Ethereal使用入门实验讲义.pdfVIP

实验一：Ethereal使用入门

一、实验目的

熟悉分组嗅探器Ethereal实验环境，学习使用Ethereal捕获数据的方法。

二、实验原理

“不闻不若闻之，闻之不若见之，见之不若知之，知之不若行之”中国谚语。

一个人对网络协议的理解通常通过以下方法能够得到极大的深化：观察它们的工

作过程和使用它们，即观察两个协议实体之间交换的报文序列，钻研协议操作的细节，

使协议执行某些操作，观察这些动作及其后果，这能够在仿真环境下或在如因特网这

样的真实网络环境下完成。在Ethereal实验中，我们将采用后一种方法，使用桌面上

的计算机在各种情况下运行网络应用程序，在计算机上观察网络协议与在因特网别处

执行的协议实体进行交互和交换报文的情况。因此，你与你的计算机将是这些实际实

验的组成部分，在实际动手实验中进行观察学习。

观察在执行协议的实体之间交换的报文的基本工具被称为分组嗅探器（packet

sniffer）。顾名思义，一个分组嗅探器被动地拷贝（嗅探）由你的计算机发送和接收的

报文，它也能存储并显示出这些被俘获报文的各个协议字段的内容。一个分组嗅探器

本身是被动的，它观察运行在你计算机上的应用程序和协议收发的报文，但它自己从

不发送任何分组。同样，接收到的分组也不会显式地标注是给分组嗅探器的。实际上，

一个分组嗅探器收到的是运行在你机器上应用程序和协议收发的分组的备份。

图1显示了一个分组嗅探器的结构。图1的右边是正常的运行在你的计算机上的

协议和应用程序（比如FTPclient）。在图中虚线矩形中的分组嗅探器是在你计算机中

额外安装的软件，由两部分组成：一部分是分组捕获库（packetcapturelibrary），一

部分是分组解析器（packetanalyzer）。分组获取库获得了从你主机发出或接收的每一个

链路层数据帧的拷贝，更高层协议（HTTP、FTP、TCP、UDP、DNS、IP）传输的信

息最终都被封装在链路层帧里，通过物理介质传送出去（如网线）。在图1中，假定物

理介质为以太网，则上层协议数据被封装在以太网帧中。因而抓取了所有的链路层帧

将使我们可以获取机器上的协议和应用程序收发的所有数据。

分组嗅探器的第二个部分是分组解析器（packetanalyzer）。它将显示在一个协议

信息包中的所有内容。为了做到这一点，分组解析器必须“理解”被协议交换的所有

信息的结构。比如：假设我们想要显示HTTP协议所传递的信息的各个字段的内容，

分组解析器理解以太网的帧格式，因此能从中截取IP分组；它也能理解IP分组的格式，

因此从中截取TCP报文段；它能理解TCP报文段的格式，因此从中截取HTTP数据包。

最后，它理解HTTP数据包的格式，知道HTTP信息的前几个字节将包含字符串“GET”、

“POST”或“HEAD”。

图1分组嗅探器结构

我们将使用Ethereal分组嗅探器［］来做实验，用它来显示

协议栈不同层次的协议收发的信息内容。（从技术角度上讲，Ethereal是你计算机上一

个使用分组获取库的分组解析器。）Ethereal是一个免费的网络协议分析器，可以运行

在Windows、Linux/Unix、Mac计算机上。它是一个理想的分组解析器——它稳定，有

较大的用户基础和良好的文档支持，包括用户指南（参见

user-guide）、手册页（参见）和一个详细的FAQ

(FrequentlyAskedQuestions,“经常问到的问题”)，它有丰富的功能，能够分析500多种

协议，拥有设计良好的用户界面，它除了工作在点对点协议（如PPP）上之外，还可以

工作在使用以太网连入互联网的计算机上。Ethereal的名字就来源于以太网Ethernet协

议。

三、实验步骤

1.获取Ethereal

为了运行Ethereal，你需要有一台支持Ethereal和libpcap分组获取库的计算机。如果

这个libpcap软件未被安装到你的操作系统中，为了使用Ethereal你需要安装它。参见

中给出的软件支持的操作系统列表和下载网址。

下载并安装Ethe