Ethereal 抓包分析

合集下载

Ethereal -抓包、报文分析工具

Ethereal -抓包、报文分析工具

Ethereal -抓包、报文分析工具Ethereal 是一种开放源代码的报文分析工具,适用于当前所有较为流行的计算机系统,包括 Unix、Linux 和 Windows 。

主界面如上图,点“抓包配置”按钮,出现抓包配置界面如下图。

在“Interface”中选择网卡,即用来抓包的接口,如果选择错误就不能抓到报文;“Capture packets in promiscuous mode(混杂模式抓包)”是指捕捉所有的报文,如不选中就只捕捉本机的收发报文;如果选中“Limit each packet to xx bytes(限制每个包的大小)”则只捕捉小于该限制的包;抓包时,数据量比较大,解析起来速度慢,可在“Capture Filter(抓包过滤设置“Display Options(显示设置)”中建议选中“Update list of packets in realtime(实时更新抓包列表)”、“Automatic scrolling in live capture(自动滚屏)”和“Hide capture info dialog(隐藏抓包信息对话框)”三项。

抓包配置好就可以点击“Start”开始抓包了。

抓包结束,按“停止”按钮即可停止。

为了快速查看需要的报文,在“Filter”栏中输入过滤条件后按回车键即可对抓到的包进行过滤。

注意“Filter”栏中输入的过滤条件正确则其底色为绿色,错误则其底色为红色。

常用有些报文还可以判断网络的状况,例如输入显示过滤条件tcp.analysis.flags,可以显示丢失、重发等异常情况相关的TCP报文,此类报文的出现频率可以作为评估网络状况的一个标尺。

偶尔出现属于正常现象,完全不出现说明网络状态上佳。

tcp.flags.reset==1。

SYN是TCP建立的第一步,FIN是TCP连接正常关断的标志,RST是TCP连接强制关断的标志。

统计心跳报文有无丢失。

在statistics->conversations里选择UDP,可以看到所有装置的UDP报文统计。

实验三Ethereal抓包软件初步

实验三Ethereal抓包软件初步

浙江大学城市学院实验报告课程名称计算机网络应用实验项目名称实验三 Ethereal抓包软件初步实验成绩指导老师(签名)日期 2014-05-06一. 实验目的和要求1. 掌握Ethereal软件的安装2. 学习Ethereal过滤规则的设置3. 使用Ethereal捕获Ethernet帧,并对Ethernet帧和协议数据包进行分析二. 实验内容、原理及实验结果与分析1. 安装Ethereal软件1.1安装WinPcap_3_0.exe和Ethereal-setup-0.10.3.exe下载地址: 【实验结果与分析】Ethereal主界面2. 在Ethereal中创建并设置以下普通过滤规则2.1捕获本地主机收到和发出的所有数据包【过滤规则】host 10.66.19.272.2捕获本地主机收到和发出的所有ARP包【过滤规则】host 10.66.19.27 and arp2.3捕获局域网上所有的ICMP包【过滤规则】icmp2.4捕获MAC地址为00-06-68-16-38-80的数据包【过滤规则】ether host 00:06:68:16:38:802.5捕获本地主机收到和发出的Telnet包【过滤规则】host 10.66.19.27 and tcp port 233. 捕获并解析Ethernet帧及协议3.1捕获解析本机发出或接收的Ethernet 802.3格式的帧,并对照帧格式进行解释【实验结果与分析】Ethernet 802.3帧分析选中的那一行,数据包以IEEE802.3Ethernet帧格式封装。

长度6字节6字节2字节字段Destination Address Source Address Length值01:80:c2:00:00:009c:4e:20:c2:45:8346帧的上一层协议是Logical-Link Control(LLC)。

3.2捕获解析本地主机发出及收到的ARP数据包,解释ARP广播帧的内容及返回数据包信息(如ping一台旁边没连接过的电脑,捕获ARP数据包)【实验结果与分析】ARP请求包ARP应答包选中一个ARP数据包,把对应的字段值填入下面的表格(值取自上图中的ARP应答包):长度2字节2字节1字节1字节2字节字段Hardware type Protocoltype HardwaresizeProtoclesizeOpcode值0x00010x0800640x0002长度6字节4字节6字节4字节字段Sender MAC address Sender IPaddress Target MACaddressTarget IPaddress值00:01:6c:98:63:aa10.66.19.3300:15:58:e7:cd:1210.66.19.27上图ARP请求包,协议树窗口中Opcode:request (0x0001)表示主机10.66.19.27向局域网发送广播包询问主机10.66.19.33的MAC地址。

