网络协议分析工具etheral安装和使用.doc

网络协议分析工具etheral的安装和使用 实验目的 了解常用协议数据包的帧格式 掌握Etheral侦测、记录和分析数据包的方法 实验要求 使用Etheral捕获并分析几种协议数据包的信息 实验理论基础 网络监听工具及其种类 网络监听工具分为软件和硬件两类。软件的网络监听工具是目前应用最广泛的，其优点是价廉物美，易于学习使用；缺点是无法抓取网络上所有的传输，在某些情况下也就无法真正了解网络的故障和运行情况。硬件的网络监听工具通常称为协议分析仪，一般都是商业性的，价格也比较贵。 网络监听防范 目前对于网络监听的主要防范有： 从逻辑或物理上对网络分段 以交互式集线器代替共享式集线器 使用加密技术 划分VLAN Etheral Ethereal是免费的网络协议检测程序，支持Unix和Windows，它的主要功能有： 监视功能用于计算并显示实时网络通信量数据。 捕获功能用于捕获网络通信量并将当前数据包存储在缓冲区（或者文件）中，以备将来分析使用。 分析功能用于在捕获过程中分析网络数据包，并对网络中潜在的问题发出警告。 显示功能用于解码和分析捕获缓冲区中的数据包，并用各种格式加以显示。 统计功能用于从不同角度统计数据包。 过滤规则的语法 Ethereal的过滤器使用pcap (libpcap/WinPcap) 过滤器语言，不同于Ethernet显示过滤器的语言。所有的过滤规则都用原语表达，中间可用and/or/not进行连接，格式为： [not] 原语 [and|or [not] 原语 ...] 一个原语可以是以下形式中的一种： [src|dst] host host，依照IP地址或者名字过滤。 如在IP层要捕获所有流经IP地址为0的数据包，规则是：host 0 [src|dst] host ehost，依照以太网主机地址过滤。 如在以太网层要 所有流经物理地址为08:00:08:15:ca:fe的数据包，规则是：ether host 08:00:08:15:ca:fe gateway host host，依照网关过滤。 [src|dst] net net [{mask mask}|{len len}]，依照掩码、掩码长度过滤 [tcp|udp] [src|dst] port port，依照TCP/UDP端口号过滤 如在TCP层要捕获所有流经80端口的TCP数据包，规则是：tcp port 80 less|greater length，依照数据包的长度过滤 ip|ether proto protocol，依照协议过滤，既可以是以太网层，也可以是IP层 ether|ip broadcast|multicast，依照以太网或者IP广播或多播过滤 expr relop expr，依照数据包的字节或者字节范围创建复杂的过滤表达式。 如要捕获所有流经IP地址是0的所有非HTTP的数据包，规则是：host 0 and not tcp port 80 这里src|dst表示源地址或者目的地址，如果没有src|dst则表示所捕获的地址既可以是源地址，也可以是目的地址。tcp|udp必须出现在src|dst之前，如果没有tcp|udp则表示该地址所采用的协议既可以是TCP，也可以是UDP。有关原语的详细内容，请参见 HYPERLINK /tcpdump_man.html /tcpdump_man.html。 实验环境 一台PC机 Etheral的安装软件 实验方法 安装 Etheral的安装非常简单，只要按照提示安装即可。 运行 双击桌面的Ethereal，显示“The Ethereal Network Analyzer”的主界面，菜单的功能是： 设置规则 这里有两种方式可以设置规则： 使用interface 选择Capture—interfaces，将显示该主机的所有网络接口和所有流经的数据包，单击“Capture”按钮，及执行捕获。 如果要修改捕获过程中的参数，可以单击该接口对应的“Prepare”按钮。在捕获选项对话框中，可以进一步设置捕获条件： Interface——确定所选择的网络接口 Limit each packet to N bytes——指定所捕获包的字节数。 选择该项是为了节省空间，只捕获包头，在包头中已经拥有要分析的信息。 Capture packet in promiscuous mode——设置成混杂模式。 在该模式下，可以记录所有的分组，包括目的地址非本机的分组。 Capture Filter——指定过滤规则 有关过滤规则请查阅以下使用Filter方式中的内容。 Capture files——指定捕获结果存放位置 Update list of packets in real time——实时更新分组 每个新分组会随时在显示结