用Ethereal分析协议数据包

《用Ethereal分析协议数据包》由会员分享，可在线阅读，更多相关《用Ethereal分析协议数据包（7页珍藏版）》请在装配图网上搜索。

1、第一部分 网络原理实验1.数据链路层协议分析实验（2.5 学时）以太网的工作原理，以太网的MAC层协议分析l虚拟局域网的基本概念， VlAN 的划分， Trunk 配置和分析l网络实验相关工具软件简介；2. 网络层协议分析实验（2.5学时）lIP 数据报的格式分析，lARP 协议分析lICMP 协议分析lPING、 tracert 命令执行过程3. 传输层协议分析实验（2.5 学时）lTCP、UDP 报文格式分析lTCP 连接的建立和释放过程分析lTCP 的滑动窗口机制分析4. 应用层协议分析实验（2.5 学时）lDNS报文格式分析，DNS工作过程分析lHttp 报文格式分析， Http 工作

2、过程分析lftp 协议和工作过程分析第二部分 路由协议分析实验1.RIP 协议分析实验（5 学时）l静态路由的配置lRIP协议的配置lRIP报文格式分析lDV算法分析进制l触发更新与水平分割用 Ethereal 分析协议数据包Ethereal是一个图形用户接口（GUI）的网络嗅探器，能够完成与Tcpdump相同的功 能，但操作界面要友好很多。Ehtereal和Tcpdump都依赖于pcap库（libpcap），因此 两者在许多方面非常相似（如都使用相同的过滤规则和关键字）。Ethereal和其它图形 化的网络嗅探器都使用相同的界面模式，如果能熟练地使用Ethereal，那么其它图形用 户界面的

3、嗅探器基本都可以操作。Ethereal 的安装在htt p:/www.e 网站上可以下载到最新的Et hereal源码包。下面以Et hereal 0.9.9为例，讲述如何安装Ethereal，此处使用的操作系统是Red Hat &0。 首先下载最新的源码包，并将其解压缩：# cp et hereal-0.9.9 .t ar.bz2 /usr/local/src/# cd /usr/local/src/# bzip2 -d et hereal-0.9.9 .t ar.bz2# tar xvf et hereal-0.9.9 .tar同Tcpdump 样，在编译Ethereal之前应先确定已经安

4、装pcap库（libpcap），这是编 译 Ethereal 时所必需的。如果该库已经安装，就可以执行下面的命令来编译并安装 Ethereal：# cd et hereal-0.9.9# ./configure# make# make install设置Ethereal的过滤规则当编译并安装好Ethereal后，就可以执行“ethereal”命令来启动Ethereal。在用Ethereal 截获数据包之前，应该为其设置相应的过滤规则，可以只捕获感兴趣的数据包。 Ethereal 使用与Tcpdump相似的过滤规则，并且可以很方便地存储已经设置好的过滤规则。要为 Ethereal配置过滤规则，首

5、先单击“Edit”选单，然后选择“Capture Filters. ”菜 单项，打开 “Edit Capture Filterlis t”对话框（如图1所示）。因为此时还没有添加任何过滤规则，因而该对话框右侧的 列表框是空的。Save | | Close图 1Ethereal 过滤器配置对话框在 Ethereal 中添加过滤器时，需要为该过滤器指定名字及规则。例如，要在主机 10.1.197.162和间创建过滤器，可以在“Filter name”编辑框内输入过 滤器名字“sohu”，在Filter string”编辑框内输入过滤规则host 10.1.197.162 and ”，然后单击“Ne

6、w”按钮即可，如图2所示。图 2 为 Ethereal 添加一个过滤器在 Ethereal 中使用的过滤规则和 Tcpdump 几乎完全一致，这是因为两者都基于 pcap 库的 缘故。Ethereal能够同时维护很多个过滤器。网络管理员可以根据实际需要选用不同的 过滤器，这在很多情况下是非常有用的。例如，一个过滤器可能用于截获两个主机间的数 据包，而另一个则可能用于截获ICMP包来诊断网络故障。当所有需要的过滤器都创建好后，单击“Save”按钮保存创建的过滤器，然后单击“Close” 按钮来关闭“Edit Capture Filter list对话框。要将过滤器应用于嗅探过程，需要在 截获数据

7、包之前或之后指定过滤器。要为嗅探过程指定过滤器，并开始截获数据包，可以 单击“Capture”选单，选择“Start”选单项，打开“Capture Options”对话框，单 击该对话框中的“Filter:”按钮，然后选择要使用的过滤器，如图3所示。图3为Ethereal指定过滤器 注意在 “Capture Options”对话框中，“Update list of packets in real tim6复选 框被选中了。这样可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束 之后才显示所有截获的数据包。在选择了所需要的过滤器后，单击“0K”按钮，整个嗅探过程就开始了。Ethere