实验报告——使用Ethereal进行报文的获取

实验报告——使用Ethereal进行报文的获取

实验报告——使用Ethereal一、实验目的(1)熟悉Ethereal的工作环境。

(2)掌握使用Ethereal进行报文的捕获。

(3)用所捕获的报文分析网络,巩固自己所学的知识。

二、实验要求1,Ethereal软件的基本功能使用。

2,按照老师所提供的ppt课件和教程进行操作。

3,自己选择过滤条件进行捕获,对所捕获的数据报文的检测与分析。

三、实验环境1,校园局域网环境2,Ethereal软件四、实验步骤网络世界中,最基本的单元是数据包。

这个实验主要是练习Ethereal的使用,在网上抓包,培养对网络通讯协议底层的分析和认识,加强对网络的理解。

(1)这个工具要安装Ethereal。

这个很简单,大家根据安装提示点“下一步”就可以了。

(2)下面是抓包的具体步骤:双击打开Ethereal,出现Ethereal的工作界面,如图1,a.点窗口中的Capture选项中设置抓包的相关参数。

1)选择合适的网卡(网卡=网络适配器)Interface(NIC),Capture packets in promiscuous mode 是所抓包的类型,我们不用混杂选项,所以不打勾。

b.按ctrl+K进行“capture option”的选择。

如图2,start,等一小会点stop停止抓包,如图3现在所显示的图4就是我所抓到的包。

(3)分析我所抓到的包数据报文的源地址:10.3.133.55目的地址:10.3.131.74UDP协议(4)捕获过滤捕获条件A:udpFilter选项为捕获过滤条件,红色是不正确的语句,绿色为正确语句。

相同的为一种颜色。

捕获条件B :ip.addr==10.3.131.12捕获条件C:http五、实验总结通过这次实验,我了解了Ethereal软件的应用。

学会了使用Ethereal进行抓包,分析网络。

在遇到不明白的地方仔细查阅书籍,巩固了自己的知识。

在做视频时下载录制视频软件,录制视频也使我获益匪浅。

ethereal抓包分析

ethereal抓包分析

辽宁工业大学创新实验(论文)题目ethereal抓包分析电子与信息工程学院院(系)通信工程专业072 班学生姓名谭超学号070305034指导教师李宁开题日期:2010年 6 月 10 日实验目的:本实验使用开源网络协议分析器Ethereal,从网络中抓包,并选择几种协议进行分析。

一、安装Ethereal、用Capture Options(捕获选项)对话框来指定跟踪记录的各个方面、开始抓包。

1、安装Ethereal从网络下载得到该软件,并进行安装。

过程略。

2、捕获选项图1捕获选项的设置3、开始抓包点击上图中的“Start”开始抓包图2 开始抓包二、分析UDP、TCP、ICMP协议1、UDP协议UDP 是User Datagram Protocol的简称,中文名是用户数据包协议,是 OSI 参考模型中一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务。

它是IETF RFC 768是UDP的正式规范。

(1) UDP是一个无连接协议,传输数据之前源端和终端不建立连接,当它想传送时就简单地去抓取来自应用程序的数据,并尽可能快地把它扔到网络上。

在发送端,UDP传送数据的速度仅仅是受应用程序生成数据的速度、计算机的能力和传输带宽的限制;在接收端,UDP把每个消息段放在队列中,应用程序每次从队列中读一个消息段。

(2)由于传输数据不建立连接,因此也就不需要维护连接状态,包括收发状态等,因此一台服务机可同时向多个客户机传输相同的消息。

(3) UDP信息包的标题很短,只有8个字节,相对于TCP的20个字节信息包的额外开销很小。

(4)吞吐量不受拥挤控制算法的调节,只受应用软件生成数据的速率、传输带宽、源端和终端主机性能的限制。

(5)UDP使用尽最大努力交付,即不保证可靠交付,因此主机不需要维持复杂的链接状态表(这里面有许多参数)。

(6)UDP是面向报文的。

发送方的UDP对应用程序交下来的报文,在添加首部后就向下交付给IP层。

使用Ethereal抓包分析IPv6

使用Ethereal抓包分析IPv6
测试本机与外部IPv6网站的连通性的命 令和结果如下: Cl\DocurrIents and Settill昏\xylin>口in西w’m.kaⅡ推.net
Pj nging www.1【ame.net【200l:200lO:8002:203t47fflfea5l
3085】 fmm
2∞1 lda8l舢:出812004lef64Iabb2-554f
CERM丌华东南地区福建(厦门)网络 中心也设于厦门大学信息与网络中心.目前 与CERNEl’华南核心主干有一路2.5G光纤 信道互连.有一路2.5G光纤信道通与 cERNET华东南核心主干连接,为福建省 (闽南.闽西片区)的大中专院校和教育主管 部门提供方便快捷的中田教育和科研计算机 网联网服务,为部分中小学提供中国教育和 科研计算机网联网服务.同时.厦门大学为 CNGI—cERNI丌2核心节点,是福建省唯一 的CNGI国家棱心节点.
地址映射为一个EUI一64地址,然后对u/L位 求反而得到。接下来看另外两个2001开头 的IP地址,是可集聚全球单播地址.其中一 个后64位接口地址与本地链路地址的接口 ID一样.而它的前面64位是本机从路由通 告中获取的全球路由前缀和子网D,前后两 个6耷位合起来就构成了本机自动获得的一 个128位的可集聚全球单播地址.同一个接 口为什么有两个可集聚全球单播地址的原 因.我们可以通过命令ipv6 if看到.结果 如下: Dre衙red global 2∞l;da8:e800:血8:2004:研H:abb2:554f.
lPv6最终取代IPv4是必然的趋势,但IPv4 已在全世界得到了广泛应用,要实现由IPv4到 吼6的升级.会有一个过渡期,如何缩短这个 过渡期,使IPv6早日发挥其优势。关键的一点 就是要尽快开发在JPV6上的应用服务,只有当 |Pv4网络中的应用在IPv6网络中同时存在.而 且还要有IPv6能带来而lPv4无法提供的创新 应用,在这种情况下lPv6才会因应用的需求而 迅速取代IPv4.

