使用Ethereal分析数据包69页PPT

合集下载

用Ethereal分析协议数据包(csna网站整理)

用Ethereal分析协议数据包

本文由CSNA（）网站chuxiangshuai整理。

Ethereal是一个图形用户接口（GUI）的网络嗅探器，能够完成与Tcpdump相同的功能，但操作界面要友好很多。Ehtereal和Tcpdump都依赖于pcap库（libpcap），因此两者在许多方面非常相似（如都使用相同的过滤规则和关键字）。Ethereal和其它图形化的网络嗅探器都使用相同的界面模式，如果能熟练地使用Ethereal，那么其它图形用户界面的嗅探器基本都可以操作。

Ethereal的安装

在网站上可以下载到最新的Ethereal源码包。下面以Ethereal 0.9.9为例，讲述如何安装Ethereal，此处使用的操作系统是Red Hat 8.0。

首先下载最新的源码包，并将其解压缩：

# cp ethereal-0.9.9.tar.bz2 /usr/local/src/

# cd /usr/local/src/

# bzip2 -d ethereal-0.9.9.tar.bz2

# tar xvf ethereal-0.9.9.tar

同Tcpdump一样，在编译Ethereal之前应先确定已经安装pcap库（libpcap），这是编译Ethereal 时所必需的。如果该库已经安装，就可以执行下面的命令来编译并安装Ethereal：

# cd ethereal-0.9.9

# ./configure

# make

# make install

设置Ethereal的过滤规则

当编译并安装好Ethereal后，就可以执行“ethereal”命令来启动Ethereal。在用Ethereal截获数据包之前，应该为其设置相应的过滤规则，可以只捕获感兴趣的数据包。Ethereal使用与Tcpdump相似的过滤规则，并且可以很方便地存储已经设置好的过滤规则。要为Ethereal 配置过滤规则，首先单击“Edit”选单，然后选择“Capture Filters...”菜单项，打开“Edit Capture Filter List”对话框（如图1所示）。因为此时还没有添加任何过滤规则，因而该对话框右侧的列表框是空的。

Ethereal -抓包、报文分析工具

Ethereal 是一种开放源代码的报文分析工具，适用于当前所有较为流行的计算机系统，包括 Unix、Linux 和 Windows 。

主界面如上图，点“抓包配置”按钮，出现抓包配置界面如下图。

在“Interface”中选择网卡，即用来抓包的接口，如果选择错误就不能抓到报文；“Capture packets in promiscuous mode（混杂模式抓包）”是指捕捉所有的报文，如不选中就只捕捉本机的收发报文；如果选中“Limit each packet to xx bytes（限制每个包的大小）”则只捕捉小于该限制的包；抓包时，数据量比较大，解析起来速度慢，可在“Capture Filter（抓包过滤

设置“Display Options(显示设置)”中建议选中“Update list of packets in realtime（实时更新抓包列表）”、“Automatic scrolling in live capture（自动滚屏）”和“Hide capture info dialog（隐藏抓包信息对话框）”三项。抓包配置好就可以点击“Start”开始抓包了。

抓包结束，按“停止”按钮即可停止。为了快速查看需要的报文，在“Filter”栏中输入过滤条件后按回车键即可对抓到的包进行过滤。

注意“Filter”栏中输入的过滤条件正确则其底色为绿色，错误则其底色为红色。常用

有些报文还可以判断网络的状况，例如输入显示过滤条件tcp.analysis.flags，可以显示丢失、重发等异常情况相关的TCP报文，此类报文的出现频率可以作为评估网络状况的一个标尺。偶尔出现属于正常现象，完全不出现说明网络状态上佳。

Ethereal协议分析实验指导

Ethereal是一个开放源码的网络分析系统，也是目前最好的开放源码的网络协议分析器，支持Linux和windows平台。Ethereal 基本类似于tcpdump，但 Ethereal 还具有设计完美的 GUI 和众多分类信息及过滤选项。用户通过 Ethereal，同时将网卡插入混杂模式，可以查看到网络中发送的所有通信流量。Ethereal网络协议分析软件可以十分方便直观地应用于计算机网络原理和网络安全的教学实验，网络的日常安全监测。使用Ethereal能够非常有效地帮助学生来理解网络原理和协议、帮助学生理解实验现象和诊断实验故障。

