实验二 网络抓包及协议分析软件使用说明

实验二网络抓包及合同分析软件使用阐明
⏹目的及意义：运用网络合同分析工具Eｔhereaｌ截获网络中传送的数据包，通过观测分析,从而
理解和结识(理解）合同的运营机制。

⏹下载与安装:在Ｗindowｓ下安装Eｔherｅaｌ,可从下载安装软件,然后执行安装。

Etｈerｅａｌ　
在0．１0.12版本后都内置了Winｐcap,如没内置的Winpcaｐ，可先安装Winpcａp。

有关Winpcap
的具体信息可参照。

一.实验目的:
1．理解抓包与合同分析软件的简朴使用措施。

2．理解并验证网络上数据包的基本构造。

二．实验环境
1.硬件：ＰC、配备网卡，局域网环境。

２.软件：Ｗindows 或者ＸP操作系统、ｗinｐcap、aｎaｌyzer。

三.实验内容
运用Etheｒｅａｌ软件抓取网络上的数据包，并作相应分析。

四.实验范例
（1）安装
Eｔｈｅral的安装非常简朴,只要按照提示安装即可。

（2）运营
双击桌面的Etｈereal，显示“Tｈe Etheｒeal Network Ａnａｌyzeｒ”的主界面,菜单的功能是:
（3）设立规则
这里有两种方式可以设立规则：
●使用interface
1）选择Caｐｔｕre—>ｉnterfacｅs，将显示该主机的所有网络接口和所有流经的数据包,单击“Ｃapｔurｅ”按钮，及执行捕获。

2）如果要修改捕获过程中的参数，可以单击该接口相应的“Ｐｒepare”按钮。

在捕获选项对话框中，可以进一步设立捕获条件:
●Interface——拟定所选择的网络接口
●Limit ｅach　packｅt to　N　bytes——指定所捕获包的字节数。

选择该项是为了节省空间，只捕获包头，在包头中已经拥有要分析的信息。

●Ｃａptｕrｅ　packet　in promiscuous mode——设立成混杂模式。

在该模式下，可以记录所有的分组,涉及目的地址非本机的分组。

●Caｐtｕre　Filtｅr——指定过滤规则
有关过滤规则请查阅如下使用Ｆｉlｔｅｒ方式中的内容。

●Cａpture ｆiｌes——指定捕获成果寄存位置
●Upｄate lisｔｏf pacｋｅts in　reaｌｔimｅ——实时更新分组
每个新分组会随时在显示成果中浮现,但在重网络流量时会浮现丢包现象。

●Stop Captｕre lｉmiｔｓ——设立停止跟踪的时间
如捕获到一定数量的分组（…afｔｅr　N packets）、跟踪记录达到一定的大小(…ａfter N megabｙtes)或在一种特定的时间后(…ａfｔer N minutes）。

●Name reｓｏlｕtｉｏｎ——设立名字解析
如启用MAC地址转换(Ｅnable ＭAC　nａme resｏluｔｉon)，可以将地址转换成厂商、网络地址转换(Enab ｌe　netwｏrｋnaｍｅrｅsｏｌutiｏn),可以将地址转换成主机名、传播名字转换(Ｅnablｅ　transpｏrt nａme reｓolutｉon)，可以将端标语翻译成合同,但在重网络流量时会浮现丢包现象。

3）设定完毕后，单击“ＯK”按钮将按照新设定的条件执行捕获。

使用filｔeｒ
1）选择Cａｐture—>Capture Fiｌｔer,显示过滤器对话框,该过滤器可以过滤掉不感爱好的数据包，使捕获的成
果减少。

2）单击“Ｎｅw”按钮,在FiｌteｒName和Fiｌter Ｓting中填入过滤器名称和过滤规则,最后单击“Ｓａve”按钮保存过滤规则。

（4）捕获数据包
选择Captuｒe—>Start，将按照事先设定的过滤规则进行捕获。

捕获结束时，单击“Sｔop”按钮。

没有设
定过滤条件时，表达捕获流经本机的所有数据包。

（5）产生一种满足捕获条件的动作
如要捕获本机HTTＰ合同的数据包,可以在本机打开浏览器后访问一种网站。

（6）分析成果
捕获结束后,捕获成果将准时间顺序显示在跟踪列表框(第一种窗口）中,涉及序号、发送时间、源地址、目的地址、合同等信息，其中源地址和目的地址是物理地址。

单击表头中的标题，可以重新按照该标题排序。

1）在跟踪列表框中，单击指定数据分组时，在合同框（第二个窗口)中将显示分组的各层合同：物理层帧、以太网帧及其首部、IP数据包及其首部、UDP数据包及其首部信息等。

2）在合同框中,单击指定合同或者合同的构成部分时,在原始分组框(第三个窗口)中将突显该合同或构成部分中所含数据的每个字节，窗口的左边显示的是十六进制数据,右边显示的是ASCII码。

3）选择Analyｚe——＞Ｆoｌloｗ　ＴＣP Strｅａm，可以查看控制通道传播的所有内容。

（7）记录分组
1）选择Statiｓtiｃ——>Suｍmａry,可以查看跟踪记录的概要，显示的成果涉及通信的总字节数、通信的频率、分组的平均大小等。

2）选择Stａｔｉstic——＞Protocｏl Hieraｒｃhy,可以按照合同层次记录,显示成果涉及指定合同分组的数据包数（Pacｋｅtｓ）、字节数（Byteｓ)、指定合同是最后一种合同(嵌套最深）的数据包数(End　Pacｋｅts)和字节数（EnｄByｔｅs)。

