ethereal使用以及IP协议解析.docVIP

主界面介绍 随着3G的普及，手机数据业务量（如浏览器，彩信等）的日益增长，对手机侧网络包的分析显得越来越重要。 一般来说，手机数据业务的抓包工具为QXDM，在抓LOG指导里面已经有了详细参数的配置介绍(详情见《IP数据包抓取方法.doc》)。但需要注意的是，在将LOG转化为.pcap文件时，必须保证当前电脑里安装有Ethereal软件，否者PCAPGenerator这个工具不会出现。（针对使用Tools-PCAPGenerator转化.isf文件出错的情况，可以做如下尝试：先使用Tools-ISF File Converter将刚刚保存的.isf文件其转化为.dlf文件，然后使用Tools-PCAPGenerator将.dlf文件转换成.pcap文件）。 这里主要针对抓到IP包后，怎么样使用Ethereal软件对IP包进行分析，以及一些简单的TCP/IP协议介绍。 直接点击打开.pcap文件，可以看到如下图1所示界面。 图1 中间彩色的区域就是IP数据包。从左到右，字段分别是No.，Time，Source，Destination，Protocol以及Info。IP包是按照流经手机网卡的时间顺序排列的，NO.是标示抓到的IP包是该抓包文件中的第几个，Time则是计算的所有包与第一个包之间的间隔时间，单位毫秒ms。Source和Destination字段分别表示IP包的源地址和目的地址。Protocol显示当前IP包的上层协议，如TCP，UDP，如果应用层协议头也在该IP包中，优先显示应用层协议，如RTSP，HTTP等。 注意中间的彩色显示，不同的颜色代表该IP包中包含了不同内容，这是方便我们对IP包查看。如上面的大红色，表示的是该数据包损坏，可能是只有一半的内容，也可能是指在该包与其他包的序号不连续（指在协议层不连续），中间可能出现丢包的现象。很多时候，Ethereal是用不同颜色来区分上层协议的不同（注意IP包中必须包含上层协议的包头，才能以该应用的颜色进行标示。因为很多数据包比较大，是通过几个IP包进行传输的，那么就只有第一个包是以上层应用的颜色进行标示，后面的显示为协议层颜色）。如下图2中，可以看到DNS是以淡蓝色标示，ICMP是以黑色标示，TCP的同步（SYNFIN建立TCP连接的三次握手）以深灰色进行标示，而其它的TCP包则以浅灰色标示，HTTP协议使用绿色进行标示等等。 图2 留意界面上的Filter框，这个是一个过滤器，可以在界面上过滤掉你不需要查看的包，只留下需要的东西。 图3 该过滤器可以通过协议字段进行过滤，只在界面上显示所有包中的符合过滤条件的数据包，如图3所示。 也可以通过Source，destination字段进行过滤（通常用在IP的杂收模式，因为只要流经网卡的包都会被杂收上来，这样就需要过滤源地址和目的地址为本机地址的数据包）。当需要显示所有的数据包时，点击输入框右侧的Clear，就可以清除当前的过滤条件。 数据包协议分析界面 选定你想查看的数据包，然后看中间的协议分析栏，如图4所示。 图4 可以看到整个数据包被分为了几部分，Frame，Raw Packet data，Internet Protocol，Transmission control Protocol以及Hypertext Transfer Protocol。 其中Frame显示的是该包的一些信息，Arrival time为收到包的时间（009-5-13，需要注意的是这个时间是本地时间，即当前手机显示的时间），Frame Number是当前包在整个文件中位置（可以看出这是第13个包），Packet Length是协议中表示该包的长度（522bytes），而Capture Length是实际抓到的包的长度（与Packet Length相同，则表明抓包的时候数据没有丢失，否者认为是破损包，标示为大红色），Protocols in frame是包中包含的协议（这个包网络层协议是IP，传输层是TCP，应用层是HTTP），Coloring Rules指的是在主界面显示颜色是根据那一层协议显示的。 Raw Packet Data为空，按常理来说这个地方应该显示的是物理层协议的详细信息，例如使用Ethereal对电脑的网卡抓包的话，这个地方显示的为Ethernet，解析的是以太网层协议信息，如目的网卡和原网卡的MAC地址之类的物理层信息。因为这里是抓的手机包，不太清楚为什么物理层协议这显示的是空的。还需要跟踪继续对相应的协议进行分析。 Internet Protocol很明显可以看出这里就是对网络层——IP协议的解析。对照图5，对解析出来的每个字段，分析IP层协议。 图5 Version标明当前使用的是IPv4的IP协议（现在使用的趋势是IPv6）；He