实验一 Ethereal协议分析软件的使用

实验_网络协议分析Ethereal实验_网络协议分析Ethereal协议编号：XXXX甲方（委托方）：名称：XXX公司地址：XXX省XXX市XXX区XXX街道XXX号联系方式：XXX-XXXXXXXX法定代表人：XXX乙方（被委托方）：名称：XXX律所地址：XXX省XXX市XXX区XXX街道XXX号联系方式：XXX-XXXXXXXX法定代表人：XXX针对甲方委托乙方对实验_网络协议分析Ethereal进行法律服务，双方在平等自愿、遵守法律的基础上，达成以下协议：第一条索引与解释本协议的索引为“实验_网络协议分析Ethereal委托协议”，根据以下约定解释：1.1“甲方”：指根据本协议，向乙方提出网络协议分析Ethereal委托的一方。

1.2“乙方”：指根据本协议，作为网络协议分析Ethereal委托的承接方。

1.3“双方”：指本协议中的甲方和乙方。

第二条委托内容2.1甲方委托乙方对实验_网络协议分析Ethereal进行法律服务，具体包括但不限于分析网络协议相关资料、查阅法律法规、提供法律意见等。

2.2乙方在接到委托后，应当认真履行职责，对网络协议进行全面分析，包括但不限于协议条款解释、履行方式、期限等内容，并对分析结果提供专业、准确、及时的法律意见。

2.3甲方应协助乙方开展工作，如提供必要的相关资料、信息等。

第三条知情权和保密3.1本协议中涉及到的所有信息、资料等，均为双方之间的商业秘密，双方均应予以保密。

3.2双方在履行本协议过程中取得的用户信息和数据，均应本着合法、公正、公开的原则进行管理和使用，并严格保护用户信息和数据的隐私。

第四条权利及义务4.1甲方的权利：4.1.1拥有委托乙方对实验_网络协议分析Ethereal进行法律服务的权利，并要求乙方给予专业、及时、准确的法律意见。

4.2乙方的权利：4.2.1拥有对实验_网络协议分析Ethereal进行法律分析并提供专业、及时、准确的法律意见的权利。

Ethereal协议分析实验指导Ethereal是一个开放源码的网络分析系统，也是目前最好的开放源码的网络协议分析器，支持Linux和windows平台。

Ethereal 基本类似于tcpdump，但 Ethereal 还具有设计完美的 GUI 和众多分类信息及过滤选项。

用户通过 Ethereal，同时将网卡插入混杂模式，可以查看到网络中发送的所有通信流量。

Ethereal网络协议分析软件可以十分方便直观地应用于计算机网络原理和网络安全的教学实验，网络的日常安全监测。

使用Ethereal能够非常有效地帮助学生来理解网络原理和协议、帮助学生理解实验现象和诊断实验故障。

一、Ethereal 协议分析软件下载及安装1.下载Ethereal 开源软件Ethereal是免费的，可以从官方网站下载最新版本。

以windows xp操作系统为例，如图2-1所示。

目前可下载最新版本为：Ethereal 0.99.0图2-1 下载Ethereal协议分析软件的界面2.安装Ethereal软件图2-2 Ethereal 安装界面双击Ethereal-setup-0.99.0.exe软件图标，开始安装。

图2-2为Ethereal安装界面。

选择欲安装的选件，一般选择默认即可，如图2-3图2-3选择欲安装的选件选择欲安装的目录，确定软件安装位置。

Ethereal软件的运行需要软件WinPcap的支持，WinPcap是libpcap library的Windows版本，Ethereal可通过WinPcap来劫取网络上的数据包。

在安装Ethereal时可以的过程中也会一并安装WinPcap，不需要再另外安装。

如图2-4所示图2-4选择安装WinPcap如果在安装Ethereal之前未安装Winpcap，可以勾选Install Winpcap 3.1 beta 4。

开始解压缩文件，接着开始安装，接着按Next就可以看到Ethereal的启动画面了。

实验1 网络协议分析Ethereal1．实验目的(1)学会正确安装和配置网络协议分析软件Ethereal；(2)掌握使用Ethereal分析各种网络协议的技能，加深对协议格式、协议层次和协议交互过程的理解。

2．实验环境(1)运行Windows 2000／2003 Server／XP操作系统的PC一台；(2)每台PC具有一块以太网卡，通过双绞线与局域网相连；(3)Ethereal程序(可以从网上下载)。

