实验1 网络协议分析.pdfVIP

实验 1 网络协议分析 1. 实验目的 1. 了解一种网络数据捕获工具的基本功能和使用方法。 2. 掌握 IP、TCP 协议的格式及工作过程 3. 掌握 ICMP 协议的格式及工作过程 2. 实验环境 1. 实验室提供 PC 2. Red Hat Linux 9.0 （或Ubuntu Linux 8.04 ） 3. Windows XP 3．实验原理 网络分析(network analysis)是指捕捉网络流动的数据包，将网络数据转换成可读格 式，通过查看包内部数据来发现网络中的问题，分析网络性能并发现瓶颈；监视网络通信量， 观察网络协议的行为，了解网络的运行状态；深入了解网络协议的功能。 这一单元介绍些计算机网络分析/监视工具的用法。 3.1 网络分析系统的基本原理 3.1.1 Libpcap 函数库 网络分析系统的工作依赖于一套捕捉网络数据包的函数库。最早的网络数据包捕捉函数 库是 UNIX 系统中的 Libpcap 函数库。现在大部分 UNIX 数据包捕获系统都基于 Libpcap 或者 是在其基础上做些针对性的改进。之后，意大利人 Fulvio Risso 和 Lofts Degioanni 为 Windows 系统提出并实现了一个功能强大的开发式数据包捕获平台——Winpcap 函数库。 3.1.2 网络分析系统的结构和工作过程 一个网络分析器通常由 5 部分组成:硬件、捕包驱动、包缓冲区、实时协议分析和解码 器。 网络数据包捕捉函数库工作在网络分析系统的最底层，作用是将一个数据包从链路层接 收，即从网卡取得数据包或者根据过滤规则取出数据包的子集。 捕包函数捕回数据包后就需要将其转变给上层的分析模块，进行协议分析和协议还原工 作。由于 OSI 的7 层协议模型，协议数据是从上到下判装后发送的。由于协议分析需要从下 至上进行:首先对网络层的协议识别后进行组包还原，然后脱去网络层协议头，将里面的数 据交给传输层分析，这样一直进行到应用层。 3.1.3 基于插件技术的协议分析器 采用插件技术，就是在程序的设计开发过程中，把整个应用程序分成宿主程序和插件两 个部分，宿主程序与插件能够相互通信。在宿主程序不变的情况下，就可以通过增减插件或 修改插件来调整应用程序的功能。运用插件技术可以开发出伸缩性良好、便于维护的应用程 序，程序有很强的可扩展性，各个功能模块内聚性强。 现在的网络协议种类繁多，为了可以随时增加新的协议分析器，一般的协议分析器都采 用插件技术。这样，如果需要对一个新的协议进行分析，只需开发编写这个协议分析器并调 用注册函数在系统注册就可以使用了。 3.2 网络协议分析器Ethereal 3.2.1 Ethereal 概述 1.Ethereal的特点 Ethereal 是一个可以对活动的网络上或磁盘中捕获数据并分析的重要软件，它有如下 一些特点。 (1)它是当前较为流行的一种计算机网络调试和数据包嗅探软件，可以应用于故障修复、 分析、软件和协议开发以及教育领域。 (2)可以在实时时间内，从网络连接处捕获数据，或者从被捕获文件处读取数据。 (3)它是一种开发源代码的许可软件，允许用户向其中添加改进方案。 (4)可以运行在所有的主流操作系统之上(Windows，Linux，Solaris)。 (5)支持的网络通信协议是所有的抓包工具中最全面的，几乎所有的协议，Ethereal 都 有相应的解码器，可以从以太网、FDDI、PPP、令牌环、IEEE 802.11、ATM 上的 IP 和回路 接口上读取实时数据。 (6)支持几乎所有的抓包工具的保存格式，可以读取从 tcpdump(1ibpcap)、网络通用嗅 探器(被压缩和未被压缩)、SnifferTM专业版等多种网络监控器处捕获的文件。 (7)可以通过editcap 程序的命令行交换机，有计划地编辑或修改被捕获文件。 (8)可以通过显示过滤器精确地显示数据，输出文件可以被保存或打印为纯文本格式。 2.Ethereal的下载和安装Ethereal的下载地址 http://winpcap.polito.it/install/default.htm /distrubution/win32/ 注意：以上两个网址中，第一个为；winpcap 的网址，第二个网址 Ethereal 不再使用。 Et