实验二 WireShark(Ethereal)抓包实验

实验二  WireShark(Ethereal)抓包实验

WireShark的安装很简单,安装 过程中会提示安装WinPcap,一切 都按默认设置即可。
10
10
(二)捕获数据包的一般操作
步骤 01 启动Wireshark,显示图2-1所示的主界面。
图2-1 启动Wireshark
11
11
(二)捕获数据包的一般操作
步骤 02
首先设置捕获参数。选择“Capture”(捕获)菜单中的“Options”(选项)命令,打开“Capture Option”(捕获选项)对话框。“Capture Option”对话框显示了多项设置和过滤器,用于确定捕获的数 据通信类型及数量等,如图2-2所示。
即“途经”该网卡但不发往该计算机的数据包)。
13
13
(二)捕获数据包的一般操作
步骤 05 步骤 06
“Capture”设置区的“Capture Filter”栏用来设置是抓包过虑,除非需要过虑特定的数据包,否则一 般情况下可以保持默认设置,即留空。 单击“Start”(开始)按钮即可开始数据包捕获。图2-3所示为开启捕获后的Wireshark的主显示窗 口,主要有五个组Байду номын сангаас部分。
与上一次显示 帧的时间间隔
帧号为6 捕获长度为74字节
与上一次被捕获帧的时间间隔
与参考帧或第1帧的时间间隔 帧长为74字节 帧不会被忽略
帧没有被标记
图2-7 物理层数据帧概况
帧内封装的协 议层次结构 被着色字符串为icmp, icmpv6
19
被着色规则名 称为ICMP
19
(三)ping PDU数据的捕获和分析
菜单和工具命令 协议筛选 数据包列表
数据包首部明细 数据包内容
14 图2-3 开启捕获后的主显示窗口

Windows下使用Wireshark(ethereal)进行抓包分析

Windows下使用Wireshark(ethereal)进行抓包分析

Windows下使用Wireshark(ethereal)进行抓包分析说明:由于版权问题,该开源软件的新版本现已更名为Wireshark。

1、下载安装a 从/ 下载Wincap安装;b 从/ 下载安装Windows平台的Ethereal(或从/projects/wireshark/ 下载安装Wireshark),双击安装文件安装即可。

2、使用启动ethereal 以后,选择菜单Capature->Start :选择好接受数据的网卡(Ethereal会自动选择系统中安装的唯一的网卡),再单击“OK”按钮即可开始抓包。

上图中的对话框还可以进行一些设置:l Interface:指定在哪个接口(网卡)上抓包(系统会自动选择一块网卡)。

l Limit each packet:限制每个包的大小,缺省情况不限制。

l Capture packets in promiscuous mode:是否打开混杂模式。

如果打开,抓取所有的数据包。

一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。

l Filter:过滤器。

只抓取满足过滤规则的包。

l File:可输入文件名称将抓到的包写到指定的文件中。

l Use ring buffer:是否使用循环缓冲。

缺省情况下不使用,即一直抓包。

注意,循环缓冲只有在写文件的时候才有效。

如果使用了循环缓冲,还需要设置文件的数目,文件多大时回卷。

l Update list of packets in real time:如果复选框被选中,可以使每个数据包在被截获时就实时显示出来,而不是在嗅探过程结束之后才显示所有截获的数据包。

单击“OK”按钮开始抓包,系统显示出接收的不同数据包的统计信息:单击“Stop”按钮停止抓包后,所抓包的分析结果显示在面板中:3、Ethereal的抓包过滤器抓包过滤器在抓包过程中用来抓取感兴趣的数据包。

它使用的是libcap 过滤器语言,在tcpdump 的手册中有详细的解释,基本结构是:[not] primitive [and|or [not] primitive …]。

实验-使用wireshark(Ethereal)分析数据包

实验-使用wireshark(Ethereal)分析数据包



Find Preyious是向上查找
Time Reference 字面是时间参 考,使用后明白是 做个报文 的“时间戳”,方便大量报文 的查询
Edit的下拉菜单报文标签
使用Time Reference标
签后,原先time的就变成 “REF”缩写的标记 附注:可以在多个报文间 用时间戳标记,方便 查询。
Ethereal工具的构成与安装
Winpcap.exe是Win32平台上进行包捕获和网络协 议分析的开源库,含有很重要的包过滤动态链接 库(packet.dll库)和wpcap.dll库,这两个动态链接 库都提供有抓包工具必需的应用编程接口API。 在安装Ethereal之前,必须要先安装WinPcap, 否则抓包无法完成。值得一提的是,0.10.14版本 的Ethereal工具已经把WinPcap工具固化在 Ethereal的安装程序中,只需要按照提示步骤默 认安装即可。
Analyze下的Display filters
正确的语法如下,和“Capture Filter”的语法有所不同:
显示 以太网地址为 00:d0:f8:00:00:03 设备通信的所有报文 eth.addr==00.d0.f8.00.00.03