3．实验步骤(1)安装网络协议分析仪1)安装winPcap。

注意，网络协议分析软件Ethereal的运行需要软件winPcap(wpcap.dll)的支持，应当在执行Ethereal前先霉装WinPcaP。

如果没有安装winPcap，则在执行“Ethereal／Capture ／Star时会出现错误。

2)安装Ethereal。

(2)使用Ethereal分析协议1)启动系统。

点击“Ethereal”程序组中的“Ethereal"图标，将会出现如图1-1所示的系统操作界面。

图1-1 Ethereal 系统主界面2)分组俘获。

点击“Capture／Start’’菜单，出现图1-2所示的界面。

在“Interface”(接口)框的下拉列表中选择一个适当的接口项，其余项可暂时保持默认配置。

然后，点击“OK”按钮，系统开始俘获网络分组。

当按“stop”(停止)按钮时，系统停止俘获分组并将已经俘获明分组信息装载在分析系统中。

图1-2 俘获分组配置界面3)协议分析。

如图1-3所示，在上部的窗口中，有帧编号(No.)、时间(Time)、源地址(Source)、目的地址(Destination)、协议(Protocol)和信息(Info)等列，各列下方依次排列着俘获的分组。

中部的窗口给出选中的某帧的详细内容。

下部窗口中是与中部窗口对应的该协议帧某字段的十六进制数值内容。

图1-3 协议分析界面可以将俘获的帧与网络教材中的ARP、UDP、ICMP、SNMP等协议帧格式进行对照，并分析其中的信息。

⽹络协议分析⼯具Ethereal的使⽤⼤学时计算机⽹络课的实验报告，当时提不起兴趣，今天看来还挺有⽤的。

可以学习下怎样抓数据包，然后分析程序的通信协议。

⼀：学习使⽤⽹络协议分析⼯具Ethereal的⽅法，并⽤它来分析⼀些协议。

实验步骤：1．⽤“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；（注：缺省路由器即 ”Default Gateway”）命令⾏：Start->Run->CMD->ipconfig /all >C:\Mac.txt(在命令⾏中把ipconfig命令保存在⽂本⽂档⾥⾯备⽤)结果：本机Mac地址：00.09.73.4B.8A.D7 缺省路由器IP：192.168.8.254步骤截图：图1（本机⽹络信息：Mac.txt）2．⽤“arp”命令清空本机的缓存：命令⾏：Start->Run->CMD->arp –d图2（arp命令 –d参数的帮助说明）3．运⾏Ethereal，开始捕获所有属于ARP协议或ICMP协议的，并且源或⽬的MAC地址是本机的包：图3（Capture->Options中关于⽹卡设置和Capture Filter）图4（抓包截图）4．执⾏命令：“ping” 缺省路由器的IP地址：图5（捕获包）图6（ping 过程）⼆：⽤Ethereal观察tracert命令的⼯作过程：1．⽤Ethereal语法内容及参数说明：命令⾏操作步骤：Start->Run->CMD->tracert图1（Tracert命令全部参数的帮助说明）2．运⾏Ethereal, 设定源和⽬的MAC地址是本机的包，捕获tracert命令中⽤到的消息：Tracert使⽤ICMP，相应过滤规则为：ether host 00:09:73:4B:8A:D7 and icmp图3（Capture->Options中关于⽹卡设置和Capture Filter）3.执⾏“tracert -d ” ，捕获包：执⾏命令：tracert -d ：图3 （执⾏命令 tracert –d ）图4（抓包截图）图5（捕获包）4．Tracert⼯作原理：Tracert使⽤ICMP消息，具体地讲，tracert发出的是Echo Request消息，触发返回的是Time Exceeded消息和Echo Reply消息。

1、Ethereal(Vinancy)协议分析器Ethereal是目前最好的、开放源码的、获得广泛应用的网络协议分析器，支持Linux 和windows 平台，支持五百多种协议解析，是一款基于数据底层的简单实用的网络侦听和报文分析工具。

首先了解 Ethereal主菜单功能1．F文件菜单 :打开、合并抓包文件，存储、打印、输出，退出Ethereal。

2．E 编辑菜单：查询包，时间查询，标记或标识，剪切，拷贝。

3．V 视图菜单：包数据的显示，包括颜色，字型，压缩和展开。

4．G跳转菜单：以不同方式指向特定的包。

5．C 抓包菜单：开始和停止抓包过程以及编辑抓包过滤器。

6．A 分析菜单：显示过滤器，允许/不允许协议解析，配置用户指定的译码器,跟踪TCP。

7．S 统计菜单:各种统计已经抓到的包的摘要，显示协议的分层统计等等.打开抓包—网络接口，显示本机网络接口信息。

设置网络接口的抓包参数：混杂模式、缓冲区大小(默认1MB)开始抓包，动态地显示和统计以太网冲突域内各种通信协议停止抓包后，视窗界面分为上中下三个部分，上部为报文列表窗口，显示抓到的每个数据报文的顺序号、捕获时间、源地址、目标地址、协议、信息摘要，缺省按捕获时间数据排序，你也可以按其他数据排序，比如按协议类型排序。

