Ethereal使入门实验讲义.docVIP

实验一：Ethereal使用入门 一、实验目的 熟悉分组嗅探器Ethereal实验环境，学习使用Ethereal捕获数据的方法。 二、实验原理 “不闻不若闻之，闻之不若见之，见之不若知之，知之不若行之”-----中国谚语。 一个人对网络协议的理解通常通过以下方法能够得到极大的深化：观察它们的工作过程和使用它们，即观察两个协议实体之间交换的报文序列，钻研协议操作的细节，使协议执行某些操作，观察这些动作及其后果，这能够在仿真环境下或在如因特网这样的真实网络环境下完成。在Ethereal实验中，我们将采用后一种方法，使用桌面上的计算机在各种情况下运行网络应用程序，在计算机上观察网络协议与在因特网别处执行的协议实体进行交互和交换报文的情况。因此，你与你的计算机将是这些实际实验的组成部分，在实际动手实验中进行观察学习。 观察在执行协议的实体之间交换的报文的基本工具被称为分组嗅探器（packet sniffer）。顾名思义，一个分组嗅探器被动地拷贝（嗅探）由你的计算机发送和接收的报文，它也能存储并显示出这些被俘获报文的各个协议字段的内容。一个分组嗅探器本身是被动的，它观察运行在你计算机上的应用程序和协议收发的报文，但它自己从不发送任何分组。同样，接收到的分组也不会显式地标注是给分组嗅探器的。实际上，一个分组嗅探器收到的是运行在你机器上应用程序和协议收发的分组的备份。 图1显示了一个分组嗅探器的结构。图1的右边是正常的运行在你的计算机上的协议和应用程序（比如FTP client）。在图中虚线矩形中的分组嗅探器是在你计算机中额外安装的软件，由两部分组成：一部分是分组捕获库（packet capture library），一部分是分组解析器（packet analyzer）。分组获取库获得了从你主机发出或接收的每一个链路层数据帧的拷贝，更高层协议（HTTP、FTP、TCP、UDP、DNS、IP）传输的信息最终都被封装在链路层帧里，通过物理介质传送出去（如网线）。在图1中，假定物理介质为以太网，则上层协议数据被封装在以太网帧中。因而抓取了所有的链路层帧将使我们可以获取机器上的协议和应用程序收发的所有数据。 分组嗅探器的第二个部分是分组解析器（packet analyzer）。它将显示在一个协议信息包中的所有内容。为了做到这一点，分组解析器必须“理解”被协议交换的所有信息的结构。比如：假设我们想要显示HTTP协议所传递的信息的各个字段的内容，分组解析器理解以太网的帧格式，因此能从中截取IP分组；它也能理解IP分组的格式，因此从中截取TCP报文段；它能理解TCP报文段的格式，因此从中截取HTTP数据包。最后，它理解HTTP数据包的格式，知道HTTP信息的前几个字节将包含字符串“GET”、“POST”或“HEAD”。 图1 分组嗅探器结构 我们将使用Ethereal分组嗅探器［/］来做实验，用它来显示协议栈不同层次的协议收发的信息内容。（从技术角度上讲，Ethereal是你计算机上一个使用分组获取库的分组解析器。）Ethereal是一个免费的网络协议分析器，可以运行在 Windows、Linux/Unix、Mac计算机上。它是一个理想的分组解析器——它稳定，有较大的用户基础和良好的文档支持，包括用户指南（参见/docs/ user-guide）、手册页（参见/ethereal.1.html）和一个详细的FAQ (Frequently Asked Questions,“经常问到的问题”)，它有丰富的功能，能够分析500多种协议，拥有设计良好的用户界面，它除了工作在点对点协议（如PPP）上之外，还可以工作在使用以太网连入互联网的计算机上。Ethereal的名字就来源于以太网Ethernet协议。 三、实验步骤 1.获取Ethereal 为了运行Ethereal，你需要有一台支持Ethereal和libpcap分组获取库的计算机。如果这个libpcap软件未被安装到你的操作系统中，为了使用Ethereal你需要安装它。参见/download.html中给出的软件支持的操作系统列表和下载网址。 下载并安装Ethereal和libpcap软件： 如果需要，则下载安装libpcap软件。在Ethereal下载页中提供了libpcap软件的链接。对于Windows主机而言， libpcap被称为WinPCap,在http://winpcap.polito.it/可以找到它。参见http://winpcap.polito.it/上的FAQ question #2来决定你的机器上是否已被安装WinPCap。 到/下载并安装Ethereal 下载Ethereal用户指南。 Ethereal FAQ中有很多有帮助的建议和