显示 IP地址为 192.168.10.1 网络设备通信的所有报文 ip.addr==192.168.10.1

Mark Packet(toggle) 是标记报文 Mark all packets 和 Unamrk all packet即 标记所有报文 、取消 标记所有报文
Edit的下拉菜单
点击 “preference”
进行用户界 面的选择, 比如说 报文 察看界面布 局的选择, 以及协议支 持的选择。

Wireshark抓包实例分析

Wireshark抓包实例分析

Wireshark抓包实例分析通信工程学院 010611班赖宇超 01061093一(实验目的1.初步掌握Wireshark的使用方法,熟悉其基本设置,尤其是Capture Filter 和Display Filter的使用。

2.通过对Wireshark抓包实例进行分析,进一步加深对各类常用网络协议的理解,如:TCP、IP、SMTP、POP、FTP、TLS等。

UDP、3.进一步培养理论联系实际,知行合一的学术精神。

二(实验原理1.用Wireshark软件抓取本地PC的数据包,并观察其主要使用了哪些网络协议。

2.查找资料,了解相关网络协议的提出背景,帧格式,主要功能等。

3.根据所获数据包的内容分析相关协议,从而加深对常用网络协议理解。

三(实验环境1.系统环境:Windows 7 Build 71002.浏览器:IE83.Wireshark:V 1.1.24.Winpcap:V 4.0.2四(实验步骤1.Wireshark简介Wireshark(原Ethereal)是一个网络封包分析软件。

其主要功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。

其使用目的包括:网络管理员检测网络问题,网络安全工程师检查资讯安全相关问题,开发者为新的通讯协定除错,普通使用者学习网络协议的第1页,共12页相关知识……当然,有的人也会用它来寻找一些敏感信息。

值得注意的是,Wireshark并不是入侵检测软件(Intrusion Detection Software,IDS)。

对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。

然而,仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。

Wireshark不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。

Wireshark本身也不会送出封包至网络上。

2.实例实例1:计算机是如何连接到网络的,一台计算机是如何连接到网络的,其间采用了哪些协议,Wireshark将用事实告诉我们真相。

Ethereal抓包数据分析

Ethereal抓包数据分析

上面所示图片是用Wireshark软件进行抓包数据分析的截屏,下面我将选取1号帧作为代表分别分析相应的数据:1、数据帧的相关信息:获取时间为0;源地址为118.123.234.160;目的地址为192.168.1.100;高层协议为UDP;包内信息概况为:源端口为irdmi,目标端口为51820,表示QQ聊天软件与本机网络连接的信息。

2、物理层的数据帧概况从图中可以看出:1号帧,线路上有101字节,实际捕获101字节,捕获时间为2010年10月24日18:14:36,测试时间为1287915276.685846000秒,此包与前一捕获帧的时间间隔为0秒,与前一个显示帧时间间隔为0秒,与第一帧的时间间隔为0秒,帧号为1,帧长为101字节,捕获长度为101字节,此帧没有被标记且没有被忽略,帧内封装的协议结构为UDP数据协议,用不同颜色染色标记的协议名为UDP,染色显示规则字符串为udp。

3、数据链路层以太网帧头部信息此包为以太网协议版本2,源地址为Tp-LinkT_a9:d9:c6 (00:19:e0:a9:d9:c6),说明本机的网络是有TP-Link路由器分出来的,其网卡地址为00:19:e0:a9:d9:c6;目标地址为HewlettP_78:9f:34 (00:25:b3:78:9f:34),说明本机的网卡是Hewlett厂家生产的,网卡地址为00:25:b3:78:9f:34。

帧内封装的上层协议类型为IP,十六进制代码为0800。

4、互联网层IP包头部信息互联网协议IPv4,源地址为118.123.234.160,目标地址为192.168.1.100,IP包头部长度为20字节,差分服务字段为0x00 (DSCP 0x00: Default; ECN: 0x00),表示一个特定的上层协议所分配的重要级别,默认的DSCP值是0,相当于尽力传送,ECN字段被分为ECN-Capable Transport (ECT) bit和CE bit,ECT bit设置为“ 0 ”表明该传输协议将忽略ignore CE bit,CE bit将由路由器设置,设置为0说明对末端节点不挤塞,IP包的总长度为87字节,标志字段为0,标记字段为0x02,没有分片,分片的偏移量为0,生存期为57,当减少为0时,该数据包将被丢弃以保证数据包不会无限制的循环,上层协议为UDP,报头的检验和显示为正确。