在此窗口选择某个报文，则有关该报文更详细的信息将在中下窗口显示出来。

中部为具体报文的协议层窗口，显示的是数据报文各层协议，逐层展开该报文各层协议将显示出详细的封装结构信息。

下部为16 进制报文内容窗口，显示该报文的协议数据和封装内容。

如下图所示的 DNS协议封装的数据内容(阴影部分)显示过滤：可以按协议类型或表达式，只显示出需要的数据包，以便分析查看。

如下图显示过滤：仅列出arp报文只列出arp和SNMP报文（用or运算符）更复杂的显示过滤，需要使用表达式多重条件(and运算符)显示过滤：只列出源IP是192.168.4.10且大小>=1000字节的I CMP报文打开统计，统计概要、协议分布、会话统计信息。

竭诚为您提供优质文档/双击可除ethereal实验报告篇一：TcpIp实验一协议分析工具ethereal使用基础湖北文理学院《Tcp/Ip协议原理与应用》实验报告专业班级：姓名：学号：任课教师：20XX年11月20日实验一协议分析工具ethereal使用基础（2学时）一、实验目的和要求1、了解网络协议分析器ethereal的基本知识2、掌握ethereal安装过程3、掌握使用ethereal捕捉数据包的方法4、能对捕获到的包简单分析二、预习与准备1、安装ethereal并了解ethereal的用法。

2、对抓到的包进行分析，需要了解各协议。

三、实验内容1、安装ethereal并运行，对其进行设置，抓包。

2、对抓到的包进行分析。

四、实验过程1、安装ethereal，安装完成后启动，2、进行“captureoption”的选择3、开始抓包4、停止捕获5、分析协议内容选定一个Icmp报文，可以解读出其到达时间报长度等，可以看到其源物理地址为00:1e:90:88:05:0f目的物理地址为01:00:5e:00:00:16,源ip地址为172.15.100.36目的ip地址为224.0.0.22以及报文格式等有用信息。

五、思考题解答Q2、从你抓到的第一个包到最后一个包持续的时间是多久？（默认time列显示的是开始捕获后的以秒为单位的持续时间，如果要在time列以time-of-day格式显示，请选择ethereal的View下拉菜单，然后选择时间显示格式为Time-of-day）共持续了37秒Q3、导出这些数据，你可以在ethereal的File命令菜单中选择save菜单，作为实验报告的结果。

实验所捕获的包六、实验总结与体会01.cap本次实验主要考察ethereal的使用以及对抓到的包进行分析，由于是第一次接触这个软件，所以在刚开始的时候操作起来不是很流畅，按照实验步骤抓包后进行分析，与课堂上学到的知识进行印证，加深了对各协议的认识。

实验一：Ethereal使用入门一、背景知识Ethereal是目前广泛使用的网络协议分析工具(Network Protocol Analyzer)，它能够实时地捕获网络上的包，并且把包中每个域的细节显现出来。

Ethereal的广为流行主要有以下三个原因：(1)它的功能非常强大，随着大家对Ethereal的熟悉将会深切感受到这一点。

(2)它是开源、免费的软件。

(3)它具有非常详细的文档。

Ethereal的安装文件和文档可以从下载。

二、Ethereal图形界面，如下图所示：第一部分是菜单和工具栏，Ethereal提供的所有功能都可以在这一部分中找到。

第二部分是被捕获包的列表，其中包含被捕获包的一般信息，如被捕获的时间、源和目的IP地址、所属的协议类型，以及包的类型等信息。

第三部分显示第二部分已选中的包的每个域的具体信息，从以太网帧的首部到该包中负载内容，都显示得清清楚楚。

第四部分显示已选中包的16进制和ASCII表示，帮助用户了解一个包的本来样子。

三、Ethereal的基本用法Ethereal的最基本功能是捕获网络包，其使用方法很简单，按如下步骤即可：(1)选择“Capture”菜单项中的“Option”,这时会弹出一个对话框，如下所示。

这个对话框中的栏目虽然很多，但一般只需配置其中两项。

一项是“Capture Filter”栏。

在这个栏中，可以输入过滤规则，用于规定Ethereal捕获包的种类(注：过滤规则的写法将在下一节作专门介绍)；如果不输入过滤规则，则Ethereal将捕获所有从网卡发送或收到的包。

另外一项是“Update list of packets in real time”选项，请大家一定要选中这一项，这样可以使Ethereal在捕获包的同时，实时地把捕获的包显示出来。

