数据包捕获与协议分析 青农大计算机网络.docVIP

计算机网络实验（实习）报告 Ⅰ. 实验（实习）名称 ： 数据包捕获与协议分析 实验（实习）日期 2012年11月26日 专业 姓名： 学号： 一．实验目的： 1．了解抓包与协议分析软件的简单使用方法。 2．了解并验证网络上数据包的基本结构。 二．实验环境 1．硬件：PC、配备网卡，局域网环境。 2．软件：Windows 2000或者XP操作系统、winpcap、analyzer。 三．实验内容 利用Ethereal软件抓取网络上的数据包（HTTP、ICMP、 IP、TCP），并作相应分析。 四．实验步骤 安装 Etheral的安装非常简单，只要按照提示安装即可。 运行 双击桌面的Ethereal，显示“The Ethereal Network Analyzer”的主界面，菜单的功能是： 设置规则 这里有两种方式可以设置规则： 使用interface 选择Capture—interfaces，将显示该主机的所有网络接口和所有流经的数据包，单击“Capture”按钮，及执行捕获。 如果要修改捕获过程中的参数，可以单击该接口对应的“Prepare”按钮。在捕获选项对话框中，可以进一步设置捕获条件： Interface——确定所选择的网络接口 Limit each packet to N bytes——指定所捕获包的字节数。 选择该项是为了节省空间，只捕获包头，在包头中已经拥有要分析的信息。 Capture packet in promiscuous mode——设置成混杂模式。 在该模式下，可以记录所有的分组，包括目的地址非本机的分组。 Capture Filter——指定过滤规则 有关过滤规则请查阅以下使用Filter方式中的内容。 Capture files——指定捕获结果存放位置 Update list of packets in real time——实时更新分组 每个新分组会随时在显示结果中出现，但在重网络流量时会出现丢包现象。 Stop Capture limits——设置停止跟踪的时间 如捕获到一定数量的分组（…after N packets）、跟踪记录达到一定的大小(…after N megabytes)或在一个特定的时间后(…after N minutes)。 Name resolution——设置名字解析 如启用MAC地址转换（Enable MAC name resolution），可以将地址转换成厂商、网络地址转换(Enable network name resolution)，可以将地址转换成主机名、传输名字转换(Enable transport name resolution)，可以将端口号翻译成协议，但在重网络流量时会出现丢包现象。 设定完毕后，单击“OK”按钮将按照新设定的条件执行捕获。 使用filter 选择Capture—Capture Filter，显示过滤器对话框，该过滤器可以过滤掉不感兴趣的数据包，使捕获的结果减少。 单击“New”按钮，在Filter Name和Filter Sting中填入过滤器名称和过滤规则，最后单击“Save”按钮保存过滤规则。 捕获数据包 选择Capture—Start，将按照事先设定的过滤规则进行捕获。捕获结束时，单击“Stop”按钮。没有设定过滤条件时，表示捕获流经本机的所有数据包。 产生一个满足捕获条件的动作选择想要抓取的协议。 分析结果 捕获结束后，捕获结果将按时间顺序显示在跟踪列表框（第一个窗口）中，包括序号、发送时间、源地址、目的地址、协议等信息，其中源地址和目的地址是物理地址。单击表头中的标题，可以重新按照该标题排序。 抓包协议分析 协议数据包窗口 具体分析如下： 捕获的数据包默认按照时间的顺序全部显示在窗口中，窗口的选项从左到右分别是：包序号（NO.）、时间（Time,单位为秒）、数据包的源IP地址（Source）、数据包的目的IP地址（Destination）、协议类型(Protocol)、包信息概述（Info）。 上述包分析如下： 包号是2；当前包到达时间距离第一个包到达的时间是2.247044秒（当前包就是第一个到达）；包的源IP地址是30； 图 协议树窗口 上面是一个协议树窗口。协议树窗口显示的协议层次与网络协议的层次对应，下面是上面这个例子的对应关系： Frame对应的协议层次是帧，Ethernet II对应的协议层次是数据链路层，Internet Protocol对应的协议层次是网络层，Transmission Control Protocol对应的协议层次是传输层。 每个树节点下的都是该数据包在该层的具体参数和数据。要了解每个树节点的