Wireshark抓包分析

Wireshark抓包分析

3. Wireshark的使用
3.抓包之前也可以做一些设置,如上红色图标记2,点击后 进入设置对话框。 Interface:指定在哪个接口(网卡)上抓包(系统会自动 选择一块网卡)。 Limit each packet:限制每个包的大小,缺省情况不限制 。 Capture packets in promiscuous mode:是否打开混杂模 式。如果打开,抓 取所有的数据包。一般情况下只需要 监听本机收到或者发出的包,因此应该关闭这个选项。 Filter:过滤器。只抓取满足过滤规则的包。 File:可输入文件名称将抓到的包写到指定的文件中。 Use ring buffer: 是否使用循环缓冲。缺省情况下不使用 ,即一直抓包。循环缓冲只有在写文件的时候才有效。如 果使用了循环缓冲,还需要设置文件的数目,文件多大时 回卷。 Update list of packets in real time:如果复选框被选中,可 以使每个数据包在被截获时就实时显示出来,而不是在嗅 探过程结束之后才显示所有截获的数据包。
3. Wireshark的使用
单击“OK”按钮开始抓包,系统显示出接收的不同数据包 的统计信息,单击“Stop”按钮停止抓包后,所抓包的分析 结果显示在面板中,如下图所示:
例如,在抓包之前,开启了QQ的视 频聊天,因为QQ视频所使用的是 UDP协议,所以抓取的包大部分是采 用UDP协议的包。 数据包 列表 协议树 十六进制形式表示的 数据包内容
wireshark
2. Wireshark的安装
第一步
第二步
第三步
第四步
注意事项:安装过程中注意选择安装winpcap
3. Wireshark的使用
1.启动wireshark后,选择工具 栏中的快捷键(红色标记的按 钮)即可Start a new live capture。

ethereal抓包基本用法

ethereal抓包基本用法

ethereal抓包基本用法Ethereal抓包的基本使用办法一、确认镜像端口是否做好这里可以使用捕包软件来确认镜像是否安装好。

,如果客户的交换机支持镜像功能,则使用捕包软件。

我这里使用的是ethereal捕包软件。

1.根据提示一步步安装完捕包软件。

2.开始----程序----ethereal----3.进入到ethereal界面4.选择capture,进行捕包。

5.在capture菜单中选择OptionsInterface是自己电脑的网卡,根据自己电脑的实际的通讯的网卡进行选择,并按照上述打沟的情况进行选择打沟。

捕获所有协议的数据包。

选择此项表示会随时更新捕获到的数据包。

设置完之后,点击右下角start按钮,即开始捕包。

以下是捕获的数据包的界面。

捕包一段时间之后,点击界面上stop,即停止捕获数据包。

6.停止捕包之后,就可以回到ethereal的主界面上了,可以看到很多数据。

从上面的数据中可以看出对应的序号,时间,源IP,目的IP,协议类型。

在这里,要确认为镜像端口是否做好,只要在上述数据中能够看到有源IP和目的IP地址,是正反成对出现即可,表示镜像端口镜像成功。

7.在捕获数据选择保存时,选择file---save as,弹出以下界面:根据实际情况,选择路径,填好文件明。

在保存类型的选择时,系统默认为Ethereal/tcpdump(*.cap,*.pcap).注意:如果需要让sniffer进行分析数据包的情况下,在这里要选择NG/NAI Sniffer(*.cap *enc *.trc).其余的选项按照默认的进行。

实验二 WireShark(Ethereal)抓包实验

实验二  WireShark(Ethereal)抓包实验

与上一次显示 帧的时间间隔
帧号为6 捕获长度为74字节
与上一次被捕获帧的时间间隔
与参考帧或第1帧的时间间隔 帧长为74字节 帧不会被忽略
帧没有被标记
图2-7 物理层数据帧概况
帧内封装的协 议层次结构 被着色字符串为icmp, icmpv6
19
被着色规则名 称为ICMP
19
(三)ping PDU数据的捕获和分析
即“途经”该网卡但不发往该计算机的数据包)。
13
13
(二)捕获数据包的一般操作
步骤 05 步骤 06
“Capture”设置区的“Capture Filter”栏用来设置是抓包过虑,除非需要过虑特定的数据包,否则一 般情况下可以保持默认设置,即留空。 单击“Start”(开始)按钮即可开始数据包捕获。图2-3所示为开启捕获后的Wireshark的主显示窗 口,主要有五个组成部分。
展开数据链路层以太网帧信息,如图2-8所示。其中,Ethernet II表示以太网协议版本;Src(Source)
显示了源网卡的厂名_序号和物理地址(位于括号内);DST(Destination)显示了目标网卡的;Type:IP (0x0800)表示帧内封装的上层协议类型为IP,并在括号内显示了IP的十六进制码。
Wireshark的“数据包列表”窗格显示的内容如图2-13所示。从捕获的信息可以看出,计算机192.168.32.5 是用guoya用户登录ftp://192.168.32.1,密码是12345678。
图2-13 主窗口显示的内容
26
26
(四)通过Wireshark 捕获、嗅探FTP密码
至此,最简单的Wireshark捕获、FTP 密码嗅探就基本完成了,同学们可以继续 按需要捕获并分析其他数据。

实验报告:用Ethereal捕获并分析TCP数据包

实验报告:用Ethereal捕获并分析TCP数据包

——用Ethereal捕获并分析数据包学院:计算机工程学院专业:计算机科学与技术姓名:张徽学号:2008404010135TCP报文格式分析◆TCP提供一种面向连接的、全双工的、可靠的字节流服务。

◆在一个TCP连接中,仅有两方进行彼此通信。

广播和多播不能用于TCP。

◆TCP的接收端必须丢弃重复的数据。

◆TCP对字节流的内容不作任何解释。

对字节流的解释由TCP连接双方的应用层解释。

◆TCP通过下列方式来提供可靠性:应用数据被分割成TCP认为最适合发送的数据块,称为报文段或段。

TCP协议中采用自适应的超时及重传策略。

TCP可以对收到的数据进行重新排序,将收到的数据以正确的顺序交给应用层。

TCP的接收端必须丢弃重复的数据。

TCP还能提供流量控制。

TCP数据报的发送过程图TCP数据报的格式●源端口:占16比特(2个字节),分段的端口号;●目的端口:占16比特(2个字节),分段的目的端口号;端口是传输层与应用层的服务接口。