一、Ethereal 协议分析软件下载及安装

1.下载Ethereal 开源软件

Ethereal是免费的，可以从官方网站下载最新版本。以windows xp操作系统为例，如图2-1所示。目前可下载最新版本为：Ethereal 0.99.0

图2-1 下载Ethereal协议分析软件的界面

2.安装Ethereal软件

图2-2 Ethereal 安装界面

双击Ethereal-setup-0.99.0.exe软件图标，开始安装。图2-2为Ethereal安装界面。选择欲安装的选件，一般选择默认即可，如图2-3

图2-3选择欲安装的选件

选择欲安装的目录，确定软件安装位置。Ethereal软件的运行需要软件WinPcap的支持，WinPcap是libpcap library的Windows版本，Ethereal可通过WinPcap来劫取网络上的数据包。在安装Ethereal时可以的过程中也会一并安装WinPcap，不需要再另外安装。如图2-4所示

ethercat协议解析PPT课件

.
.
16
串行通信与并行通信
发送端
01001101
b7 b6 b5 b4 b3 b2 b1 b0 串行通信信道
(a)串行通信方式
接收端
发送端
b7
并
b6
行
b5
通
b4
信
b3
信
b2
道
b1
b0
接收端
0
b7
1
b6
0
b5
0
b4
1
b3
1
b2
0
b1
1
b0
(b)并行通信方式
.
.
17
单工、半双工与全双工通信
发送
单向通道
.
5
实时工业以太网对比分析
• 实时工业太网为了达到实时性能，都采取了相应的策略解决普通太网产生的数据碰撞问题。对己有的实时工业以太网，根据其实时性的实现策略的不同，大致可分为下三种类型，如图１-１所示
.
6
.
7
• 第一种策略是基于TCP/IP的实现，在应用层上作修改。这一类工业以太网仍然使用 TCP/IP协议，工业网络可与商用网络自由通信，但通过应用层的控制滤除商用以太网中的不确定性因素。常用的改造方法有调度法、数据峽优先级机制或使用交换式以太网等。送一类工业太网的代表有Modbus/TCP和Ethernet/IP。基于TCP/IP实现的工业以太网协议是最早被提出的工业以太网协议，但是由于其无法完全避免商用以太网的干扰，因此只适用于对于实时性要求不高的工业控制环境。

网络协议分析工具Ethereal的使用

⽹络协议分析⼯具Ethereal的使⽤

⼤学时计算机⽹络课的实验报告，当时提不起兴趣，今天看来还挺有⽤的。可以学习下怎样抓数据包，然后分析程序的通信协议。

⼀：学习使⽤⽹络协议分析⼯具Ethereal的⽅法，并⽤它来分析⼀些协议。

实验步骤：

1．⽤“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；（注：缺省路由器即 ”Default Gateway”）

命令⾏：Start->Run->CMD->ipconfig /all >C:\Mac.txt(在命令⾏中把ipconfig命令保存在⽂本⽂档⾥⾯备⽤)

结果：本机Mac地址：00.09.73.4B.8A.D7 缺省路由器IP：192.168.8.254

步骤截图：

图1（本机⽹络信息：Mac.txt）

2．⽤“arp”命令清空本机的缓存：

命令⾏：Start->Run->CMD->arp –d

图2（arp命令 –d参数的帮助说明）

3．运⾏Ethereal，开始捕获所有属于ARP协议或ICMP协议的，并且源或⽬的MAC地址是本机的包：

图3（Capture->Options中关于⽹卡设置和Capture Filter）

图4（抓包截图）

4．执⾏命令：“ping” 缺省路由器的IP地址：

图5（捕获包）

图6（ping 过程）

⼆：⽤Ethereal观察tracert命令的⼯作过程：

1．⽤Ethereal语法内容及参数说明：

命令⾏操作步骤：Start->Run->CMD->tracert

1、ethreal使用-入门

实验一：Ethereal使用入门

一、背景知识

Ethereal是目前广泛使用的网络协议分析工具(Network Protocol Analyzer)，它能够实时地捕获网络上的包，并且把包中每个域的细节显现出来。Ethereal的广为流行主要有以下三个原因：

(1)它的功能非常强大，随着大家对Ethereal的熟悉将会深切感受到这一点。

(2)它是开源、免费的软件。

(3)它具有非常详细的文档。Ethereal的安装文件和文档可以从下载。

二、Ethereal图形界面，如下图所示：

第一部分是菜单和工具栏，Ethereal提供的所有功能都可以在这一部分中找到。

第二部分是被捕获包的列表，其中包含被捕获包的一般信息，如被捕获的时间、源和目的IP地址、所属的协议类型，以及包的类型等信息。

第三部分显示第二部分已选中的包的每个域的具体信息，从以太网帧的首部到该包中负载内容，都显示得清清楚楚。

第四部分显示已选中包的16进制和ASCII表示，帮助用户了解一个包的本来样子。

三、Ethereal的基本用法

Ethereal的最基本功能是捕获网络包，其使用方法很简单，按如下步骤即可：

(1)选择“Capture”菜单项中的“Option”,这时会弹出一个对话框，如下所示。这个对话框中的栏目虽然很多，但一般只需配置其中两项。一项是“Capture Filter”栏。在这个栏中，可以输入过滤规则，用于规定Ethereal捕获包的种类(注：过滤规则的写法将在下一节作专门介绍)；如果不输入过滤规则，则Ethereal将捕获所有从网卡发送或收到的包。另外一项是“Update list of packets in real time”选项，请大家一定要选中这一项，这样可以使Ethereal在捕获包的同时，实时地把捕获的包显示出来。