(2)在完成如上配置后，点击“Start”按钮，Ethereal便开始捕获包。

四、Ethereal的过滤规则Ethereal的过滤规则可以有两种形式：(1)一个原语：一个原语即一条最基本的过滤规则(2)用“and”、“or”、“not”关系去处运算符，以及括号组合起来的原语。

实验报告课程名称计算机网络实验项目Ethereal的使用一：实验目的1、了解并会初步使用Ethereal，能对包进行分析。

2、通过对这个协议分析工具使用，进一步巩固学习计算机网络的相关知识。

二：实验设备和环境一台安装好Windows XP的PC机，连接好的100BaseT以太网三：实验内容启动ethereal 以后，选择菜单Capature->Start ，就OK 了。

当你不想抓的时候，按一下stop，抓的包就会显示在面板中，并且已经分析好了。

如下图：ethereal使用－capture选项如下：nterface: 指定在哪个接口（网卡）上抓包。

一般情况下都是单网卡，所以使用缺省的就可以了Limit each packet: 限制每个包的大小，缺省情况不限制Capture packets in promiscuous mode: 是否打开混杂模式。

如果打开，抓取所有的数据包。

一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。

Filter：过滤器。

只抓取满足过滤规则的包（可暂时略过） File：如果需要将抓到的包写到文件中，在这里输入文件名称。

use ring buffer：是否使用循环缓冲。

缺省情况下不使用，即一直抓包。

注意，循环缓冲只有在写文件的时候才有效。

ethereal的抓包过滤器抓包过滤器用来抓取感兴趣的包，用在抓包过程中。

抓包过滤器使用的是libcap 过滤器语言，基本结构是： [not] primitive [and|or [not] primitive ...] 如果你想抓取某些特定的数据包时，可以在抓包的时候，就先定义好抓包过滤器，这样结果就是只抓到你设定好的那些类型的数据包；也可以把本机收到或者发出的包一股脑的抓下来，然后使用显示过滤器，只让Ethereal 显示那些你想要的那些类型的数据包；etheral的显示过滤器在抓包完成以后，显示过滤器可以用来找到你感兴趣的包，可以根据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找你感兴趣的包。

计算机网络实验报告年级：姓名：学号：实验日期：实验名称：Ethereal(wireshark)的使用一、实验目的1、下载安装抓包工具ethereal；熟悉ethereal的操作环境；2、学习使用ethereal（wireshark）的使用方法，会用ethereal工具进行抓包；3、学会分析抓包工具获得的信息，对其进行简单分析和过滤。

二、实验器材1、接入Internet的网络的主机；2、安装抓包工具ethereal（wireshark）软件；和wincap软件；3、截图软件SnagIt。

三、实验内容1、launch ethereal, how to capture the packet by the ethereal? what's type packets youcaptured抓包方法：（1）打开抓包软件wireshark，单击工具栏list the available capture interface，如下图所示。

单击后出现如下图：（2）、单击Start，再打开一个网页（），抓包开始。

（3）网页显示完后，单击上图中的“stop”，抓包结束。

2、start capture packets, try to visit a homepage (), and check the captured packets.（1）、访问：后抓包结果如下图（2）check the captured packets ，过滤拉检测所抓的包。

如下图：3、how to save the captured packets? how to analyse the captured packets(抓包）?（1）、save the captured packets:单击save图标（如下图所示），选择要保存的路径和要报的名字，单击确定即可保存。

4 、can you capture other computer's packets? if can, what types?答：有两种情况；1）广播包时：广播包可以抓到所需要的包；2）非广播包时有以下三种情况可以抓包：a、在交换式的以太网下抓不到别人的非广播包；b、局域网信道是广播信道的可以抓包；c、在广播信道下可以抓到别人的非广播包。

实验一 Ethereal 入门基础一、实验目的和要求•了解网络协议分析器Ethereal的基本知识•掌握Ethereal安装过程•掌握使用Ethereal捕捉数据包的方法•能对捕获到的包简单分析二、实验内容安装Ethereal软件和相应的WinpCap软件，启动Ethereal并设置相应的选项，捕获一段记录。

三、实验设备PC机、Ethereal软件、WinpCap软件四、背景知识Ethereal是一个有名的网络端口探测器，是可以在Linux、Solaris、SGI等各种平台运行的网络监听软件，它主要是针对TCP/IP协议的不安全性对运行该协议的机器进行监听。