传输层的复用和分用功能都要通过端口才能实现;●序号字段:占4字节。

TCP连接中传送的数据流中的每一个字节都编上一个序号。

序号字段的值则指的是本报文段所发送的数据的第一个字节的序号。

●确认号字段:占4字节,是期望收到对方的下一个报文段的数据的第一个字节的序号。

●数据偏移:占4比特,它指出TCP报文段的数据起始处距离CP报文段的起始处有多远。

“数据偏移”的单位不是字节而是32bit字(4字节为计算单位)。

●保留字段:占6bit,保留为今后使用,但目前应置为0。

●编码位:编码位含义紧急比特URG 当URG=1时,表明紧急指针字段有效。

它告诉系统此报文段中有紧急数据,应尽快传送(相当于高优先级的数据)。

确认比特ACK只有当ACK=1时确认号字段才有效。

当ACK=0时,确认号无效。

推送比特PSH 当PSH=1时,表示请求急迫操作,即分段一到马上就发送应用程序而不等到接收缓冲区满时才发送应用程序。

复位比特RST(Reset) 当RST=1时,表明TCP连接中出现严重差错(如由于主机崩溃或其他原因),必须释放连接,然后再重新建立运输连接。

计算机网络Ethereal实验报告

计算机网络Ethereal实验报告

计算机网络Ethereal实验报告计算机网络Ethereal实验报告一、实验目的本次实验旨在理解和掌握Ethereal网络抓包工具的使用,通过捕获网络数据包来分析TCP/IP协议的工作原理以及网络通信过程。

实验将利用Ethereal软件对网络流量进行捕获,并对捕获的数据包进行详细分析。

二、实验环境实验设备:两台计算机、一个路由器和一根交叉线软件环境:Windows 操作系统、Ethereal软件三、实验步骤1、安装Ethereal软件。

在实验设备中安装Ethereal软件,并确保其正常运行。

2、连接设备。

将两台实验计算机通过路由器连接,并使用交叉线进行配置。

确保计算机能够互相访问网络。

3、启动Ethereal软件。

打开Ethereal,并选择“Capture”菜单中的“Start Capture”选项。

在“Capture Filter”对话框中,选择“No Filter”以捕获所有数据包。

4、配置网络共享。

在两台实验计算机上配置网络共享,以便进行文件传输和网络通信。

5、进行网络通信。

通过浏览器访问网页、使用FTP传输文件等方式,在两台计算机之间进行网络通信。

同时,注意观察Ethereal软件中的数据包捕获情况。

6、停止捕获。

在完成一定量的网络通信后,选择“Capture”菜单中的“Stop Capture”选项。

在弹出的对话框中,选择“Yes”保存捕获的数据包文件。

7、分析数据包。

在Ethereal软件中选择捕获的数据包文件,并对其进行详细分析。

使用“Packet List”窗口查看数据包列表,并使用“Packet Details”窗口查看每个数据包的详细信息。

分析数据包中的各个层次和协议字段,以深入理解TCP/IP协议的工作原理。

8、进行数据包过滤和分析。

根据实验需要,可以使用Ethereal软件的过滤功能对捕获的数据包进行筛选和分析。

例如,可以过滤出TCP 数据包,并分析它们的序列号、确认号、窗口大小等字段。

Ethereal抓包常用过滤条件分析

Ethereal抓包常用过滤条件分析

Ethereal抓包常用过滤条件分析1.前言Ethereal的过滤规则Ethereal的过滤规则可以有两种形式:(1)一个原语:一个原语即一条最基本的过滤规则(2)用“and”、“or”、“not”关系去处运算符,以及括号组合起来的原语。

其中“and”的含义是它所连接的两个原语必须都成立;“or”的含义是它所连接的两个原语只要有一个成立即可;“not”的含义是它后面跟的原语不成立;括号的作用是对关系运算顺序作出规定。

1. 捕获MAC地址为00:e0:fc:58:bc:a3的通信数据包,例如:Ether host 00:e0:2. 捕获源IP地址为150.20.10.119的通信数据包,例如:src host 150.20.10.119用PC机监听STB的通信数据包时,常常要用到这个过滤条件,以保证只捕获与STB相关的数据包。

3. 捕获通过80端口来通信的数据包,使用该端口通信的数据包是基于http协议的,例如:tcp port 80 或者为ip proto http以上过滤语句还可以通过and、or、not等连接成复合过滤语句。

例如:捕获160.128.10.4除了http外的所有通信数据报文160.128.10.4 and not tcp port 80Name Resolution:名字解析,可将MAC地址、网络地址、端口地址解析为相应的名称。

1)Enable MAC name resolution通过该选项可以控制是否让ethereal将数据包中的MAC地址解析为名字。

例如在IPTV验证工作中实际抓包分析时,常常可在协议栏中看到Huawei_58:00:63这样的地址,其实真实的MAC地址是:00:e0:fc:58:00:63。

