南理工数字通讯与网络实验.doc

实验1 网络协议分析Ethereal 1．实验目的 (1)学会正确安装和配置网络协议分析软件Ethereal； (2)掌握使用Ethereal分析各种网络协议的技能，加深对协议格式、协议层次和协议交互 过程的理解。 2．实验环境 (1)运行Windows 2000／2003 Server／XP操作系统的PC一台； (2)每台PC具有一块以太网卡，通过双绞线与局域网相连； (3)Ethereal程序(可以从网上下载)。 3．实验步骤 (1)安装网络协议分析仪 1)安装winPcap。 注意，网络协议分析软件Ethereal的运行需要软件winPcap(wpcap.dll)的支持，应当在执行Ethereal前先霉装WinPcaP。如果没有安装winPcap，则在执行“Ethereal／Capture／Star时会出现错误。 2)安装Ethereal。 (2)使用Ethereal分析协议 1)启动系统。点击“Ethereal”程序组中的“Ethereal图标，将会出现如图1-1所示的系统操作界面。 图1-1 Ethereal 系统主界面 2)分组俘获。点击“Capture／Start’’菜单，出现图1-2所示的界面。在“Interface” (接口)框的下拉列表中选择一个适当的接口项，其余项可暂时保持默认配置。然后，点击“OK”按钮，系统开始俘获网络分组。当按“stop” (停止)按钮时，系统停止俘获分组并将已经俘获明分组信息装载在分析系统中。 图1-2 俘获分组配置界面 3)协议分析。如图1-3所示，在上部的窗口中，有帧编号(No.)、时间(Time)、源地址(Source)、目的地址(Destination)、协议(Protocol)和信息(Info)等列，各列下方依次排列着俘获的分组。中部的窗口给出选中的某帧的详细内容。下部窗口中是与中部窗口对应的该协议帧某字段的十六进制数值内容。 图1-3 协议分析界面 可以将俘获的帧与网络教材中的ARP、UDP、ICMP、SNMP等协议帧格式进行对照，并分析其中的信息。 4．相关概念 Ethereal是一种具有图形用户界面的网络协议分析仪，可以用于从实际运行的网络或从以前保存的俘获文件中交互地浏览分组数据。Ethereal能够读取libpcap俘获文件，也能够读取用Tcpdump俘获的文件，以及snoop、atmsnoop、LanAlyzer、Sniffer(压缩和非压缩的)、Microsofl Network Monitor、AIX的iptrace、NetXray、Sniffer Pro、Etherpeek、RADC OM的WAN／LAN analvzer、Lucent／Ascend router debug output、HP—UX的nettl、Cisco的安全入侵检测系统以IPLog格式输出的pppd日志文件。它自行决定文件类型，即使使用gzip进行压缩也是如此。 Ethereal的主窗口显示了3个视图(如图1-4所示)。 图1-4 顶部视图包括网络分组的简要情况列表，用户能够滚动列表并进行选择。在默认情况下，在该窗口的各栏目中分别显示了每个分组的分组序号、分组时间戳、源和目的地址、协议和描述项。通过编辑参数选择(Preferences)可以改变这些项组合。为使这些变化起作用，你需要保存“Preferences后退出Ethereal，然后再启动。如果你点击一栏的标题，显示将按该栏排序；再次点击标题将按该栏反向排序。该分析仪会尽可能多地反映出协议栈信息，如对IP分组显示IP地址，而对未知分组类型则显示MAC层地址。鼠标右键能用于弹出操作菜单，鼠标中键能用于标记分组。 中间视图包括当前选定的分组的协议树。该树根据上述栈定义协议首部字段，显示它们的值。鼠标右键能用于弹出操作菜单。 底部视图是一个十六进制区，显示了当该分组在线路上传输时分组的情况。在协议树中选择一个字段将在该区域亮选对应的字节。鼠标右键能用于弹出操作菜单。 点击最底部的过滤器(Filter)，将弹出“Display Filter窗口，通过“Add Expression”能够改变当前过滤器。 此外Ethereal具有某些独特的特性。它能够按TCP会话来组装所有分组，并以ASCII (或EB C DIC、十六进制)格式显示数据。Ethereal中的显示过滤器的功能非常强大，能够比 其他协议分析仪过滤更多的字段，你还可以创建自己的过滤器。Ethereal的显示过滤器还将 支持越来越多的协议字段。分组俘获执行的是pcap库，因此俘获语法遵循的是pcap库的规 则，该语法不同于显示过滤器语法。压缩文件支持使用(因而要求)zlib库。如果zlib库不存 在，E