（精）网络流量分析.ppt

实验五 网络流量分析 1.1 ethereal下载 1.2 ethereal安装 1.3 ethereal使用详解 双击启动桌面上ethereal图标 ，按ctrl+K进行 “capture option”的选择。 选择 正确的NIC，进行报文的捕获。支持 WLan无 线的相关协议。 Interface是选择捕获接口 Capture packets in promiscuous mode表示是否打开混杂模式，打开即捕获所有的报文，一般我们只捕获到本机收发的数据报文，所以关掉 Limit each packet 表示 限制每个报文的大小 Capture files 即捕获数据包的保存的文件名以及保存位置 capture option确认选择后，点击ok就开始进行抓包 同时就会弹出“Ethereal:capture form (nic) driver”，其中(nic)代表本机的网卡型号。 同时该界面会以协议的不同统计捕获到报文的百分比 点击stop即可以停止抓包 1.4 实验内容及要求 【实验题目】 网络流量分析 【实验目的与要求】 ⑴学会网络协议分析仪的安装； ⑵掌握利用网络协议分析仪进行网络流量分析; Interface 接口 捕获过滤 capture的下拉菜单 capture的Capture filter 捕获过滤 如果要捕获特定的报文，那在抓取packet前就要设置，决定数据包的类型。 FIlter name：任意命名 Filter string： 这里要注意了，这里语法输 入有点技巧。嘿嘿look：。 比如说： a.捕获 MAC地址为 00:d0:f8:00:00:03 网络设备通信的所有报文 ? ether host 00:d0:f8:00:00:03 b.捕获 IP地址为 网络设备通信的所有报文 ? host c.捕获网络web浏览的所有报文 ? tcp port 80 d.捕获除了http外的所有通信数据报文 ? host and not tcp port 80 提示：如果以 默认主机和端口的设置捕获 tcp/ip报文，你将看不到自身的arp报文。 capture的Capture filter Filter string 语法输入的格式 [src|dst] host host ether [src|dst] host ehost gateway host host [src|dst] net net [{mask mask}|{len len} [tcp|udp] [src|dst] port port less|greater length ip|ether proto protocol ether|ip broadcast|multicast expr relop expr 符号在Filter string语法中的定义 Equal: eq, == (等于） Not equal: ne, != （不等于） Greater than: gt, （大于） Less Than: lt, ??? （小于） Greater than or Equal to: ge, = （大等于） Less than or Equal to: le, =??? （小等于） Capture filter的应用步骤 Display filters 显示过滤 可以直接在主界面的filter上选择 Analyze的下拉菜单 Analyze下的Display filters 正确的语法如下，和“Capture Filter”的语法有所不同： 显示 以太网地址为 00:d0:f8:00:00:03 设备通信的所有报文 eth.addr==00.d0.f8.00.00.03 显示 IP地址为 网络设备通信的所有报文? ip.addr== 显示所有设备web浏览的所有报文 tcp.port==80 显示除了http外的所有通信数据报文 ip.addr== tcp.port!=80 Analyze的下拉菜单 Enable protocols 是否启用该协议的解析， 点选该协议后，相关的上 层协议才能显示出来。 Analyze的下拉菜单 Decode As 用户定义报文协议说明 User Specified Decodes 用户修改的报文编译 Analyze的Decode As Decode As 用户定