实验二 网络抓包协议分析软件使用说明.doc

实验二 网络抓包及协议分析软件使用说明 目的及意义：利用网络协议分析工具Ethereal截获网络中传送的数据包，通过观察分析，从而了解和认识（理解）协议的运行机制。 下载与安装：在Windows下安装Ethereal,可从 下载安装软件，然后执行安装。Ethereal 在0.10.12版本后都内置了Winpcap,如没内置的Winpcap，可先安装Winpcap。有关Winpcap的详细信息可参考。 一．实验目的： 1．了解抓包与协议分析软件的简单使用方法。 2．了解并验证网络上数据包的基本结构。 二．实验环境 1．硬件：PC、配备网卡，局域网环境。 2．软件：Windows 2000或者XP操作系统、winpcap、analyzer。 三．实验内容 利用Ethereal软件抓取网络上的数据包，并作相应分析。 四．实验范例 安装 Etheral的安装非常简单，只要按照提示安装即可。 运行 双击桌面的Ethereal，显示“The Ethereal Network Analyzer”的主界面，菜单的功能是： 设置规则 这里有两种方式可以设置规则： 使用interface 选择Capture—interfaces，将显示该主机的所有网络接口和所有流经的数据包，单击“Capture”按钮，及执行捕获。 如果要修改捕获过程中的参数，可以单击该接口对应的“Prepare”按钮。在捕获选项对话框中，可以进一步设置捕获条件： Interface——确定所选择的网络接口 Limit each packet to N bytes——指定所捕获包的字节数。 选择该项是为了节省空间，只捕获包头，在包头中已经拥有要分析的信息。 Capture packet in promiscuous mode——设置成混杂模式。 在该模式下，可以记录所有的分组，包括目的地址非本机的分组。 Capture Filter——指定过滤规则 有关过滤规则请查阅以下使用Filter方式中的内容。 Capture files——指定捕获结果存放位置 Update list of packets in real time——实时更新分组 每个新分组会随时在显示结果中出现，但在重网络流量时会出现丢包现象。 Stop Capture limits——设置停止跟踪的时间 如捕获到一定数量的分组（…after N packets）、跟踪记录达到一定的大小(…after N megabytes)或在一个特定的时间后(…after N minutes)。 Name resolution——设置名字解析 如启用MAC地址转换（Enable MAC name resolution），可以将地址转换成厂商、网络地址转换(Enable network name resolution)，可以将地址转换成主机名、传输名字转换(Enable transport name resolution)，可以将端口号翻译成协议，但在重网络流量时会出现丢包现象。 设定完毕后，单击“OK”按钮将按照新设定的条件执行捕获。 使用filter 选择Capture—Capture Filter，显示过滤器对话框，该过滤器可以过滤掉不感兴趣的数据包，使捕获的结果减少。 单击“New”按钮，在Filter Name和Filter Sting中填入过滤器名称和过滤规则，最后单击“Save”按钮保存过滤规则。 捕获数据包 选择Capture—Start，将按照事先设定的过滤规则进行捕获。捕获结束时，单击“Stop”按钮。没有设定过滤条件时，表示捕获流经本机的所有数据包。 产生一个满足捕获条件的动作 如要捕获本机HTTP协议的数据包，可以在本机打开浏览器后访问一个网站。 分析结果 捕获结束后，捕获结果将按时间顺序显示在跟踪列表框（第一个窗口）中，包括序号、发送时间、源地址、目的地址、协议等信息，其中源地址和目的地址是物理地址。单击表头中的标题，可以重新按照该标题排序。 在跟踪列表框中，单击指定数据分组时，在协议框（第二个窗口）中将显示分组的各层协议：物理层帧、以太网帧及其首部、IP数据包及其首部、UDP数据包及其首部信息等。 在协议框中，单击指定协议或者协议的组成部分时，在原始分组框（第三个窗口）中将突显该协议或组成部分中所含数据的每个字节，窗口的左边显示的是十六进制数据，右边显示的是ASCII码。 选择Analyze——Follow TCP Stream，可以查看控制通道传输的所有内容。 统计分组 选择Statistic——Summary，可以查看跟踪记录的概要，显示的结果包括通信的总字节数、通信的频率、分组的平均大小等。 选择Statistic——Protocol Hierarchy，可以按照协议层次统计，显示