其功能相当于Windows下的Sniffer，都是在一个共享的网络环境下对数据包进行捕捉和分析，而且还能够自由地为其增加某些插件以实现额外功能。

Ethernet网络监测工具可在实时模式或离线模式中用来捕获和分析网络通信。

下面是使用Ethereal 可以完成的几个工作：✧网络管理员使用它去帮助解决网络问题✧网络安全工程师用它去测试安全问题✧开发人员用它是调试协议的实现过程✧用它还可以帮助人员深入的学习网络协议下面是Ethereal 提供的一些特性：✧支持UNIX 平台和Windows 平台。

✧从网络接口上捕获实时数据包✧以非常详细的协议方式显示数据包✧可以打开或者存贮捕获的数据包✧导入/导出数据包，从/到其它的捕获程序✧按多种方式过滤数据包✧按多种方式查找数据包✧根据过滤条件，以不同的颜色显示数据包✧可以建立多种统计数据其最常用的功能是被攻击者用来检测被攻击电脑通过23(telnet)和110(pop3)端口进行的一些明文传输数据，以轻松得到用户的登录口令和邮件账号密码。

对于网络管理员来说，也可以通过捕包分析，来确定一些异常的流量和局域网内部的非正常用户与外界的通信，比如说对于现在比较占用网络带宽的诸如Bit Torrent 等P2P应用软件流量，通过使用该软件确定这些流量，网络管理员就可以使用流量控制(TC)的方法来规范、合理的分配带宽资源，提高网络的利用率。

竭诚为您提供优质文档/双击可除ethereal实验报告篇一：TcpIp实验一协议分析工具ethereal使用基础湖北文理学院《Tcp/Ip协议原理与应用》实验报告专业班级：姓名：学号：任课教师：20XX年11月20日实验一协议分析工具ethereal使用基础（2学时）一、实验目的和要求1、了解网络协议分析器ethereal的基本知识2、掌握ethereal安装过程3、掌握使用ethereal捕捉数据包的方法4、能对捕获到的包简单分析二、预习与准备1、安装ethereal并了解ethereal的用法。

2、对抓到的包进行分析，需要了解各协议。

三、实验内容1、安装ethereal并运行，对其进行设置，抓包。

2、对抓到的包进行分析。

四、实验过程1、安装ethereal，安装完成后启动，2、进行“captureoption”的选择3、开始抓包4、停止捕获5、分析协议内容选定一个Icmp报文，可以解读出其到达时间报长度等，可以看到其源物理地址为00:1e:90:88:05:0f目的物理地址为01:00:5e:00:00:16,源ip地址为172.15.100.36目的ip地址为224.0.0.22以及报文格式等有用信息。

五、思考题解答Q2、从你抓到的第一个包到最后一个包持续的时间是多久？（默认time列显示的是开始捕获后的以秒为单位的持续时间，如果要在time列以time-of-day格式显示，请选择ethereal的View下拉菜单，然后选择时间显示格式为Time-of-day）共持续了37秒Q3、导出这些数据，你可以在ethereal的File命令菜单中选择save菜单，作为实验报告的结果。

实验所捕获的包六、实验总结与体会01.cap本次实验主要考察ethereal的使用以及对抓到的包进行分析，由于是第一次接触这个软件，所以在刚开始的时候操作起来不是很流畅，按照实验步骤抓包后进行分析，与课堂上学到的知识进行印证，加深了对各协议的认识。

工业计算机网络实验报告
实验5：Ethereal 网络协议分析器的使用
一、实验目的：
1、了解协议分析器安装；
2、熟悉并掌握Ethereal的使用方法和基本操作；
3、掌握协议分析器分析协议的方法。

二、实验环境
与因特网连接的计算机网络系统；主机操作系统为Windows2000或Windows XP；Ethereal等
三、实验内容：
1、Ethereal的安装
安装ethereal需要先安装winpcap，安装过程如下：选择默认安装，安装完成后如下：
Ethereal安装完成如下图所示：
2、按附录文档学习和使用Ethereal 没有设置过滤规则时的运行界面
刚开始设置网卡信息，选择capture->options，选择默认设置即可，如下图：结果如下：
3、自己扑获网络活动，并形成一个数据文件，查看其特点。

例如捕获一个TCP数据包，查看其首部信息。

捕获进出192.168.7.10(本机ip)并且为qq发送接收的数据包，filter为：
Host 192.168.7.10 and udp
截图如下：
四、实验总结
通过本次试验对Ethereal有了一个大概的了解，网络分析对于某些方面是十分重要的，当网络出现问题时，可以及时的了解底层通信的细节。

Ethereal是开源的软件，学习ehtereal是很有必要的，但由于我的知识尚不够丰富，对于分析过滤的包还不是熟悉，还有待以后的进一步学习，学习技术最忌浮躁，所以不能着急，需要多加实践和动手操作才行，这方面仍需努力！。

