1-网络协议分析工具Ethereal(Wireshark)的使用.ppt

* Capture Filter 的过滤规则（1） 过滤规则共有两种形式： 一个原语（Primitive）； 用 ”and”, “or”, “not” 关系运算符，以及括号”()”将原语组合起来而构成的表达式； 因此，我们只要掌握了原语的写法，再用关系运算符把它们组合起来，就可以写出满足各种不同要求的过滤规则了。 * Capture Filter 的过滤规则（2） ether [src|dst] host mac_addr 捕获所有源或目的MAC地址是 ”08:00:1B:D3:D3:61”的以太网帧 ether host 08:00:1B:D3:D3:61 捕获所有源MAC地址是 ”08:00:1B:D3:D3:61”的以太网帧 ether src host 08:00:1B:D3:D3:61 [src|dst] host ip_addr 捕获所有源或目的IP地址是 ”3”的报文 host 3 捕获所有目的IP地址是 ”3”的报文 dst host 3 * Capture Filter 的过滤规则（3） [tcp|udp] [src|dst] port number 捕获所有源或目的端口号是80的TCP协议的包 tcp port 80 捕获所有目的端口号是53的UDP协议的包 udp dst port 53 arp | ip | icmp | udp | tcp 等 ?捕获所有ICMP协议的包 icmp ?捕获所有ARP协议的包 arp * Capture Filter 的过滤规则（4） 用关系运算符组合原语举例: 例1：捕获主机 0 发出或收到的，除HTTP协议之外的所有网络包 host 0 and not tcp port 80 注：HTTP协议通常使用TCP 端口号 80。 例2：记主机 0为 A，捕获 A 与主机 0 或 A 与主机 0 之间的网络包 host 0 and (host 0 or host 0 ) * 附录一：traceroute 和 tracert traceroute 请参见课程网站上的文章“Traceroute-from-Linux.doc” tracert 请参见课程网站上的文章 “Tracert-from-Microsoft.doc” * 附录二：DNS（Domain Name System） 起因 历史 域名 (Domain Names) 域名服务器 (Name Servers) 域名解析 (Name Resolution) 资源纪录 (Resource Records) DNS消息 * DNS – 起因 网络设备使用IP地址，但IP地址难于记忆 人们容易记忆有意义的名字 DNS (Domain Name System) 就是用于在IP地址和主机名字之间进行相互转换的查询系统。 * DNS – 历史 在DNS产生之前，人们使用一个文本文件来记录IP地址和主机名字之间的映射 /etc/hosts 今天仍然在使用 1983年之后，人们逐渐开始使用DNS. RFC 882, 883 1983 RFC 1034, 1035 1987 -- today * DNS – 域名 Internet上的主机数目极其巨大 (4.4亿个, Jul 2006), 如何管理数目如此巨大的名字呢？ 方法：把Internet上的主机名字组织成分层的树状结构。 模仿地名系统 : 国家 - 省份 - 城市 - 街道 * DNS – 域名 (续) 树状结构上的每一个非叶节点都对应于一个域 (domain)。 树状结构上的每一个叶节点都对应于一个主机名字。 一个域可以包含子域或主机名字。 * DNS – 域名 (续) 树状结构上的每一个节点都具有一个标记，这个标记被称为该节点的 label。 兄弟节点不可以具有相同的 label, 但非兄弟节点可以。 * DNS – 域名 (续) 域的名字或主机的名字被称为域名 (Domain Name)。 域名由该节点到根节点路径上的每个节点的 label 连接而成，并且这些 label 之间用‘.’分开。 例如：, , 等 * DNS – 域名 (续) Label 的最大长度为63个字节, 域名的最大长度为255个字节 (RFC 1034)。 域名不区分大小写 www.DLut.E 域名可以被分为两类： Absolute: . Relative: ssdut * DNS – 域名 (续) 顶级域 (Top Level Domains