8、al可以 实时显示截获的数据包，因此能够帮助网络管理员及时了解网络的运行状况，从而使其对 网络性能和流量能有一个比较准确的把握。用 Ethereal 分析数据包Ethereal 和其它的图形化嗅探器使用基本类似的界面，整个窗口被分成三个部分：最上 面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选 定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据 包在物理层上传输时的最终形式。使用 Ethereal 可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地 址、所属协议等。图4是在Ethereal中对一个HTTP数据包进行分析时

9、的情形。在图 3最上边的数据包列表中，显示了被截获的数据包的基本信息。从图中可以看出，当 前选中数据包的源地址是10.1.197.162，目的地址为61.135.150.65，该数据包所属的协 议是超文本传输协议(HTTP)。更详细的信息表明该数据包中含有一个HTTP的GET命令， 要求下载starrtlog.js文件到客户端的Web浏览器。图4用Ethereal分析数据包内容图 4 中间是协议树，通过协议树可以得到被截获的数据包的更多信息，如主机的 MAC 地址 (Et herne t II)、IP 地址(Int erne t Proto col)、TCP 端口号(Transmission

10、ControlProtocol),以及HTTP协议的具体内容(Hypertext Trnasfer Protocol)。通过扩展协议 树中的相应节点，可以得到该数据包中携带的更详尽的信息。图4最下边是以十六制显示的数据包的具体内容，这是被截获的数据包在物理媒体上传输 时的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中，这样 就可以很方便地对各种协议的数据包进行分析。Ethereal 提供的图形化用户界面非常友好，管理员可以很方便地查看到每个数据包的详 细信息，协议树及其对应的十六进制表示对分析每个数据包的目的很有帮助，综合使用 Ethereal和Tcpdump能够基本满足

11、网络管理员在linux系统上的所有嗅探要示。用 EtherApe 查看网络流量EtherApe也是一个图形化的网络嗅探器。与Ehtereal不同，EtherApe通过验证主机与主 机之间的链接，图形化地显示网络目前所处的状态。EtherApe使用不同颜色的连线来表 示位于不同主机之间的连接，而连线的粗细则表明主机间数据流量的大小。这些信息都是 实时变化的，因而能够协助管理员随时了解到网络中各部分流量的变化情况。EtherApe 的安装EhterApe支持Ethernet、FDDI和Token Ring等多种网络，能够实时地从网络或文件中 读取网络流量的变化情况。此外它还可以将网络流量信息保存下

12、来，以便在之后需要时再 显示出来。在 htt p:/www.sourceforge.ne t/projec ts/e therape/网站上可以下载到最新 的EtherApe源码包。下面以Ethereal 0.8.2为例，讲述如何安装EtherApe (使用的操 作系统是 RedHat 8.0)。首先下载最新的源码包并将其解压缩，代码如下：# cp et herape-0.8.2 .t ar.gz /usr/local/src/# cd /usr/local/src/# tar xzvf et herape0.8.2 .t ar.gzEtherApe使用的是GNOME这一图形用户接口库。与Et

13、hereal和Tcpdump 样，它也使用 pcap库（libpcap）对网络上传输的数据包进行截获和过滤。在编译EtherApe之前，应先 确定所需的这些库已经安装好，因为这是编译EtherApe时所必需的。如果这些库已经安 装，就可以执行下面的命令来编译并安装Et herApe：# cd et herape-0.8.2# ./configure# make# make install用 EtherApe 分析网络流量当编译并安装好EtherApe后，就可以执行“etherape”命令来启动EtherApe。当用EtherApe截获在网络上传输的数据包时,也需要先为其指定过滤规则，否则Eth

14、reApe 将捕获网络中的所有数据包。单击工具栏上的“Pref. ”按钮，打开“Preferences”对话 框，在该对话框中的“Capture”属性页中，可以找到用于设置过滤规则的“Capture filter” 下拉框。由于采用的都是pcap库，因此EtherApe过滤规则的设置与Tcpdump和Ethereal 是相同的。设置好过滤规则后，单击工具栏上的“St ar t”按钮，就可以开始对网络中感兴趣的数据 包进行嗅探。EhterApe图形化地显示网络流量，图5是当EtherApe处于Ethernet模式 下时的网络流量图。图 5 EtherApe 监测的 Ethernet 流量图Eth

15、erApe 提供了 TokenRing、FDDI、Ethernet、IP 和 TCP 五种监听模式。当处于 Ethernet 模式下时，EtherApe会截获所有符合过滤规则的以太网数据包，但有时网络管理员可能 只对IP数据包感兴趣，这时可以将EtherApe切换到IP模式。单击“Capture”菜单，选 择“Mode”菜单项，然后再选择相应的模式,就可以完成模式之间的切换。图6是当EhterApe 处于IP模式下时的网络流量图。图 6 EtherApe 监测的 IP 流量图EtherApe 能够以图形的方式显示网络流量。用户看到的是一个很直观的用于表示网络上 各主机间流量大小的图，而不是单个的数据包，因而更容易从整体上把握整个网络的运行 状况，在定位网络故障时相对来说也变得更加容易。