系别计算机科学与技术实验室网络工程实验室实验时间2012.2.22 1．实验名称实验一Ethereal的使用、以太网数据分析2. 实验目的（1）掌握嗅探工具Ethereal协议分析软件的使用方法（2）利用Ethereal软件工具截获以太网帧并完成报文分析3. 实验内容（1）Ethereal协议分析软件的使用（2）以太网链路层帧格式分析实验4. 实验环境实验设备和连接图如图所示，一台交换机连接了2 台PC 机，分别命名为PC1、PC2。

每两人一小组，每小组各自独立完成实验。

5. 实验步骤步骤1：按照如图所示连接好设备，配置PC1 和PC2 的IP 地址；（注：实验室中任何一台PC都可以作为模型中的PC1或PC2。

）步骤2：在：PC1 和PC2 上运行Ethereal 截获报文，为了只截获和实验内容有关的报文，将Ethereal 的Captrue Filter 设置为“No Broadcast and no Multicast ”；步骤3：在：PC1 和PC2互相ping对方；步骤4：停止截获报文：将结果保存为MAC-学号，并对按要求对截获的报文进行分析。

步骤5：启动系统中Messenger 服务。

步骤6：PC1和PC2互相发送消息报文。

如以PC1为例：PC1 和PC2 上运行Ethereal 截获报文，然后进入PC1 的Windows 命令行窗口，执行如下命令：net send PC2IP地址Hello（4）回答实验步骤4的问题：[1] 列出截获的一个报文中的各层协议类型，观察这些协议之间的关系。

[2] 在网络课程学习中，Ethernet规定以太网的MAC层的报文格式分为7字节的前导符、1字节的帧首定界、6字节的目的MAC地址、6字节的源MAC地址、2字节的类型、46～1500字节的数据字段和4字节的帧尾校验字段。

分析一个Ethernet 帧，查看这个帧由几部分组成，缺少了哪几部分？为什么？6．实验结论及心得对于Ethernet软件有了一个初步的了解，懂得了数据包的抓取和发送。

实验一：Ethereal使用入门一、实验目的熟悉分组嗅探器Ethereal实验环境，学习使用Ethereal捕获数据的方法。

二、实验原理“不闻不若闻之，闻之不若见之，见之不若知之，知之不若行之”-----中国谚语。

一个人对网络协议的理解通常通过以下方法能够得到极大的深化：观察它们的工作过程和使用它们，即观察两个协议实体之间交换的报文序列，钻研协议操作的细节，使协议执行某些操作，观察这些动作及其后果，这能够在仿真环境下或在如因特网这样的真实网络环境下完成。

在Ethereal实验中，我们将采用后一种方法，使用桌面上的计算机在各种情况下运行网络应用程序，在计算机上观察网络协议与在因特网别处执行的协议实体进行交互和交换报文的情况。

因此，你与你的计算机将是这些实际实验的组成部分，在实际动手实验中进行观察学习。

观察在执行协议的实体之间交换的报文的基本工具被称为分组嗅探器（packet sniffer）。

顾名思义，一个分组嗅探器被动地拷贝（嗅探）由你的计算机发送和接收的报文，它也能存储并显示出这些被俘获报文的各个协议字段的内容。

一个分组嗅探器本身是被动的，它观察运行在你计算机上的应用程序和协议收发的报文，但它自己从不发送任何分组。

同样，接收到的分组也不会显式地标注是给分组嗅探器的。

实际上，一个分组嗅探器收到的是运行在你机器上应用程序和协议收发的分组的备份。

图1显示了一个分组嗅探器的结构。

图1的右边是正常的运行在你的计算机上的协议和应用程序（比如FTP client）。

在图中虚线矩形中的分组嗅探器是在你计算机中额外安装的软件，由两部分组成：一部分是分组捕获库（packet capture library），一部分是分组解析器（packet analyzer）。

分组获取库获得了从你主机发出或接收的每一个链路层数据帧的拷贝，更高层协议（HTTP、FTP、TCP、UDP、DNS、IP）传输的信息最终都被封装在链路层帧里，通过物理介质传送出去（如网线）。

实验： ethereal软件的使用（一）【实验目的】1、熟悉并掌握Ethereal的基本操作。

2、了解网络协议实体间进行交互以及报文交换的情况。

【实验设备】与因特网连接的计算机网络系统；主机操作系统为windows；Ethereal、IE等软件。

【实验步骤】一个人要深入理解网络协议，需要：观察它们的工作并使用它们，即观察两个协议实体之间交换的报文序列，探究协议操作的细节，使协议实体执行某些动作，观察这些动作及其影响。