使用Ethereal分析数据包共69页

使用Ethereal分析数据包
幽默来自智Baidu Nhomakorabea，恶语来自无能
谢谢你的阅读
❖ 知识就是财富 ❖ 丰富你的人生
71、既然我已经踏上这条道路，那么，任何东西都不应妨碍我沿着这条路走下去。——康德 72、家庭成为快乐的种子在外也不致成为障碍物但在旅行之际却是夜间的伴侣。——西塞罗 73、坚持意志伟大的事业需要始终不渝的精神。——伏尔泰 74、路漫漫其修道远，吾将上下而求索。——屈原 75、内外相应，言行相称。——韩非

使用Ethereal分析数据包共68页

Ethereal的窗口由三部分构成
从上到下分别是 • (1) 各个协议的数据包列表； • (2) 某一具体协议的各个层次的数据分析； • (3) 帧的十六进制具体数据展示。
说明
• 可以看到，最上面的窗口为数据包的列表，显示的是捕获到的每个数据包的大概信息；
• 中间的窗口是选定的某个数据包的层次结构和协议分析；
5.
缺省保存为libpcap格式，这
个是linux下的tcpdump格式的文
件。只有选择文件保存格式为
sniffer（windows－base）1.1和
2.0都可，ethereal和sniffer才能双
向互相打开对方抓包的文件。否
则只有ethereal能打开sniffer的抓
包文件。
File的下拉菜单
字面真的不好翻译（自动翻卷显示活动的报文），使用对比一下才获知：捕获时是否跟进显示更新的报文还是显示先前的报文。
Packet list 报文列表 Packet details 报文详解 Packet byte 报文字节察看
Time display format 时间显示格式（可以显示年月日时分秒）
Name Resolution 名字解析 Auto scroll in live capture 单看
Time Reference 字面是时间参考，使用后明白是做个报文的“时间戳”，方便大量报文的查询

wireshark抓包工具演讲PPT

WireShark——网络封包分析软件
16班黄锐
WireShark能干什么：
Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料
WireShark不能干什么：
为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包
过滤器封包列表
封包详细信息
物理层数据链路层
网络Байду номын сангаас 传输层应用层
16进制数据地址栏
实例分析TCP三次握手：
第二次握手第三次握手
目前大部分使用HTTPS，即HTTP+SSL，使用密文传输信息

抓包工具ethereal使用说明

抓包工具ethereal 使用说明 1.启动程序

2.修改配置

点击start 开始抓包。

3．实时抓包，可以在Filter 过滤，只显示当前网卡与输入ip 之间的报文。

点击选择

4.停止抓包，点击stop 即可。

5.保存报文

点击file文件夹下save as，弹出保存界面，选择c：\或其他盘,在最下行输入文件名，点击ok即可。

61850报文说明：在抓包界面protocol下有tcp、utp、mms报文等，最重要的是要有mms

包。

另外在第一次配置完成后，不退出程序前不需要重新配置，可以在“file”正下方的“”

快捷键，在弹出的窗口中点击“Capurte”就开始重新抓包了。同时会问对上次的报文是否保存。

最后强调一下，对抓好的包要重新打开看一下，确保正确保存。

Ethereal网络协议分析器的使用,实验报告

工业计算机网络实验报告

实验5：Ethereal 网络协议分析器的使用

一、实验目的：

1、了解协议分析器安装；

2、熟悉并掌握Ethereal的使用方法和基本操作；

3、掌握协议分析器分析协议的方法。

二、实验环境

与因特网连接的计算机网络系统；主机操作系统为Windows2000或Windows XP；Ethereal等

三、实验内容：

1、Ethereal的安装

安装ethereal需要先安装winpcap，安装过程如下：选择默认安装，安装完成后如下：

Ethereal安装完成如下图所示：

2、按附录文档学习和使用Ethereal 没有设置过滤规则时的运行界面

刚开始设置网卡信息，选择capture->options，选择默认设置即可，如下图：结果如下：

3、自己扑获网络活动，并形成一个数据文件，查看其特点。例如捕获一个TCP数据包，查看其首部信息。

捕获进出192.168.7.10(本机ip)并且为qq发送接收的数据包，filter为：

Host 192.168.7.10 and udp

截图如下：

四、实验总结

通过本次试验对Ethereal有了一个大概的了解，网络分析对于某些方面是十分重要的，当网络出现问题时，可以及时的了解底层通信的细节。Ethereal是开源的软件，学习ehtereal是很有必要的，但由于我的知识尚不够丰富，对于分析过滤的包还不是熟悉，还有待以后的进一步学习，学习技术最忌浮躁，所以不能着急，需要多加实践和动手操作才行，这方面仍需努力！