2)Enable network name resolution通过该选项可以控制是否让ethereal将数据包中的网络地址解析为网络名称。

3)Enable transport name resolution通过该选项可以控制是否让ethereal将数据包中的端口地址解析为协议名称。

实验二 网络抓包及协议分析软件使用说明

实验二 网络抓包及协议分析软件使用说明

实验二网络抓包及协议分析软件使用说明目的及意义: 利用网络协议分析工具Ethereal截获网络中传送的数据包, 通过观察分析, 从而了解和认识(理解)协议的运行机制。

下载与安装: 在Windows下安装Ethereal,可从 下载安装软件, 然后执行安装。

Ethereal 在0.10.12版本后都内置了Winpcap,如没内置的Winpcap, 可先安装Winpcap。

有关Winpcap的详细信息可参考。

一. 实验目的:1. 了解抓包与协议分析软件的简单使用方法。

2. 了解并验证网络上数据包的基本结构。

二. 实验环境1.硬件:PC.配备网卡, 局域网环境。

2. 软件: Windows 2000或者XP操作系统、winpcap、analyzer。

三. 实验内容利用Ethereal软件抓取网络上的数据包, 并作相应分析。

(1)四. 实验范例(2)安装(3)E theral的安装非常简单, 只要按照提示安装即可。

(4)运行(5)双击桌面的Ethereal, 显示“The Ethereal Network Analyzer”的主界面, 菜单的功能是:(6)设置规则●这里有两种方式可以设置规则:●使用interface选择Capture—>interfaces, 将显示该主机的所有网络接口和所有流经的数据包, 单击“Capture”按钮, 及执行捕获。

●如果要修改捕获过程中的参数, 可以单击该接口对应的“Prepare”按钮。

在捕获选项对话框中, 可以进一步设置捕获条件:●Interface——确定所选择的网络接口●Limit each packet to N bytes——指定所捕获包的字节数。

●选择该项是为了节省空间, 只捕获包头, 在包头中已经拥有要分析的信息。

●Capture packet in promiscuous mode——设置成混杂模式。

●在该模式下, 可以记录所有的分组, 包括目的地址非本机的分组。

ethereal抓包工具的使用

ethereal抓包工具的使用

《高级网络技术》实验一 ethereal抓包工具的使用课程实验报告课程名称:高级网络技术专业班级:姓名:学号:指导教师:完成时间:2012 年10 月24 日实验一 ethereal抓包工具的使用一、实验目的1.熟悉Ethereal网络抓包工具软件的作用和使用方法;2.通过Ethereal工具软件的帮助,对抓到包进行分析。

二、实验内容学习Ethereal网络抓包工具以及对ARP packet format进行分析。

三、实验设备及工具硬件:安装了网卡的PC机。

软件:PC 机操作系统WinXP,安装了网卡驱动程序,以及ethereal抓包软件四、实验步骤1)安装winpcap和ethereal;2)ARP协议分析由ethereal抓取的包格式和下图一样,首先,对下图所示帧格式进行了解。

如图所示,前14字节是数据链路层所附加的帧头,后28字节是来自网络层的ARP数据包内容。

然后,我们根据所抓取的实际例子来分析协议各个部分,如下图所示。

在这个例子中,编号256的包:物理地址是00:21:86:a2:c6:d3,IP地址是192.168.60.42的主机或路由器,向网络中发送广播,内容是一个ARP协议的request,希望获得IP地址为192.168.60.140的主机的物理地址。

编号为257的包:IP地址为192.168.60.42的主机,收到广播的request后,向广播发送端发送单播reply,告诉对方自己的物理地址为00:1d:ba:18:cb:dc。

256和257号包的详细内容如下所示。

256号包257号包由图可见,前14字节为帧头。

其中,前6字节为目的物理地址,当向网络中发送广播时,目的物理地址为全f;7-12字节为源物理地址;最后两个字节表示帧类型,ox0806表示这是一个ARP数据帧;由于是在以太网中传输,当帧长度不足46字节是,可能在帧尾部添加尾巴(填充位)。

然后,我们来看ARP协议数据内容。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

帧结束IP包:rtp.marker == 1
小知识:100Mbps网络,每秒钟最大能转发多少个1266字节的视频IP包? 答案:1万个。 也就是说,此时转发每个视频IP包,需要占用0.1ms的周期(时间片)。
内容
1.Ethereal 工具简介
2.用Ethereal分析 视频流
3.用Ethereal分析 VMP/GMP报文 4.心动不如行动,学习不如实践 5. 视频监控,推荐的Ethereal版本
注:手工增加了“对应帧结尾比较”:

19
修行在个人:
下列目录,有一些现成的报文,可供“懒虫”参考。
\\h3chznt04\多媒体产品线\培训资料\培训地图课程\监控产品\Ethereal 抓包分析
\心动不如行动

20
内容
1. Ethereal 工具简介
参见: \\h3chznt04\多媒体产品线\培训资料\培训地图课程\监控产品\Ethereal 抓包分析 \VMP_GMP的 DLL

15
VMP消息举例:
参见: \\h3chznt04\多媒体产品线\培训资料\培训地图课程\监控产品\Ethereal 抓包分析 \常见VMP_GMP消息 示例\《iVS8000方案视频监控单域业务流程》
监控IMOS平台、MPP V3新产品,推荐使用Ethereal的新版本wireshark。 统一后的江湖,没有江湖。 这个世界清静了。。。

