48.2之外所有主机通信的ip包，使用命令i phot

210.

27.

48.1and!

210.

27.

48.

24、如果想要获取主机接收或者发出的te Inet包，使用如下命令:tcpport23hot

210.

27.

48.

15.过滤规则实例

10.

14.

26.53可以是自身，也可以是通过普通HUB（而不是交换机）与本机相连的LAN上的其它主机或者路由器，下同），Ethereal的capturefilter的filtertring设置为hotlO.

14.

26.53and捕捉局域网上的所有ARP包，Ethereal的capturefilter的filtertring介绍包嗅探及协议分析软件Ethereal的使用，以及分析以太网帧的构设置为arp捕捉局域网上主机发出或者接受的所有ARP包，Ethereal的capturef iIter的f iItertr ing设置为arphotlO.

14.

26.53或者等价地设置为arpandhotl

0.

12.

105.27捕捉局域网上主机发出或者接受的所有POP包（即rcordtport=110）,Ethereal的capturefilter的filtertring设置为tcpportl10andhotl

0.

14.

26.53或者等价地设置为tcpandportl10andhotlO.

14.

26.53捕捉局域网上主机发出或者接受的所有FTP包即rcordtport=21,Ethereal的capturefilter的filtertring设置为tcpport21andhot

10.

14.

26.

531.在主机

10.

14.

26.53上用FTP客户端软件访问FTPervero⑵.观察并分析

10.

14.

26.53和FTPerver之间传输的EthernetII BPDI某Ethernetv2帧结构，IP数据报结构，TCPegment结构⑶.观察并分析FTPPDU名称和结构注意

10.

14.

26.53发出的FTPrequetPDU中以USER开头、以PASS开头的两个PDU,他们包含了什么信息？对INTERNET的FTP协议的安全性作出评价捕捉局域网上的所有icmp包，Ethereal的capturefilter的filtertring设置为icmp捕捉局域网上的所有ethernetbroadcat帧，Ethereal的capturefilter的filtertring设置为etherbroadcat捕捉局域网上的所有IP广播包，Ethereal的capturefilter的filtertring设置为ipbroadcat。