实验八 Ethereal的使用

实验八Ethereal的使用

一、问题描述：本实验为每人一组，每组一台PC机。通过Internet

下载Ethereal的安装程序并在各自的电脑上安装好，然后通过“帮助”学习Ethereal的使用，并利用Ethereal捕获网卡上进出的数据包，最后认真学习领会所捕获得数据包的各个字段的意义，以掌握常见数据包的格式及其内容。

二、目的和要求：

1.熟练掌握Ethereal的使用；

2.通过学习该工具所抓获的包掌握常见数据包的格式。

实验7.1-Ethereal抓包分析-(写报告)

实验7.1-Ethereal抓包分析

实验目的

本实验使用开源网络协议分析器Ethereal，从网络中抓包，并选择几种协议进行分析。

实验环境

运行Windows 2000/2003 Server/XP操作系统的PC机1台。

实验步骤

安装Ethereal、用Capture Options(捕获选项)对话框来指定跟踪记录的各个方面、开始抓包。

1、安装Ethereal

从FTP服务器下载得到该软件，并进行安装，过程略。

2、捕获选项

对TCP协议产生的包进行分析，在Capture Filter填入“TCP port 23”。

299

图1捕获选项的设置

3、开始抓包

点击上图中的“Start”开始抓包。

4、打开一个命令窗口，用Telnet命令登陆一个bbs，如：telnet 。观察ethereal的抓包结果，分析TCP建立连接的三次握手，并填写实验报告。

300

ethereal抓包分析

辽宁工业大学

创新实验（论文）

题目ethereal抓包分析

电子与信息工程学院院（系）通信工程专业072 班

学生姓名谭超

学号070305034

指导教师李宁

开题日期：2010年 6 月 10 日

实验目的：

本实验使用开源网络协议分析器Ethereal，从网络中抓包，并选择几种协议进行分析。

一、安装Ethereal、用Capture Options(捕获选项)对话框来指定跟踪记录的各个方面、开始抓包。

1、安装Ethereal

从网络下载得到该软件，并进行安装。过程略。

2、捕获选项

图1捕获选项的设置

3、开始抓包

点击上图中的“Start”开始抓包

图2 开始抓包

二、分析UDP、TCP、ICMP协议

1、UDP协议

UDP 是User Datagram Protocol的简称，中文名是用户数据包协议，是 OSI 参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。它是IETF RFC 768是UDP的正式规范。

（1） UDP是一个无连接协议，传输数据之前源端和终端不建立连接，当它想传送时就简单地去抓取来自应用程序的数据，并尽可能快地把它扔到网络上。在发送端，UDP传送数据的速度仅仅是受应用程序生成数据的速度、计算机的能力和传输带宽的限制；在接收端，UDP把每个消息段放在队列中，应用程序每次从队列中读一个消息段。

（2）由于传输数据不建立连接，因此也就不需要维护连接状态，包括收发状态等，因此一台服务机可同时向多个客户机传输相同的消息。

（3） UDP信息包的标题很短，只有8个字节，相对于TCP的20个字节信息包的额外开销很小。

Ethereal使用教程

ethereal 可以用来从网络上抓包，并能对包进行分析。下面介绍windows 下面ether eal 的使用方法

安装

1）安装winpcap，下载地址http://netgroup-serv.polito.it/winpcap/insta ll/Default.htm 2）安装ethereal ，下载地址/

使用

windows 程序，使用很简单。

启动ethereal 以后，选择菜单Capature->Start ，就OK 了。当你不想抓的时候，按一下stop，抓的包就会显示在面板中，并且已经分析好了。

下面是一个截图：

ethereal使用－capture选项

interface: 指定在哪个接口（网卡）上抓包。一般情况下都是单网卡，所以使用缺省的就可以了Limit each packet: 限制每个包的大小，缺省情况不限制。

Capture packets in promiscuous mode: 是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。Filter：过滤器。只抓取满足过滤规则的包（可暂时略过） File：如果需要将抓到的包写到文件中，在这里输入文件名称。use ring buffer：是否使用循环缓冲。缺省情况下不使用，即一直抓包。注意，循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。其他的项选择缺省的就可以了。

ethereal的抓包过滤器

抓包过滤器用来抓取感兴趣的包，用在抓包过程中。抓包过滤器使用的是libcap 过滤器语言，在tcpdump 的手册中有详细的解释，基本结构是： [not] primitive [and|or [not] primitive ...]