22
有问题吗?
余世维语录: 能自己搞定的事情,不要去问别人。

23
杭州华三通信技术有限公司

16
内容
1.Ethereal 工具简介
2.用Ethereal分析 视频流
3.用Ethereal分析 VMP/GMP报文 4.心动不如行动,学习不如实践 5. 视频监控,推荐的Ethereal版本

17
少年李小龙:功夫,是练出来的,不是学出来的; 青年李小龙:功夫,是打出来的,不是练出来的。
参见\\h3chznt04\多媒体产品线\培训资料\培训地图课程\监控产品\Ethereal 抓包分析
《Ethereal-0.10.14用户手册》
Ethereal可以帮我们做什么? 网络管理员使用它去充当网络程序故障检修工具 网络安全工程师使用它检查安全软件
开发人员使用它发现协议运行中的b码流进行图形化统计。
非常直观,清晰!好东东啊,强烈推荐!

如果需要查看“视频帧,帧尾之间的IP包间隔(也就是帧的播放间隔)”, 可以用 rtp.marker==1 及 FBar 方式过滤。

如下图,红色的方块距离,就表明了帧间隔时间是40ms左右:
ip地址过滤:ip.addr 端口过滤: udp.port
2.用Ethereal分析 视频流
3.用Ethereal分析 VMP/GMP报文 4.心动不如行动,学习不如实践 5. 视频监控,推荐的Ethereal版本

21
5. 视频监控,推荐的Ethereal版本
监控8000方案,请统一使用ethereal-0.99.0版本!
== *.*.*.* == ??
这里,是本胶片的核心。
必杀技! 不学会后悔!
H.264 码流:rtp.p_type ==105 MJPEG码流: rtp.p_type ==26 MPEG2码流: rtp.p_type ==67
MPEG4码流: rtp.p_type ==68
音频包码流:rtp.p_type == 0
就象是政府,重金聘请我到贫困山区,给老乡们讲如何使用电视机。 这是在冒充专家,混饭吃啊。 呵呵呵呵„„

18
应用实例(示范)
EC2004的2Mbps D1码流,经MS转发后,帧结束标志比不经过MS的 情况下,延时增加“20士15ms”。 即 5--35ms左右的抖动。
内容
1.Ethereal 工具简介
2.用Ethereal分析 视频流
3.用Ethereal分析 VMP/GMP报文 4.心动不如行动,学习不如实践 5. 视频监控,推荐的Ethereal版本
用Ethereal,轻松查看“RTP格式视频流”的丢包率。 以及“IO Graphs”常用技巧。 :)
Ethereal为何物?
Ethereal是开源网络数据包分析软件。数据包分析软件会抓取数据包, 并试图逐条详细地显示数据包数据。
你可以认为Ethereal数据包分析软件,是一个用户检查网络数据报文 的设备,就像用电压表测量电路电压。
以往数据包分析软件都是非常昂贵的或私有的。Ethereal 可能是现在 最好的开放源码的数据包分析软件。
步骤2. 选中RTP,然后点击OK。如下图:
步骤3.
从Statistics菜单中,选中RTP的“Show All Streams”。
如下图:
步骤4.
得到如下结果。如下图,第一行就是丢包5.5%:
其中Lost一栏(一列),就是RTP流的丢包率。 如果点击“Analyze”,可获取当前码流的详细统计信息!
参见\\h3chznt04\多媒体产品线\培训资料\培训地图课程\监控产品\Ethereal 抓包分析 《..\报文实例\D008源端口30006_视频only.cap》
步骤1. 抓包,或者打开一个*.cap文件。 选择需要分析码流(如下图60000端口)的任 意一个报文,点击右键。 然后选择“Decode As...”菜单。 如下图:
很多人使用它 „„
监听内网数据
以下这些功能是ethereal不提供的:
Ethereal 并不是个IDS入侵监测系统。当网络上发生某个 事情的时候他不会警告你。当一个网络异常发生的时候, ethereal会帮您描述正在网络发生的问题。
Ethereal并不能操作您的网络,它仅仅是一个测量工具。
它不发送数据包或者作其他的主动行动。
快自己抓包,学习理论几乎没用。 关键是大胆实践:多练习,多体会,多交流。
就象学游泳、学骑车、学溜冰、学打乒乓球一样!
Ethereal实战,最高境界:无师自通,一通百通!!!
尤其是在“兵临城下,铤而走险,绝处逢生”之后。
所以:如果“有幸”,让我来给大家“介绍Ethereal使用”,我会感到脸红。
Ethereal 抓包分析
2008-12 监控专用
杭州华三通信技术有限公司
赵钢00488
内容
1. Ethereal 工具简介
2.用Ethereal分析 RTP视频流
3.用Ethereal分析 VMP/GMP报文 4.心动不如行动,学习不如实践 5. 视频监控,推荐的Ethereal版本

14
张立03975 VMP.dll 朱益祥05188 GMP.dll 当前的GMP插件只能支持ethereal-0.99.0版本,不支持wireshark 安装好Ethereal后,把上述两个DLL文件,放到这个目录下: C:\Program Files\Ethereal\plugins\0.99.0
相关文档
最新文档