Ethereal分析数据报文.pdf

实验二 利用网络嗅探工具 Ethereal 分析数据报文 一、实验目的 网络世界中，最基本的单元是数据包。本实验内容作为将来各个实验的基 础，培养对网络通讯协议底层的分析和认识，加强对网络的理解。实验内容主要关 注 ICMP 、HTTP 包的检验。 1．学习网络嗅探工具 Ethereal 的使用。 2 ．利用抓包工具Ethereal，抓取ICMP包，完成对ICMP 包的分析工作。明白 ICMP 包的结构。结合 TCP/IP 的模型，分析 ICMP 包各层的功能，以及各层通信 使用的地址，了解 ICMP 请求和响应包的 ICMP 协议号。 3 ．利用抓包工具 Ethereal ，抓取 HTTP 包。了解 HTTP 协议请求、响应包 类型，结合课本学习知识完成的 HTTP 协议的剖析和掌握。将来的课程实验 中，需要使用该工具进行包分析，判断大多数安全和网络通讯问题。 二、实验环境 1. 局域网环境 2. Ethereal软件 Ethereal 软件介绍 Ethereal是一个网络数据包分析软件。网络数据包分析软件的功能是截取网络 数据包，并尽可能显示出最为详细的网络数据包资料。网络数据包分析软件的 功能可想像成 电工技师使用电表来量测电流、电压、电阻的工作——只是 将场景移植到网络上，并将网络线替换成电线。 三、实验任务 1. 任务 1 ：Ethereal 软件的基本功能使用 2. 任务 2 ：ICMP 数据报文的检测与分析 3. 任务 3 ：HTTP 数据报文的检测与分析 四、实验步骤 首先安装Ethereal和Winpcap 。 任务 1 ：Ethereal 软件的基本功能使用 一、 打开 Ethereal ，其界面如下图： 二、在菜单的“capture”选项中设置抓包的相关参数，如下图： 三、选择“interfaces”选项，对话框中显示可操作的网络适配器，如下图： 四、通过“Prepare”或上级菜单“Option ”选项，可以设置抓包模式、过滤器、 数据包限制字节、存档文件模式、停止规则和名字解析等参数，如下图： 设置完毕，就可以点击“Capture”，开始数据报文的捕获。 任务 2 ：ICMP 数据报文的检测与分析 一、ICMP 原理介绍 ICMP 是“Internet Control Message Protocol” （Internet 控制消息协议）的缩写。 它是 TCP/IP 协议族的一个子协议，用于在 IP 主机、路由器之间传递控制消 息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消 息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要 的作用。从技术角度来说，ICMP 就是一个“错误侦测与回报机制”，其目的就 是能够检测网路的连线状况，也能确保连线的准确性，其功能主要有： 侦测远端主机是否存在。 建立及维护路由资料。 重导资料传送路径。 资料流量控制 ICMP协议对于网络安全具有极其重要的意义。ICMP协议本身的特点决 定了它非常容易被用于攻击网络上的路由器和主机。例如，在1999年8月海信 集团“悬赏”50万元人民币测试防火墙的过程中，其防火墙遭受到的ICMP攻击达 334050次之多，占整个攻击总数的90% 以上！可见，ICMP 的重要性绝不可以 忽视！比如，可以利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一 规定，向主机发起“Ping of Death” （死亡之Ping ）攻击。“Ping of Death”攻击的 原理是：如果ICMP数据包的尺寸超过64KB上限时，主机就会出现内存分配错 误，导致TCP/IP堆栈崩溃，致使主机死机。此外，向目标主机长时间、连续、 大量地发送ICMP数据包，也会最终使系统瘫痪。大量的ICMP数据包会形成 “ICMP风暴”，使得目标主机耗费大量的CPU资源处理，疲于奔命。 二、ICMP数据报文的检测 Step 1：打开抓包软件Ethereal ，开始抓包； 打开运行-输入cmd，进入命令行窗口 Step 2：输入