这些任务可以在仿真环境下或在如因特网这样的真实网络环境中完成。

观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer）。

顾名思义，一个分组嗅探器俘获（嗅探）由你的计算机发送和接收的报文。

一般情况下，分组嗅探器将存储和显示出被俘获报文的各协议字段的内容。

图1显示了一个分组嗅探器的结构。

图1右边是计算机上正常运行的协议（在这里是因特网协议）和应用程序（如：web浏览器和ftp客户端）。

分组嗅探器（虚线框中的部分）是附加计算机普通软件上的，主要有两部分组成。

分组俘获库（packet capture library）接收计算机发送和接收的每一个链路层帧的拷贝。

高层协议（如：HTTP、FTP、TCP、UDP、DNS、IP等）交换的报文都被封装在链路层帧中，并沿着物理媒体（如以太网的电缆）传输。

图1假设所使用的物理媒体是以太网，并且上层协议的报文最终封装在以太网帧中。

分组嗅探器的第二个组成部分是分组分析器。

分组分析器用来显示协议报文所有字段的内容。

为此，分组分析器必须能够理解协议所交换的所有报文的结构。

例如：我们要显示图1中HTTP协议所交换的报文的各个字段。

分组分析器理解以太网帧格式，能够识别包含在帧中的IP数据报。

分组分析器也要理解IP数据报的格式，并能从IP数据报中提取出TCP 报文段。

然后，它需要理解TCP报文段，并能够从中提取出HTTP消息。

最后，它需要理解HTTP消息。

实验一：使用包嗅探及协议分析软件Ethereal 分析 Ethernet帧及应用层FTP协议的分析【实验目的】1、掌握包嗅探及协议分析软件Ethereal的使用。

2、掌握Ethernet帧的构成3、掌握 FTP协议包的构成【实验环境】安装好Windows 2000 Server操作系统+Ethereal的计算机【实验时间】2节课【实验重点及难点】重点学习掌握如何利用Ethereal来分析Ethernet帧。

【实验内容】1、捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2（即EthernetII）格式的帧并进行分析。

2、捕捉并分析局域网上的所有ethernet broadcast帧进行分析。

3、捕捉局域网上的所有ethernet multicast帧进行分析。

【实验步骤】一、Ethereal的安装Ethereal是一个图形用户接口（GUI）的网络嗅探器，由于Ethereal需要WinPcap库, 所以先安装WinPcap_2_3.exe, 再安装Ethereal.exe。

（已装好）二、仔细阅读附件中的Ethereal使用方法和TcpDump的表达式详解，学习Ethereal的使用。

三、捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2（即EthernetII）格式的帧并进行分析。

捕捉任何主机发出的Ethernet 802.3格式的帧（帧的长度字段<=1500），Ethereal的capture filter 的filter string设置为：ether[12:2] <= 1500。

捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧（帧的长度字段>1500, 帧的长度字段实际上是类型字段），Ethereal的capture filter 的filter string设置为：ether[12:2] > 1500。

实验1-Ethereal的使⽤和⽹络协议的层次观察实验1 Ethereal的使⽤和⽹络协议的层次观察⼀、实验⽬的：1、了解⽹络协议的层次结构2、初步掌握Ethereal的使⽤⽅法⼆、实验环境1、Ethereal⽹络分析软件2、实验⽂件“计算机⽹络－实验⽂件.cap”三、实验要求1、能够了解⽹络协议的层次结构2、能够正确掌握Ethereal的使⽤⽅法四、实验内容1、Ethereal介绍Ethereal是⼀个优秀的⽹络数据包分析软件，可以捕获(Capture) 和浏览(Display) ⽹络侦测的内容，还可以定义Filters规则，监视所有在⽹络上被传送的封包，并分析其内容。

Ethereal通常⽤来检查⽹络运作的状况，或是⽤来发现⽹络程序的bugs。

它可以分析的协议有：RTP、IP、ISAKMP、ICMP、SMB、SMB-PIPE、VTP、SNMPv3、Ethernet、GRE、EIGRP、DHCP、IPX、X.25、RSVP等。

2、Ethereal的使⽤启动ethereal后，选择菜单Capature－>Options, 定义获取数据包的⽅式。

主要选项有，Interface: 指定在哪个接⼝（⽹卡）上抓包；Limit each packet: 限制每个包的⼤⼩以避免数据过⼤，缺省情况下可不限制；Capture packets in promiscuous mode: 是否打开混杂模式。