3）选择Sｔatistｉc——>Conｖerstioｎ,指定合同类型后，可以观测指定合同的连接过程。

（8）变化显示成果
1）选择Viｅｗ——>Cｏloring Ｒｕｌes Dｉａlog,显示颜色过滤器,可以变化跟踪列表框中指定分组的颜色。

2）在Colｏriｎg Rules对话框中,单击“New”按钮，完毕显示规则的名称、颜色过滤器的体现式以及前景色(Fo ｒｅｇroｕｎd Cｏlor）和背景色（Baｃkgrｏｕnd Color)设立后,单击“OK”按钮,则跟踪列表中分组将以新的颜色过滤规则显示。

如果对描述颜色过滤器体现式的语法不熟悉,可以单击“+Expreｓsiｏｎ”按钮，运用协助菜单中合同的构成元素创立一种体现式。

3）在Ｅｔherｅaｌ的主窗口的Filter文本框中，输入显示过滤器的规则后,单击“Ａpply”按钮,将按新规则显示成果。

显示过滤器与颜色过滤器对规则描述的语法是相似的,如果对描述显示过滤器体现式的语法不熟悉，可以单击“+Ｅｘprｅssion”按钮,运用协助菜单中合同的构成元素创立一种体现式。

也可以选择Ａｎａｌyze——>Ｄisp ｌay　Fｉlter完毕显示过滤器规则的编辑。

（9）搜索分组
1）选择Eｄit——>FinｄPackｅt,通过设立显示过滤器的规则可以迅速定位到指定分组。

2）选择Edit——>Find Next,可以按照已设定的显示过滤器规则定位到后一种满足条件的分组。

3）选择Edit——>Fｉｎd Prｅvｉｏus,可以按照已设定的显示过滤器规则定位到前一种满足条件的分组。

⏹Filter string 语法输入的格式
◆　[srｃ｜dst］hｏst ＜hｏｓｔ>
◆eｔher [src|dst] hoｓt ＜eｈost>
◆gａtewaｙhost <host>
◆[ｓｒc|ｄst]　net　<net> ［{ｍasｋ＜mask>}|｛lｅn　＜ｌｅｎ＞}
◆［tｃｐ|uｄｐ] ［sｒc|dsｔ]　poｒt　<ｐorｔ＞
◆less｜greaｔer ＜lｅngth＞
◆ｉｐ｜etｈer　ｐroto <protocol>
◆etheｒ|ip bｒoadｃasｔ|mｕｌtｉｃａsｔ
◆<eｘpr＞reloｐ　<ｅxｐr
元素简介：表格1
Ｐrimitivｅ描述
[srｃ｜ｄsｔ］ｈost　<hoｓt>容许设定主机IＰ或名称过滤器。

可以使用前缀操作符src 或
ｄｓｔ　指定此主机为源地址还是目的地址。

如果没有指定前
缀操作符,则抓取与此主机有关的所有数据包。

Ｅther　[srｃ｜dsｔ]　host <ehosｔ＞容许设立以太网主机地址（ＭAC地址）过滤器。

可以在ｅtｈｅr 和host之间随意涉及ｓrｃ｜dst前缀操作符，指定此主机为源地址还是目的地址。

如果没有指定前缀操作符,则抓取与此主机有关的所有数据包。

Ｇａtｅwaｙ　host <hoｓt>设定以此主机为网关的数据包过滤器。

即那些以太网源或目的
地址为此主机以太网地址(ＭＡC地址)，而IＰ地址却不是此主机
IP地址的数据包都被取。

[src|dｓt] ｎet ＜net＞[{mask ＜mａsk＞}|｛len <length>}]设立但愿抓取数据的网络数。

可是使用前缀操作符　ｓｒc或dst指定你但愿抓取的是源网络或是目的网络。

如果不加前缀操作符，则抓取于此网络有关的所有数据。

如果与您主机的掩码或CIＤＲ不同,可以通过maｓk　掩码和len CIＤR设立。

[ｔcp|udp] ［src|ｄsｔ] port <p ｏrt>设立tcp或udp过滤端标语。

可以使用前缀ｔcp或udp 和ｓrc 或dst设立你要过滤的是ｔcp还是udp,是源端口还是目的端口。

Tcp｜uｄp必须在sｒc｜dst前面。

Lｅss|greater <ｌength>设立过滤数据包长度。

被抓获得数据包长度不不小于等于或不
小于等于设定的长度。

Ｉp|ether protｏ＜protocoｌ>设定ip或以太网层成滤合同。

Ether|iｐ　broadcast|multicａst设定过滤以太网或IP层的广播或多播
<expr＞rｅｌop <expｒ>设立一种复合过滤体现式，去选择数据包中的字节或字节范畴
实验语法示例:
１）捕获 MAC地址为　00:ｄ０:f8:０0:00:０3 网络设备通信的所有报文
ｅther hoｓt ０0:d0:f8：00:00:03
2) 捕获 IP地址为　1９２.168.10.1 网络设备通信的所有报文
hoｓt 192．168.１0.１
３) 捕获网络web浏览的所有报文
tｃｐ porｔ８0
4) 捕获192.168.10.１除了htｔp外的所有通信数据报文
host 1９2.168.1０.1 anｄ　ｎoｔ tcp port 80。