使用Et的hereal剖析数据包.ppt

第三章使用 Ethereal分析数据包 使用 Etherea可以帮助理解计算机网络体系 结构的实质,是信息类专业计算机网络必 备实验 该实验贯穿整个TCP|P协议层次,可以详 细分析数据链路层、网络层、传输层和应 用层的数据 抓包工具种类 Ethereal Sniffer Tcpdump(inux系统自带) 安装 Install winPcap? WinPcap is required to capture live network data, 5hould winPcap be installed? Currently installed winPcap version wvinPcap 4.0 IF selected, the currenthy installed WinPcap 4 D will be uninstalled first v Start WinO ce NPF at startup 抓包选择 eThereal: Capturc Options Interface是选择捕获接口 IP address Capture packets in promiscuous mode表示是否打P要电+是力开 开混杂模式,打开表示捕获所 pture FiltEr 有的报文,一般我们只捕获本cwm 机收发的数据报文 厂=m时时史新谈按口抽获的款据报文 Limit each packet表示限制rm 每个报文的大小 F Einn buffer ■ Capture files即捕获数据包的 厂 Nabb natwork 保存的文件名以及保存位置 选择抓取数据包的网卡 2 Ethereal: Capture Options ntel(R) PRo1000 MT Mobile connection dMicroson's Packet scheduler: e P address: Generic di cton (icroscit's Packet Scheduled): Device a capture VMware Virtual Ethemet Adapter. DericelNPF-JA2D806DC-3A52-4E98-892C-1C4 d Limit eat vmware Virtual Ethemet Adapter dEvic eINPF-1875A4006-7181-476B-8104-010FE D Update list of packets in real ime 口 Use mutiple fles trle every □ Hide capture nfo dialog na buner wain Name Reso uton M Enable MAC name re solution □ Enable network 口afeu M Enable trans port name resolution 示例 (1)NPF拨号适配器; (2) Intel PRO1000MT网卡; (3) VMware虚拟机适配器1; (4) ntel PRo无线网卡; (5) VMware虚拟机适配器2。 说明 般PC都带有NPF拨号适配器(很少使用)和某 种有线网卡接口(网卡型号可能有不同)。因为在 该PC中安装有虚拟机 VMware, VMware会显示 出两个虚拟机网卡接口选项,如果没有虚拟机, 就无此接口选项。如果某PC(主要是笔记本计算 机)装有无线网卡,就会有无线网卡接口选项。读 者选择哪个网卡接口进行抓包,是选择无线网卡 还是选择有线网卡,可以根据自己PC的具体情况 来定。作者的笔记本电脑安装有 ntel PRO 1000MT网卡,所有数据包都是依靠该网卡来捕 获的。 开始抓包并统计 capture option确认选择后, @Ethereal: Capture fo B.. -Oxl 点击ok就开始进行抓包 captured packets of total 同时就会弹出“ Ethereal: capture from(nic) driver”,其中(mic代 UDP 表本机的网卡型号 同时该界面会以协议的不同统CsFF 计捕获到报文的百分比 点击sop即可以停止抓包 t 抓包后显示 醚创Bx的已回下国 r,Fc吐t=3276日/:11 3延C G Ethernet工,src:cisc_ac:ε:00《o;1:d:a:ε8;,Dst:s1_ab B Internet Protocol, Src: 219.133.4 D> Dst Port: 4000(4000) 53让