如果打开，则抓取共享⽹络上可以探测的所有数据包。

⼀般情况下只需要监听本机收到或者发出的包，可以关闭这个选项。

Filter：设定过滤规则，只抓取满⾜过滤规则的包；File：如果需要将抓到的包写到⽂件中，在这⾥输⼊⽂件名称。

其他的项选择缺省的就可以了。

选择start开始抓包。

选择stop，则停⽌抓包。

3 . 实验⽂件“计算机⽹络－实验⽂件.cap”的获取该实验⽂件的建⽴是在本⼈主机上完成的，运⾏以下命令，期间通过浏览器访问BAIDU，同时使⽤ethereal抓取期间⽹络数据包：ipconfig /release （释放当前IP配置）arp –d （释放当前ARP缓存）ipconfig /flushdns （释放当前DNS缓存）pause （准备开始抓取⽹络数据包）ipconfig /renew （重新配置当前IP配置，本⼈主机需要执⾏DHCP协议）ping -l 2000 -f 219.222.170.254 （不拆分2000字节数据包，发送⾄⽹关）ping -l 2000 219.222.170.254 （发送2000字节数据包⾄⽹关，允许拆分）tracert /doc/323e6c0616fc700abb68fc0c.html （跟踪当前主机到/doc/323e6c0616fc700abb68fc0c.html 的路由）pause4．数据包的分析打开⽂件“计算机⽹络－实验⽂件.cap”，这是⼀个包括204个分组的⽹络通信记录，当前主机IP地址是219.222.170.14 、⽹关地址是219.222.170.254、⽂件中出现的119.75.217.56 是百度公司的IP地址、172.30.0.19是东莞理⼯学院⽹络中⼼提供的Windows Server Update Services (WSUS)。

实验协议分析软件Ethereal 的使用一、实验目的和要求：熟悉掌握Ethereal软件的使用,并应用该软件分析Ethernet帧以及高级协议，从而能够加深对TCP/IP 协议栈上的参与通信的网络数据包结构以及通信方式有进一步的了解。

二、实验内容和原理1. 安装windows下的Ethereal及WinPcap软件。

2. 捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧（帧的长度字段>1500, 帧的长度字段实际上是类型字段），Ethereal的capture 的options中capture filter设置为：ether[12:2] > 1500 观察并分析帧结构，Ethernet II的帧(ether[12:2] > 1500)的上一层主要是哪些PDU？是IP、LLC还是其它哪种？IP3. 捕捉并分析局域网上的所有ethernet broadcast帧，Ethereal的capture 的options中capture filter设置为：ether broadcast(1). 观察并分析哪些主机在发广播帧，这些帧的高层协议是什么？ARP(2). 你的LAN的共享网段上连接了多少台计算机？1分钟内有几个广播帧？有否发生广播风暴？92台4. 捕捉局域网上主机发出或接受的所有ARP包capture 的options中capture filter设置为：arp host ip (1)主机上执行“arp –d ”清除arp cache.(2)在主机上ping 局域网上的另一主机(3)观察并分析主机发出或接受的所有ARP包，及arp包结构。

5. IP 分组的结构固 定 部分 可变 部分0 48 16192431版 本 标志 生 存 时 间协 议标 识服 务 类 型总 长 度 片 偏 移填 充首 部 检 验 和源 地 址 目 的 地 址可 选 字 段 （长 度 可 变） 比特 首部长度 01 2 3 4 5 6 7 D T R C 未用 优 先 级数 据 部 分首 部6、UDP 报文伪首部源端口目的端口长 度检验和数 据首 部UDP 长度源 IP 地址目的 IP 地址17 IP 数据报字节12 2 2 2 2 字节 发送在前数 据首 部 UDP 用户数据报附：1、Ethernet II的帧结构字节46 ~ 1500 目的地址源地址类型数据FCS目的地址：01:00:5e:22:17:ea源地址：00:1e:90:75:af:4f类型数据2、IP分组的结构版本首部长度服务类型总长度标识标志固 定 部分 可变 部分0 48 16192431版 本 标志 生 存 时 间协 议标 识服 务 类 型总 长 度 片 偏 移填 充首 部 检 验 和源 地 址 目 的 地 址可 选 字 段 （长 度 可 变） 比特 首部长度 01 2 3 4 5 6 7 D T R C 未用 优 先 级数 据 部 分首 部片偏移生存时间协议首部检验和源地址目的地址可选字段 数据3、 ARP 的报文格式硬件地址长度协议类型 发送方IP 地址(八位组0-1) 目标硬件地址(八位组2-5) 目标IP 地址(八位组0-3)发送方硬件地址(八位组0-3)硬件类型操作发送方硬件地址(八位组4-5) 发送方IP 地址(八位组2-3)协议长度目标硬件地址(八位组0-1)* 硬件类型指明发送方想知道的硬件接口类型。